Windows Server 2008 Networking und Netz
Transcription
Windows Server 2008 Networking und Netz
Joseph Davies und Tony Northrup mit dem Microsoft Networking Team Microsoft Windows Server 2008 Networking und Netzwerkzugriffsschutz – Die technische Referenz Dieses Buch ist die deutsche Übersetzung von: Joseph Davies and Tony Northrup with the Microsoft Networking Team: Windows Server 2008 Networking and Network Access Protection (NAP) Microsoft Press, Redmond, Washington 98052-6399 Copyright 2008 Microsoft Corporation Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen davon entsteht. Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-MailAdressen und Logos ist rein zufällig. 15 10 14 13 12 09 08 11 10 9 8 7 6 5 4 3 2 1 ISBN 978-3-86645-919-9, Teilband von Microsoft Windows Server 2008 – Die technische Referenz © Microsoft Press Deutschland (ein Unternehmensbereich der Microsoft Deutschland GmbH) Konrad-Zuse-Str. 1, D-85716 Unterschleißheim Alle Rechte vorbehalten Übersetzung: Detlef Johannis, Kempten, und Michael Ringel, Bonn Korrektorat: Claudia Mantel-Rehbach, München Fachlektorat und Satz: Günter Jürgensmeier, München Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com) Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de) Für David Wright Joseph Davies Für Jenny Lozier Tony Northrup V Inhaltsverzeichnis Danksagungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX Dokumentkonventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX Begleit-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XX Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXI Support für dieses Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXI Teil I: Adressierungs- und Datenpaketflussinfrastruktur ...................... 1 Kapitel 1: IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkschichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv4-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Private IPv4-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatische private IP-Adressierung (APIPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Multicastadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkadressenübersetzung (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schicht-2- und Schicht-3-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schicht-4-Protokolle: UDP und TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entwerfen der Internetverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines IPv4-Adressierungsschemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Hostadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Redundanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von mehrfach vernetzten Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuelles Konfigurieren von IPv4-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Clients für den Fall, dass kein DHCP-Server verfügbar ist . . . . . . . Hinzufügen von Routen zur Routingtabelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PathPing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Systemmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Task-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows-Netzwerkdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 4 7 7 8 9 11 12 12 12 14 15 15 17 18 19 19 20 20 21 21 21 21 22 24 24 25 26 26 27 27 VI Inhaltsverzeichnis Kapitel 2: IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Änderungen in IPv6 gegenüber IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6-Autokonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nachbarschaftserkennung (Neighbor Discovery) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6-Übergangstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Migration auf IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beschaffen von IPv6-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Aktualisierung der Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungen für IPv6-Übergangstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So deaktivieren Sie IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So konfigurieren Sie IPv6 manuell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So konfigurieren Sie IPv6 mit einem Skript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So aktivieren Sie ISATAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So aktivieren Sie 6to4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So aktivieren Sie Teredo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So konfigurieren Sie einen Computer als IPv6-Router . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Teredo-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 30 31 36 38 38 38 39 45 45 46 47 47 48 48 49 50 50 51 52 53 56 56 56 57 58 58 59 59 Kapitel 3: Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Der DHCP-Adressenzuweisungsprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Lebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Relay-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Leasezeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen von Adressenbereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servercluster für DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dynamisches DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Relay-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 62 63 63 64 64 65 66 66 67 67 68 75 77 Inhaltsverzeichnis VII Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen von DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuelles Sichern und Wiederherstellen eines DHCP-Servers . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen auf DHCP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen auf DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Überwachungsprotokolls zur Analyse des DHCP-Servers . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 77 79 80 80 80 81 81 82 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Filtern des Datenverkehrs mit Windows-Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Schützen des Datenverkehrs mit IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Planen der Windows-Firewall-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Schutz der Kommunikation mit IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Firewalleinstellungen mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 IPsec-Verbindungssicherheitsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Windows-Firewall-Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Überwachen von IPsec-Sicherheitsassoziationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Verwenden des Network Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Kapitel 5: QoS auf Richtlinienbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Ursachen von Netzwerkleistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So kann QoS Abhilfe schaffen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS für ausgehende Datenübertragungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS für eingehenden Datenverkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS-Implementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Festlegen der QoS-Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen von DSCP-Werten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Drosselung des Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware- und Softwarevoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . QoS-Richtlinien für Windows Vista-Mobilcomputer . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So konfigurieren Sie QoS in den Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . So konfigurieren Sie systemweit gültige QoS-Einstellungen . . . . . . . . . . . . . . . . . . . . . . 115 115 117 118 120 120 121 121 121 123 123 124 126 126 126 130 VIII Inhaltsverzeichnis Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Löschen von QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bearbeiten von QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen von QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der DSCP-Strapazierfähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Isolieren von Netzwerkleistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 132 132 132 134 135 136 137 138 139 Kapitel 6: Skalierbare Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfangsseitige Skalierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NetDMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewerten der Skalierungstechnologien für Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . Belastungstest von Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen der Serverleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der empfangsseitigen Skalierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NetDMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung bei der TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung bei der IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 142 143 146 146 147 147 148 149 151 151 152 152 152 153 153 153 154 155 156 Teil II: Namensauflösungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Kapitel 7: Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Hierarchie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Einträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dynamische DNS-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anordnung der DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Zonenreplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Zone GlobalNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 159 160 160 161 161 163 163 164 166 168 168 Inhaltsverzeichnis Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Serverkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Serverkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren redundanter DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von Ressourceneinträgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Warten von Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatisches Testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heraufstufen einer sekundären Zone zu einer primären Zone . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ereignisprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Debugprotokollierung auf dem Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von DCDiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden des Network Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX 169 170 179 181 182 182 182 183 183 185 186 187 187 190 191 192 194 194 194 Kapitel 8: Windows Internet Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Geschichte von NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NetBIOS-Namen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WINS-Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WINS-Clientregistrierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anordnung der WINS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WINS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines WINS-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der WINS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WINS-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sichern der WINS-Serverdatenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komprimieren der WINS-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Datenbanküberprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überwachen eines WINS-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines statischen WINS-Datensatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Löschen eines WINS-Eintrags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von WINS-Serverproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von WINS-Clientproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 195 197 197 198 198 199 199 201 201 201 202 204 204 205 205 206 207 208 209 209 211 214 215 X Inhaltsverzeichnis Teil III: Netzwerkzugriffsinfrastruktur ....................................... 217 Kapitel 9: Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Public-Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen der Public-Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RADIUS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 219 223 228 231 236 236 237 239 240 247 247 248 256 256 263 270 274 274 275 275 275 276 277 277 277 277 279 279 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterstützung der IEEE 802.11-Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Drahtlossicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten von 802.11-Drahtlosnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Drahtlossicherheitstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsmodi im drahtlosen Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Intranetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anordnung der drahtlosen Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1X-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 282 284 288 288 289 291 292 294 298 299 310 313 Inhaltsverzeichnis Bereitstellen von geschütztem Drahtloszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Active Directory für Konten und Gruppen . . . . . . . . . . . . . . . . . . . . Konfigurieren der NPS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen drahtloser Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Benutzer- und Computerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der drahtlosen Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren von XML-Drahtlosprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlungstools von Windows für Drahtlosnetzwerke . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit drahtlosen Zugriffspunkten . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit der Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI 314 314 316 316 317 320 326 326 327 327 327 328 335 336 341 347 347 Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . 349 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten von Kabelnetzwerken mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsmethoden im Kabelnetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsmodi im Kabelnetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kabelclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1X-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen des Kabelnetzwerkzugriffs mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . . Bereitstellen von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Active Directory für Konten und Gruppen . . . . . . . . . . . . . . . . . . . . Konfigurieren der NPS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von 802.1X-fähigen Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren verkabelter Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Benutzer- und Computerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten 802.1X-fähiger Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren von XML-Kabelprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlungstools von Windows für Kabelnetzwerke . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit Kabelclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit 802.1X-fähigen Switches . . . . . . . . . . . . . . . . . . . . . . . . . Beheben von Problemen mit der Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 350 351 351 353 355 356 361 364 365 365 367 367 369 370 374 374 374 375 375 375 380 381 385 391 391 XII Inhaltsverzeichnis Kapitel 12: Remotezugriff-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten von Windows-Remotezugriff-VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Intranetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gleichzeitiger Intranet- und Internetzugriff für VPN-Clients . . . . . . . . . . . . . . . . . . . . . Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusätzliche Sicherheitsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Starke Verschlüsselung der Verbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Paketfilterung für VPN-Verkehr auf dem VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . . Firewallpaketfilterung für VPN-Verkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Server mit mehreren Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verhindern, dass Verkehr von VPN-Clients weitergeleitet wird . . . . . . . . . . . . . . . . . . . Gleichzeitiger Zugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unbenutzte VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von VPN-Remotezugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Active Directory-Benutzerkonten und -Gruppen . . . . . . . . . . . . . . . . Konfigurieren von RADIUS-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkinfrastruktur des Intranets . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von VPN-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren von Verbindungs-Manager-Profilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Problembehandlung für Remotezugriff-VPNs . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 395 397 397 401 403 406 408 411 413 414 418 421 422 422 423 423 431 432 433 434 434 434 438 439 439 441 445 447 452 453 453 455 455 455 459 465 465 Kapitel 13: Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlagen von bei Bedarf herzustellenden Routingverbindungen . . . . . . . . . . . . . . . . . Komponenten von Windows-Standort-zu-Standort-VPNs . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 468 473 474 474 478 Inhaltsverzeichnis XIII VPN-Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standortnetzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Active Directory-Benutzerkonten und -Gruppen . . . . . . . . . . . . . . . . Konfigurieren von RADIUS-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von antwortenden Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von anrufenden Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Standortnetzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Infrastruktur für die Standortverbindungen . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von VPN-Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Problembehandlung für Standort-zu-Standort-VPN-Verbindungen . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 483 485 487 489 492 492 496 497 497 499 505 510 512 514 514 515 516 517 517 526 526 Teil IV: Netzwerkzugriffsschutz-Infrastruktur ................................ 529 Kapitel 14: Grundlagen des Netzwerkzugriffsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 Warum ist Netzwerkzugriffsschutz nötig? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malware und ihre Auswirkungen auf Unternehmensnetzwerke . . . . . . . . . . . . . . . . . . . . Verhindern von Malware in Unternehmensnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . Die Rolle von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommerzielle Vorteile von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Systemintegritätsagenten und Systemintegritätsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . Erzwingungsclients und -server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erzwingungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 531 533 537 539 540 542 543 544 544 545 545 545 546 546 547 548 549 550 551 552 XIV Inhaltsverzeichnis Kapitel 15: Vorbereiten des Netzwerkzugriffsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553 Auswerten der aktuellen Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Intranetcomputer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkunterstützungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Integritätsrichtlinienserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Integritätsanforderungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten einer Integritätsanforderungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . So funktioniert die NAP-Integritätsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte für Integritätsanforderungsrichtlinien . . . . . . . . . . . . . . Wartungsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartungsserver und NAP-Erzwingungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte für Wartungsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553 553 556 557 557 559 560 561 561 569 572 574 575 576 577 577 Kapitel 16: IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579 Grundlagen der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logische Netzwerke bei der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ablauf der Kommunikationseinleitung bei IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . Verbindungssicherheitsregeln für IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPsec-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Integritätsrichtlinienservern . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Wartungsservern im Grenznetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellung des Berichterstellungsmodus für IPsec-Erzwingung abgeschlossen . . . . . Konfigurieren und Anwenden von IPsec-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von neuen SHAs und SHVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der NAP-Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung für die IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579 580 582 585 586 587 588 593 599 600 601 601 602 605 611 614 615 618 618 624 624 625 625 626 628 628 631 636 636 Inhaltsverzeichnis XV Kapitel 17: 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 Grundlagen der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden einer ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden eines VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsgruppe für NAP-Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1X-Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Typ der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1X-Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren einer PEAP-Authentifizierungsmethode . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von 802.1X-Zugriffspunkten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Wartungsservern im eingeschränkten Netzwerk . . . . . . . . . . . . . . . . Konfigurieren von NAP-Integritätsrichtlinienservern . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellung des Berichterstellungsmodus für 802.1X-Erzwingung abgeschlossen . . . . Testen des eingeschränkten Zugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkrichtlinie für inkompatible NAP-Clients bei zurückgestellter Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von neuen SHAs und SHVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der 802.1X-Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung für die 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 642 643 644 644 644 644 645 646 647 648 648 649 650 650 658 660 661 662 663 664 664 665 665 665 665 667 670 670 Kapitel 18: VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673 Grundlagen der VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Netzwerkzugriff-Quarantänensteuerung . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsgruppe für NAP-Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Typen der Paketfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen der VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren einer PEAP-Authentifizierungsmethode . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Wartungsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Integritätsrichtlinienservern . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673 676 676 677 677 678 679 679 681 682 682 682 682 683 689 XVI Inhaltsverzeichnis Bereitstellung des Berichterstellungsmodus für VPN-Erzwingung abgeschlossen . . . . . . Testen des eingeschränkten Zugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der zurückgestellten Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von neuen SHAs und SHVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung für die VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691 691 693 693 695 695 695 695 696 698 700 701 Kapitel 19: DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703 Grundlagen der DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsgruppe für NAP-Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Integritätsrichtlinienserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Integritätsanforderungsrichtlinien für bestimmte DHCP-Bereiche . . . . . . . . . . . . . . . . . DHCP-Optionen für NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP-Erzwingungsverhalten, wenn der NAP-Integritätsrichtlinienserver nicht erreichbar ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen der DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Wartungsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Integritätsrichtlinienservern . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellung des Berichterstellungsmodus für DHCP-Erzwingung abgeschlossen . . . . Testen des eingeschränkten Zugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der zurückgestellten Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen von neuen SHAs und SHVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung für die DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703 705 706 706 707 707 707 708 708 709 710 710 714 716 720 720 721 722 723 723 723 724 724 726 729 729 Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743 Die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769 XVII Danksagungen Die Autoren Joseph Davies und Tony Northrup möchten sich bei den zahlreichen Mitgliedern des Windows Server 2008-Produkteams und bei anderen Experten aus dem Hause Microsoft bedanken, die viele Hundert Stunden ihrer kostbaren Zeit diesem Projekt gewidmet haben, indem sie die Kapitel sorgfältig auf Korrektheit überprüft, Inhalte beigetragen und uns im Verlauf des Projekts unermüdlich mit Rat und Tat zur Seite standen. Insbesondere möchten wir uns bei folgenden Microsoft-Mitarbeitern für die »Direkt von der Quelle«Textblöcke bedanken, in denen sie Informationen liefern, die nur von diesen Experten kommen konnten (in der Reihenfolge der Kapitel): Dmitry Anipko, Entwickler aus der Windows Core Networking Group Sean Siler, IPv6-Programmmanager aus der Windows Core Networking Group Santosh Chandwani, Lead-Programmmanager der Enterprise Networking Group Ian Hameroff, Senior-Produktmanager im Security and Access Product Marketing Gabe Frost, Produktmanager von Windows Core Networking Rade Trimceski, Programmmanager der Windows Networking and Devices Group Jeff Westhead, Senior-Entwickler aus der Enterprise Networking Group Anthony Witecki, Senior-Consultant der Microsoft Services, Public Sector Chris Irwin, Enwickler der Premier Field Engineering Group Clay Seymour, Supportingenieur vom Enterprise Platform Support Tim Quinn, Supportingenieur vom Enterprise Platform Support James McIllece, technischer Autor aus der Windows Server User Assistance Group Samir Jain, Lead-Programmmanager am India Development Center Greg Lindsay, technischer Autor aus der Windows Server User Assistance Group John Morello, Senior-Programmmanager aus der Windows Server Customer Connection Group Als wir dieses Buch schrieben, befand sich Windows Server 2008 noch in der Entwicklung. Viele der besten Köpfe von Microsoft haben unsere Kapitel in der Rohfassung gelesen, Korrekturen vorgenommen, uns auf Änderungen im Betriebssystem hingewiesen und Vorschläge gemacht. Wir bedanken uns für die Durchsicht bei (in der Reihenfolge der Kapitel): Mike Barrett, Dmitri Anipko, Ben Shultz, Thiago Hirai, Mahesh Narayanan, Santosh Chandwani, Jason Popp, Hermant Banavar, Osama Mazahir, Ian Hameroff, Rade Trimceski, Alireza Dabagh, Chandra Nukala, Arren Conner, Jeff Westhead, Sudhakar Pasupuleti, Yi Zhao, Subhasish Bhattacharya, Tim Quinn, Clay Seymour, Chris Irwin, Greg Lindsay, James MacIllece, Anthony Leibovitz, Sreenivas Addagatla, Arvind Jayakar, Brit Weston, Lee Gibson, Drew Baron, Brit Weston, Dhiraj Gupta, Samir Jain, Puja Pandey, Tushar Gupta, Manu Jeewani, Jim Holtzman, Kevin Rhodes, Steve Espinosa, Tom Kelnar, Kedar Mohare, Pat Fetty, Gavin Carius, Wai-O Hui, Harini Muralidharan, Richard Costleigh, Ryan Hurst, Chris Edson, Chandra Nukala, Abhishek Tiwari, Aanand Ramachandran, John Morrello und Barry Mendonca. Außerdem bedanken wir uns beim Microsoft Security Review Board für die sorgfältige Prüfung des Buchs. XVIII Danksagungen Falls wir jemanden versehentlich nicht genannt haben, bitten wir hiermit ausdrücklich um Entschuldigung! Joseph möchte sich außerdem bei Greg Lindsay für die vielen Stunden seiner Zeit bedanken, die er für Besprechungen, technische Prüfungen und die Erstellung der Textblöcke für die NAP-Kapitel (Network Access Protection) aufgewendet hat. Tony möchte sich bei Bob Hogan dafür bedanken, dass er wesentlich mehr geleistet hat, als von ihm als Fachlektor erwartet wurde, und bei Hayley Bellamy für die Hilfe bei der Beseitigung eines kniffligen Hardwareproblems. Schließlich möchten wir uns noch beim gesamten Redaktionsteam von Microsoft Press bedanken, das für dieses Projekt zuständig war. Dazu gehören Martin DelRe, Jenny Moss Benson, Maureen Zimmerman und Maria Gargiulo, sowie Susan McClung, Joel Rosenthal, Bob Hogan, Mary Rosewood und Seth Maislin von der Interactive Composition Corporation, die mit schier unerschöpflicher Energie und großem Einsatz dazu beigetragen haben, dieses Buch erfolgreich abzuschließen. Joseph und Tony XIX Einführung Herzlich willkommen bei Microsoft Windows Server 2008 Networking und Netzwerkzugriffsschutz – Die technische Referenz, einem Teilband von Microsoft Windows Server 2008 – Die technische Referenz. Mit den Bereitstellungsrichtlinien, die in Teil I dieses Buchs beschrieben werden, können Sie eine geeignete Adressierungs- und Datenpaketflussinfrastruktur aufbauen. Dabei kommen IPv4 (Internetprotokoll Version 4), IPv6 (Internetprotokoll Version 6), DHCP (Dynamic Host Configuration Protocol), Host-Firewalls, IPsec (Internet Protocol Security), QoS (Quality of Service) auf der Basis von Richtlinien sowie skalierbare Netzwerktechnologien zum Einsatz. Mit den in Teil II dieses Buchs beschriebenen Bereitstellungsrichtlinien können Sie eine Namensauflösungsinfrastruktur mit DNS (Domain Name System) und WINS (Windows Internet Name Service) einrichten. Außerdem können Sie mit den Richtlinien aus Teil III dieses Buchs eine Netzwerkzugriffsinfrastruktur aufbauen, die aus Active Directory-Domänendiensten, einer PKI-Infrastruktur (Public Key Infrastructure), entsprechenden Gruppenrichtlinien und einer zentralen Authentifizierung, Autorisierung und Kontenführung mit RADIUS (Remote Authentication Dial-In User Service) besteht. Diese Netzwerkzugriffsinfrastruktur bietet eine Reihe von Methoden für den authentifizierten und autorisierten Zugriff. Dazu gehören zum Beispiel drahtlose Verbindungen nach IEEE 802.11 (Institute of Electrical and Electronics Engineers), Verbindungen mit einem Authentifizierungsswitch und VPN-Verbindungen (Virtual Private Network). Nach der Einrichtung der Infrastruktur für die Adressierung, die Datenpaketweiterleitung und den Netzwerkzugriff können Sie mit den Richtlinien aus Teil IV dieses Buchs das NAP-System (Network Access Protection) einrichten, um die DHCP-Adressenkonfiguration und die Anforderungen für die IPsec-geschützte Kommunikation, für VPN-Verbindungen und für Drahtlosverbindungen festzulegen, die nach IEEE 802.1X geschützt werden. Dokumentkonventionen Hinweise auf spezielle Funktionen oder Verwendungszwecke erfolgen in diesem Buch in spezieller Weise. Hinweise Die folgende Tabelle beschreibt, wie in diesem Buch auf nützliche Details hingewiesen wird: Symbol Hinweis Bedeutung Hinweis Weist auf die Bedeutung eines betimmten Konzepts oder auf Ausnahmen hin. Weitere Informationen Weist Sie auf weitergehende Informationen zu dem gerade abgehandelten Thema hin. Auf der CD Weist Sie auf Ressourcen auf der Begleit-CD hin, die Sie bei der Durchführung der beschriebenen Aufgabe unterstützen. XX Einführung Textblöcke Die folgenden Textblöcke vertiefen bestimmte Aspekte von Netzwerken und NAP (Network Access Protection) und geben Ihnen zusätzliche Hinweise und Tipps: Textblock Bedeutung Direkt von der Quelle Beiträge, in denen Microsoft-Experten bestimmte Aspekte von Windows Vista vertiefen oder Hinweise zur Verwaltung von Windows Vista-Clients oder zur Fehlerbehebung geben. So funktioniert’s Ausführlichere Beschreibungen von Funktionen und ihrer Arbeitsweise. Befehlszeilenbeispiele Die folgenden Konventionen werden in diesem Buch zur Darstellung von Befehlszeilenbeispielen verwendet: Darstellungsart Bedeutung Fettschrift Zeichen, die vom Benutzer eingegeben werden (beachten Sie bei Eingaben, in denen zwischen Groß- und Kleinbuchstaben unterschieden wird, die genaue Schreibweise). Kursivschrift Menüs, Meldungen und Variablen, für die ein bestimmter Wert angegeben werden muss. Mit Dateiname ist zum Beispiel ein beliebiger gültiger Dateiname gemeint. nichtproportionale Schrift Wird für Codebeispiele und Ausgaben verwendet, die auf der Befehlszeile erfolgen. %SystemRoot% Für Umgebungsvariablen werden Prozentzeichen verwendet. Begleit-CD Die Begleit-CD ist eine wichtige Ergänzung dieses Buchs und enthält Folgendes: Die englischsprachige E-Book-Version dieses Buchs Die Adobe PDF-Version (Adobe Portable Document Format) dieses Buchs. Sie können diese Version am Computer lesen und den Text durchsuchen. Eine E-Book-Version des Buchs TCP/IP Fundamentals for Microsoft Windows Die aktuellste Version von TCP/IP Fundamentals for Microsoft Windows von Joseph Davies ist als Adobe PDF-Version unter http://technet.microsoft.com/en-us/library/bb726983.aspx verfügbar. Eine E-Book-Version von Understanding IPv6, Second Edition Die Adobe PDF-Version von Understanding IPv6, Second Edition von Joseph Davies. Eine Verknüpfung zum Network Monitor 3.1 Der Network Monitor 3.1 ist kostenlos beim MicrosoftDownloadcenter erhältlich. Sie können den Network Monitor 3.1 auch von http://go.microsoft. com/fwlink/?LinkID=92844 installieren. Die neusten Informationen über den Network Monitor finden Sie im Network Monitor-Blog unter http://blogs.technet.com/netmon. Weitere Informationen: Zusätzliche Online-Inhalte Sobald neues oder aktualisiertes Material verfügbar wird, das dieses Buch ergänzt, wird es auf der Site Microsoft Press Online Windows Server and Client Web veröffentlicht. Was die endgültige Version von Windows Server 2008 betrifft, kann es sich dabei zum Beispiel um Nachträge zum Buch, Artikel, Verknüpfungen zu Inhalten der Begleit-CD und Fehlerberichtigungen handeln. Diese Website wird bald unter http://www.microsoft.com/learning/books/online/serverclient verfügbar sein und regelmäßig aktualisiert werden. Die mitgelieferten E-Books können Sie auf jedem Computer lesen, auf dem Adobe Reader ausgeführt werden kann. Dieses Programm ist unter http://www.adobe.de erhältlich. Einführung XXI Systemvoraussetzungen Um die Begleit-CD zu diesem Buch nutzen zu können, brauchen Sie einen Computer, der folgende Mindestanforderungen erfüllt: Betriebssystem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP 1-GHz-Prozessor mit 32-Bit- (x86) oder 64-Bit-Architektur (x64) 1 GByte Arbeitsspeicher Eine Festplattenpartition mit mindestens 1 GByte freiem Speicherplatz Unterstützung für DirectX 9-Grafik und 32 MByte Grafikspeicher Geeigneter Monitor Tastatur Maus oder anderes Zeigegerät CD-ROM-Laufwerk Um die Onlineversion dieses Buchs lesen zu können, brauchen Sie den Adobe Reader. Unter http://www.adobe.com finden Sie Informationen über die Systemvoraussetzungen für Adobe Reader. Microsoft Network Monitor 3.1 können Sie über http://go.microsoft.com/fwlink/?LinkID=92844 installieren. Einen Link finden Sie auch auf der Begleit-CD. Für Microsoft Network Monitor 3.1 gilt zusätzlich folgende Mindestanforderung: Eine Festplattenpartition mit 25 MByte freiem Speicherplatz. Support für dieses Buch Dieses Buch und die Begleit-CD wurde mit großer Sorgfalt erstellt. Korrekturen zum Buch bietet Microsoft Press unter folgender Webadresse: http://www.microsoft-press.de/support.asp Wenn Sie Kommentare, Fragen oder Anregungen zum Buch oder zur Begleit-CD haben, die sich nicht durch eine Abfrage der Knowledge Base beantworten lassen, wenden Sie sich an Microsoft Press: Per E-Mail (in englischer Sprache) [email protected] Per Post: Microsoft Press Betrifft: Microsoft Windows Server 2008 Networking und Netzwerkzugriffsschutz – Die technische Referenz Konrad-Zuse-Straße 1 85716 Unterschleißheim Wenn Sie Ersatz für eine fehlerhafte Begleit-CD erhalten möchten, können Sie eine E-Mail an [email protected] senden. Beachten Sie bitte, dass unter den genannten Adressen kein Produktsupport geleistet wird. Informationen über den Produktsupport finden Sie auf der Microsoft-Produktsupportwebsite unter folgender Adresse: http://support.microsoft.com. T E I L I Adressierungs- und Datenpaketflussinfrastruktur In diesem Teil: Kapitel 1: IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 2: IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 3: Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 4: Windows-Firewall mit erweiterter Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 5: QoS auf Richtlinienbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 6: Skalierbare Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 29 61 83 115 141 3 K A P I T E L 1 IPv4 In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 12 19 21 21 27 27 Heutzutage kommuniziert der größte Teil vernetzter Computer mithilfe von IPv4 (Internetprotokoll Version 4) und der Gruppe von Protokollen, die als TCP/IP (Transmission Control Protocol/Internet Protocol) bekannt ist. Um ein Microsoft Windows-Netzwerk planen, aufbauen und warten sowie Netzwerkfehler beheben zu können, müssen Sie die Grundlagen von TCP/IP kennen und verstehen. Dieses Kapitel bietet Ihnen Informationen über den Entwurf, die Bereitstellung, Wartung und Fehlerbehebung von IPv4-Netzwerken. Die meisten Angaben in diesem Kapitel gelten gleichermaßen für die Betriebssysteme Windows Server 2008, Windows Vista und Windows Server 2003 und andere neuere Windows-Versionen. Informationen über IPv6 finden Sie in Kapitel 2, »IPv6«. Dieses Kapitel setzt Grundkenntnisse über TCP/IP und eine gewisse Erfahrung mit Netzwerken voraus. Konzepte Dieser Abschnitt bietet Ihnen einen kurzen Überblick über wichtige TCP/IP-Konzepte wie IPv4Adressierung, Multicasting, UDP (User Datagram Protocol) und TCP. Netzwerkschichten Netzwerkprotokolle bestehen aus mehreren Schichten, wobei jede Schicht nur mit der jeweils direkt darunter oder darüber liegenden Schicht interagiert. Das gebräuchlichste Modell ist das OSI-Modell (Open Systems Interconnection). Es sieht sieben Schichten vor. Tabelle 1.1 führt die sieben OSISchichten auf und nennt Beispiele für die Protokolle, die den verschiedenen Schichten zugeordnet werden. Der Schwerpunkt dieses Kapitels ist IPv4, ein Protokoll der Schicht 3. Außerdem beschreibt das Kapitel die Interaktion von IPv4 mit den Protokollen der Schichten 2 und 4. 4 Kapitel 1: IPv4 Tabelle 1.1 Die Schichten des OSI-Modells Schichtnummer Schichtname Beispiele Schicht 1 Physische Schicht Herkömmliche Kabelverbindungen und drahtlose Netzwerkverbindungen Schicht 2 Datenübertragungsschicht Ethernet, Wi-Fi Schicht 3 Netzwerkschicht IPv4, IPv6, ICMP (Internet Control Message Protocol) Schicht 4 Transportschicht TCP, UDP Schicht 5 Sitzungsschicht NetBIOS Schicht 6 Darstellungsschicht Wird kaum verwendet Schicht 7 Anwendungsschicht Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP), Domain Name System (DNS) IPv4-Adressierung IPv4-Adressen bestehen aus 4 Bytes. Da sich jedes Byte aus jeweils 8 Bits zusammensetzt, ist eine Adresse 32 Bit breit. Jedes Byte, auch Oktett genannt, wird als Dezimalzahl aus dem Wertebereich geschrieben, wobei die Dezimalzahlen durch Punkte voneinander getrennt werden. Bei den folgenden Adressen handelt es sich zum Beispiel um gültige IP-Adressen: 192.168.1.32 10.1.1.1 127.0.0.1 Abbildung 1.1 IPv4-Routing Konzepte 5 Der Anfang einer IP-Adresse wird Netzwerkadresse genannt, und der Rest, die sogenannte Hostadresse, identifiziert einen bestimmten Computer aus dem Subnetz. Router verwenden die Netzwerkadresse, um Pakete in das richtige Zielnetzwerk weiterzuleiten, und Computer verwenden die Hostadresse, um zu erkennen, welche Pakete an sie gerichtet sind. Abbildung 1.1 stellt schematisch dar, wie Router Pakete durch ein Netzwerk an einen Zielcomputer weiterleiten. In Abbildung 1.1 gehören die ersten drei Oktette der IP-Adresse zur Netzwerkadresse (wie zum Beispiel 192.168.1 oder 192.168.10), während das letzte Oktett die Hostadresse bildet (beispielsweise .5 oder .10). Dies ist zwar die gebräuchlichste Art, eine IP-Adress zwischen Host und Netzwerk aufzuteilen, aber Sie können auch: eine kürzere Netzwerkadresse verwenden (wie 192.168), damit mehr Bits für die Hostadresse zur Verfügung stehen. Dadurch ergeben sich zwar weniger Netzwerke, die dafür aber jeweils mehr Hosts aufnehmen können. eine längere Netzwerkadresse verwenden und die Hostadresse entsprechend kürzen. Dadurch erhalten Sie eine größere Zahl von Subnetzen, die dafür aber nur jeweils eine geringere Zahl an Hosts aufnehmen können. Hosts geben mit Subnetzmasken an, wie viele Bits einer IP-Adresse zur Netzwerkadresse gehören. Die Subnetzmaske 255.255.255.0 zeigt zum Beispiel an, dass die ersten drei Oktette der IP-Adresse zur Netzwerkadresse gehören. Das resultierende Netzwerk wird Klasse C-Netzwerk genannt. Die Subnetzmaske 255.255.0.0 bedeutet, dass die ersten zwei Oktette der IP-Adresse zur Netzwerkadresse gehören. Daraus ergibt sich ein Netzwerk der Klasse B. Netzwerke der Klasse A werden nur selten verwendet und haben die Subnetzmaske 255.0.0.0. Sie gibt an, dass nur das erste Oktett der IPAdresse als Netzwerkadresse verwendet wird. Direkt von der Quelle: Netzwerkklassifizierungen Die Aufteilung von Netzwerken in die Klassen A, B und C ist veraltet. Das klassenlose domänenübergreifende Routing (Classless Inter-Domain Routing, CIDR), das mit RFC 1519 eingeführt wurde, regelt nicht nur die Schreibweise, sondern auch die Aufteilung des Adressraums. Einer der Unterschiede besteht darin, dass in einem herkömmlichen Netzwerk auch ein Router, der sich in der Mitte des Übertragungswegs befindet, anhand der angegebenen Adresse die Subnetzmaske ermitteln und so überprüfen kann, ob es sich bei einer bestimmten Adresse um einen SubnetzBroadcast handelt. In CIDR können dagegen nur Router, die direkt mit einem Subnet verbunden sind, die Subnetzmaske ermitteln. Dmitry Anipko, Entwickler Windows Core Networking Die Subnetzmaske 255.255.255.0 zeigt an, dass die ersten 24 der 32 Bits einer IP-Adresse für die Netzwerkadresse reserviert sind. Statt die gesamte Subnetzmaske anzugeben, können Sie die Zahl der Bits, die für die Netzwerkadresse vorgesehen sind, auch in der CIDR-Notation (Classless Inter-Domain Routing) angeben. Dazu hängen Sie einen Schrägstrich (/) an die IP-Adresse an, gefolgt von der Angabe der Anzahl der Bits, die zur Netzwerkadresse gehören. Eine Subnetzmaske für eine 24-BitNetzwerkadresse könnte man zum Beispiel als 192.168.10.0/24 schreiben. Wenn Sie dieses Netzwerk in vier kleinere Netzwerke aufteilen möchten, können Sie eine 26-Bit-Netzwerkadresse verwenden, wobei allerdings nur 6 Bits für die Hostadressen verbleiben. Wie man die vier Netzwerke schreiben könnte, zeigt Tabelle 1.2. 6 Kapitel 1: IPv4 Tabelle 1.2 Unterteilung des Netzwerks 192.168.10.0/24 Netzwerk-ID IP-Adressbereich 192.168.10.0/26 192.168.10.0–192.168.10.63 192.168.10.64/26 192.168.10.64–192.168.10.127 192.168.10.128/26 192.168.10.128–192.168.10.191 192.168.10.192/26 192.168.10.192–192.168.1.255 So funktioniert’s: Binäre Algebra IP-Adressen werden zwar mit dezimalen Oktetten angegeben, aber wenn Sie keine 8-Bit-, 16-Bitoder 24-Bit-Subnetzmaske verwenden, müssen Sie auf die binäre Algebra zurückgreifen (auch Boolesche Algebra) genannt. Betrachten Sie zum Beispiel die IP-Adresse 192.168.14.222, die in Abbildung 1.2 mit einer 24-Bit-Subnetzmaske dargestellt wird. In diesem Beispiel werden die Netzwerk-ID und die Host-ID an einer 8-Bit-Grenze getrennt. Dadurch lassen sich diese beiden Adressen auch in der Dezimalschreibweise leicht voneinander trennen. Abbildung 1.2 24-Bit-Subnetzmaske Betrachten Sie nun dieselbe IP-Adresse mit einer 26-Bit-Subnetzmaske, wie in Abbildung 1.3. In diesem Beispiel gehören auch noch die beiden höchsten Bits des letzten Oktetts zur Netzwerk-ID. In der Dezimalform ist dies zwar schwerer zu sehen, weil das letzte Oktett teilweise zur NetzwerkID und teilweise zur Host-ID gehört, aber in der Binärform handelt es sich bei der Netzwerk-ID einfach um eine 26-Bit-Zahl und bei der Host-ID um eine 6-Bit-Zahl. Abbildung 1.3 26-Bit-Subnetzmaske Die Netzwerk-ID aus Abbildung 1.3 würde man als 192.168.14.128/26 angeben und die Hostadressen liegen im Bereich von 192.168.14.129 bis 192.168.14.190. Die Zuweisung einer IP-Hostadresse unter 128 oder über 192 würde eine Änderung in einem der beiden höchsten Bits des letzten Oktetts erfordern. Dadurch ändert sich auch die Netzwerk-ID. Falls Sie dies für etwas verwirrend halten, sind Sie nicht allein. IPv4 wurde für die Verwendung von 8-Bit-, 16-Bit- oder 24-Bit-Subnetzmasken konzipiert (also für klassenorientierte Subnetzmasken). Subnetzmasken mit variabler Länge wurden mit der Einführung von CIDR im Jahr 1993 erst Jahrzehnte später hinzugefügt. Der Lösungsansatz von IPv6, das in Kapitel 2 besprochen wird, ist geradliniger. Konzepte 7 Tabelle 1.3 zeigt gebräuchliche Subnetzbitmaskenlängen, die entsprechende Anzahl verfügbarer IPHostadressen und die Anzahl der Subnetze, die Sie erstellen können, wenn wie in 192.168.10.0/24 ein 24-Bit-Netzwerkadressraum eingerichtet wurde. Tabelle 1.3 Subnetzbitmaskenlängen und verfügbare IP-Hostadressen Subnetzbitmaskenlängen Verfügbare Netzwerkadressen Verfügbare IP-Adressen 24 1 256 25 2 128 26 4 64 27 8 32 Beachten Sie bitte, dass die verfügbare Anzahl von IP-Hostadressen etwas geringer ist, als in Tabelle 1.3 angegeben. Die höchste und die niedrigste IP-Adresse eines Subnetzes (in der Binärform sind alle Bits gelöscht oder gesetzt) sind für Broadcastnachrichten reserviert. Außerdem beansprucht der Router mindestens eine IP-Adresse aus dem Subnetz. Daher ist die Zahl der IP-Adressen, die für Hostcomputer im Netzwerk verfügbar ist, um drei geringer als die in Tabelle 1.3 angegebene theoretische Anzahl von IP-Adressen. Private IPv4-Adressen Einige IP-Adressenbereiche wurden für die Verwendung in privaten internen Netzwerken reserviert (Tabelle 1.4). Adressen aus diesen Bereichen sind nicht über das öffentliche Internet zugänglich, weil Internetrouter die Adressen nicht in ihre Routingtabellen aufnehmen. Allerdings können private IP-Adressen in Ihrem internen Netzwerk geroutet werden. Außerdem können Sie eine Netzwerkadressenübersetzung (Network Address Translation, NAT) einsetzen, damit Clients mit einer privaten IP-Adresse im Internet kommunizieren können. NAT wird im weiteren Verlauf dieses Kapitels ausführlicher besprochen. Tabelle 1.4 Private IPv4 Address Ranges Netzwerk Verfügbare 24-Bit-Netzwerke Verfügbare IP-Adressen 192.168.0.0–192.168.255.255 256 65.536 172.16.0.0–173.1.255.255 4.096 1.048.576 10.0.0.0–10.255.255.255 65.536 16.777.216 Private IP-Adressen werden im RFC 1918 definiert, das unter http://tools.ietf.org/html/rfc1918 verfügbar ist. Automatische private IP-Adressierung (APIPA) Wenn ein Computer, auf dem Microsoft Windows 98 oder höher ausgeführt wird, keine statische IP-Adresse erhalten hat und auch keine IP-Adresse von einem DHCP-Server (Dynamic Host Configuration Protocol) anfordern kann, ermittelt er mit APIPA (Automatic Private IP Addressing) nach dem Zufallsprinzip eine IP-Adresse aus dem verbindungslokalen Adressbereich 169.254.1.0 bis 169.254.254.255. APIPA, auch IPv4 Link-Local (IPv4LL), Zero Configuration Networking oder Zeroconf genannt, wird in RFC 3330 (erhältlich unter http://tools.ietf.org/html/rfc3330) und RFC 3927 beschrieben (erhältlich unter http://tools.ietf.org/html/rfc3927). 8 Kapitel 1: IPv4 APIPA ermöglicht Computern auch ohne DHCP-Server oder statische IP-Adressen die Kommunikation in einem lokalen Netzwerk (Local Area Network, LAN), beispielsweise in einem drahtlosen Ad-hoc-Netzwerk. Wenn ein Computer in einem Netzwerk, in dem ein DHCP-Server verfügbar ist, mit einer APIPA-IP-Adresse arbeitet, bedeutet dies, dass der Computer keinen Kontakt zum DHCPServer herstellen konnte. Entweder ist der Computer nicht korrekt ans Netzwerk angeschlossen oder der DHCP-Server war offline. Hinweis APIPA-Adressen sollten nie mit einem Standardgateway konfiguriert werden, weil APIPA nur für die Verwendung im selben Subnetz konzipiert wurde. Computer mit APIPA-IP-Adresse versuchen gewöhnlich, Kontakt zum DHCP-Server aufzunehmen für den Fall, dass nach dem Start des Clientcomputers ein DHCP-Server verfügbar geworden ist. Multicastadressen Addressen im Bereich 224.0.0.0 bis 239.255.255.255 sind für die Multicastkommunikation reserviert. Der überwiegende Teil der IP-Kommunikation erfolgt zwischen zwei bestimmten Endpunkten, beispielsweise zwischen einem Webbrowser und einem Webserver. Ein anderer Teil der IP-Kommunikation ist an alle Teilnehmer des lokalen Netzwerks gerichtet, beispielsweise ARP-Anfragen (Address Resolution Protocol). Ein weiterer, relativ kleiner Teil der Kommunikation richtet sich an mehrere ausgewählte Empfänger. Meistens sind Multicastsendungen nur an andere Hosts aus dem lokalen Netzwerk gerichtet. EIGRP (Enhanced Interior Gateway Routing Protocol) verwendet zum Beispiel die Multicast-IP-Adresse 224.0.0.10, damit ein Router mit einem einzigen Paket alle benachbarten Router über eine Änderung in der Routingtabelle informieren kann. Abbildung 1.4 Übermittlung eines 128-KBit/s-Videostreams per Unicast an zwölf Clients, die über drei Netzwerke verteilt sind Konzepte 9 Allerdings können Multicastsendungen auch an andere Netzwerke erfolgen. Im Internet funktionieren geroutete Multicastsendungen normalerweise nicht. Private Netzwerke lassen sich aber so einrichten, dass Multicasts möglich sind. Geroutetes Multicasting in privaten Netzwerken eignet sich für die interne Übermittlung von Videodaten, um zum Beispiel eine Ansprache des Firmenchefs an die Computer der Mitarbeiter zu übertragen. Abbildung 1.4 zeigt, welche Bandbreite beansprucht wird, wenn zwölf Computer per Unicast eine 128-k-Videodatenquelle verwenden. Die relativ geringe Bandbreite, die in diesem Beispiel erforderlich ist, macht zwar in den meisten LANs die Übertragung per Unicast möglich, aber in einem Netzwerk, in dem sich Hunderte oder Tausende von Computern befinden, lassen sich Live-Videodaten nur per Multicast an die vielen Empfänger übertragen. Abbildung 1.5 zeigt, dass bei der Multicastübertragung der Videodaten eine wesentlich geringere Bandbreite erforderlich ist, insbesondere im Netzwerk des Servers. Abbildung 1.5 Übermittlung eines 128-KBit/s-Videostreams per Unicast an zwölf Clients, die über drei Netzwerke verteilt sind Netzwerkadressenübersetzung (NAT) Für die mit dem Internet verbundenen Computer stehen nicht genügend öffentliche IPv4-Adressen zur Verfügung. Die meisten ISPs weisen einer kommerziell genutzten Internetverbindung nur eine bis vier öffentliche IP-Adressen zu. Für die Hunderte oder Tausende von Computern, die eine Organisation vielleicht an einem bestimmten Standort verwendet, reicht dies offensichtlich nicht aus. NAT ermöglicht Computern, die nur über private IP-Adressen verfügen, trotz des Mangels an verfügbaren öffentlichen IP-Adressen den Zugriff auf das Internet. Mit NAT weisen Sie den Computern Ihres internen Netzwerks private IP-Adressen zu, beispielsweise 192.168.0.0/16. Ihr NAT-Gateway erhält eine öffentliche IP-Adresse, fängt alle ausgehenden Verbindungen ab und leitet den Datenverkehr an das Ziel im Internet weiter. Damit auch die Antworten aus dem Internet Ihr Netzwerk erreichen, ändert das NAT-Gateway die Quell-IP-Adresse von der privaten IP-Adresse in die eigene öffentliche IP-Adresse. Wenn das NAT-Gateway die eingehenden Antworten erhält, trägt es als Ziel-IP-Adresse wieder die private IP-Adresse des Clientcomputers ein. 10 Kapitel 1: IPv4 Mangel an IPv4-Adressen Theoretisch lassen sich mit 32-Bit IP-Adressen über vier Milliarden Adressen darstellen und neuere Schätzungen ergaben, dass etwas mehr als eine Millliarde Computer mit dem Internet verbunden sind. Die Anzahl der IP-Adressen, die für Clientcomputer zur Verfügung stehen, liegt aber wegen der großen Zahl der privaten IP-Adressen, wegen der für Multicastkommunikation reservierten Adressen und weil die in den meisten Subnetzen verfügbaren IP-Adressen gar nicht verwendet werden, deutlich unter vier Milliarden. Abbildung 1.6 stellt die Funktionsweise von NAT schematisch dar. Da NAT private IP-Adressen durch die eigene öffentliche IP-Adresse ersetzt, bevor die Datenpakete ins Internet übertragen werden, ist NAT für die meisten Netzwerkanwendungen unsichtbar. Die Konfiguration von Clients erfolgt in einem NAT-Netzwerk genauso wie in einem anderen IPv4-Netzwerk. Abbildung 1.6 So funktioniert NAT Sie können auf dem NAT-Gateway auch eine Portweiterleitung einrichten, damit Clients aus dem Internet eine Verbindung mit einem Server aus Ihrem privaten Netzwerk herstellen können. Bei dieser Portweiterleitung (port forwarding) leitet das NAT-Gateway alle eingehenden Pakete mit einer bestimmten Zielportnummer an eine IP-Adresse aus Ihrem internen Netzwerk weiter. So können Sie Konzepte 11 zum Beispiel dafür sorgen, dass alle eingehenden Anfragen, die an den TCP-Zielport 80 gerichtet sind, an Ihren Webserver weitergeleitet werden, und alle eingehenden Anfragen, die an den TCPZielport 25 gerichtet sind, an Ihren E-Mail-Server. Schicht-2- und Schicht-3-Adressierung Computer, die sich im selben LAN befinden, erkennen sich gegenseitig an ihren MAC-Adressen (Media Access Control). MAC-Adressen sind Schicht-2-Adressen und nicht routbar, wogegen IP-Adressen zur Schicht 3 gehören und geroutet werden können. Der ersten Schritt beim Versenden eines IP-Pakets besteht darin herauszufinden, ob sich der Remotehost im selben LAN oder in einem Remotenetzwerk befindet: Wenn sich das Ziel im selben LAN befindet, muss die MAC-Adresse des Zielhosts als Ziel-MACAdresse verwendet werden. Liegt das Ziel in einem Remote-LAN, muss die MAC-Adresse des Standardgateways als ZielMAC-Adresse verwendet werden. Das Standardgateway leitet das Paket dann an das nächste Netzwerk auf dem Weg zum Ziel weiter. Unabhängig davon, ob es sich bei der Ziel-MAC-Adresse um die des Standardgateways oder des eigentlichen Zielhosts handelt, handelt es sich bei der Ziel-IP-Adresse immer um die IP-Adresse des endgültigen Zielhosts. Abbildung 1.7 zeigt, wie sich die Adressierung von Paketen für Ziele im selben LAN oder in einem Remote-LAN unterscheidet. Die Quell-IP-Adresse und die Quell-MAC-Adresse sind natürlich die des Quellhosts. Abbildung 1.7 Adressierung in Schicht 2 und Schicht 3 Hinweis Abbildung 1.7 verwendet als Modell für die Schicht-2-Kommunikation Ethernet. Andere Schicht2-Protokolle verwenden für die MAC-Adresse vielleicht eine andere Struktur. 12 Kapitel 1: IPv4 Hosts verwenden ARP, um die MAC-Adresse eines Computers aus dem lokalen Netzwerk zu ermitteln. ARP funktioniert so: 1. Der Clientcomputer sendet per Broadcast eine ARP-Nachricht ins LAN, mit der er nach der MAC-Adresse eines Computers mit einer bestimmten IP-Adresse fragt. 2. Alle im LAN vorhandenen Computer erhalten und bearbeiten die ARP-Anfrage. 3. Der Server, der über die in der ARP-Anfrage angegebenen IP-Adresse verfügt, sendet eine Antwort, in der er seine MAC-Adresse angibt. 4. Der Client erhält die ARP-Antwort, fügt die Adresse zu seinem ARP-Cache hinzu und verwendet in der weiteren Kommunikation die MAC-Adresse des Servers. Schicht-4-Protokolle: UDP und TCP Die meisten Netzwerkanwendungen verwenden eines der beiden folgenden Schicht-4-Protokolle: UDP (User Datagram Protocol) Anwendungen, die keinen großen Aufwand treiben sollen und weder verlorene Datenpakete noch eine falsche Reihenfolge der Datenpakete erkennen müssen, verwenden UDP. UDP unterstützt zudem Multicasting, was mit TCP nicht möglich ist. Die meisten DNS-Abfragen und Streamingmedien arbeiten mit UDP. Auch Anwendungen, die UDP verwenden, können verlorene Pakete erneut übertragen oder Pakete sortieren, die in der falschen Reihenfolge eintreffen. Allerdings müssen sie diese Aufgaben selbst übernehmen, was wiederum für den Entwickler der Anwendungen einen höheren Aufwand bedeutet. TCP (Transmission Control Protocol) Anwendungen, die beschädigte oder verlorene Pakete erkennen und erneut übertragen müssen, verwenden TCP. Für den Einsatz von TCP ist es erforderlich, vor der Übertragung von Anwendungsdaten eine Verbindung herzustellen. Dabei sendet der Client ein SYN-Paket, mit dem er eine Verbindung anfordert. Der Server antwortet mit einem SYN/ACKPaket und der Client bestätigt die Verbindung mit einem ACK-Paket. Da diese Pakete ausgetauscht werden müssen, bevor Anwendungsdaten übertragen werden können, ist TCP bei kleinen Datenmengen und kurzlebigen Verbindungen etwas langsamer als UDP. Die meisten Anwendungen wie E-Mail-Programme und Webbrowser verwenden TCP. Auf einem Server werden gewöhnlich mehrere Dienste ausgeführt, die auf eingehende Verbindungen warten. Damit Windows Verbindungsanfragen an die richtige Anwendung weiterleiten kann, wird in der Verbindungsanfrage eine Portnummer angegeben. DNS-Anfragen verwenden zum Beispiel standardmäßig Port 53. Wenn Windows ein Paket mit der Portnummer 53 erhält, leitet es das Paket daher an den DNS-Serverdienst weiter. Planungs- und Entwurfsaspekte Ein neues IPv4-Netzwerk sollte sorgfältig geplant werden, denn die Änderung von IP-Adressen nach der Inbetriebnahme ist zweitaufwendig. Dieser Abschnitt beschreibt die wichtigsten Schritte bei der Planung eines IPv4-Netzwerks. Entwerfen der Internetverbindung Kleine Organisationen oder Zweigstellen, die mit einem einzelnen Subnetz auskommen, können einen Netzwerkaufbau verwenden, wie in Abbildung 1.8 gezeigt. Bei dieser Architektur wird dem NATGateway eine einzige öffentliche IP-Adresse zugeweisen, während alle Computer des internen Netzwerks private IP-Adressen erhalten. Wenn ein Server über das Internet verfügbar sein muss, kann das NAT-Gateway mit Portweiterleitung (port forwarding) konfiguriert werden. Planungs- und Entwurfsaspekte Abbildung 1.8 Architektur eines kleinen Netzwerks ohne Grenznetzwerk Abbildung 1.9 Architektur eines mittleren oder großen Netzwerks mit einem Grenznetzwerk 13 14 Kapitel 1: IPv4 Die meisten mittleren und großen Organisationen verwenden eine Netzwerkarchitektur wie in Abbildung 1.9. Bei diesem Aufbau wird für öffentliche Server ein separates Netzwerk mit öffentlichen IP-Adressen vorgesehen, das im Folgenden Grenznetzwerk genannt wird (man nennt es auch screened subnet oder Abschirmungssubnetz). Interne Clients verwenden private, von DHCP zugewiesene IP-Adressen und greifen über ein NAT-Gateway auf das Internet zu. Im Beispiel aus Abbildung 1.0 kann das private Netzwerk auch aus vielen verschiedenen Subnetzen bestehen, die mit Routern verbunden sind. Hinweis Das Netzwerkgerät im Zentrum von Abbildung 1.8 und 1.9 stellt Routing-, Firewall- und NATGatewaydienste dar. In kleinen Organisationen können diese Dienste meistens von einem einzigen Gerät übernommen werden. Große Organisationen setzen für jede Aufgabe häufig separate redundante Geräte ein. Erstellen eines IPv4-Adressierungsschemas Legen Sie Ihr IPv4-Adressierungsschema mit folgenden Schritten so aus, dass die IP-Adressenkonfiguration und das Routen in Ihrem internen Netzwerk möglichst einfach wird. Auf längere Sicht erleichtert dies die Routerkonfiguration und die Behebung von Netzwerkproblemen. 1. Wählen Sie für Ihre internen Netzwerke einen der privaten Adressenbereiche aus. Der Adressraum 10.0.0.0/8 bietet die größte Anzahl von Netzwerken. 2. Legen Sie im privaten Adressenbereich einen passenden (beliebigen) Anfangspunkt fest. Wenn Sie zum Beispiel den Adressraum 10.0.0.0/8 wählen, können Sie für Ihre internen Netzwerke 10.187.0.0/16 verwenden. Ihr privater Adressraum muss zwar im Internet nicht eindeutig sein, aber wenn Sie nur einen bestimmten Teil des Adressraums verwenden, wird die Wahrscheinlichkeit geringer, dass sich Konflikte mit anderen internen Netzwerken ergeben, die vielleicht in Zukunft im Zuge von Fusionen, Übernahmen oder Partnerschaften eingebunden werden müssen. Viele Organisationen beginnen ihre Nummerierung am unteren Rand des Adressraums und verwenden zum Beispiel die Netzwerke 10.0.0.0/24 oder 192.168.0.0/24. Dadurch ergeben sich mit größerer Wahrscheinlichkeit Konflikte mit anderen privaten Netzwerken. Abbildung 1.10 Hierarchische Adressierung 3. Weisen Sie den verschiedenen Standorten der Organisation verschiedene Teile Ihres Adressraums zu. Sehen Sie für jeden Standort mindestens die zehnfache Menge der IP-Adressen vor, die in der nahen Zukunft gebraucht werden, damit die Netzwerkadministratoren auch bei einem weiteren Planungs- und Entwurfsaspekte 15 Wachstum die vorgesehene logische Netzwerknummerierung beibehalten können, ohne aus Effizienzgründen zusätzliche Subnetze einführen zu müssen. 4. Erlauben Sie jedem Standort, im vorgesehenen Adressbereich zusätzliche Subnetze im internen Netzwerk einzurichten. Verwenden Sie in jedem physischen Netzwerksegment 24-Bit-Subnetze, um die Konfiguration zu vereinfachen. Abbildung 1.10 zeigt, wie eine private Adresse unter verschiedenen Standorten und innerhalb eines Standorts auf verschiedene Netzwerksegmente aufgeteilt werden kann. Diese Netzwerke müssen für verkabelte und für drahtlose Netzwerke Adressenbereiche bereitstellen. 5. Richten Sie einen Netzwerkbereich für Remoteclients ein, beispielsweise für Mitarbeiter, die zu Hause arbeiten und sich ins Netzwerk einwählen oder ein VPN (virtual private network) verwenden. Planen der Hostadressen Um den Aufbau Ihrer Netzwerke zu vereinheitlichen und den Administratoren eine schnellere Behebung von Netzwerkproblemen zu ermöglichen, können Sie einen Hostadressenplan aufstellen, der in allen Netzwerken verwendet wird. Tabelle 1.5 zeigt einen typischen Hostadressenplan, wobei es natürlich von Ihren Netzwerken abhängt, welche Server tatsächlich vorhanden sind. Tabelle 1.5 Beispiel für einen Hostadressenplan Aufgabe Standardgateway Hostadresse .1 Sekundäres Gateway .2 DHCP-Server .3 Primärer DNS-Server .4 Sekundärer DNS-Server .5 Primärer WINS-Server (Windows Internet Name Service) .6 Sekundärer WINS-Server .7 Clients, die für eine gewisse Zeit eine statische IP-Adresse brauchen .20–.29 Statische Clients .30–.99 DHCP-Clients .100–.250 Verwenden von VPNs Heutzutage entscheiden sich immer mehr Organisationen für Standort-zu-Standort-VPNs, um räumlich voneinander entfernte Standorte über das öffentliche Internet miteinander zu verbinden. Dabei wird das Internet verwendet, um eine authentifizierte, verschlüsselte Verbindung zwischen zwei räumlich voneinander getrennten Standorten herzustellen. Der Datenverkehr, der an einem Standort erzeugt wird, erreicht den anderen Standort so, als seien beide Standorte durch Standardrouter miteinander verbunden. Abbildung 1.11 zeigt die herkömmliche Lösung zur Verbindung von zwei räumlich voneinander entfernten Standorten, die auf private Netzwerkverbindungen wie Frame Relay-Netzwerke, ATM-Netzwerke (Asynchronous Transfer Mode) oder private Telco-Verbindungen (wie T-1) angewiesen ist. Dieser Lösungsansatz bietet eine garantierte Bandbreite zwischen beiden Standorten, die keinen starken Schwankungen unterworfen ist. Allerdings können die Kosten im Vergleich zu einer VPN-Lösung hoch sein, denn für das private WAN-Netzwerk (private wide area network) und das Internet sind separate Netzwerkverbindungen erforderlich. 16 Kapitel 1: IPv4 Abbildung 1.11 Ein mit speziellen privaten Netzwerkverbindungen erstelltes WAN Abbildung 1.12 Ein mit VPNs erstelltes WAN Abbildung 1.12 zeigt ein vergleichbares Netzwerk, das mit VPNs eingerichtet wurde. Gewöhnlich ist an jedem Standort sowieso eine Internetverbindung erforderlich. Das bedeutet, dass für den Aufbau des VPNs keine zusätzlichen Netzwerkverbindungen gebraucht werden. Allerdings muss sich das VPN die verfügbare Bandbreite mit dem anderen Internetdatenverkehr teilen. Außerdem kann die Übertragungsleistung im Internet stärker schwanken, als dies in privaten Netzwerkverbindungen üblich ist. Planungs- und Entwurfsaspekte 17 Hinweis Eine Verschlüsselung bietet zwar einen guten Schutz für die VPN-Daten, aber bei sehr strengen Sicherheitsbestimmungen ist der Transport von privaten Daten über ein öffentliches Netzwerk vielleicht nicht zulässig. Viele Firewalls und Router sind bereits auf die Unterstützung von VPNs ausgelegt. Außerdem können Sie für VPNs spezielle Netzwerkhardware oder eine der jüngeren Versionen von Windows Server verwenden, wie Microsoft Windows 2000 Server, Windows Server 2003 und Windows Server 2008. Daher lassen sich VPNs häufig ohne oder mit geringen zusätzlichen Anschaffungskosten einrichten. Planen der Redundanz Ihre Routinginfrastruktur ist der wichtigste Teil des Netzwerks, denn ohne sie sind keine Netzwerkdienste verfügbar. Daher werden viele Umgebungen mit redundanten Routerkonfigurationen eingerichtet. Diese Redundanz wurde bereits bei der Konzeption von IPv4 berücksichtigt. Router verwenden Routingprotokolle, um eine Übersicht des Netzwerks zu erstellen. Dann verwenden sie diese Übersicht, um ihre eigenen Routingtabellen aufzustellen, mit deren Hilfe sie auch den Datenverkehr korrekt weiterleiten können, der an andere Netzwerke gerichtet ist, mit denen sie nicht direkt verbunden sind. Führen mehrere Pfade zum Zielnetzwerk, können Router das Versagen eines Pfads automatisch erkennen und den Datenverkehr über einen funktionierenden Pfad umleiten. Betrachten Sie bitte das in Abbildung 1.13 dargestellte Netzwerk. Fällt Router B aus, kann der Client trotzdem noch mit dem Server kommunizieren, weil Router A den Ausfall von Router B erkennt und den für das Netzwerk des Servers bestimmten Datenverkehr über Router C weiterleitet. Abbildung 1.13 Redundanz im Netzwerk Allerdings gibt es in dem in Abbildung 1.13 dargestellten Netzwerk noch Einzelgeräte, die nicht ausfallen dürfen, nämlich die Router A und D. Fällt einer dieser Router aus, können Computer, die den 18 Kapitel 1: IPv4 ausgefallenen Router als Standardgateway verwenden, nicht mehr mit Hosts aus anderen Netzwerken kommunizieren. Abbildung 1.14 demonstriert, dass Sie redundante Standardgateways für Computer bereitstellen können, indem Sie zwei Router zu einem einzelnen Subnetz verbinden. Sind mehrere Standardgateways konfiguriert, erkennen Windows-Computer automatisch den Ausfall eines Routers und leiten den Datenverkehr durch das andere Gateway. Auf diese Weise ist der Netzwerkzugriff mit minimalen Unterbrechungen weiter möglich. Abbildung 1.14 Redundante Standardgateways Eine ausführlichere Beschreibung des Einsatzes von Windows mit mehreren Routern finden Sie in »The Cable Guy – September 2003: Default Gateway Behavior for Windows TCP/IP« unter http://www.microsoft.com/technet/community/columns/cableguy/cg0903.mspx. Verwenden von mehrfach vernetzten Computern Computer können aus mehreren Gründen mehrfach vernetzt sein: Skalierbarkeit Wenn ein Server einen höheren Datendurchsatz bewältigen muss, als mit einer einzigen Schnittstelle möglich ist, können Sie einen zweiten Netzwerkadapter installieren, sofern die Serverhardware dies zulässt, um den maximalen Durchsatz zu verdoppeln. Sind Ihre Streamingmedien zum Beispiel mit einem Gigabit-Netzwerk verbunden und müssen 1,2 GBit/s (Gigabit pro Sekunde) übertragen, könnten Sie zwei Netzwerkadapter installieren und einen maximalen theoretischen Durchsatz von knapp 2 GBit/s erzielen. Weitere Informationen finden Sie in Kapitel 6, »Skalierbare Netzwerke«. Redundanz Um beim Ausfall einer Netzwerkkarte den Ausfall des ganzen Servers zu verhindern, können Sie redundante Netzwerkkarten konfigurieren. Fällt eine Netzwerkkarte aus, erfolgt die Kommunikation über die andere Netzwerkkarte. Dann können Sie den Austausch der ausgefalle- Bereitstellungsschritte 19 nen Netzwerkkarte zu einem Zeitpunkt einplanen, an dem die Benutzer möglichst wenig behindert werden. Verbindung mit voneinander getrennten Netzwerken Einige Server müssen eine Verbindung mit mehreren Netzwerken herstellen, die untereinander nicht verbunden sind. Vielleicht muss ein Aktualisierungsserver nicht nur eine Verbindung mit Ihrem internen Netzwerk herstellen, damit Clients Updates herunterladen können, sondern auch mit einem unabhängigen Testnetzwerk, damit auch die Testcomputer die erforderlichen Updates herunterladen können. Wenn Sie Verbindungen mit mehreren nicht miteinander verbundenen Netzwerken herstellen müssen, konfigurieren Sie nur auf einer Netzwerkkarte ein Standardgateway. Wenn Sie Verbindungen mit mehreren Netzwerken herstellen müssen, konfigurieren Sie die Routingtabelle des Computers manuell mit dem Befehl route add. Hinweis Sie können einer einzelnen Netzwerkkarte mehrere IP-Adressen zuweisen. Das ist zum Beispiel auf Webservern üblich, auf denen mehrere Websites untergebracht wurden. Bereitstellungsschritte Dieser Abschnitt unterstützt Sie bei der Bereitstellung von IPv4-Netzwerken. Manuelles Konfigurieren von IPv4-Clients Im Normalfall sollten Sie die IP-Konfiguration von IPv4-Clients DHCP überlassen. Allerdings erfordern DNS-, DHCP- und WINS-Server eine manuelle Konfiguration der IP-Adressen. So konfigurieren Sie manuell die IP-Adresse eines Computers, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften. 5. Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich. 6. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden und geben Sie in den entsprechenden Eingabefeldern die IP-Adresse, die Subnetzmaske und das Standardgateway ein. Klicken Sie auf Folgende DNS-Serveradressen verwenden und geben Sie dann die Adressen der bevorzugten und alternativen DNS-Server ein. 7. Falls Sie mehr als eine IP-Adresse oder mehr als zwei DNS-Server angeben oder einen WINSServer hinzufügen möchten, klicken Sie auf Erweitert und nehmen dann die entsprechende Einstellung vor. Klicken Sie auf OK. 20 Kapitel 1: IPv4 Konfigurieren eines Clients für den Fall, dass kein DHCP-Server verfügbar ist Standardmäßig verwenden Windows-Computer, die ihre IP-Adresse normalerweise von DHCP erhalten, eine nach dem Zufallsprinzip festgelegte APIPA-Adresse, wenn sie keine Verbindung zu einem DHCP-Server herstellen können. Allerdings können Sie einen Computer auch so einstellen, dass er entweder eine IP-Adresse vom DHCP-Server anfordert oder im internen Netzwerk eine bestimmte statische IP-Adresse verwendet, falls kein DHCP-Server verfügbar ist. Diese Einstellung ist für Mobilcomputer ideal, die bestimmte statische IP-Adressen brauchen. So weisen Sie einem Computer eine statische IP-Adresse zu, wenn kein DHCP-Server verfügbar ist 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich. 5. Wählen Sie auf der Registerkarte Alternative Konfiguration die Option Benutzerdefiniert. Geben Sie die IP-Adresse, die Subnetzmaske, das Standardgateway, die DNS-Serveradressen und die WINS-Serveradressen ein. 6. Falls Sie mehr als zwei DNS-Server oder einen WINS-Server angeben müssen, klicken Sie auf Erweitert und nehmen die erforderlichen Einstellungen vor. Klicken Sie auf OK. Hinzufügen von Routen zur Routingtabelle Die meisten Computer verwenden für den Zugriff auf Remotenetzwerke ein oder mehrere Standardgateways. Falls einem Computer im lokalen Netzwerk mehrere Router zur Verfügung stehen und der Computer Daten, die für verschiedene Netzwerke bestimmt sind, an verschiedene Router senden soll, müssen Sie die Routen für alle Verbindungen, die nicht über ein Standardgateway erfolgen sollen, mit dem Befehl route festlegen. So fügen Sie eine Route zur Routingtabelle hinzu 1. Öffnen Sie eine Eingabeaufforderung als Administrator. 2. Verwenden Sie den Befehl route add Netzwerk/Bits Gateway. Der folgende Befehl konfiguriert den Computer zum Beispiel so, dass der für das Netzwerk 192.168.2.0/24 bestimmte Datenverkehr durch das Gateway 192.168.1.1 geleitet wird: route add 192.168.2.0/24 192.168.1.1 -p Wenn Sie die aktuelle Routingtabelle eines Computers überprüfen möchten, geben Sie in einer Eingabeaufforderung den Befehl route print ein. Weitere Informationen über die Verwendung des Befehls erhalten Sie durch die Eingabe des Befehls route /?. Problembehandlung 21 Wartung Gewöhnlich erfordert eine IPv4-Konfiguration keine weiteren Wartungsarbeiten als die Konfigurationsänderungen, die in diesem Kapitel bereits im Abschnitt »Bereitstellungsschritte« beschrieben wurden. Problembehandlung Dieser Abschnitt gibt Ihnen einen kurzen Überblick über die in Windows Server 2008 integrierten Problembehandlungstools. ARP Computer ermitteln die mit einer IP-Adresse aus dem lokalen Subnetz verknüpfte MAC-Adresse mit dem Protokoll ARP, das in diesem Kapitel bereits besprochen wurde. Administratoren können sich den ARP-Cache eines Computers mit dem Befehlszeilenprogramm Arp (Arp.exe) ansehen oder den Cache löschen. Probleme mit ARP sind selten. Das häufigste Problem tritt auf, wenn ein Administrator die Netzwerkkarte eines Servers auswechselt oder ein Reserveserver eines Clusters aktiviert wird und die Clients nur die MAC-Adresse des alten Netzwerkadapters zwischengespeichert haben. In dieser Situation können diese Clients keine Verbindung mit dem Server herstellen, bis der zwischengespeicherte ARPEintrag abläuft oder der Clientcomputer in einer Broadcastnachricht die aktualisierte MAC-Adresse vom Server erhält. Unter Windows Vista und Windows Server 2008 laufen zwischengespeicherte ARP-Einträge 30 Sekunden nach der letzten gültigen Kommunikation ab. Da der Wechsel eines Netzwerkadapters gewöhnlich länger als 2 Minuten dauert, brauchen Sie den ARP-Cache wahrscheinlich nie von Hand zu löschen. Bei Bedarf können Sie den ARP-Cache in einer Eingabeaufforderung mit administrativen Rechten mit folgendem Befehl löschen: arp -d * Zur Anzeige des ARP-Caches geben Sie folgenden Befehl: arp -a Schnittstelle: 192.168.1.161 --- 0x7 Internetadresse Physikal. Adresse 192.168.1.1 00-19-5b-0d-ed-fc 192.168.1.124 00-90-4b-6d-6c-7e 192.168.1.126 00-17-08-cf-36-1b 192.168.1.205 00-14-6c-83-38-2f 192.168.1.207 00-13-d3-3b-50-8f 192.168.1.255 ff-ff-ff-ff-ff-ff 224.0.0.22 01-00-5e-00-00-16 Typ dynamisch dynamisch dynamisch dynamisch dynamisch statisch statisch Lautet die physische Adresse 00-00-00-00-00-00, weist dies darauf hin, dass die Verbindung zwischen den beiden Computern nicht richtig funktioniert. Ipconfig Mit Ipconfig (Ipconfig.exe) können Sie die IP-Konfiguration eines Computers schnell überprüfen und von einem DHCP-Server aktuelle Konfigurationsdaten anfordern. Zur ausführlichen Anzeige der IP-Konfiguration öffnen Sie eine Eingabeaufforderung und geben folgenden Befehl ein: 22 Kapitel 1: IPv4 ipconfig /all Windows-IP-Configuration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : : : : : Vista1 hq.contoso.com Hybrid Nein Nein DNS-Suffixsuchliste . . . . . . . : hq.contoso.com contoso.com Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Autokonfiguration aktiviert . . . : Verbindungslokale IPv6-Adresse . : IPv4-Adresse . . . . . . . . . . : Subnetzmaske . . . . . . . . . . : Lease erhalten. . . . . . . . . . : Lease läuft ab. . . . . . . . . . : Standardgateway . . . . . . . . . : DHCP-Server . . . . . . . . . . . : DHCPv6-IAID . . . . . . . . . . . : DNS-Server . . . . . . . . . . . : NetBIOS über TCP/IP . . . . . . . : contoso.com NVIDIA nForce-Netzwerkcontroller 00-13-D3-3B-50-8F Ja Ja fe80::a54b:d9d7:1a10:c1eb%10(Bevorzugt) 192.168.1.132(Bevorzugt) 255.255.255.0 Mittwoch, 27. September 2006 14:08:58 Freitag, 29. September 2006 14:08:56 192.168.1.1 192.168.1.1 234886099 192.168.1.210 Aktiviert Falls die angezeigte IP-Adresse im Bereich von 169.254.0.0 bis 169.254.255.255 liegt, verwendet Windows APIPA, weil das Betriebssystem beim Start keine IP-Konfigurationsdaten von einem DHCPServer anfordern konnte und keine alternative Konfiguration vorgenommen wurde. Überprüfen Sie zur Bestätigung in der Ipconfig-Ausgabe die Einstellung DHCP aktiviert, wenn kein DHCP-Server verfügbar ist. Um eine von DHCP zugewiesene IP-Adresse freizugeben oder zu erneuern, öffnen Sie eine Eingabeaufforderung als Administrator und verwenden folgende Befehle: ipconfig /release ipconfig /renew Windows verwendet die aktuelle IPv4-Adresse nicht mehr und versucht, von einem DHCP-Server eine neue IPv4-Adresse anzufordern. Ist kein DHCP-Server verfügbar, vewendet es die alternative Konfiguration oder eine APIPA-Adresse aus dem Bereich 169.254.0.0 bis 169.254.255.255. Netstat Mit Netstat (Netstat.exe) können Sie überprüfen, auf welchen UDP- oder TCP-Ports ein Server auf Verbindungsversuche wartet und welche Clients eine Verbindung aufgenommen haben. Zur Anzeige der geöffneten Ports und der aktiven eingehenden Verbindungen geben Sie in einer Eingabeaufforderung folgenden Befehl: Problembehandlung 23 netstat -a Aktive Verbindungen Proto TCP TCP TCP TCP TCP TCP TCP TCP TCP Lokale Adresse 0.0.0.0:135 0.0.0.0:3389 0.0.0.0:49152 192.168.1.132:139 192.168.1.132:3389 [::]:135 [::]:445 [::]:2869 [::]:3389 Remoteadresse 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 192.168.1.196:1732 [::]:0 [::]:0 [::]:0 [::]:0 Status ABHÖREN ABHÖREN ABHÖREN ABHÖREN HERGESTELLT ABHÖREN ABHÖREN ABHÖREN ABHÖREN Wenn Sie bemerken, dass ein Computer an unerwarteten Ports auf eingehende Verbindungen wartet, können Sie mit dem Parameter -b überprüfen, welche Anwendungen zu den aktiven Verbindungen gehören: netstat -a -b Aktive Verbindungen Proto Lokale Adresse TCP 0.0.0.0:135 RpcSs [svchost.exe] TCP 0.0.0.0:3389 Dnscache [svchost.exe] TCP 0.0.0.0:49152 [wininit.exe] TCP 0.0.0.0:49153 Eventlog [svchost.exe] TCP 0.0.0.0:49154 nsi [svchost.exe] TCP 0.0.0.0:49155 Schedule [svchost.exe] TCP 0.0.0.0:49156 [lsass.exe] TCP 0.0.0.0:49157 [services.exe] TCP 169.254.166.248:139 Network Monitor Remoteadresse 0.0.0.0:0 Status ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN 0.0.0.0:0 ABHÖREN Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail untersuchen. Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.micro soft.com/downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann. 24 Kapitel 1: IPv4 PathPing Mit PathPing können Sie Router zwischen einem Client und einem Server identifizieren, wie das im folgenden Beispiel zu sehen ist: pathping www.contoso.com Routenverfolgung zu contoso.com [10.46.196.103] über maximal 30 Abschnitte: 0 contoso-test [192.168.1.207] 1 10.211.240.1 2 10.128.191.245 3 10.128.191.73 4 10.125.39.213 5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98] 6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201] 7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106] 8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54] 9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177] 10 10.127.70.6 PathPing kann Routingfehler erkennen, wie zum Beispiel Routingschleifen, wobei Router Datenpakete unter drei oder mehr Routern im Kreis weiterleiten. Wie Ping verwendet auch PathPing zur Identifizierung von Routern ICMP. Daher erscheinen Router, die keine ICMP-Kommunikation durchführen, nicht in der PathPing-Ausgabe. Systemmonitor Mit dem Systemmonitor können Sie Tausende von Echtzeit-Leistungsindikatoren Ihres lokalen Computers oder eines Remotecomputers überwachen. Wenn Sie Leistungsprobleme eines Netzwerks beheben möchten, können Sie die aktuelle Bandbreitenverwendung mit dem Systemmonitor detaillierter anzeigen als mit dem Task-Manager oder dem Ressourcenmonitor. Außerdem bietet der Systemmonitor den Zugriff auf Indikatoren, mit denen sich Wiederholungen, Fehler und andere Dinge messen lassen. So überwachen Sie die IP-Aktivität von Windows Server 2008 in Echtzeit 1. Klicken Sie auf Start und dann auf Server-Manager. 2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools und klicken Sie auf Systemmonitor. 3. Klicken Sie auf der Symbolleiste des Systemmonitor-Snap-Ins auf die Schaltfläche Hinzufügen (das grüne Pluszeichen). Das Dialogfeld Leistungsindikatoren hinzufügen öffnet sich. 4. Für die Überwachung der IPv4-Verwendung gibt es einige nützliche Indikatoren: IPv4\Datagramme empfangen/s und IPv4\Datagramme gesendet/s Diese Indikatoren geben die aktuelle Rate an, mit der IPv4-Pakete empfangen und gesendet werden. Netzwerkschnittstelle\Empfangene Bytes/s und Netzwerkschnittstelle\Bytes gesendet/s Diese Indikatoren geben die aktuellen Raten der eingehenden und ausgehenden Netzwerkkommunikation an, einschließlich IPv4, IPv6 und aller anderen Protokolle. Multiplizieren Sie diesen Wert mit 8, wenn Sie die pro Sekunde übertragenen Bits abschätzen möchten. Problembehandlung 25 TCPv4\Aktive Verbindungen Die aktuelle Zahl ausgehender TCP-Verbindungen (für Verbindungen, in denen der Computer als Client arbeitet). TCPv4\Passive Verbindungen Die aktuelle Zahl eingehender TCP-Verbindungen (für Verbindungen, in denen der Computer als Server arbeitet). UDPv4\Datagramme empfangen/s und UDPv4\Datagramme gesendet/s Die aktuelle Zahl eingehender und ausgehender UDP-Pakete. ICMP\Meldungen gesendet/s und ICMP\Meldungen empfangen/s Die aktuelle Zahl eingehender und ausgehender ICMP-Pakete. ICMP wird für Ping und andere Low-Level-Netzwerkkommunikation verwendet. 5. Klicken Sie auf einen Indikator, den Sie überwachen möchten, und dann auf Hinzufügen. 6. Klicken Sie auf OK, um zum Systemmonitor-Snap-In zurückzukehren. Ping Ping ist trotz der Tatsache, dass viele Router und Server keine ICMP-Kommunikation durchführen, immer noch das beste Tool, um ausgehende Netzwerkverbindungen zu überprüfen. Nachdem Sie mit PathPing herausgefunden haben, welche Netzwerkhosts auf ICMP-Anfragen reagieren, können Sie Ping verwenden, um regelmäßig Ping-Anfragen durchzuführen und auf diese Weise herauszufinden, ob eine Verbindung zum Host besteht. Falls zwischenzeitlich Verbindungsprobleme auftreten sollten, lässt eine Ping-Schleife Rückschlüsse darauf zu, ob die Verbindung zu einem vestimmten Zeitpunkt aktiv ist oder nicht. Eine Ping-Schleife starten Sie mit folgendem Befehl: ping -t hostname Aus den Ausgaben geht hervor, ob das Paket erfolgreich gesendet werden konnte, während die Meldungen »Zeitüberschreitung der Anforderung« bedeuten, dass keine Antwort vom Remotehost eingetroffen ist oder dass der Remotehost nicht antworten konnte. Das folgende Beispiel zeigt, wie man eine Verbindung zu einem Host überwacht, dessen IP-Adresse 192.168.1.1 lautet: ping -t 192.168.1.1 Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten: Antwort von 192.168.1.1: Bytes=32 Zeit=1ms Antwort von 192.168.1.1: Bytes=32 Zeit<1ms Antwort von 192.168.1.1: Bytes=32 Zeit<1ms Antwort von 192.168.1.1: Bytes=32 Zeit<1ms Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Antwort von 192.168.1.1: Bytes=32 Zeit<1ms Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Antwort von 192.168.1.1: Bytes=32 Zeit<1ms TTL=64 TTL=64 TTL=64 TTL=64 TTL=64 TTL=64 Beachten Sie bitte, dass Ping-Schleifen nur eine grobe Abschätzung der Verbindung ermöglichen. Ping-Pakete können auch verloren gehen, wenn eine Verbindung besteht, weil Router ICMP-Anfragen vor anderen Paketarten verwerfen. Außerdem sendet Ping die nächste Anfrage schneller, wenn es eine 26 Kapitel 1: IPv4 Antwort erhält, und langsamer, wenn es zu einer Zeitüberschreitung kommt. Daher können Sie das Verhältnis von Antworten zu Zeitüberschreitungen nicht als Maß für die Zeit verwenden, in der das Netzwerk funktioniert. Task-Manager Auf der Registerkarte Netzwerk des Task-Managers (Taskmgr.exe) können Sie schnell die Auslastung jeder Netzwerkkarte überprüfen, die im Computer installiert ist. Um den Task-Manager zu starten, klicken Sie auf Start, geben Taskmgr ein und drücken die EINGABETASTE . Oder klicken Sie die Taskleiste mit der rechten Maustaste an und klicken Sie dann auf Task-Manager. Oder drücken Sie die Tastenkombination STRG +UMSCHALT +ESC . Die Registerkarte Netzwerk des Task-Managers zeigt die Auslastung jeder installierten Netzwerkkarte (Abbildung 1.15). Die Prozentangabe bezieht sich auf die Übertragungsrate der Netzwerkkarte. In den meisten Fällen erreichen Netzwerkkarten keine Auslastung von 100 Prozent. Die Spitzenbelastung liegt gewöhnlich bei ungefähr 60 bis 70 Prozent. Abbildung 1.15 Die Registerkarte Netzwerk des Task-Managers Windows-Netzwerkdiagnose Die Windows-Netzwerkdiagnose kann viele Netzwerkprobleme automatisch erkennen und auf Verbindungsprobleme hinweisen. Wenn Sie auf einem Computer keine Verbindung mit einem Netzwerk herstellen können, sollte die Windows-Netzwerkdiagnose stets der erste Problembehebungsschritt sein, weil sie viele Probleme schneller erkennt als selbst ein erfahrender Systemadministrator. Zum Start der Windows-Netzwerkdiagnose gehen Sie folgendermaßen vor: 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie überprüfen möchten, mit der rechten Maustaste an und klicken Sie dann auf Diagnose. Weitere Informationen 27 Die Windows-Netzwerkdiagnose versucht, vorliegende Probleme zu erkennen. Sie weist auf alle Sachverhalte hin, die bei der Behebung des Problems von Nutzen sein könnten, und bietet Ihnen bei bestimmten Problemen, die im Bereich der Software liegen, sogar an, die Probleme automatisch zu beheben. Zusammenfassung des Kapitels IPv4 ist heutzutage das gebräuchlichste Netzwerkprotokoll und wird dies vermutlich auch noch viele Jahre bleiben. Während die Verbindung von Computern mit einem IPv4-Netzwerk relativ einfach ist, wobei die Konfiguration meistens automatisch erfolgt, ist es beim Entwurf von IPv4-Netzwerken wichtig, die IP-Adressierungskonzepte zu verstehen und das zukünftige Wachstum zu berücksichtigen. IPv4 zieht zwar kaum Wartungsarbeiten nach sich, aber als Administrator müssen Sie sich mit den verschiedenen Problembehandlungstools auskennen, um die üblichen Verbindungsprobleme beheben zu können. Weitere Informationen Weitere Informationen über private IP-Adressen finden Sie in RFC 1918 unter http://tools.ietf.org/ html/rfc1918. Weitere Informationen über APIPA finden Sie hier: RFC 3330 unter http://tools.ietf.org/html/rfc3330 RFC 3927 unter http://tools.ietf.org/html/rfc3927 Weitere Informationen über die Verwendung von mehreren Routern finden Sie in »The Cable Guy – September 2003: Default Gateway Behavior for Windows TCP/IP« unter http://www.microsoft.com/ technet/community/columns/cableguy/cg0903.mspx. 29 K A P I T E L 2 IPv6 In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 45 48 56 56 59 59 IPv4 (Internet Protocol Version 4) wurde im Jahr 1981 mit der Veröffentlichung von RFC 791 standardisiert, also viele Jahre bevor sich das moderne Internet in seiner heutigen Form entwickelte. Die Internetgemeinschaft hat zwar Mittel und Wege gefunden, viele der Beschränkungen von IPv4 zu umgehen, aber auf längere Sicht muss eine neue Version der Schicht-3- und Schicht-4-Protokolle eingeführt und verwendet werden, damit das Internet auch in den kommenden Jahrzehnten weiter wachsen kann. Diese neue Protokollversion ist IPv6 (Internet Protocol Version 6). IPv6 war bereits in Windows XP SP1 und im Betriebssystem Windows Server 2003 als Netzwerkkerntechnologie enthalten, war aber standardmäßig deaktiviert. In den Betriebssystemen Windows Vista und Windows Server 2008 ist IPv6 standardmäßig aktiviert. Microsoft plant nicht, IPv6 auch für Microsoft Windows 2000, Windows 98 und ältere Windows-Versionen anzubieten. Dieses Kapitel bietet Informationen darüber, wie man IPv6-Netzwerke mit Windows Server 2008 entwirft, bereitstellt, Fehler beseitigt und die Netzwerke wartet. Eine umfassende Beschreibung von IPv6 würde ein ganzes Buch erfordern, wie zum Beispiel Understanding IPv6, Second Edition von Joseph Davies (Microsoft Press, 2008). Dieses Kapitel beschränkt sich auf das Grundwissen, über das Windows Server 2008-Systemadministratoren für die Verwaltung von Computern in IPv6-Netzwerken verfügen müssen. Dabei wird das Grundwissen über IPv4 aus Kapitel 1, »IPv4«, vorausgesetzt. Konzepte Die wichtigste Verbesserung von IPv6 gegenüber IPv4 ist der größere Adressraum. Der IPv4-Adressraum lässt sich nicht erweitern. Wenn das Internet weiterhin wächst, ist eine Umstellung auf IPv6 also unvermeidlich. Außerdem unterstützt IPv6 Datenpakete bis zu einer Größe von 4 Gigabyte (GB), was in Hochleistungsnetzwerken eine bessere Leistung ermöglicht. IPv6 bietet zudem viele Funktionen, die unter IPv4 noch eine Erweiterung erforderten. Da diese Funktionen aber auch unter IPv4 verfügbar sind, stellen sie nicht die treibende Kraft für die Umstellung auf IPv6 dar: Einfachere Konfiguration Die meisten IPv6-Clients konfigurieren ihre IP-Adressen automatisch. Meistens ist dafür kein DHCP-Server (Dynamic Host Configuration Protocol) erforderlich. 30 Kapitel 2: IPv6 Sicherheit Während die Authentifizierung und Verschlüsselung der IPv4-Kommunikation durch IPsec-Erweiterungen (Internet Protocol Security) erreicht wird, sind diese Funktionen bereits in IPv6 integriert. QoS (Quality of Service) IPv6 verfügt über ein integriertes QoS-System. QoS-Erweiterungen ermöglichen eine Priorisierung von IPv4-Daten. Effizienteres Routing Das Routing unter IPv6 ist hierarchisch und besser organisiert. Dadurch können Router effizienter arbeiten und brauchen weniger Speicherplatz für Routingtabellen. Allerdings hat sich mit den höheren Anforderungen, die an IPv4 gestellt wurden, auch die Routingtechnologie weiterentwickelt. Diese Verbesserung führt daher nicht automatisch zu einer Leistungssteigerung. Verbesserte Erweiterbarkeit IPv6-Header (Vorspänne) lassen sich erweitern, um neue Funktionen zu unterstützen. IPv4 bietet nur 40 Byte für Optionen, von denen die meisten bereits von Erweiterungen wie zum Beispiel QoS beansprucht werden. Ein IPv6-Header ist immer genau 40 Byte lang. Allerdings steht auch ein Erweiterungsheader zur Verfügung, der eine praktisch unbegrenzte Erweiterung ermöglicht, wenn sich die Anforderungen ändern, die an Netzwerke gestellt werden. Änderungen in IPv6 gegenüber IPv4 Abgesehen vom größeren Adressraum betreffen die meisten IPv6-Änderungen die Integration von optionalen Erweiterungen, die nach dem ursprünglichen Entwurf von IPv4 entwickelt wurden. Tabelle 2.1 zeigt die wichtigsten Unterschiede zwischen IPv4 und IPv6. Tabelle 2.1 IPv6-Änderungen IPv4 IPv6 IP-Adressen sind 32 Bit breit. IP-Adressen sind 128 Bit breit. QoS-Vorpänne sind optional. QoS-Unterstützung ist integriert. IPsec-Unterstützung ist optional. IPsec-Unterstützung ist für alle Hosts erforderlich. Der Header enthält eine Prüfsumme. Der Header enthält keine Prüfsumme. Der Header enthält Optionen, die ständig Platz darin beanspruchen. Ein IPv6-Header ist zwar doppelt so groß wie ein IPv4-Header, aber optionale Felder werden in Headererweiterungen gespeichert. Hosts verwenden ARP (Address Resolution Protocol), um sich in lokalen Netzwerken gegenseitig zu identifizieren. Hosts identifizieren sich in lokalen Netzwerken gegenseitig mit Nachbaraushandlungsnachrichten (neighbor solicitation messages). Diese Methode ist einfacher zu verwalten. Hosts verwalten Zugehörigkeiten zu lokalen Subnetzgruppen für das Multicasting mit IGMP (Internet Group Management Protocol). Hosts verwalten Zugehörigkeiten zu Multicastgruppen mit MLD (Multicast Listener Discovery). Die meisten Hosts erhalten ihre IP-Adressen von einem DHCP-Server. Manche Hosts könnten zwar eine Routererkennung mit ICMP (Internet Control Message Protocol) einsetzen, aber das ist kaum gebräuchlich. Die meisten Hosts bestimmen ihre IP-Adresse mit ICMP-Routeraushandlung (Router Solicitation) und Routerbekanntgabe (Router Advertisements), wobei zusätzliche Konfigurationseinstellungen mit einer optionalen DHCPv6-Serverabfrage abgerufen werden. Hosts wenden sich mit Broadcastnachrichten an alle anderen Hosts aus dem lokalen Netzerk.. Hosts verwenden statt Broadcastnachrichten verbindungslokale Multicastnachrichten über alle Knoten (all-nodes multicast). IPv4 verwendet in DNS-Abfragen A-Ressourceneinträge. IPv6 verwendet in DNS-Abfragen AAAA-Ressourceneinträge. Die maximale Paketgröße von IPv4 ist 65.535 Byte. Ein IPv6-Paket kann 4.294.967.295 Byte groß sein. Konzepte 31 IPv6-Adressierung Der wohl größte Nachteil von IPv4 ist der beschränkte Adressraum. IPv4 verwendet einen 32-BitAdressraum mit einem theoretischen Maximum von etwas über vier Milliarden Adressen. Der praktisch verwendbare Anteil ist aber deutlich geringer, wie in Kapitel 1 beschrieben. IPv6 verwendet einen 128-Bit-Adressraum mit ungefähr 3,4E38 Adressen. Da die tatsächlich vorhandene Anzahl von IPv6-Hosts beträchtlich geringer ist, gibt es genügend IPv6-Adressen, um jedem Mann, jeder Frau und jedem Kind Trillionen von routbaren Adressen zur Verfügung zu stellen, ohne auf Hilfskonstruktionen wie NAT (Network Address Translator) zurückgreifen zu müssen. Aufbau von IPv6-Adressen Gewöhnlich werden IPv6-Adressen in zwei Teile unterteilt, nämlich in eine 64-Bit-Netzwerkkomponente und eine 64-Bit-Hostkomponente. Die Netzwerkkomponente identifiziert ein bestimmtes Subnetz. Große Organisationen oder Internetdienstanbieter erhalten die Nummern von der IANA (Internet Assigned Numbers Authority). Die Hostkomponente wird gewöhnlich nach dem Zufallsprinzip oder auf der Basis der eindeutigen MAC-Adresse (Media Access Control) der Netzwerkkarte generiert, die 48 Bit breit ist. Allerdings sind auch noch andere Lösungen möglich. So verwendet ISATAP, das im Verlauf dieses Kapitels noch beschrieben wird, einen anderen Adressenaufbau. Hinweis Die Ableitung eines Teils der IP-Adresse aus der MAC-Adresse ermöglicht es Websites, die Aktivitäten einzelner Computer zu protokollieren, solange diese Computer immer dieselben Netzwerkkarten verwenden. Um den Datenschutz für die Benutzer zu verbessern, beschreibt RFC 4941 (erhältlich unter http://www.ietf.org/rfc/rfc4941) eine Methode, mit der sich IPv6-Adressen im Lauf der Zeit ändern lassen, damit sich einzelne Computer nicht mehr so leicht nachverfolgen lassen. IPv6-Adressen werden in acht Gruppen zu jeweils vier Hexadezimalziffern geschrieben, wie das folgende Beispiel zeigt: 2001:0000:0000:0000:085b:3c51:f5ff:ffdb Sie können IPv6-Adressen abkürzen, indem Sie alle führenden Nullen in den Gruppen weglassen. Die folgende IP-Adresse stimmt also mit der gerade gezeigten IP-Adresse überein: 2001:0:0:0:85b:3c51:f5ff:ffdb Um eine IPv6-Adresse noch weiter zu verkürzen, können Sie aufeinanderfolgende Gruppen, die aus Nullen bestehen, durch zwei Doppelpunkte ersetzen. Allerdings ist dies in jeder IPv6-Adresse nur einmal zulässig. Da IPv6-Adressen immer aus acht Gruppen mit vier Hexadezimalziffern bestehen, können Sie leicht herausfinden, wie viele Nullengruppen weggelassen wurden. In der folgenden IPAdresse, die mit den vorigen Beispielen übereinstimmt, wurden zum Beispiel drei Gruppen weggelassen, denn es werden nur noch fünf Gruppen mit Hexadezimalziffern angegeben: 2001::85b:3c51:f5ff:ffdb Verwenden von IPv6-Adressen in UNC-Pfaden (Universal Naming Convention) und URLs Im Normalfall sollten Sie zwar DNS-Namen verwenden, aber Sie können in einem UNC-Pfad oder einer URL mit geringfügigen Anpassungen auch eine IPv6-Adresse verwenden. Um eine IPv6Adresse in einem UNC-Pfad (wie \\Server\Freigabe) zu verwenden, ändern Sie die Doppelpunkte in Bindestriche und hängen .ipv6-literal.net an. Für den Zugriff auf die C$-Freigabe eines Computers mit der IPv6-Adresse 2001:db8::85b:3c51:f5ff:ffdb könnten Sie zum Beispiel den UNC-Pfad 32 Kapitel 2: IPv6 \\2001-db8--85b-3c51-f5ff-ffdb.ipv6-literal.net\C$ verwenden. Zur Angabe der Zonenkennung ersetzen Sie das Symbol % durch ein s. In diesem Fall wird aus der IP-Adresse 2001:db8::85b:3c51: f5ff:ffdb%4 in einem UNC-Pfad also \\2001-db8--85b-3c51-f5ff-ffdbs4.ipv6-literal.net\C$. Wenn Sie diese Technik für Computer verwenden möchten, auf denen Windows 2000 oder Windows Server 2003 ausgeführt wird, und sich Schwierigkeiten ergeben, gehen Sie so vor, wie im Microsoft Knowledge Base-Artikel 281308 unter http://support.microsoft.com/kb/281308 beschrieben. Sie können eine IPv6-Adresse in einer URL verwenden, wenn Sie die Adresse in eckige Klammern einschließen, wie zum Beispiel in http://[2001:db8::85b:3c51:f5ff:ffdb]/. Die Klammern sind erforderlich, damit in der URL auch eine Portnummer angegeben werden kann. Die folgende URL stellt zum Beispiel eine Verbindung mit derselben IPv6-Adresse auf Port 81 her: http://[2001:db8:: 85b:3c51:f5ff:ffdb]:81/. So wie IPv4-Netzwerke mit der CIDR-Notation (Classless Inter-Domain Routing) angegeben werden können, wie zum Beispiel in 192.168.1.0/24, so können auch IPv6-Adressen mit der CIDR-Notation angegeben werden. Das folgende Beispiel zeigt eine 48-Bit-Netzwerkadresse. Beachten Sie bitte den doppelten Doppelpunkt, der als Platzhalter für die Nullen dient, die in der Schnittstellenkennung weggelassen wurden: 2001:db8:4136::/48 IPv6-Adresstypen Es gibt verschiedene Arten von IPv6-Adressen: Verbindungslokale Adressen IPv6-Adressen, die automatisch für alle physischen und virtuellen Schnittstellen erstellt werden und nur im lokalen Netzwerksegment zugänglich sind Eindeutige lokale IPv6-Unicastadressen IPv6-Adressen, die in Ihrem Intranet routbar sind, aber nicht vom Internet aus zugänglich sind Globale Unicastadressen IPv6-Adressen, die im IPv6-Internet geroutet werden können. Damit ist der Teil des Internets gemeint, in dem IPv6 verwendet wird. Multicastadressen Addressen, die es einem Host ermöglichen, mit mehreren Empfängern zu kommunizieren Anycastadressen Addressen, die mehreren Schnittstellen zugewiesen werden können, um zum Beispiel allen Schnittstellen eines mehrfach vernetzten Servers dieselbe Adresse zu geben Spezielle Adressen Eine Reihe verschiedener Adressen, wie zum Beispiel Loopbackadressen Während die meisten IPv4-Computer pro Schnittstelle gewöhnlich nur eine einzige IP-Adresse verwenden, verfügen IPv6-Computer gewöhnlich über eine verbindungslokale Adresse und eine globale oder eindeutige lokale Adresse. Die folgenden Abschnitte beschreiben die Adressenarten ausführlicher. Verbindungslokale Adressen Hosts verwenden verbindungslokale Adressen, wenn sie mit anderen Hosts aus demselben Netzwerk kommunizieren müssen. Alle IPv6-Schnittstellen haben eine verbindungslokale Adresse, selbst wenn sie bereits über eine globale Unicastadresse verfügen. Weil das Netzwerkpräfix immer gleich ist, lassen sich verbindungslokale Adressen nicht routen. Konzepte 33 Wie Abbildung 2.1 zeigt, lauten die ersten 10 Bits immer 1111111010 und die restlichen 54 Bits der Netzwerkadresse sind immer null. Daraus ergibt sich das Netzwerpräfix fe80::/64. Die letzten 64 Bit bilden wie in den meisten IPv6-Adressen die Schnittstellenkennung. Abbildung 2.1 Verbindungslokale Adressen Wenn Sie sich ein Beispiel für eine verbindungslokale Adresse ansehen möchten, starten Sie einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, und geben in einer Eingabeaufforderung den Befehl ipconfig ein. Ipconfig zeigt für jeden Netzwerkadapter eine verbindungslokale IPv6-Adresse an, die mit fe80:: beginnt. Direkt von der Quelle: Zonenkennungen Verbindungslokale Adressen sollten immer nur mit Zonenkennungen verwendet werden. In Skripts und Anwendungen werden sie allerdings häufig ohne Zonenkennungen eingesetzt. Das hat zur Folge, dass die Software versagt, wenn es im System eine zweite Schnittstelle (physisch oder virtuell) gibt. Dmitry Anipko, Entwickler Windows Core Networking Eindeutige lokale Adressen Eindeutige lokale Adressen (Unique Local Addresses, ULAs) sind zwar zwischen den Subnetzen eines privaten Netzwerks routbar, aber nicht im öffentlichen Internet. Eindeutige lokale Adressen ähneln in ihrer Wirkung den privaten IPv4-Netzwerken (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16), weil sie die Erstellung von komplexen internen Netzwerken ermöglichen, ohne dass dafür der öffentliche Adressraum verwendet werden muss. Abbildung 2.2 Eindeutige lokale Unicastadressen Wie Abbildung 2.2 zeigt, sind die ersten 10 Bits immer 11111101. Dadurch ergibt sich das Adressenpräfix fd00::/8. Die nächsten 40 Bits der Netzwerkadresse sind die globale Kennung, die einen Standort in einer Organisation identifiziert. Es ist zwar Sache der betreffenden Organisation, globale Kennungen zuzuweisen, aber die Kennungen sollten nach dem Zufallsprinzip erstellt werden, um bei 34 Kapitel 2: IPv6 zukünftigen Zusammenschlüssen das Risiko von Adressenkonflikten zu verringern. (Ein solcher Konflikt hätte zur Folge, dass einer der Partner neue Adressen erhalten müsste.) Die verbleibenden 16 Bits der Netzwerkadresse stellen die Subnetzkennnung dar. Damit wird es möglich, an jedem Standort bis zu 65536 Subnetze zu erstellen. Wie bei den meisten IPv6-Adressen sind die letzten 64 Bits die Schnittstellenkennung. Hinweis Standortlokale Adressen im Adresspräfix feco::10 ermöglichten ursprünglich ein privates Routen in IPv6-Netzwerken. RFC 3879 rät allerdings davon ab. Globale Adressen Wie öffentliche IPv4-Adressen sind globale Unicastadressen aus dem Internet zugänglich. Dazu ist es erforderlich, dass Internetrouter in ihren Routingtabellen für den Netzwerkteil aller gültigen globalen Unicastadressen über einen Pfad verfügen müssen. Wie Abbildung 2.3 zeigt, sind die ersten 3 Bits der globalen Unicastadressen 001, woraus sich das Adressenpräfix 2000::/3 ergibt. Die nächsten 45 Bits stellen das globale Routingpräfix dar, das zur Identifizierung des Netzwerks im öffentlichen Internet verwendet wird. Die folgenden 16 Bits bilden die Subnetzkennung, die es einer Organisation ermöglicht, in ihrem privaten Netzwerk bis zu 65.536 verschiedene interne Subnetze einzurichten. Wie bei den meisten IPv6-Adressen sind die letzten 64 Bits die Schnittstellenkennung. Abbildung 2.3 Der Aufbau globaler Unicastadressen Multicastadressen Wie IPv4 reserviert auch IPv6 bestimmte Adressen für Multicasts. Die Multicastkommunikation ermöglicht es einem Host, dasselbe Paket an mehrere Empfänger zu senden. Multicasting wird gewöhnlich zur Übertragung von Mediendaten verwendet, zum Beispiel zur gleichzeitigen Übertragung eines Livevideos von einer Besprechung an verschiedene Computer. Multicasting wird auch zur Synchronisierung mehrerer Computer verwendet (beispielsweise zur Synchronisation von drei Datenbankservern) oder zur gleichzeitigen Bereitstellung eines Betriebssystems auf mehreren Computern. Damit eine Multicastkommunikation zwischen verschiedenen Netzwerken funktioniert, muss die Routinginfrastruktur entsprechend konfiguriert werden. Gewöhnlich funktioniert Multicasting nicht über das öffentliche Internet hinweg. Wie Abbildung 2.4 zeigt, sind die ersten 8 Bits einer Multicastadresse alle gesetzt, woraus sich das Adressenpräfix FF00::/8 ergibt. Bei den nächsten 4 Bits handelt es sich um vier Binärflags (sie geben an, ob es sich um eine permanente oder um eine temporäre Multicastadresse handelt), an die sich weitere 4 Bits anschließen, die den Gültigkeitsbereich beschreiben (wie verbindungslokal oder standortlokal). Die verbleibenden 112 Bits sind die Gruppenkennung, mit der die Computergruppe angegeben wird, an die sich die Multicastsendung richtet. Multicastpakete verfügen nicht über eine 64-BitSchnittstellenkennung. Konzepte 35 Abbildung 2.4 Der Aufbau von Multicastadressen Anycastadressen Eine Anycastadresse ist eine spezielle Adresse, die mehreren Schnittstellen zugewiesen werden kann. Das meistgenannte Beispiel für eine Anycastadresse ist die Anycastadresse des Subnetzrouters, denn das ist die Netzwerkkennung mit der Schnittstellenkennung null. IPv6-Hosts können die Anycastadresse des Subnetzrouters für Kontaktversuche mit allen Routern des lokalen Netzwerks verwenden. Spezielle IPv6-Adressen Die folgenden Adressen und Netzwerke sind für spezielle Zwecke vorgesehen: ::1/128 (oder einfach nur ::1) Die Loopbackadresse. Sie bezieht sich immer auf den lokalen Computer. ff01::1/128 (oder einfach nur ff01::1) Die schnittstellenlokale All-Nodes-Multicastadresse. ff02::1/128 (oder einfach nur ff02::1) Die verbindungslokale All-Nodes-Multicastadresse. Sie lässt sich mit einer IPv4-Broadcastadresse vergleichen. ff02::2/128 (oder einfach nur ff02::2) Die verbindungslokale All-Routers-Multicastadresse. ff05::2/128 (oder einfach nur ff05::2) Die standortlokale All-Routers-Multicastadresse. ::ffff:0:0/96 Das Präfix, das für abgebildete IPv4-Adressen verwendet wird. 2002::/16 Das Präfix, das für eine 6to4-Adressierung verwendet wird. ff00::/8 Wird für Multicastadressen verwendet. fe80::/64 Eine verbindungslokale Adresse. Dabei handelt es sich um eine automatisch zugewiesene Adresse, die sich mit einer APIPA-Adresse (Automatic Private Internet Protocol Addressing) von IPv4 vergleichen lässt. Wenn einer Schnittstelle diese Adresse zugewiesen wurde, ist dies ein Hinweis darauf, dass kein DHCPv6-Server verfügbar war. Weitere Informationen finden Sie im Abschnitt »Verbindungslokale Adressen« weiter oben in diesem Kapitel. fc00::/8 oder fd00::/8 Eindeutige lokale Adressen (ULAs), die im Intranet routbar sind, aber nicht im Internet. Weitere Informationen finden Sie im Abschnitt »Eindeutige lokale Adressen« weiter oben in diesem Kapitel. 2001:db8::/32 Ein Netzwerk, das für den Einsatz bei der Dokumentation reserviert ist. Außerdem verwenden Teredo und die 6to4-Übergangsttechnologien, die im Verlauf dieses Kapitels noch besprochen werden, eigene spezielle Adressen. 36 Kapitel 2: IPv6 Zwischen mehreren Schnittstellen unterscheiden IPv6-Clients verwenden für Netzwerkadapter, die an Netzwerke ohne IPv6-Router oder einen DHCPv6-Server angeschlossen sind, immer die verbindungslokale Netzwerkadresse fe80::/64 Wenn ein Windows-Computer mit mehreren Netzwerkkarten ausgerüstet ist, die mit verschiedenen Netzwerksegmenten verbunden sind, unterscheidet der Computer die Netzwerke anhand einer numerischen Zonenkennung, die in der IP-Adresse auf ein Prozentzeichen folgt, wie es die folgenden Beispiele demonstrieren: fe80::d84b:8939:7684:a5a4%7 fe80::462:7ed4:795b:1c9f%8 fe80::2882:29d5:e7a4:b481%9 Aus den jeweils letzten beiden Zeichen geht hervor, dass die obigen Netzwerke mit den Zonenkennungen 7, 8 und 9 verknüpft sind. Bei Verbindungen mit verbindungslokalen Adressen sollten Sie immer die Zonenkennung angeben. Zonenkennungen sind dasselbe wie der Schnittstellenindex, den Sie häufig verwenden, wenn Sie IPv6-Einstellungen auf Schnittstellenbasis vornehmen. Hinweis Zonenkennungen beziehen sich auf den sendenden Host. Daher können unterschiedliche Hosts, die mit demselben Netzwerk verbunden sind, zur Identifizierung dieses Netzwerks unterschiedliche Zonenkennungen verwenden. IPv6-Autokonfiguration Eine manuelle Konfiguration ist zwar immer noch möglich (und bei Routern erforderlich), aber gewöhnlich wird Computern die IPv6-Konfiguration automatisch zugewiesen. Wenn ein IPv6-Host eine Verbindung mit einem Netzwerk aufnimmt, fordert er seine Konfigurationsdaten mit einer verbindungslokalen Multicastanfrage an. IPv6-Hosts können ihre IP-Konfiguration auch mit DHCPv6 von einem DHCPv6-Server anfordern. Hinweis Alle Hosts weisen sich selbst ohne Kommunikation mit einer Infrastrukturkomponente eine verbindungslokale Adresse zu. Eine zusätzliche Konfiguration ist für eindeutige lokale Adressen, globale Adressen oder andere Adresstypen erforderlich. Je nach Konfiguration der IPv6-Router kann eine Autokonfiguration auf drei Arten erfolgen: Statusfrei Im statusfreien Modus konfigurieren IPv6-Clients ihre eigenen IPv6-Adressen automatisch. Dabei verwenden Sie die IPv6-Routerbekanntgabe (Router Advertisements), wie im Abschnitt »IPv6-Autokonfiguration« weiter oben in diesem Kapitel beschrieben. Ist ein DHCPv6Server verfügbar, können statusfreie Clients neben ihren IPv6-Adressen auch andere Konfigurationseinstellungen abrufen, beispielsweise die Adresse des DNS-Servers. Aus technischer Sicht erfolgt eine statusfreie Konfiguration, wenn Ihre IPv6-Router die Router Advertisement-Nachrichten mit gelöschtem Managed Address Configuration-Flag, gelöschtem Other Stateful Configuration-Flag sowie einer oder mehreren Präfixinformationsoptionen mit gesetztem A-Flag übertragen. Weitere Informationen finden Sie in RFC 4861. Statusbehaftet Findet statt, wenn ein DHCPv6-Server die IPv6-Konfigurationsdaten liefert. Ein Host verwendet eine statusbehaftete Adressenkonfiguration, wenn er Router Advertisement-Nachrichten ohne Präfixoptionen erhält und entweder das Flag Managed Address Configuration oder das Flag Other Stateful Configuration auf 1 gesetzt ist. Statusbehaftete Adressenkonfigurationen finden auch statt, wenn keine IPv6-Router verfügbar sind. Konzepte 37 Beide Die statusfreien und statusbehafteten Modi können miteinander kombiniert werden. IPv6Clients können zum Beispiel durch eine statusfreie Autokonfiguration eine IPv6-Adresse erhalten und dann die statusbehaftete Autokonfiguration verwenden, um von einem DHCPv6-Server andere IPv6-Einstellungen anzufordern, beispielsweise DNS-Serveradressen. Aus technischer Sicht geschieht dies, wenn Ihre IPv6-Router Router Advertisement-Nachrichten mit gesetzten Prefix Information-Optionen übermitteln, in denen das Flag Managed Address Configuration oder Other Stateful Configuration auf 1 gesetzt ist. Hinweis Die IPv6-Implementierungen von Microsoft für Windows XP und Windows Server 2003 unterstützen kein DHCPv6. Windows Vista und Windows Server 2008 unterstützen die statusbehaftete Adressenkonfiguration mit DHCPv6. Wenn DAD (Duplicate Address Detection) aktiviert ist – eine IPv6-Funktion, die für ISATAP, 6to4 und einige andere spezielle Schnittstellentypen nicht erforderlich ist –, können sich automatisch konfigurierte Adressen in einem oder mehreren der folgende Zustände befinden: Vorläufig Addressen werden für die kurze Zeitspanne zwischen der ersten Zuweisung der Adresse und der Überprüfung, ob die Adresse tatsächlich eindeutig ist, als vorläufige Adressen eingestuft. Computer überprüfen, ob es bereits andere Geräte mit derselben Adresse gibt, indem sie eine Nachbaraushandlungsnachricht (Neighbor Solicitation) mit der vorläufigen Adresse aussenden. Antwortet ein Computer, wird die Adresse als ungültig angesehen. Wenn kein anderer Computer antwortet, wird die Adresse als eindeutig und gültig eingestuft. Gültig Zugewiesene Adressen, die auf Eindeutigkeit überprüft wurden. Eine gültige Adresse kann zudem in einem der beiden folgenden Zustände vorliegen: Bevorzugt. Das bedeutet, dass die Adresse für die Kommunikation verwendet werden kann. Eine Adresse bleibt für den Zeitraum eine bevorzugte Adresse, der in dem Feld Preferred Lifetime der Router Advertisement-Nachricht angegeben wird. Herabgestuft (deprecated). Das bedeutet, dass die Adresse zwar abgelaufen ist, aber noch zur Kommunikation verwendet werden kann. Eine Adresse bleibt so lange gültig, wie das Feld Valid Lifetime der Router Advertisement-Nachricht angibt. Die zulässige Verwendbarkeitsdauer (Valid Lifetime) sollte immer mindestens so groß wie die bevorzugte Verwendungsdauer (Preferred Lifetime) gewählt werden, damit Adressen herabgestuft oder als nachrangig eingestuft werden können, sobald die bevorzugte Lebensdauer (Preferred Lifetime) abgelaufen ist und die gültige Lebensdauer (Valid Lifetime) noch nicht erreicht ist. Ungültig Eine Adresse, die zwar gültig war, aber nicht mehr verwendet werden kann, weil ihre Gültigkeitsdauer abgelaufen ist. Abbildung 2.5 stellt die Beziehungen zwischen den verschiedenen Autokonfigurationszuständen dar: Abbildung 2.5 Autokonfiguration und Gültigkeit 38 Kapitel 2: IPv6 Wenn ein IPv6-fähiger Computer eingeschaltet wird, geht er bei der automatischen Konfiguration der IP-Adressen folgendermaßen vor: 1. Der Computer richtet eine verbindungslokale Adresse mit dem Adressenpräfix FE80::/64 ein. 2. Der Computer versucht, eine automatische zustandsfreie Adressenkonfiguration durchzuführen, indem er bis zu drei Routeraushandlungsnachrichten (Router Solicitation) versendet. Sofern ein Router antwortet, verwendet der Computer die Antworten zur Einstellung der IP-Adresse und der anderen IPv6-Konfigurationsdaten, die in der Antwort enthalten sind. 3. Falls kein Router antwortet oder in der Router Advertisement-Nachricht des Routers eines der beiden Flags Managed Address Configuration oder Other Stateful Configuration (oder beide) gesetzt ist, wird zur Vervollständigung der automatischen Konfiguration DHCPv6 oder eine andere statusbehaftete Konfigurationsmethode verwendet. Der Computer überprüft jede auf ihm eingestellte Adresse daraufhin, ob sie eindeutig ist, einschließlich der verbindungslokalen Adresse. Antwortet beim Eindeutigkeitstest ein anderer Host, wird die Adresse als ungültig eingestuft. DHCPv6 IPv4-Clients suchen beim Start automatisch nach DHCP-Servern. IPv6-Clients fordern die Adressenkonfiguration stattdessen von einem Router an und führen nur dann eine DHCPv6-Abfrage durch, wenn sie vom Router dazu angewiesen werden, eine statusbehaftete Konfiguration durchzuführen. Zur Konfiguration von IPv6-Clients reichen Router aus. Allerdings ist die Verwaltung einfacher, wenn Sie einen DHCPv6-Server verwenden, weil Sie die Clientkonfigurationseinstellungen dann unter Windows Server 2008 verwalten können und dafür nicht mehr die Router konfigurieren müssen. Weitere Informationen über DHCP finden Sie in Kapitel 3, »Dynamic Host Configuration Protocol«. Nachbarschaftserkennung (Neighbor Discovery) Computer verwenden die Nachbarschaftserkennung (Neighbor Discovery, ND) für folgende Aufgaben: Identifizieren von Routern im lokalen Netzwerk. Identifizieren der eigenen IP-Adressen, Adressenpräfixe und anderer Netzwerkeinstellungen. Auflösen von Schicht-2-Adressen, beispielsweise einer MAC-Adresse (Media Access Control), anhand einer IPv6-Adresse des lokalen Netzwerks, wie es ARP in ähnlicher Form in IPv4 macht. Weitere Informationen Ausführlichere Informationen über die Nachbarschaftserkennung finden Sie in RFC 4861 unter http://www.ietf.org/rfc/rfc4861.txt. IPv6-Sicherheit IPv6 bietet eine integrierte (und erforderliche) Unterstützung für IPsec-Header. In IPv4 bietet IPsec vergleichbare Leistungen. Da IPsec für IPv4-Hosts aber nicht bindend vorgeschrieben ist, wird es von vielen Hosts nicht geboten. Weitere Informationen über die IP-Sicherheit finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«. Konzepte 39 IPv6-Übergangstechnologien Das Internet stellt eine gigantische Infrastruktur dar, die von Millionen Menschen verwaltet wird und deren Aufbau Milliarden von Euro für Hard- und Software verschlungen hat. Die Änderung einer so grundlegenden Sache wie dem Schicht-3-Protokoll zieht einen riesigen Aufwand nach sich und erfordert die Aktualisierung oder sogar den Austausch fast der gesamten Routinginfrastruktur. Die Kosten und der Zeitaufwand für die Umstellung des Internets auf IPv6 sind kaum vorstellbar. Diese Umstellung wird daher nicht so bald erfolgen. Allerdings haben viele Organisationen bereits damit begonnen, IPv6 in internen Netzwerken einzusetzen. Außerdem stehen einige Technologien zur Verfügung, die eine Kombination von IPv4 und IPv6 erlauben und es IPv6 ermöglichen, über IPv4Netzwerke zu kommunizieren. Tabelle 2.2 vergleicht die verschiedenen IPv6-Übergangstechnologien. Tabelle 2.2 IPv6-Übergangstechnologien Technologie Zweck Duale IP-Schichtarchitektur Ermöglicht Computern die gleichzeitige Kommunikation mit IPv4 und IPv6. Das ist für ISATAP und Teredo-Hosts und für 6zu4-Router erforderlich. (Diese drei Begriffe werden an anderer Stelle in dieser Tabelle erläutert und im Verlauf des Kapitels ausführlicher beschrieben.) IPv6-über-IPv4-Tunneling Bettet IPv6-Datenverkehr in einem IPv4-Header mit dem IP-Protokollwert 41 ein. Diese Tunneltechnik wird gewöhnlich bei ISATAP oder 6to4 benutzt. Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) Ermöglicht IPv6-Hosts die Verwendung von IPv6-über-IPv4-Tunneling für die Kommunikation in Intranets. Hosts identifizieren sich gegenseitig durch die Einbettung der IPv4-Adresse in den Hostteil der IPv6-Adresse. 6to4 Ermöglicht IPv6-Hosts die Kommunikation mit dem IPv6-Internet. Ein 6zu4-Router mit einer öffentlichen IPv4-Adresse ist erforderlich. Teredo Ermöglicht IPv4/IPv6-Hosts die Kommunikation mit dem IPv6-Internet, selbst wenn sie hinter einem NAT-System (Network Address Translator) verborgen sind. Die folgenden Abschnitte geben Ihnen einen Überblick über diese IPv6-Übergangstechnologien. Weitere Informationen Ausführliche Informationen finden Sie in »IPv6 Transition Technologies« unter http://www.microsoft.com/downloads/details.aspx?FamilyID=afe56282-2903-40f3-a5ba-a87bf92c096d. Duale IP-Schichtarchitektur Die wichtigste Technologie für den Übergang ist die duale IP-Schichtarchitektur (Abbildung 2.6), die in Windows Vista und Windows Server 2008 integriert ist. Mit dieser Technologie können Computer für die Kommunikation IPv6 verwenden, wenn der Client, der Server und die Netzwerkinfrastruktur IPv6 unterstützen. Außerdem können sie auch mit Computern oder Netzwerkdiensten kommunizieren, die nur IPv4 unterstützen. Hinweis IPv6 unter Windows XP und Windows Server 2003 verwenden für IPv6 eine Architektur mit einem dualen Stapel, wobei für Schicht 3 separate Implementierungen für IPv4 und IPv6 verfügbar sind. Das Design von Windows XP und Windows Server 2003 unterscheidet sich zwar vom Design von Windows Vista und Windows Server 2008, aber die Funktionalität ist vergleichbar. 40 Kapitel 2: IPv6 Abbildung 2.6 Die duale IP-Schichtarchitektur IPv6-über-IPv4-Tunneling (IPv6 over IPv4 tunneling) Ein Host, der mit einem IPv4-Netzwerk verbunden ist, beispielsweise mit dem IPv4-Internet, kann per Tunneling eine Verbindung mit einem IPv6-Teil dieses Netzwerks herstellen. Beim Tunneling werden IPv6-Pakete in IPv4-Paketen gekapselt, wie schematisch in Abbildung 2.7 dargestellt. Sobald die tunnelnden Pakete den IPv6-Zielhost erreichen, wird der IPv4-Header entfernt und das IPv6-Paket kommt zum Vorschein. Abbildung 2.7 Tunnelnde IPv6-Pakete Auch wenn IPv6-über-IPv4-Tunneling in gewisser Weise an ein herkömmliches VPN erinnert, ist es beim IPv6-über-IPv4-Tunneling gewöhnlich nicht erforderlich, dass der Tunnel speziell eingerichtet wird. Außerdem bietet dieses Verfahren im Gegensatz zu den meisten VPNs keine zusätzlichen Authentifizierungs- oder Verschlüsselungsfunktionen. Hinweis Durch das Hinzufügen des IPv4-Headers zum IPv6-Paket wird die größte Dateneinheit (Maximum Transmission Unit, MTU) um mindestens 20 Byte kleiner. Außerdem sollten die IPv4-Pakete nicht fragmentiert sein. Darum kümmert sich Windows automatisch. Was die Architektur betrifft, gibt es drei verschiedene Arten von IPv6-über-IPv4-Tunneln: Router-zu-Router Ermöglicht zwei IPv6-Netzwerken auch dann die Kommunikation, wenn sie nur über IPv4-Netzwerke miteinander verbunden sind. Diese Art von Tunnel, die in Abbildung 2.8 dargestellt wird, ist für die Hosts im Netz unsichtbar. Sie müssen manuell einen Router-zu-RouterTunnel einrichten, wie in diesem Kapitel im Abschnitt »So konfigurieren Sie einen Router-zuRouter-Tunnel« beschrieben. 6to4 verwendet Router-zu-Router-Tunnel. Abbildung 2.8 Router-zu-Router-Tunnel Konzepte 41 Host-zu-Router und Router-zu-Host Ermöglicht IPv6-Hosts die Kommunikation mit einem IPv6-Remotenetzwerk, auch wenn das lokale Netzwerk kein IPv6 unterstützt. Abbildung 2.9 stellt diese Art der Verbindung dar. ISATAP und Teredo können diese Tunnelart verwenden, obwohl sie unterschiedliche Kapselungsmethoden verwenden. Abbildung 2.9 Host-zu-Router-Tunnel Host-zu-Host Ermöglicht zwei IPv6-Hosts die Kommunikation, selbst wenn die Netzwerkinfrastruktur IPv6 nicht unterstützt. Diese Art der Verbindung wird in Abbildung 2.10 dargestellt. ISATAP und Teredo können diesen Tunneltyp verwenden, obwohl sie unterschiedliche Kapselungsmethoden verwenden. Abbildung 2.10 Host-zu-Host-Tunnel Hinweis IPv6-über-IPv4-Tunneling ist eine andere Technologie als das ähnlich benannte 6over4, auch als IPv4-Multicasttunneling bekannt, verfügbar für Windows XP und Windows Server 2003. ISATAP ISATAP ermöglicht IPv6-Hosts und Routern die Kommunikation über IPv4-Netzwerke, wobei IPv4und IPv6-Adressen kombiniert werden. Wie Abbildung 2.11 zeigt, handelt es sich bei einer ISATAPAdresse um eine IPv6-Adresse, deren 64-Bit-Schnittstellenkennung 0:5EFE:w.x.y.z lautet, wenn w.x.y.z eine private IPv4-Adresse ist, oder 200:5EFE:w.x.y.z, wenn w.x.y.z eine öffentliche IPv4-Adresse ist. Abbildung 2.11 Aufbau von ISATAP-Adressen Der Hostteil einer ISATAP-Adresse enthält eine eingebettete IPv4-Adresse, die zur Ermittlung der IPv4-Zieladresse für den IPv4-Header dient, wenn der IPv6-ISATAP-Datenverkehr durch ein IPv4Netzwerk tunnelt. ISATAP wird in allen Windows-Versionen, die IPv6 unterstützen, standardmäßig unterstützt. Da IPv6Hosts immer eine verbindungslokale Adresse aus dem Netzwerk fe80::/64 erhalten, erhalten Windows-Computer für jede zugewiesene IPv4-Adresse auch die ISATAP-Adresse fe80::5efe:w.x.y.z oder fe80:200:5efe:w.x.y.z. Außerdem erhalten sie für jede andere IPv6-Adresse eine ISATAP-Adresse. Wurde einem ISATAP-Host zum Beispiel die IPv4-Adresse 192.168.1.185 zugewiesen, erhält er auch die verbindungslokale ISATAP-Adresse fe80::5efe:192.168.1.185. 42 Kapitel 2: IPv6 Mit ISATAP-Adressen lässt sich nur eine Verbindung zu anderen ISATAP-Adressen herstellen. Sie können eine ISATAP-Adresse nicht für die direkte Kommunikation mit einer IPv4-Adresse oder einer anderen IPv6-Adresse verwenden, bei der es sich nicht um eine ISATAP-Adresse handelt. Die Bedeutung von ISATAP liegt in der Fähigkeit, auch über IPv4-Intranets hinweg Verbindungen herstellen zu können. Wenn zwei ISATAP-Hosts im selben IPv4-Netzwerksegment liegen, verpackt ISATAP die IPv6-Pakete in IPv4-Paketen und verwendet als IPv4-Zieladresse die letzten 32 Bits der ISATAP-Zieladresse im verbindungslokalen Netzwerk. Wenn ein ISATAP-Host mit einem IPv6-Remotenetzwerk kommunizieren muss, wie in Abbildung 2.12 illustriert, ist das IPv4-Ziel die lokale Schnittstelle des ISATAP-Routers. Der ISATAPRouter entfernt den IPv4-Header und überträgt die IPv6-Pakete an den nächsten Router oder an den Zielhost. Für die Kommunikation über einen Router hinweg ist es natürlich erforderlich, dass der Host neben der verbindungslokalen Standardadresse über eine eindeutige lokale oder globale IPv6Adresse verfügt. Abbildung 2.12 ISATAP-Routing ISATAP-Router geben ihre Anwesenheit bekannt und IPv6-Hosts, die ISATAP unterstützen, konfigurieren den Router automatisch als Standardgateway. 6to4 Wie ISATAP leitet auch 6to4 IPv6-Pakete mit einem Tunnel durch IPv4-Netzwerke. Während ISATAP die IPv4-Adresse in den letzten 32 Bits der IPv6-Adresse speichert, speichert 6to4 die IPv4Adresse des 6zu4-Routers in den Bits 17–48, wie in Abbildung 2.13 dargestellt. 6to4-Adressen werden vollständig hexadezimal geschrieben. Der IPv4-Teil der Adresse lässt sich also nicht so leicht erkennen wie in einer ISATAP-Adresse. Alle 6to4-Adressen verwenden das Präfix 2002::/16. Abbildung 2.13 Aufbau einer 6to4-Adresse Jeder ISATAP-Host erhält eine ISATAP-Adresse mit der kodierten IPv4-Adresse in den letzten 32 Bits. Bei 6to4 haben nur 6to4-Router ihre IPv4-Adressen in der IPv6-Adresse. 6zu4-Hosts erhalten im Netzwerk des 6zu4-Routers eine IPv6-Adresse mit einer eindeutigen Schnittstellenkennung. Anders gesagt, in den IPv6-Adressen von 6zu4-Hosts ist die IPv4-Adresse des zuständigen Routers enthalten und die Hosts brauchen nicht zwangsläufig eine eigene IPv4-Adresse. Abbildung 2.14 zeigt ein 6to4Beispielnetzwerk. Konzepte 43 Abbildung 2.14 6to4-Beispielnetzwerk Während ISATAP in erster Linie für Intranets vorgesehen ist, wurde 6to4 für die Verwendung im Internet entwickelt. Sie können 6to4 selbst dann über ein 6zu4-Relay hinweg für eine Verbindung mit den IPv6-Teilen des Internets verwenden, wenn Ihr Intranet oder Ihr ISP nur IPv4 unterstützen. IPv6-Router können Präfixe des Typs 2002:WWXX:YYZZ:Subnetzkennung::/64 bekannt geben, damit Hosts automatisch ihre 6to4-Adressen erstellen können. Teredo Teredo, auch als IPv4-NAT-T für IPv6 bekannt (NAT-T steht für Network Address Translator Traversal), ermöglicht IPv6-Hosts die Kommunikation über IPv4-NATs hinweg. Teredo ähnelt in seiner Funktion zwar 6to4, aber 6to4 erfordert einen 6zu4-Router mit einer öffentlichen IP-Adresse. Daher können IPv6-Hosts keine Verbindung mit dem IPv6-Internet herstellen, bis der Internetrouter des Netzwerks aktualisiert wird. Da Internetzugriffe aus dem Netzwerk über diesen Router laufen, aktualisieren Organisationen diesen Router meistens nur ungern, während die IPv6-Testphase noch läuft. Teredo bietet mit dem vorhandenen Internetrouter den Zugang zum IPv6-Internet. Allerdings sollte es nur verwendet werden, wenn das integrierte IPv6, ISATAP oder 6to4 nicht verwendet werden kann. So funktioniert’s: IPv6-Tunneling ISATAP und 6to4 verpacken IPv6-Pakete direkt im IPv4-Paket und stellen den Headerwert Protocol auf 41, ohne auf ein Schicht-4-Protokoll wie TCP (Transmission Control Protocol) oder UDP (User Datagram Protocol) zurückzugreifen. Viele NAT-Geräte beherrschen aber das Protocol-41Tunneling nicht korrekt und verwerfen die entsprechenden Pakete. Teredo verwendet IPv4 mit UDP und erreicht auf diese Weise eine bessere Kompatibilität zu vorhandenen NAT-Geräten. Damit sich ein NAT-Gerät für Teredo eignet, muss es die UDP-Portübersetzung beherrschen. Teredo ist auf allen Windows-Versionen, die IPv6 unterstützen, zu Cone-NATs und eingeschränkten NATs kompatibel. Unter Windows XP und Windows Server 2003 ist Teredo nicht zu symmetrischen NATs kompatibel. Unter Windows Vista und Windows Server 2008 kann Teredo zwischen Teredo-Clients funktionieren, wenn sich höchstens ein Teredo-Client hinter einem symmetrischen NAT befindet. Zum Beispiel funktioniert Teredo unter Windows Vista und Windows Server 2008, wenn sich einer der Teilnehmer hinter einem symmetrischen NAT befindet und der andere hinter einem Cone-NAT oder einem beschränkten NAT. Damit Teredo NAT-Geräte überwinden kann, werden IPv6-Pakete zur Übertragung zwischen zwei IPv6-Hosts oder zwischen einem IPv6-Host und einem Teredo-Relay in IPv4-Pakete verpackt. Der Tunnel besteht also nicht zwischen Routern, wie es bei 6to4 der Fall ist. Wie bei 6to4 dient ein Relay dazu, den IPv6-über-IPv4-Tunnel zu beenden und den Datenverkehr zwischen dem IPv4-Internet und 44 Kapitel 2: IPv6 dem IPv6-Internet weiterzuleiten (Abbildung 2.15). Ein Teredo-Server unterstützt die Konfiguration der Teredo-Clients und erleichtert die Kommunikation zwischen zwei Teredo-Clients oder einem Teredo-Client und einem IPv6-Host. Microsoft bietet öffentlich verfügbare Teredo-Server, die durch den DNS-Eintrag teredo.ipv6.microsoft.com identifiziert werden. Auch andere Organisationen können öffentliche Teredo-Server anbieten. Abbildung 2.15 Teredo-Beispielnetzwerk Hostspezifische Teredo-Relays, die ebenfalls in Abbildung 2.15 dargestellt werden, sind Computer, auf denen IPv4 und IPv6 verfügbar ist und die den Datenverkehr zwischen dem IPv4-Internet und dem IPv6-Internet weiterleiten können. Windows-Computer können als hostspezifische Teredo-Relays dienen, wenn sie die gewünschten Verbindungen herstellen können. Die IPv6-Verbindungen können mit dem integrierten IPv6-System oder mit einer 6to4-Verbindung zum IPv6-Internet hergestellt werden. Abbildung 2.16 zeigt den Aufbau der Teredo-Adressen. Alle Teredo-Clients verwenden das Präfix 2001::/32. Die verbleibenden 32 Bits der Netzwerkkennung sind die 32-Bit IPv4-Adresse des IPv4Servers (sie wird immer hexadezimal geschrieben). Die Hostkennung beginnt mit 16 Bits, die für Teredo-Flags reserviert sind. Bei den nächsten 16 Bits handelt es sich um die externe UDP-Portnummer, die vom NAT-System verwendet wird, und die letzten 32 Bits sind die IPv4-Adresse des NAT-Systems, ebenfalls in Hexadezimalform. Die NAT-Portnummer und die IPv4-Adresse werden vom Teredo-Server identifiziert, der die Informationen an den Client zurücksendet. Der Teredo-Client verbirgt die NAT-Portnummer und die IPv4-Adresse, damit sie nicht vom NAT-System übersetzt werden. Abbildung 2.16 Aufbau von Teredo-Adressen Hinweis Ursprünglich haben Teredo-Clients unter Windows XP und Windows Server 2003 das Präfix 3FFE:831F::/32 verwendet. Nach dem Microsoft Security Bulletin MS06-064, erhältlich unter http://www. microsoft.com/technet/security/Bulletin/MS06-064.mspx, werden diese Betriebssysteme besser so konfiguriert, dass sie das Präfix 2001::/32 verwenden. Planungs- und Entwurfsaspekte 45 Weitere Informationen Weitere Informationen über Teredo finden Sie in »Teredo Overview« unter http://www.microsoft.com/technet/network/ipv6/teredo.mspx und RFC 4380 unter http://www.ietf.org/ rfc/rfc4380.txt. Planungs- und Entwurfsaspekte Da die Infrastruktur, die Server und Clients, aus denen sich das moderne Internet zusammensetzt, von Millionen verschiedener Menschen und Organisationen verwaltet werden, wird es viele Jahre dauern, bevor die beteiligten Netzwerke auf IPv6 umgestellt sind. In der Zwischenzeit ermöglichen es die IPv4-zu-IPv6-Übergangstechnologien den Hosts, mit den verschiedenen Teilen des Netzwerks zu kommunizieren. Hinweis Die wichtigste Übergangstechnologie ist die, welche die gleichzeitige Verwendung von IPv4 und IPv6 auf den Hosts ermöglicht. Unter Windows Vista und Windows Server 2008 sind IPv4 und IPv6 standardmäßig für alle Netzwerkadapter aktiviert. Dieser Abschnitt gibt Ihnen Informationen für die Bewertung von IPv6 und die Planung der Umstellung auf IPv6. Migration auf IPv6 Die Umstellung eines Netzwerks auf eine reine IPv6-Umgebung ist gewöhnlich ein Ziel, das bei vertretbarem Aufwand nur auf längere Sicht zu erreichen ist. Für die Umstellung auf IPv6 sind folgende allgemeine Schritte erforderlich, die Sie vor einer praktischen Umsetzung jeweils ausreichend testen sollten: 1. Wenn Sie neue Betriebssysteme installieren oder neue Computer anschaffen, konfigurieren Sie die Computer so, dass sie IPv6 und IPv4 unterstützen. Falls Sie vorhaben, auch weiterhin Windows XP und Windows Server 2003 zu verwenden, stellen Sie Ihre Infrastruktur nach und nach so um, dass IPv6 für diese Hosts unterstützt wird. 2. Aktualisieren Sie Ihre Routinginfrastruktur, damit sie ohne zusätzliche Hilfsmittel das integrierte IPv6-Routing unterstützt. 3. Aktualisieren Sie Ihre DNS-Infrastruktur, damit sie für IPv6 AAAA-Einträge und PTR-Einträge unterstützt (in der Reverse-Domäne IP6.ARPA). 4. Verbinden Sie Ihre Routing- und DNS-Infrastrukturen mit dem IPv6-Internet, bei Bedarf mit Technologien wie 6to4 oder Teredo. 5. Arbeiten Sie mit internen und externen Entwicklern an der Aktualisierung Ihrer Anwendungen, damit die Anwendungen unabhängig davon sind, ob IPv6 oder IPv4 verwendet wird. 6. Stellen Sie die IPv4/IPv6-Knoten nach ausführlichen Tests so um, dass nur noch IPv6 verwendet wird. Der schwierigste dieser Schritte wird es sein, die Anwendungen auf IPv6 zu aktualisieren. Unternehmen setzen häufig Tausende von Anwendungen ein, die getestet werden müssen. Viele der vorhandenen Anwendungen werden in einer IPv6-Umgebung nicht mehr richtig funktionieren und müssen entweder aktualisiert oder ersetzt werden, bevor IPv4 endgültig abgeschaltet werden kann. 46 Kapitel 2: IPv6 Direkt von der Quelle: Planen und Durchführen der Umstellung auf IPv6 Denken Sie bitte immer daran, dass die Bereitstellung von IPv6 keine triviale Aufgabe ist. Einfach nur IPv6 zu aktivieren ist keine große Sache, da die meisten anderen Geräte aus Ihrem Netzwerk mit wenigen Ausnahmen (beispielsweise Computer, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird) kein IPv6 verwenden. Wenn Ihr Computer mit einem Drucker oder einem anderen Gerät kommunizieren muss, verwendet er standardmäßig einfach IPv4. Sobald Sie aber mit der Umstellung auf IPv6 beginnen, sind eine ganze Reihe von Aspekten zu berücksichtigen. Es gibt viele Variablen, und nicht alles, was für IPv4 gilt, lässt sich auf IPv6 übertragen. Vor der Umstellung des Netzwerks müssen Sie einen genauen Ablaufplan aufstellen und sich auf die Behebung der Probleme vorbereiten, die bei der Umstellung auftreten werden. Vielleicht eignen sich einige Ihrer Anwendungen einfach nicht für IPv6 oder Ihre ältere Hardware versteht nicht, was eine IPv6-Adresse ist. Vielleicht ergeben sich auf einem Host oder Router Konfigurationsfehler. Es können sich eine ganze Reihe von Problemen ergeben. Deshalb empfehle ich Ihnen dringend, eine IPv6-Testumgebung einzurichten – heute noch! – und Ihre Geräte und Anwendungen zu testen. Bei dieser Gelegenheit entwickeln Sie nicht nur Ihr Wissen über IPv6 weiter, sondern finden außerdem heraus, wie sich Ihre Geräte und Anwendungen in einem IPv6-Netzwerk verhalten. Es gibt viele Leute, die IPv6 für ihre Windows-Computer und einen umfangreichen Bestand an Geräten und Software verwenden und alles zum Laufen bringen. Um Sie bei dieser Arbeit zu unterstützen, stellen wir zum Beispiel das Hilfsprogramm checkv4.exe zur Verfügung (erhältlich unter http://msdn2.microsoft.com/en-us/library/ms740624.aspx), mit dem Sie überprüfen können, ob Ihr Programmcode fest einkodierte IPv4-Aufrufe enthält. Außerdem bieten wir entsprechende Literatur an, beispielsweise »Manageable Transition to IPv6 using ISATAP« (erhältlich unter http://www. microsoft.com/downloads/details.aspx?FamilyId=B8F50E07-17BF-4B5C-A1F9-5A09E2AF698B), das aus der Zusammenarbeit mit Cisco entstanden ist und beschreibt, wie man die Bereitstellung von IPv6 erleichtern kann, und »Enabling the Next Generation of Networking with End-to-End IPv6« (erhältlich unter http://www.microsoft.com/downloads/details.aspx?FamilyID=b361154358b5-4ccc-b6ce-677ebb2a520d), das aus der Zusammenarbeit mit Juniper entstanden ist und die Bereitstellung und Vorteile von IPv6 beschreibt. Diese und andere Hilfsmittel sind unter http://www. microsoft.com/ipv6 erhältlich. Kurz gesagt, wir arbeiten mit vielen Partnern aus der Branche an der Vereinfachung der IPv6-Bereitstellung, damit alle Ihre Kunden den größtmöglichen Nutzen aus IPv6 ziehen können. Die Moral von der Geschicht’? Fangen Sie heute noch mit Ihren IPv6-Tests an! Sean Siler, IPv6 Program Manager Beschaffen von IPv6-Adressen Wie IPv4-Adressen werden den meisten Organisationen auch die IPv6-Adressen von ihren Internetanbietern zugewiesen (Internet Service Provider, ISP). Weitere Informationen erhalten Sie von Ihrem Internetanbieter. Wenn Sie für einen Internetanbieter arbeiten, können Sie von Ihrer RIR (Regional Internet Registry) einen IPv6-Adressenblock anfordern. In den meisten Staaten von Nordamerika ist zum Beispiel die American Registry for Internet Numbers (ARIN) für die Zuweisung von IPv6-Adressen an Organisationen zuständig. Wenn Sie Ihre RIR suchen, besuchen Sie die Number Resource Organization (NRO) unter http://www.nro.org/about/get_resources.html. Planungs- und Entwurfsaspekte 47 Hinweis RIRs erhalten von der Internet Assigned Numbers Authority große IPv6-Netzwerkblöcke zugewiesen. Planen der Aktualisierung der Netzwerkinfrastruktur Aus Leistungsgründen gehen viele Netzwerkkomponenten, die auf Schicht 3 und höher arbeiten (einschließlich Routern, Firewalls und NATs), davon aus, dass sie es stets mit einem IPv4-Header zu tun haben. In diesem Sinne ist der Aufbau des IPv4-Headers in vielen Geräten »fest verdrahtet«. Da IPv6 einen anderen Header verwendet, können solche Netzwerkkomponenten häufig nicht auf IPv6 umgestellt werden. Genauere Informationen erhalten Sie von den Herstellern der Geräte. Netzwerkkomponenten für Schicht 2, einschließlich Hubs und Switches, unterstützen IPv6 gewöhnlich auch ohne Aktualisierung. Da sich die Software oder Firmware in einem großen Teil Ihrer Netzwerkinfrastruktur vermutlich nicht auf IPv6 aktualisieren lässt, müssen Sie wahrscheinlich die entsprechende Netzwerkausrüstung durch neue IPv6-fähige Geräte ersetzen. Am besten achten Sie beim Kauf neuer Geräte heute schon auf die IPv6-Unterstützung, um die zukünftig anfallenden Kosten möglichst gering zu halten, selbst wenn Sie vorläufig noch keine Umstellung auf IPv6 planen. Die meisten Organisationen beginnen ihre IPv6-Tests mit einer IPv4-Infrastruktur, ohne Aktualisierungen vorzunehmen. Wie im vorigen Abschnitt beschrieben, ermöglichen ISATAP, 6to4 und Teredo die IPv6-Kommunikation über IPv4-Netzwerke hinweg. Außerdem können Sie neben Windows Server 2003, Windows Vista und Windows XP Windows Server 2008 als IPv6-Router verwenden. Weitere Informationen über die Einrichtung von Windows Server 2008 als IPv6-Router finden Sie weiter unten in diesem Kapitel im Abschnitt »So konfigurieren Sie einen Computer als IPv6-Router«. Falls Ihre Organisation über IPv6-Netzwerke verfügt, die nicht direkt miteinander verbunden sind, sollten Sie die manuelle Konfiguration eines Router-zu-Router-Tunnels (mit IPv6 über IPv4) vorbereiten, um die IPv6-Netzwerke zu verbinden. Falls Sie über IPv6-Hosts verfügen, die mit reinen IPv4Netzwerken verbunden sind, können Sie den IPv6-Hosts mit ISATAP den Zugriff auf reine IPv6Netzwerkressourcen ermöglichen. Planungen für IPv6-Übergangstechnologien Im Verlauf der Umstellung auf IPv6 werden Sie eine oder mehrere IPv6-Übergangstechnologien einsetzen müssen. Die folgenden Abschnitte bieten Ihnen Informationen zur Vorbereitung der Verwendung von ISATAP, 6to4 und Teredo. ISATAP Standardmäßig erhalten ISATAP-Hosts die IPv4-Adresse des ISATAP-Routers, indem sie mit DNS oder einer anderen Namensauflösungsmethode die IPv4-Adresse für den Namen ISATAP anfordern. Sobald der Host die IP-Adresse des ISATAP-Routers kennt, fordert er mit IPv4-Unicastnachrichten vom Router Daten für seine automatische Konfiguration an. Um sicherzustellen, dass Clients den ISATAP-Router finden, können Sie eine der folgenden Methoden vorsehen: Wenn es sich bei dem ISATAP-Router um einen Computer handelt, geben Sie ihm den Namen ISATAP. Erstellen Sie für jede DNS-Domäne einen DNS-Eintrag. Fügen Sie zur Datei Hosts einen Eintrag hinzu. 48 Kapitel 2: IPv6 Erstellen Sie einen statischen WINS-Datensatz. Führen Sie auf allen ISATAP-Hosts den Befehl netsh aus. Eine ausführlichere Anleitung erhalten finden Sie im weiteren Verlauf dieses Kapitels im Abschnitt »So konfigurieren Sie einen Computer als ISATAP-Router«. 6to4 6to4 ermöglicht Ihnen mit Ihrer vorhandenen IPv4-Internetverbindung den Zugang zum IPv6-Internet. 6to4 setzt voraus, dass Sie über einen 6zu4-Router und eine öffentliche IPv4-Adresse verfügen (beispielsweise eine Adresse, die Ihnen Ihr Internetanbieter zugewiesen hat). Reine IPv4-Router können nicht als 6zu4-Router verwendet werden. Wenn Sie für den Internetzugang also einen reinen IPv4-Router verwenden, müssen Sie diesen Router aktualisieren oder ersetzen. Bevor Sie in Aktualisierungen investieren, um 6to4 oder Teredo einsetzen zu können, sollten Sie überprüfen, ob die Vorteile einer Verbindung mit dem IPv6-Internet die Kosten rechtfertigen. Sofern Sie nicht auf bestimmte Ressourcen im IPv6-Internet zugreifen müssen, die im IPv4-Internet nicht zur Verfügung stehen, hat eine Verbindung mit dem IPv6-Internet vielleicht keinen praktischen Vorteil. Gewöhnlich sind IPv6-Ressourcen (wie Websites) auch im IPv4-Internet verfügbar. Teredo Um Hosts einen IPv6-Internetzugang zu bieten, wenn Sie nicht über einen 6zu4-Router mit einer öffentlichen IPv4-Adresse verfügen, können Sie Teredo verwenden. Um mit Teredo gute Ergebnisse zu erzielen, sollten Sie Cone-NATs oder eingeschränkte NATs wählen, die eine UDP-Portübersetzung unterstützen, und symmetrische NATs vermeiden. Bei der Implementierung von Teredo stellen Sie vielleicht fest, dass Sie die NAT- oder Firewallkonfiguration ändern müssen. In solchen Fällen müssen Sie Ihre Arbeit mit den Netzwerkadministratoren abstimmen, um die gewünschten Verbindungen herstellen zu können. Mit Microsofts Tool Internet Connectivity Evaluation können Sie überprüfen, ob Ihr aktuelles NATSystem Teredo unterstützt. Um dieses Online-Tool zu verwenden, öffnen Sie im Microsoft Windows Internet Explorer http://www.microsoft.com/windows/using/tools/igd/ und folgen der Anleitung. Bereitstellungsschritte Da IPv6 in Windows Vista und Windows Server 2008 standardmäßig aktiviert ist und sich IPv6 durch die Kommunikation mit IPv6-Routern automatisch selbst konfiguriert, brauchen Sie einen Host normalerweise nicht speziell für IPv6 zu konfigurieren. Dieser Abschnitt beschreibt, wie man IPv6 manuell konfiguriert oder deaktiviert. Außerdem beschreibt er, wie man ISATAP, 6to4 und Teredo aktiviert und Windows Server 2008 als IPv6-Router konfiguriert. So deaktivieren Sie IPv6 Anders als bei Windows XP und Windows Server 2003 lässt sich IPv6 unter Windows Vista oder Windows Server 2008 nicht deinstallieren. Allerdings können Sie IPv6 unter Windows Vista oder Windows Server 2008 für einzelne Netzwerkadapter oder den ganzen Computer deaktiveren. Bereitstellungsschritte 49 Deaktivieren von IPv6 für einen Netzwerkadapter In einem reinen IPv4-Netzwerk sollten sich zwar keine Probleme dadurch ergeben, dass IPv6 aktiviert ist, aber zur Vereinfachung der Fehlersuche in einem Netzwerk können Sie IPv6 deaktivieren. Um IPv6 für einen Netzwerkadapter zu deaktivieren, gehen Sie folgendermaßen vor: 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie die Netzwerkkarte mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Löschen Sie das Kontrollkästchen Internetprotokoll Version 6 und klicken Sie dann auf OK. Die Deaktivierung von IPv6 könnte zur Folge haben, dass einige Anwendungen und Dienste nicht mehr funktionieren. So verwenden zum Beispiel einige Funktionen von Windows-Teamarbeit (eine Funktion von Windows Vista) IPv6 für die Peer-to-Peer-Verbindungen im selben Netzwerksegment. Deaktivieren von IPv6 für einen Computer Um IPv6 auf allen Netzwerkadaptern, Verbindungen und Tunnelschnittstellen eines Computers zu deaktivieren, fügen Sie in die Registrierung den folgenden DWORD-Wert mit dem Wert 0xFF ein: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents Sie müssen den Computer neu starten, damit dieser neue Registrierungswert wirksam wird. Die IPv6Loopback-Schnittstelle wird durch diese Methode nicht deaktiviert. So konfigurieren Sie IPv6 manuell Um eine IPv6-Adresse in der grafischen Schnittstelle manuell einzustellen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. Das Netzwerk- und Freigabecenter öffnet sich. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie die Netzwerkschnittstelle mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Wählen Sie Internetprotokoll Version 6 (TCP/IPv6) und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften von Internetprotokoll Version 6 öffnet sich. 5. Klicken Sie auf Folgende IPv6-Adresse verwenden. Geben Sie die Adresse, die Subnetzpräfixlänge und das Standardgateway ein. 6. Klicken Sie auf Folgende DNS-Serveradressen verwenden und geben Sie dann den bevorzugten und den alternativen DNS-Server ein. 7. Wenn Sie mehrere IP-Adressen, Standardgateways oder DNS-Server konfigurieren möchten, klicken Sie auf Erweitert und nehmen in dem Dialogfeld, das sich dann öffnet, die entsprechenden Einstellungen vor. 8. Schließen Sie die geöffneten Dialogfelder jeweils mit einem Klick auf OK. Die neuen IP-Einstellungen werden sofort wirksam. 50 Kapitel 2: IPv6 So konfigurieren Sie IPv6 mit einem Skript Mit dem Tool Netsh können Sie auf einem Computer die IPv6-Einstellungen vornehmen. Der Aufruf hat folgende Form: netsh interface ipv6 add address "Schnittstelle" Adresse Das folgende Beispiel zeigt, wie man die Adresse 2001:db8::1c32:29d5:e7a4:b481 zur Schnittstelle »LAN-Verbindung« hinzufügt: netsh interface ipv6 add address "LAN-Verbindung" 2001:db8::1a49:2aa:ff:fe34:ca8f Auch wenn es nur selten erforderlich ist, können Sie mit demselben Befehl auch die bevorzugte und die gültige Lebensdauer festlegen. Weitere Informationen über diesen Netsh-Befehl erhalten Sie, wenn Sie in einer Eingabeaufforderung den Befehl netsh interface ipv6 add address ? eingeben. Für die Einstellung eines Routers gilt folgende Syntax: netsh interface ipv6 add potentialrouter "Schnittstelle" Adresse Für die Einstellung eines DNS-Servers verwenden Sie folgende Syntax: netsh interface ipv6 add dnsserver "Schnittstelle" Adresse So aktivieren Sie ISATAP ISATAP ist unter Windows Vista standardmäßig aktiviert. Außerdem ist es standardmäßig unter Windows XP und Windows Server 2003 aktiviert, sofern auf diesen Betriebssystemen IPv6 installiert ist. Allerdings wird es unter Windows Server 2008 und Windows Vista mit Service Pack 1 standardmäßig deaktiviert, sofern nicht der Name ISATAP aufgelöst wird. Den aktuellen Zustand können Sie mit folgendem Befehl überprüfen: netsh interface isatap show state Um ISATAP auf einem Computer zu aktivieren, geben Sie folgenden Befehl: netsh interface isatap set state enabled Standardmäßig erhalten ISATAP-Hosts die IPv4-Adresse des ISATAP-Routers, indem sie den Namen ISATAP mit DNS oder anderen IP-Namensauflösungstechniken zu einer IPv4-Adresse auflösen. Nachdem der Host die IP-Adresse des ISATAP-Routers in Erfahrung gebracht hat, fordert er mit IPv4-Unicastnachrichten die Autokonfigurationsdaten vom Router an. Wenn Sie manuell eine Adresse für den ISATAP-Router einstellen möchten, geben Sie folgenden Befehl: netsh interface isatap set router IPv4Adresse Beachten Sie bitte, dass der Router auf die IPv4-gekapselten Unicast-Routeraushandlungsnachrichten antworten muss, bevor der ISATAP-Host ihn als Standardgateway verwendet. Mit dem Programm Ping können Sie die Verbindung zwischen zwei ISATAP-Hosts überprüfen. Allerdings müssen Sie in der ISATAP-IPv6-Adresse die Zonenkennung der virtuellen Schnittstelle angeben. Um die Zonenkennung zu ermitteln, geben Sie in einer Eingabeaufforderung den Befehl ipconfig /all ein. Dann überprüfen Sie die Ausgabe für den Microsoft ISATAP Adapter. Die Zonenkennung steht am Ende der ISATAP-Adresse. In der folgenden Beispielausgabe ist die Zonenkennung fett gedruckt: Tunneladapter LAN-Verbindung* 8: Verbindungsspezifisches DNS-Suffix . : Beschreibung . . . . . . . . . . . . . : Microsoft ISATAP Adapter Physikalische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert . . . . . . . . . . . . : Nein Bereitstellungsschritte 51 Autokonfiguration aktiviert . . . . : Ja Verbindungslokale IPv6-Adresse : fe80::5efe:192.168.1.185%12(Bevorzugt) Standardgateway . . . . . . . . . . . : DNS-Server . . . . . . . . . . . . . . : 127.0.0.1 NetBIOS über TCP/IP. . . . . . . . : Deaktiviert Ermitteln Sie nun die ISATAP-Adresse eines anderen Hosts im selben Netzwerk und geben Sie unter Angabe der Zohnenkennung einen entsprechenden Ping-Befehl, wie im folgenden Beispiel: ping fe80::5efe:192.168.1.186%12 Ping wird ausgeführt für fe80::5efe:192.168.1.186%12 von fe80::5efe:192.168.1.185%12: Antwort Antwort Antwort Antwort von von von von fe80::5efe:192.168.1.186%12: fe80::5efe:192.168.1.186%12: fe80::5efe:192.168.1.186%12: fe80::5efe:192.168.1.186%12: Zeit=3ms Zeit=2ms Zeit=3ms Zeit=3ms Ping-Statistik für fe80::5efe:192.168.1.186%12: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 2ms, Maximum = 3ms, Mittelwert = 2ms Hinweis Um sicherzustellen, dass DNS-Server auf Windows Server 2008-Basis den ISATAP-Namen für ISATAP-Hosts auflösen können, entfernen Sie den ISATAP-Eintrag vom Registrierungswert HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList. So aktivieren Sie 6to4 Während zwei Hosts mit ISATAP auch ohne IPv6-Netzwerkinfrastruktur miteinander kommunizieren können, ist 6to4 auf eine passende Routerkonfiguration angewiesen. Beginnen Sie die Einrichtung von 6to 4 mit der Konfiguration eines 6zu4-Routers mit einer routbaren IPv4-Adresse für das öffentliche Internet. Konfigurieren Sie dann das 6zu4-Relay. Verwenden Sie dabei die Anycastadresse 2002:c058:6301::, die in RFC 3068 definiert wird (erhältlich unter http://www.ietf.org/rfc/rfc3068.txt). Das Anycastpräfix für 6zu4-Relayrouter identifiziert das nächste 6zu4-Relay unter Verwendung des Internetroutingprotokolls Border Gateway Protocol (BGP). Je nach Router wird das Relay vielleicht auch automatisch konfiguriert. Konfigurieren Sie dann den IPv6-Router so, dass er sich in Ihrem lokalen IPv6-Netzwerk als 6zu4Router bekannt macht. Diese Bekanntgabe sollte er mit dem Präfix 2002:WWXX:YYZZ:Subnetzkennung::/64 beginnen. Wenn IPv6-Hosts ihre automatische Konfigurierung durchführen, erhalten sie eine Hostkennung in diesem Subnetz (zusätzlich zur verbindungslokalen Adresse und allen anderen IPv6-Adressen) und verwenden den 6zu4-Router als Standardgateway. Sie können einen einzelnen Computer als 6zu4-Host und 6to4-Router einrichten, wobei der Computer unter Verwendung seiner öffentlichen IPv4-Adresse mit dem IPv6-Internet kommunizieren kann. Wenn ein IPv6-fähiger Windows-Computer über eine öffentliche IPv4-Adresse verfügt, versucht er automatisch, sich als 6zu4-Host/Router zu konfigurieren. Dabei führt er folgende Aufgaben aus: Konfigurieren einer 6to4-Adresse in der Form 2002:WWXX:YYZZ::WWXX:YYZZ. Unter Windows XP und Windows Server 2003 wird diese Adresse der 6to4-Tunneling-Pseudoschnittstelle zugewiesen. Unter Windows Vista und Windows Server 2008 wird die Adresse dem Tunneladapter mit der Beschreibung Microsoft-6zu4-Adapter zugewiesen. 52 Kapitel 2: IPv6 Erstellen einer 2002::/16-Route zur Weiterleitung des 6to4-Datenverkehrs in die Tunnelschnittstelle. Suchen nach einem 6zu4-Relay durch die Abfrage der DNS-Adresse 6to4.ipv6.microsoft.com. Ist die Abfrage erfolgreich, fügt die 6to4-Komponente eine Standardroute zur 6to4-Tunnelschnittstelle hinzu, über die der 6to4-Datenverkehr an das 6zu4-Relay gesendet werden. Ist diese automatische Konfiguration erfolgreich, kann der Host/Router auch ohne manuelle Konfiguration mit dem IPv6-Internet kommunizieren. Wenn Sie überprüfen möchten, ob 6to4 aktiviert wurde, geben Sie folgenden Befehl: netsh interface 6to4 show state Es reicht aber nicht aus, wenn 6to4 nur aktiviert ist. Es muss auch eine Schnittstelle eingerichtet werden. Standardmäßig wird auf Windows Server 2008-Computern keine Schnittstelle konfiguriert. Um zu überprüfen, ob eine Schnittstelle konfiguriert wurde und welches 6zu4-Relay verwendet wird, verwenden Sie folgende Befehle: netsh interface 6to4 show interface netsh interface 6to4 show relay Zur Aktivierung von 6to4 als Host geben Sie folgenden Befehl, wobei Schnittstelle der Name der IPv6-Schnittstelle ist: netsh interface 6to4 set state enabled netsh interface 6to4 set interface "Schnittstelle" default Geben Sie mit folgendem Befehl das 6zu4-Relay an, wobei Relay der Hostname oder die IP-Adresse des 6zu4-Relays ist: netsh interface 6to4 set relay Relay Wenn Sie nun den Befehl ipconfig /all eingeben, werden Sie einen Tunneladapter mit der Beschreibung Microsoft-6zu4-Adapter vorfinden. Hinweis Um die Verbindung mit dem IPv6-Internet zu überprüfen, brauchen Sie eine IPv6-Adresse, auf die Sie Zugriff erhalten können. Eine Liste der über IPv6 zugänglichen Websites finden Sie unter http://www.ipv6.org/v6-www.html. Mit Nslookup können Sie die IPv6-Adresse ermitteln, die mit einem AAAA-Eintrag verknüpft ist. Weitere Informationen über Nslookup finden Sie im Verlauf dieses Kapitels im Abschnitt »Problembehandlung« unter »Nslookup«. So aktivieren Sie Teredo Teredo ist standardmäßig unter Windows XP, Windows Server 2003 und Windows Server 2008 deaktiviert. Obwohl es unter Windows Vista standardmäßig aktiviert wird, ist Teredo je nach der Konfiguration des Clientcomputers meistens inaktiv. Wird ein Windows-Teredo-Client gestartet, sendet er eine Reihe von Routeraushandlungsnachrichten an die Microsoft Teredo-Server unter teredo.ipv6.microsoft.com. Damit wird die Art des NAT-Systems ermittelt, hinter dem sich der Client verbirgt. Die Art des NAT-Systems können Sie mit folgendem Befehl anzeigen: netsh interface ipv6 show teredo In einer Active Directory-Umgebung können Sie Teredo mit folgendem Befehl aktivieren: netsh interface ipv6 set teredo enterpriseclient Bereitstellungsschritte 53 Um Teredo in einer Arbeitsgruppenumgebung auf einem Computer zu aktivieren, geben Sie folgenden Befehl: netsh interface ipv6 set teredo client Den aktuellen Status können Sie mit folgendem Befehl überprüfen: netsh interface teredo show state So konfigurieren Sie einen Computer als IPv6-Router Gewöhnlich werden Router eingesetzt, um Datenpakete von einem Netzwerksegment zum nächsten weiterzuleiten. IPv6-Router lassen sich auch für die Weiterleitung von Datenpaketen durch einen Tunnel verwenden. So kann ein 6zu4-Router zum Beispiel Pakete von einem IPv4-Netzwerk über das IPv4-Internet zu einem 6zu4-Relay senden, das mit dem IPv6-Internet verbunden ist. Dedizierte Netzwerkhardware bietet gewöhnlich geringere Kosten, eine höhere Leistung und eine einfachere Verwaltung, aber das Konfigurieren von Computern als IPv6-Router ermöglicht Ihnen, mit der vorhandenen Computerhardware eine IPv6-Testumgebung einzurichten. Außerdem können Sie in einer Umgebung wie Microsoft Virtual Server oder Microsoft Virtual PC routbare Netzwerke einrichten, die nur aus virtuellen Computern bestehen. Computer, auf denen Windows XP, Windows Vista, Windows Server 2003 oder Windows Server 2008 ausgeführt wird, lassen sich als IPv6-Router, 6zu4-Router oder ISATAP-Router konfigurieren. Die folgenden Abschnitte beschreiben, wie Sie Windows Server 2008-Computer so einrichten, dass sie wie diese IPv6-Routertypen arbeiten. So konfigurieren Sie einen Computer als IPv6-Router Um einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, als IPv6Router zu verwenden, aktivieren Sie mit dem Tool Netsh auf jeder Schnittstelle die IPv6-Weiterleitung. Damit auch die Ankündigungen funktionieren, fügen Sie den Parameter advertise=enabled hinzu. Sie brauchen Ankündigungen aber nur für Schnittstellen zu aktivieren, die mit Netzwerken verbunden sind, in denen es noch keinen ankündigungsfähigen Router gibt. Die folgenden beiden Befehle demonstrieren, wie man die Weiterleitung und Ankündigungen für die Schnittstellen LAN-Verbindung und LAN-Verbindung 2 aktiviert: netsh interface ipv6 set interface "LAN-Verbindung" forwarding=enabled advertise=enabled netsh interface ipv6 set interface "LAN-Verbindung 2" forwarding=enabled advertise=enabled Bevor sich Clients auf der Basis der Routerbekanntgabe (Router Advertisements) selbst automatisch konfigurieren können, müssen Sie mit dem Befehl netsh interface ipv6 add route Routen veröffentlichen. Zuerst konfigurieren Sie mit folgender Syntax für alle direkt angeschlossenen Netzwerke Routen: netsh interface ipv6 add route <Netzwerk>::/64 "Schnittstelle" publish=yes Falls Netsh die Meldung Das Objekt ist bereits vorhanden anzeigt, wurde die Route, die Sie veröffentlichen wollten, vermutlich bereits automatisch hinzugefügt, aber vielleicht noch nicht veröffentlicht. Mit folgendem Befehl können Sie alle Routen anzeigen: netsh interface ipv6 show route Sofern die Route, die Sie veröffentlichen wollen, bereits vorhanden ist, aber noch nicht veröffentlicht wurde, verwenden Sie zur Veröffentlichung der vorhandenen Route folgende Syntax: netsh interface ipv6 set route <Netzwerk>::/64 "Schnittstelle" publish=yes 54 Kapitel 2: IPv6 Mit folgender Syntax können Sie festlegen, welche Schnittstelle für die automatisch zu konfigurierenden Hosts aus demselben Netzwerk als Standardrouter dienen soll: netsh interface ipv6 add route ::/0 "Schnittstelle" nexthop=Adresse publish=yes Nach dem Hinzufügen der Routen können Sie mit dem Befehl netsh interface ipv6 show route alle Routen anzeigen und bei Bedarf mit dem Befehl netsh interface ipv6 delete route selektiv Routen löschen. So konfigurieren Sie einen Router-zu-Router-Tunnel Mit einem Router-zu-Router-Tunnel können Sie zwei IPv6-Netzwerke verbinden, die nur über ein IPv4-Netzwerk miteinander verbunden sind. Zur Einrichtung eines Router-zu-Router-Tunnels geben Sie auf beiden Windows Server 2008-Computern, die als Router dienen, den folgenden Befehl. In diesem Befehl ist SchnittstellenName der lesbare Name für die neue Schnittstelle, die für die Weiterleitung des Datenverkehrs zwischen den beiden Routern eingerichtet wird. LokaleIPv4Adresse ist die IPv4-Adresse des lokalen Routers und RemoteIPv4Adresse ist die IPv4-Adresse des Remoterouters. netsh interface ipv6 add v6v4tunnel "SchnittstellenName" LokaleIPv4Adresse RemoteIPv4Adresse Schließen Sie dann die Einrichtung des Routers mit den Schritten ab, die weiter oben in diesem Kapitel im Abschnitt »So konfigurieren Sie eine Computer als IPv6-Router« beschrieben wurden. So konfigurieren Sie einen Computer als ISATAP-Router Um einen Windows Server 2008-Computer als ISATAP-Router einzurichten, gehen Sie folgendermaßen vor: 1. Verbinden Sie den Computer mit einem IPv4-Intranet und einem IPv6-Intranet. Notieren Sie sich die Schnittstellenindizes jeder Schnittstelle und den Schnittstellenindex der ISATAP-Tunnelschnittstelle (mit der Beschreibung Microsoft ISATAP Adapter). Wenn Microsoft ISATAP Adapter nicht in der Ausgabe von Ipconfig /all erscheint, befolgen Sie die weiter oben in diesem Kapitel im Abschnitt »So aktivieren Sie ISATAP« beschriebenen Schritte. 2. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigungen auf der IPv6-Schnittstelle, wobei Index der Index ist, der Ihrer IPv6-Schnittstelle zugewiesen wurde: netsh interface ipv6 set interface Index forwarding=enabled 3. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigungen auf der ISATAPSchnittstelle, wobei Index der Index ist, der Ihrer ISATAP-Schnittstelle zugewiesen wurde: netsh interface ipv6 set interface Index forwarding=enabled advertise=enabled 4. Fügen Sie mit folgendem Befehl Routen zu Ihrem IPv6-Netzwerk hinzu, wobei Netzwerk/Präfix das Netzwerk samt Präfix ist (beispielsweise 2001:db8:0:1::/64) und es sich bei Index um den Index handelt, der Ihrer ISATAP-Schnittstelle zugewiesen wurde: netsh interface ipv6 add route Netzwerk/Präfix Index publish=yes 5. Fügen Sie mit folgendem Befehl eine Standardroute zu Ihrem Ipv6-Netzwerk hinzu, wobei Index der Index Ihrer Intranetschnittstelle ist und IPv6Adresse die Adresse des Standardgateways: netsh interface ipv6 add route ::/0 Index nexthop=IPv6Adresse publish=yes 6. Stellen Sie mit einer der folgenden Methoden die Adresse des ISATAP-Routers auf den Clients ein: Geben Sie dem Computer den Namen ISATAP und erlauben Sie ihm, sich automatisch bei DNS zu registrieren, bei Bedarf auch bei WINS. Bereitstellungsschritte 55 Erstellen Sie in jeder DNS-Domäne, die ISATAP-Hosts enthält, manuell einen A-Eintrag für den Namen ISATAP. Heißt die Standarddomäne eines ISATAP-Hosts zum Beispiel north.contoso.com, müssen Sie einen A-Eintrag für isatap.north.contoso.com erstellen, um den ISATAP-Router zu identifizieren. Weitere Informationen über DNS finden Sie in Kapitel 7, »DNS«. Fügen Sie in die Datei %SystemRoot%\system32\drivers\etc\hosts einen Eintrag mit dem Wert IPv4Adresse ISATAP ein. Erstellen Sie einen statischen WINS-Datensatz mit dem NETBIOS-Namen ISATAP <00> (dabei steht <00> für den Hexadezimalwert des sechzehnten Zeichens). Weitere Informationen über WINS finden Sie in Kapitel 8, Windows Internet Name Service«. Führen Sie auf dem ISATAP-Router und allen ISATAP-Hosts folgenden Befehl aus, wobei IPv4Adresse die IPv4-Adresse des ISATAP-Routers ist: netsh interface ipv6 isatap set router IPv4Adresse Hinweis ISATAP-Clients, die unter Windows XP ohne Service Pack ausgeführt werden, versuchen den Namen _ISATAP aufzulösen, also nicht ISATAP (beachten Sie das vorangestellte Unterstreichungszeichen). So konfigurieren Sie einen Computer als 6zu4-Router Die einfachste Methode, einen Windows Server 2003- oder Windows Server 2008-Computer als 6zu4Router zu konfigurieren, ist die Aktivierung der gemeinsamen Nutzung von Internetverbindungen (Internet Connection Sharing, ICS). Die Aktivierung von ICS für eine Schnittstelle, der eine öffentliche IPv4-Adresse zugewiesen wurde, aktiviert die IPv6-Weiterleitung für die privaten und die 6zu6-Tunnelschnittstellen. kündigt im privaten Intranet eine 6zu4-Route mit dem Netzwerk 2002:WWXX:YYZZ:Index::/64 an, wobei Index der Schnittstellenindex der privaten Schnittstelle ist. Zur Aktivierung der gemeinsamen Nutzung von Internetverbindungen gehen Sie folgendermaßen vor: 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie im Bereich Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie im Fenster Netzwerkverbindungen mit der rechten Maustaste die Schnittstelle an, der die öffentliche IPv4-Adresse zugewiesen wurde, und klicken Sie dann auf Eigenschaften. 4. Wählen Sie im Eigenschaftendialogfeld der Netzwerkkarte auf der Registerkarte Freigabe das Kontrollkästchen Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden. Klicken Sie auf die Liste Heimnetzwerkverbindung und wählen Sie die Netzwerkkarte aus, die zum privaten Netzwerk gehört. 5. Klicken Sie auf OK und nach Aufforderung auf Ja. ICS dient als ankündigungsfähiger 6zu4-Router. IPv6-Hosts im privaten Netzwerk konfigurieren sich automatisch selbst mit 6zu4-Schnittstellenkennungen und sind in der Lage, auf das IPv6-Internet zuzugreifen. ICS führt für IPv4-Datenverkehr eine NAT-Umsetzung (Network Address Translation) durch und dient für IPv6-Datenverkehr als 6zu4-Router. Mit folgenden Schritten können Sie einen Computer auch manuell als 6zu4-Router einrichten: 1. Konfigurieren Sie den Computer mit einer öffentlichen IPv4-Adresse und überprüfen Sie, dass der Computer keine Routerankündigungsnachrichten (Router Advertisement) von IPv6- oder ISATAPRoutern erhält. Windows Server 2008 erstellt automatisch eine 6zu4-Schnittstelle und fügt eine Standardroute zu einem 6zu4-Relayrouter im IPv4-Internet hinzu. 56 Kapitel 2: IPv6 2. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigung für die Schnittstelle, die mit Ihrem Intranet verbunden ist, wobei Index der Index Ihrer Intranetschnittstelle ist: netsh interface ipv6 set interface Index forwarding=enabled advertise=enabled 3. Geben Sie folgenden Befehl, um den 6zu4-Dienst zu aktivieren: netsh interface ipv6 6to4 set state enabled 4. Aktivieren Sie mit folgendem Befehl die Weiterleitung für die 6zu4-Schnittstelle, wobei Index der Index ist, der Ihrer Internetschnittstelle zugewiesen wurde: netsh interface ipv6 set interface Index forwarding=enabled 5. Fügen Sie mit folgendem Befehl Routen für die 6zu4-Netzwerke hinzu, wobei WWXX:YYZZ für die öffentliche IPv4-Adresse (W.X.Y.Z) in Hexadezimalform steht und es sich bei Index um den Index handelt, der Ihrer Intranetschnittstelle zugewiesen wurde: netsh interface ipv6 add route 2002:WWXX:YYZZ:Subnetzkennung::/64 Index publish=yes Falls Ihr Router über mehrere Netzwerkschnittstellen verfügt, die an mehrere Intranetnetzwerke angeschlossen sind, wiederholen Sie die Schritte 2 bis 5 für jede Intranetschnittstelle. Wartung IPv6 erfordert keine weitere Wartung, um die Konfiguration aufrechtzuerhalten. Im Lauf der Zeit sollten Sie allerdings den Teil Ihres Netzwerks erweitern, der IPv6 unterstützt, und die Verwendung der IPv6-Übergangstechnologien nach Bedarf anpassen. Bei Hosts, die derzeit noch mit Teredo arbeiten, bietet es sich an, sie auf ISATAP und 6zu4 umzustellen. Anschließend stellen Sie die Netzwerke von ISATAP und 6zu4 auf das reine IPv6 um. Problembehandlung Die Behebung von IPv6-Problemen ähnelt der IPv4-Problembehebung. Sie können dieselben Programme verwenden, die bereits im Abschnitt »Problembehandlung« von Kapitel 1 beschrieben wurden. Die folgenden Abschnitte geben Ihnen einige Informationen über die Behebung von IPv6spezifischen Problemen. Netsh Der Befehlskontext von netsh interface ipv6 bietet viele Befehle zur Analyse der aktuellen IPv6Konfiguration und zur Behebung von Problemen. Die nützlichsten Befehle sind: netsh interface ipv6 show global Zeigt globale IPv6-Einstellungen an, darunter auch das Standardabschnittslimit. Diese Einstellungen brauchen Sie zwar nur selten zu ändern, aber sollte es erforderlich werden, können Sie die Änderungen mit dem Befehl netsh interface ipv6 set global vornehmen. netsh interface ipv6 show addresses Zeigt alle IPv6-Adressen an, und zwar etwas kompakter als Ipconfig /all. netsh interface ipv6 show dnsservers Zeigt alle DNS-Server an, die für IPv6 konfiguriert sind. Dabei werden aber keine DNS-Server angezeigt, die für IPv4-Adressen konfiguriert wurden. netsh interface ipv6 show potentialrouters Zeigt alle IPv6-Router an, die ihre Anwesenheit im lokalen Netzwerk bekannt gegeben haben. Problembehandlung 57 netsh interface ipv6 show route Zeigt die automatisch und manuell konfigurierten Routen an, einschließlich Tunnelrouten. netsh interface ipv6 show tcpstats Zeigt verschiedene Daten über den TCP-Verkehr unter IPv6 an, beispielsweise die Zahl der aktuellen Verbindungen, die Gesamtzahl der aus- und eingehenden Verbindungen und die Anzahl der Kommunikationsfehler. netsh interface ipv6 show udpstats Zeigt verschiedene Daten über den UDP-Verkehr unter IPv6 an, beispielsweise die Zahl der aus- und eingegangenen UDP-Datagramme und die Zahl der fehlerhaften Datagramme. netsh interface ipv6 show neighbors Zeigt alle zwischengespeicherten IPv6-Nachbarn an. Mit dem Befehl netsh interface ipv6 delete neighbors können Sie die Nachbarschaftseinträge aus dem Zwischenspeicher löschen. netsh interface ipv6 show destinationcache Zeigt alle zwischengespeicherten IPv6-Hosts an, mit denen der Computer kommuniziert hat. Mit dem Befehl netsh interface ipv6 delete destinationcache können Sie den Zielcache löschen. Bei der Behebung von Problemen, die im Zusammenhang mit den IPv6-Übergangstechnologien auftreten, können Sie folgende Befehle verwenden: netsh interface ipv6 show teredo Zeigt die Teredo-Konfiguration an, darunter den Namen des Teredo-Servers und die Clientportnummer. Diese Einstellungen können Sie mit dem Befehl netsh interface ipv6 set teredo ändern. netsh interface ipv6 6to4 show Befehl In diesem Kontext können Sie einen der vier Befehle interface, relay, routing oder state verwenden, um die aktuelle 6zu4-Konfiguration genauer zu untersuchen. netsh interface isatap show Befehl In diesem Kontext können Sie durch die Verwendung eines der Befehle router oder state die aktuelle ISATAP-Konfiguration untersuchen. Ipconfig Mit dem Hilfsprogramm Ipconfig (Ipconfig.exe) können Sie die IPv4- und IPv6-Konfiguration eines Computers schnell überprüfen. In den Daten, die mit dem Befehl Ipconfig /all für IPv6 angezeigt werden, können einige virtuelle Netzwerkadapter erscheinen, wie in Tabelle 2.3 beschrieben. Tabelle 2.3 IPv6-Netzwerkadapterbeschreibungen Adapterbeschreibung Zweck Microsoft ISATAP Adapter oder isatap.{Kennung} Eine virtuelle Schnittstelle für ISATAP-Tunnel Teredo Tunneling-Pseudoschnittstelle Eine virtuelle Schnittstelle für Teredo-Tunnel 6TO4 Adapter Eine virtuelle Schnittstelle für 6zu4-Tunnel Wenn in der Ausgabe von Ipconfig /all nicht die Zeile IPv6-Adresse erscheint, die Schnittstelle aber über eine verbindungslokale IPv6-Adresse verfügt, ist IPv6 für die Schnittstelle zwar aktiviert, aber bei der Konfiguration der Schnittstelle war kein ankündigungsfähiger Router verfügbar. Um die IPv6-Autokonfiguration manuell einzuleiten, nachdem zum Beispiel Änderungen in der IPv6Routerkonfiguration vorgenommen wurden, öffnen Sie eine Eingabeaufforderung und geben folgende Befehle ein: ipconfig /release6 ipconfig /renew6 58 Kapitel 2: IPv6 Nslookup Wie Kapitel 7 ausführlicher beschreibt, können Sie DNS-Server mit dem Hilfsprogramm Nslookup testen. Beim Test der IPv6-Kommunikation geben Sie in einer Eingabeaufforderung den Befehl nslookup ein, um Nslookup im interaktiven Modus zu starten. Anschließend geben Sie den NslookupBefehl set type=aaaa ein, damit Nslookup die AAAA-DNS-Einträge für IPv6 abruft. Dann können Sie AAAA-Einträge für IPv6 anzeigen, indem Sie den Namen des Datensatzes als Befehl eingeben. Die Eingaben des Benutzers sind im folgenden Beispiel fett gedruckt: nslookup Standardserver: dns.contoso.com Adresse: 10.100.100.201:53 set type=aaaa ipv6.research.microsoft.com Server: dns.contoso.com Adresse: 10.100.100.201:53 Nicht-autorisierende Antwort: Name: ipv6.research.microsoft.com Adressen: 2002:836b:4179::836b:4179, ::131.107.65.121 So lange Sie Nslookup geöffnet lassen, werden bei den DNS-Abfragen, die Sie durchführen, nur AAAA-Einträge abgefragt. Beheben von Teredo-Problemen Bestimmen Sie zuerst mit folgendem Befehl die aktuelle Teredo-Konfiguration: netsh interface teredo show state Erscheint in der Ausgabe die Meldung »Fehler: Client befindet sich in einem verwalteten Netzwerk«, wurde Teredo als Standardclient konfiguriert. Das funktioniert nicht, wenn der Computer zu einer Domäne gehört. Ändern Sie die Konfiguration in diesem Fall mit folgendem Befehl: netsh interface ipv6 set teredo enterpriseclient Falls Teredo immer noch nicht funktioniert, blockiert Ihre Netzwerkinfrastruktur vermutlich die IPv4UDP-Nachrichten, die Teredo für die Kommunikation benutzt. Wenden Sie sich an Ihre Netzwerkadministratoren, damit Router und Firewalls eingehenden UDP-Verkehr zulassen. Komplexeren Problemen können Sie auf die Spur kommen, indem Sie mit folgenden Schritten die Ablaufverfolgung aktivieren: 1. Stellen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Tracing\IpHlpSvc\EnableFileTracing auf 1. 2. Beenden Sie mit dem Befehl net stop iphlpsvc den IP-Hilfsdienst. 3. Löschen Sie den Inhalt des Ordners %SystemRoot%\Tracing. 4. Starten Sie den IP-Hilfsdienst mit dem Befehl net start iphlpsvc. 5. Versuchen Sie, den Fehler zu reproduzieren. Sie können Teredo zum Beispiel mit dem Befehl netsh interface teredo show state zu einem Verbindungsversuch veranlassen. Nun können Sie im Ordner %SystemRoot%\Tracing die Protokolldateien der Ablaufverfolgung überprüfen oder die Dateien an die zuständige Technikabteilung weiterleiten. Weitere Informationen 59 6. Stellen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Tracing\IpHlpSvc\EnableFileTracing auf 0. 7. Beenden Sie den IP-Hilfsdienst mit dem Befehl net stop iphlpsvc und starten Sie ihn wieder mit net start iphlpsvc. Zusammenfassung des Kapitels Was Netzwerke betrifft, ist Pv6 die Zukunft, weil es einen wesentlich größeren Adressraum als IPv4 bietet. Einige Organisationen sind bereits jetzt auf IPv6 angewiesen und müssen ihre Netzwerke zügig auf IPv6 umstellen. Die meisten Organisationen können sich mit der Einführung der IPv6-Infrastruktur dagegen noch einige Jahre Zeit lassen. Die Kenntnis der Voraussetzungen für IPv6 ermöglicht es diesen Organisationen aber, bei der Anschaffung von Hardware und Software bereits heute Produkte zu wählen, die sich künftig auch in einer IPv6-Netzwerkumgebung verwenden lassen. Auch in einer Organisation, die sich bereits heute für die Einführung von IPv6 entscheidet, wird die Umstellung eine gewisse Zeit erfordern. Damit IPv6 in Netzwerken verwendet werden kann, die nur IPv4 unterstützen, stehen einige wichtige Übergangstechnologien zur Verfügung: ISATAP, 6zu4 und Teredo. Diese Technologien ermöglichen es IPv6-Hosts in IPv4-Netzwerken, Verbindungen mit IPv6Remotenetzwerken einschließlich des IPv6-Internets herzustellen. Außerdem lassen sich IPv6-Remotenetzwerke verbinden, die nur durch ein IPv4-Netzwerk verbunden sind, und Verbindungen zwischen IPv6-Hosts, die hinter einem NAT-System verborgen sind, und dem IPv6-Internet herstellen. Die meisten IPv6-Hosts werden automatisch konfiguriert. Da IPv6 unter Windows Vista und Windows Server 2008 standardmäßig aktiviert ist, brauchen Sie auf den meisten Computern keine entsprechenden Konfigurationsarbeiten durchzuführen. Allerdings muss eine Routinginfrastruktur eingerichtet werden. Da die meisten Organisationen IPv6 in Testumgebungen verwenden, für die keine zusätzliche IPv6-Netzwerkhardware angeschafft wird, bietet es sich an, Windows Server 2008 als IPv6-Router zu konfigurieren. Während IPv6 kaum Wartung erfordert, müssen sich Administratoren häufiger mit der Behebung von IPv6-Problemen beschäftigen, da es sich um eine relativ neue Netzwerktechnologie handelt. Zu diesem Zweck können Sie dieselben Problembehebungstools verwenden, die Sie bereits von der Suche nach Fehlern in IPv4-Netzwerken her kennen. Weitere Informationen Weitere Informationen über IPv6 finden Sie in folgenden Büchern und Dokumenten: Understanding, IPv6, Second Edition von Joseph Davies (Microsoft Press, 2008) Die Microsoft-TechNet-Seite IPv6 (http://www.microsoft.com/Ipv6) »Introduction to IPv6« (http://technet.microsoft.com/en-us/library/bb726944.aspx) »IPv6 Transition Technologies« (http://www.microsoft.com/downloads/details.aspx?FamilyID= afe56282-2903-40f3-a5ba-a87bf92c096d) »Teredo Overview« (http://www.microsoft.com/technet/network/ipv6/teredo.mspx) Das Microsoft-TechNet-IPv6-Blog (http://blogs.technet.com/ipv6/) 61 K A P I T E L 3 Dynamic Host Configuration Protocol In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 63 67 77 80 81 82 Die meisten IPv4-Netzwerkgeräte mit Ausnahme einiger Server und Teile der Netzwerkinfrastruktur erhalten ihre IP-Adressen von einem DHCP-Server (Dynamic Host Configuration Protocol). Hosts, die mit DHCP automatisch konfiguriert werden, lassen sich viel einfacher verwalten als Hosts, deren IP-Adressen von Hand eingestellt werden müssen. Das gilt insbesondere dann, wenn Sie Hosts in ein anderes Subnetz verlegen, die DNS-Server (Domain Name System) oder WINS-Server (Windows Internet Name Service) ändern oder das Standardgateway aktualisieren müssen. Auch manche IPv6-Netzwerkgeräte können zur Autokonfiguration DHCP verwenden. Aber viele IPv6-Netzwerkgeräte verlassen sich darauf, dass Router die Informationen liefern, die sie brauchen, um eine Verbindung mit dem Netzwerk herzustellen. Egal, ob Sie IPv4, IPv6 oder beides verwenden, die DHCP-Serverkomponente von Windows Server 2008 gibt Ihnen eine relativ einfache und unternehmensweit wirksame Kontrolle über die Konfiguration der meisten Netzwerkhosts. Dieses Kapitel beschreibt die Vorplanung für die Verwendung der DHCP-Serverkomponente von Windows Server 2008, ihre Bereitstellung, ihre Wartung und die Behebung von Fehlern. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt. Konzepte DHCP ermöglicht durch den Austausch einiger Nachrichten mit DHCP-Clients eine automatische Einstellung der IP-Adressen der Clients, wenn die Clients hochgefahren oder ans Netzwerk angeschlossen werden. DHPC-Leases sorgen dafür, dass vergebene IP-Adressen wieder zur Verfügung stehen, wenn sie nicht mehr von einem Client verwendet werden. Die folgenden Abschnitte geben Ihnen einen kurzen Überblick über den DHCP-Adressenzuweisungsprozess und den DHCP-Lebenszyklus. 62 Kapitel 3: Dynamic Host Configuration Protocol Der DHCP-Adressenzuweisungsprozess Wird ein DHCP-Client gestartet, erhält er nach dem in Abbildung 3.1 dargestellten Prozess von einem DHCP-Server aus demselben Subnetz seine IP-Adressenkonfiguration. Abbildung 3.1 Der DHCP-Adressenzuweisungsprozess Diese vier Schritte sind für eine erfolgreiche DHCP-Adressenzuweisung erforderlich: 1. Broadcast von DHCPDiscover Der Client sendet einen DHCPDiscover-Rundruf ins lokale Netzwerk, um die verfügbaren DHCP-Server zu ermitteln. 2. Antwort mit DHCPOffer Sofern ein DHCP-Server mit dem lokalen Netzwerk verbunden ist und den DHCP-Client mit den gewünschten IP-Adressendaten versorgen kann, sendet er dem DHCPClient eine DHCPOffer-Unicastnachricht. Die DHCPOffer-Nachricht enthält eine Liste mit DHCPKonfigurationsparametern und eine verfügbare Adresse aus dem Bereich, für den DHCP zuständig ist. Liegt dem DHCP-Server eine IP-Adressenreservierung für die MAC-Adresse des DHCPClients vor, bietet er dem DHCP-Client die reservierte IP-Adresse an. Es ist möglich, dass mehrere DHCP-Server dem DHCP-Client antworten. Hinweis Die meisten DHCP-Clients, einschließlich Microsoft Windows 2000 und aller späteren Versionen von Windows, führen eine IP-Adressenüberprüfung durch, um zu überprüfen, ob die in einer DHCPOffer-Nachricht angebotene IP-Adresse bereits verwendet wird. Falls die Adresse bereits verwendet wird, sendet der DHCP-Client eine DHCPDecline-Nachricht. 3. Antwort mit DHCPRequest Der DHCP-Client beantwortet eine der DHCPOffer-Nachrichten und fordert die IP-Adresse an, die ihm in der DHCPOffer-Nachricht angeboten wurde. Er könnte auch die IP-Adresse anfordern, die ihm zuvor bereits zugewiesen wurde. 4. Bestätigung mit DHCPAck Ist die IP-Adresse noch verfügbar, die der DHCP-Client anfordert, antwortet der DHCP-Server mit einer DHCPAck-Bestätigungsnachricht. Anschließend kann der Client die IP-Adresse verwenden. So funktioniert’s: Das DHCP-Protokoll Für den DHCP-Datenverkehr wird das Schicht-4-Protokoll UDP (User Datagram Protocol) verwendet. Nachrichten vom DHCP-Client an den DHCP-Server verwenden den UDP-Quellport 68 und den UDP-Zielport 67. Nachrichten vom DHCP-Server an den DHCP-Client verwenden den UDP-Quellport 67 und den UDP-Zielport 68. IP-Adressenzuweisungen von DHCP umfassen gewöhnlich folgende Grundinformationen über die IP-Adressenkonfiguration (es gibt noch eine Reihe anderer Optionen): Länge der DHCP-Lease IP-Adresse Planungs- und Entwurfsaspekte 63 Subnetzmaske Standardgateway Bevorzugter und alternativer DNS-Server Bevorzugter und alternativer WINS-Server DHCP-Lebenszyklus Damit keine IP-Adresse von einem Client belegt wird, der keine Verbindung mehr mit dem Netzwerk hat, läuft die Gültigkeit der Adresszuordnung mit dem Ende einer DHCP-Leaseperiode ab und der DHCP-Server zieht die Adresse wieder ein. Ist die erste Hälfte einer DHCP-Lease abgelaufen, sendet der DHCP-Client dem DHCP-Server eine Erneuerungsanforderung. Ist der DHCP-Server zu diesem Zeitpunkt verfügbar, bewilligt er normalerweise die Erneuerung und es beginnt eine neue Leaseperiode. Ist kein DHCP-Server verfügbar, versucht der DHCP-Client nach Ablauf der Hälfte der verbleibenden Leasezeit, die DHCP-Lease zu erneuern. Ist der DHCP-Server immer noch nicht verfügbar, wenn 87.5% der Leaseperiode abgelaufen ist, sucht der Client nach einem anderen DHCP-Server und fordert von ihm eine IP-Adresse an. Dabei kann ihm durchaus eine andere IP-Adresse zugewiesen werden. Wird der DHCP-Server normal heruntergefahren oder gibt ein Administrator den Befehl ipconfig /release ein, sendet der Client dem DHCP-Server, von dem er die Adresse erhalten hat, eine DHCPRelease-Nachricht. Der DHCP-Server kennzeichnet die IP-Adresse dann als verfügbar und kann sie einem anderen DHCP-Client zuweisen. Falls der DHCP-Client unerwartet vom Netzwerk getrennt wird und keine Gelegenheit mehr hat, eine DHCPRelease-Nachricht zu senden, weist der DHCP-Server die IP-Adresse so lange keinem anderen Client zu, bis die DHCP-Lease abgelaufen ist. Daher ist es wichtig, in Netzwerken mit hohen Fluktuationsraten, wie sie zum Beispiel in drahtlosen Netzwerken häufiger vorkommen, kürzere DHCP-Leaseperioden zu wählen (zum Beispiel 6 Stunden statt 6 Tage). Planungs- und Entwurfsaspekte Sie müssen das DHCP-System Ihres Netzwerks sorgfältig planen, um zu vermeiden, dass autorisierte Benutzer nicht auf Netzwerkressourcen zugreifen können. Berücksichtigen Sie insbesondere folgende Elemente: DHCP-Server DHCP-Server sollten stets verfügbar sein. Daher sollten Sie erwägen, mehrere DHCP-Server zu installieren, um für eine hinreichende Redundanz zu sorgen. Sie können zwar über eine WAN-Verbindung auf einen DHCP-Server zugreifen, müssen aber das Risiko berücksichtigen, dass eine Störung in der WAN-Verbindung dazu führt, dass der DHCP-Server nicht mehr verfügbar ist. DHCP-Relay-Agenten Zur Kontaktaufnahme mit einem DHCP-Server senden DHCP-Clients eine Rundrufnachricht ins lokale Netzwerksegment. Damit DHCP-Clients auch auf DHCP-Server aus anderen Netzwerksegmenten zugreifen können, richten Sie in jedem Netzwerksegment, das nicht über einen eigenen DHCP-Server verfügt, DHCP-Relay-Agenten ein. Gewöhnlich dienen Router als DHCP-Relay-Agenten. DHCP-Leaseperioden Längere DHCP-Leaseperioden verringern die Belastung des Netzwerks, die durch DHCP-Leaseerneuerungen hervorgerufen wird. Kürzere DHCP-Leaseperioden verringern den Zeitraum, in dem IP-Adressen unbenutzt bleiben, wenn ein DHCP-Client aus dem Netzwerk entfernt wird. Sie müssen für jedes Netzwerk Ihrer Organisation die optimale DHCP-Leaseperiode ermittelt. 64 Kapitel 3: Dynamic Host Configuration Protocol Bevor Sie Ihren ersten DHCP-Server konfigurieren, sollten Sie Ihre Subnetze, Bereiche und Ausschlüsse planen. Dieser Abschnitt gibt Ihnen die Informationen, die Sie für die Planung brauchen. Hinweis Network Access Protection (NAP) hindert Clients daran, eine Verbindung mit dem Netzwerk herzustellen, solange sie nicht authentifiziert und autorisiert sind. Weitere Informationen über NAP finden Sie in Teil IV dieses Buchs, »Netzwerkzugriffsschutz-Infrastruktur«. Ausführliche Informationen über die Planung, Bereitstellung, Wartung und Konfiguration der DHCP-Erzwingung finden Sie in Kapitel 19, »DHCPErzwingung«. DHCP-Server Die Hardwarevoraussetzungen für DHCP-Server sind minimal, und Server, die die Mindestvoraussetzungen erfüllen, die an die Hardware eines Windows Server 2008-Computers gestellt werden, können für Tausende von Clientcomputern als DHCP-Server dienen. Außerdem können Sie DHCP mit DNS, WINS oder anderen Infrastrukturdiensten kombinieren. Obwohl DHCP-Server im Normalfall kaum Probleme mit Leistungsengpässen haben, können sich in Extremsituationen, wenn zum Beispiel nach einem Stromausfall Tausende von Computern neu hochgefahren werden, Zugriffe auf Festplattenlaufwerke als limitierender Faktor erweisen. Verwenden Sie daher zur Steigerung der Laufwerkszugriffe RAID-Konfigurationen (Redundant Array of Independent Disks) oder andere Hochleistungsspeicher. Die Anforderungen eines DHCP-Servers an den Speicherplatz sind minimal. Die DHCP-Datenbank kann zwar einige Gigabyte groß werden, aber gewöhnlich ist sie kleiner als 100 Megabyte. Was die Redundanz betrifft, sollten Sie mindestens zwei DHCP-Server einplanen. Ist beim Start eines DHCP-Clients kein DHCP-Server verfügbar, weist sich der Client gewöhnlich selbst eine APIPAAdresse (Automatic Private IP Addressing) zu, mit der nur Zugriffe auf andere Hosts möglich sind, die ebenfalls über APIPA-Adressen verfügen. Wenn also kein DHCP-Server verfügbar ist, können DHCP-Clients nicht auf andere Netzwerkressourcen zugreifen. Weitere Informationen über APIPA finden Sie in Kapitel 1, »IPv4«. DHCP-Relay-Agenten DHCP-Anfragen sind Broadcastnachrichten (»Rundrufe«), die nur Computer aus demselben Netzwerksegment erreichen. Daher müssen Sie entweder jedes Netzwerksegment, in dem DHCP-Clients vorhanden sind, mit einem DHCP-Server oder mit einem DHCP-Relay-Agent ausstatten. DHCP-Relay-Agenten warten auf DHCP-Anforderungsbroadcasts und leiten die Anforderung in einer Unicastnachricht an einen DHCP-Server eines anderen Subnetzes weiter, wie in Abbildung 3.2 dargestellt. Der DHCP-Server überprüft die Quell-IP-Adresse vom DHCP-Relay-Agenten und sucht eine verfügbare IP-Adresse aus dem Bereich heraus, die zum Subnetz des DHCP-Clients passt. Dann erfolgt die übliche DHCP-Zuweisung von IP-Adressen, wobei alle Nachrichten vom DHCP-RelayAgent weitergeleitet werden. Abbildung 3.2 Ein DHCP-Relay-Agent leitet eine DHCPDiscover-Nachricht in ein anderes Subnetz weiter Planungs- und Entwurfsaspekte 65 Die meisten Router können auch als DHCP-Relay-Agenten dienen. Sie werden häufig noch als BOOTPRelay-Agenten bezeichnet, wobei mit BOOTP ein inzwischen veralteter Standard gemeint ist, der durch DHCP ersetzt wurde. Im Normalfall sollten Sie den Router jedes Subnetzes als DHCP-RelayAgent einrichten, sofern es in dem betreffenden Subnetz keinen DHCP-Server gibt. Wie in diesem Kapitel noch beschrieben wird, können Sie auch Computer als DHCP-Relay-Agenten konfigurieren. Im Normalfall sollten Sie an jedem Standort mindestens einen DHCP-Server einrichten, oder zwei, falls Sie Wert auf Redundanz legen. Sie können zwar einen DHCP-Relay-Agenten verwenden, um Anforderungen über ein WAN (Wide Area Network) weiterzuleiten, aber dann erhalten DHCP-Clients keine IP-Adressen mehr, wenn die WAN-Verbindung ausfällt. DHCP-Leasezeiten Standardmäßig sieht Windows Server 2008 eine Leaseperiode von 8 Tagen für verkabelte Netzwerke und von 6 Stunden für drahtlose Netzwerke vor. Sie können die Standardeinstellungen in Netzwerken übernehmen, in denen folgende Bedingungen erfüllt sind: Zu jedem Zeitpunkt wird weniger als ein Drittel des verfügbaren DHCP-Bereichs verwendet. Bei den Clientcomputern handelt es sich hauptsächlich um Desktops, die länger als eine Woche ohne Unterbrechung ans Netzwerk angeschlossen bleiben. Die IP-Adressen der DNS-Server, WINS-Server und Router werden nicht regelmäßig geändert. Falls ein Netzwerk nicht alle diese Voraussetzungen erfüllt, müssen Sie vielleicht eine kürzere Leaseperiode wählen. Für Drahtlosnetzwerke wird zum Beispiel eine Leaseperiode von 6 Stunden vorgeschlagen, weil drahtlose Verbindungen gewöhnlich nur relativ kurze Zeit bestehen bleiben. Auch für herkömmlich verkabelte Netzwerke mit einer großen Anzahl von mobilen Computern und Remotezugriffsverbindungen (beispielsweise ein virtuelles privates Netzwerk) sollten kürzere Leaseperioden verwenden, weil IP-Adressen gewöhnlich nicht über den Tag hinaus verwendet werden. Wenn in Spitzenzeiten mehr als die Hälfte Ihres DHCP-Bereichs belegt ist, verringert eine kürzere Leaseperiode das Risiko, dass der DHCP-Server keine freien Adressen mehr zur Verfügung stellen kann. Kürzere Leaseperioden ermöglichen Ihnen die Änderung von IP-Adresseneinstellungen in einem kürzeren Zeitrahmen. Wenn Sie zum Beispiel Ihren DNS-Server durch einen Server ersetzen, der eine andere IP-Adresse verwendet, können Sie die Optionen auf dem DHCP-Server sofort aktualisieren. Allerdings müssen Sie dafür sorgen, dass in der Übergangsphase, in der DHCP-Clients noch mit den alten IP-Einstellungen arbeiten, der alte und der neue DNS-Server im Netzwerk verfügbar sind. Mit einer kürzeren DHCP-Leaseperiode von 6 Stunden können Sie davon ausgehen, dass die DHCP-Clients nach dem Ablauf dieser Zeit über die aktuelle DNS-Serverkonfiguration verfügen. Den alten DNSServer können Sie also am nächsten Tag vom Netz nehmen. Bei einer Leaseperiode von 8 Tagen müssten Sie den alten DNS-Server noch länger als eine Woche am Netz lassen. Der Nachteil einer kürzeren DHCP-Leasezeit besteht in einer höheren Netzwerkbelastung durch die häufiger erforderliche DHCP-Erneuerung. Allerdings ist die Bandbreite, die für die Erneuerung einer DHCP-Lease erforderlich ist, im Vergleich zur Bandbreite moderner LANs (Local Area Networks) meistens vernachlässigbar. Bei einer relativ kurzen Leaseperiode von 6 Stunden werden zum Beispiel alle 3 Stunden für jeden DHCP-Client zwei kleine Pakete übertragen. Die dafür erforderliche Bandbreite ist kaum messbar und wirkt sich nicht negativ auf die Netzwerkleistung aus. Daher können Sie normalerweise kürzere DHCP-Leasezeiten verwenden, ohne das Netzwerk dadurch spürbar zu belasten. 66 Kapitel 3: Dynamic Host Configuration Protocol Festlegen von Adressenbereichen Ein DHCP-Bereich ist der Adressenbereich, aus dem die Clients eines Subnetzes ihre IP-Adressen erhalten. Damit nicht zwei verschiedene DHCP-Server dieselbe IP-Adresse vergeben, sollte jeweils nur ein einziger DHCP-Server für einen bestimmten Bereich zuständig sein. Nach der 80/20-Regel ist es sinnvoll, für jedes Subnetz zwei DHCP-Server vorzusehen und geteilte DHCP-Bereiche zu verwenden (eine Konfiguration, die auch DHCP split-scope genannt wird). Dabei richten Sie auf beiden DHCP-Servern denselben Bereich ein, legen aber zusätzlich einen Ausschlussbereich fest, damit der erste DHCP-Server 80 Prozent der Adressen aus dem Gesamtbereich vergibt, während der zweite DHCP-Server für die restlichen 20 Prozent der IP-Adressen aus dem Bereich zuständig ist. Ein Ausschlussbereich bewirkt, dass ein DHCP-Server keine Adressen aus einem bestimmten Abschnitt eines Bereichs zuweisen kann. Wenn der primäre DHCP-Server ausfällt, verfügt der Ersatzserver über genügend IP-Adressen, um neue Clients mit Adressen zu versorgen, sofern der Hauptserver hinreichend schnell wieder ans Netz gehen kann (beispielsweise innerhalb von 24 Stunden). Steht der primäre DHCP-Server für einen längeren Zeitraum nicht mehr zur Verfügung, können Sie den Ausschluss vom Ersatzserver entfernen und dem Server auf diese Weise erlauben, IP-Adressen aus dem ganzen Bereich zuzuweisen. Direkt von der Quelle: Festlegen des Verhältnisses von geteilten DHCP-Bereichen Meistens wird zwar eine 80/20-Aufteilung der verfügbaren Adressen zwischen dem DHCP-Hauptserver und dem Ersatzserver verwendet, aber Sie können selbstverständlich auch ein anderes Verhältnis wählen, das für Ihr Netzwerk angemessen ist. Zur Bestimmung des Verhältnisses bietet sich die Faustregel (0,5 * Leasezeit im Subnetz) : (Zeit für die Wiederherstellung eines Servers) an. Beträgt die Adressenleasezeit auf Ihrem DHCP-Server zum Beispiel 8 Tage, erneuern Clients ihre Lease nach jeweils 0.5 * 8 = 4 Tagen. Nehmen wir an, Sie brauchen einen Tag, um einen ausgefallenen Server wieder betriebsbereit zu machen. Nach der Faustregel ergibt sich daraus das Verhältnis 4:1 oder 80:20. Mit dieser Faustregel können Sie das für Ihr Netzwerk passende Verhältnis abschätzen. Im Idealfall können Sie die obige Regel vergessen und eine 50/50-Aufteilung verwenden, wenn zum Beispiel ein hinreichend großer Adressraum zur Verfügung steht (insbesondere dann, wenn Sie einen der in RFC 1918 festgelegten privaten Adressräume verwenden). Beachten Sie bitte, dass die maximale Zahl der Clients in diesem Fall ungefähr 50 Prozent des verfügbaren Adressenbereichs betragen sollte. Wenn Sie also ungefähr 250 Clients erwarten, sollten Sie für das Subnetz einen /23-Adressbereich verwenden. Auf diese Weise können Sie Ihre DHCP-Systeme genauer an die Erfordernisse anpassen. Santosh Chandwani, Lead Program Manager Enterprise Networking Group Servercluster für DHCP Falls die Aufteilung der DHCP-Bereiche auf mehrere Server nicht reicht, um Ihre Anforderungen an die Ausfallsicherheit zu erfüllen, können Sie auch Servercluster verwenden, um den DHCP-Dienst hochverfügbar zu machen. Der Aufbau eines Serverclusters für den DHCP-Serverdienst erfordert, Bereitstellungsschritte 67 dass der Servercluster über ein Festplattenlaufwerk, eine IP-Adresse (sie muss statisch sein) und über Namensressourcentypen verfügt. Nach der Konfiguration des DHCP-Serverdienstes auf den Knoten des Serverclusters autorisieren Sie die virtuelle IP-Adresse des Clusters in Active Directory. Dann legen Sie mit der Clusterverwaltung den Datenbankpfad, den Pfad für die Überwachungsprotokolldatei und den Pfad für die Datenbanksicherung auf dem freigegebenen Festplattenlaufwerk fest. Vergessen Sie bei der Einrichtung der DHCP-Bereiche nicht, die virtuellen IP-Adressen des Clusters auszuschließen. Weitere Informationen über DHCP-Cluster finden Sie im Hilfe und Support-System von Windows Server 2008 unter der Überschrift »Zentralisieren der Verwaltung von zwei oder mehr DHCP-Servern als ein Einzelsystem durch Clustern von DHCP-Servern«. Dynamisches DNS Da DHCP-Clients unterschiedliche IP-Adressen erhalten können, müssen auch die DNS-Einträge für einen DHCP-Client aktualisiert werden, wenn sich die IP-Adresse des Clients ändert. Das ist mit dynamischem DNS (Dynamic DNS) möglich, wobei Clients ihrem DNS-Server eine Nachricht schicken, um ihre DNS-Ressourceneinträge zu aktualisieren. Weitere Informationen über DNS erhalten Sie in Kapitel 7, »DNS«. Einige Clients wie zum Beispiel Microsoft Windows NT 4.0 und ältere Windows-Versionen können ihre eigenen DNS-Einträge nicht aktualisieren. Für solche Clients oder für Clients, die so eingestellt wurden, dass sie ihre eigenen DNS-Einträge nicht aktualisieren, kann der DHCP-Server die DNSEinträge aktualisieren (sowohl A- als auch PTR-Einträge), nachdem er dem DHCP-Client eine IP-Adresse zugewiesen hat. DHCP-Server können auch DNS-Einträge löschen, wenn eine Lease gelöscht wird. Windows Server 2008 wird standardmäßig so konfiguriert, dass es auf Anforderung für Clients DNSAktualisierungen durchführt. Daher brauchen Sie wahrscheinlich keine Änderungen an der Einstellung des DHCP-Servers vorzunehmen, um dynamisches DNS zu unterstützen. Wenn Sie Clients verwenden, die kein dynamisches DNS unterstützen (wie Windows NT 4.0 und ältere Versionen von Windows), oder wenn Ihre DNS- und DHCP-Server nicht zur selben Active Directory-Domäne gehören, müssen Sie die Konfiguration des DHCP-Servers ändern, wenn dynamisches DNS möglich sein soll. Weitere Informationen finden Sie im nächsten Abschnitt »Bereitstellungsschritte« dieses Kapitels unter »Konfigurieren des dynamischen DNS«. Bereitstellungsschritte Zur Bereitstellung von DHCP fügen Sie zuerst eine Rolle zum Server hinzu, richten die gewünschten Bereiche ein, legen Einstellungen und Ausschlüsse fest und autorisieren dann den DHCP-Server. Dann konfigurieren Sie Ihre Router als DHCP-Relay-Agenten, damit Anfragen aus Subnetzen weitergeleitet werden, in denen es keine DHCP-Server gibt. Gewöhnlich ist für die anderen Computer mit Ausnahme des DHCP-Servers keine spezielle Konfiguration erforderlich, weil sie standardmäßig als DHCP-Clients konfiguriert werden. Die folgenden Abschnitte beschreiben Schritt für Schritt, wie Sie DHCP in Ihrem Netzwerk bereitstellen. 68 Kapitel 3: Dynamic Host Configuration Protocol DHCP-Server Wenn Sie einen DHCP-Server einrichten, installieren Sie zuerst die Rolle DHCP-Server. Beim Hinzufügen der Rolle können Sie einen einzelnen Bereich hinzufügen. Weitere Bereiche, Reservierungen und Ausschlüsse sollten Sie nach der Konfiguration der Rolle hinzufügen. Haben Sie die Konfiguration des DHCP-Servers abgeschlossen und befindet sich der DHCP-Server in einer Active DirectoryDomänenumgebung, autorisieren Sie den Server, um den DHCP-Server zu aktivieren. Installieren der DHCP-Serverrolle Sie können Computer, auf denen Windows Server 2008 ausgeführt wird, als DHCP-Server verwenden, indem Sie die DHCP-Serverrolle hinzufügen. So fügen Sie die DHCP-Serverrolle hinzu 1. Konfigurieren Sie den Server mit einer statischen IP-Adresse. DHCP-Server sollten immer eine statische IP-Adresse haben, weil die Verwendung einer dynamischen IP-Adresse voraussetzen würde, dass sich noch ein weiterer DHCP-Server im Netzwerk befindet. 2. Klicken Sie auf Start und dann auf Server-Manager. 3. Klicken Sie im linken Bereich auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen. 4. Falls die Seite Vorbereitungsmaßnahmen angezeigt wird, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Serverrollen auswählen das Kontrollkästchen DHCP-Server und klicken Sie dann auf Weiter. Abbildung 3.3 Die Seite Bindungen für Netzwerkverbindung auswählen des Assistenten zum Hinzufügen von Rollen Bereitstellungsschritte 69 6. Klicken Sie auf der Seite DHCP-Server auf Weiter. 7. Sofern die Seite Bindungen für Netzwerkverbindung auswählen erscheint (Abbildung 3.3), wählen Sie die Netzwerkschnittstellen aus, die der DHCP-Server für die Zuweisung von IP-Adressen verwenden soll. Diese Seite wird nur angezeigt, wenn der DHCP-Server über mehrere Netzwerkverbindungen verfügt. Klicken Sie auf Weiter. 8. Geben Sie auf der Seite Festlegen der IPv4-DNS-Servereinstellungen im Feld Übergeordnete Domäne die übergeordnete Domäne ein, die Clients für die Namensauflösung verwenden sollen. Wenn Sie zum Beispiel die übergeordnete Domäne contoso.com eingeben und ein Clientbenutzer in seinem Webbrowser intranet eingibt, versucht der Clientcomputer, den Namen intranet.contoso.com aufzulösen. Die übergeordnete Domäne braucht nicht dieselbe Domäne wie die Active Directory-Domäne zu sein. Geben Sie dann die IP-Adressen des bevorzugten und des alternativen DNS-Servers ein. Klicken Sie auf Weiter. 9. Auf der Seite Festlegen der IP4-WINS-Servereinstellungen können Sie festlegen, ob Clients die IP-Adresse eines WINS-Servers erhalten. Wenn es in Ihrem Netzwerk keinen WINS-Server gibt, übernehmen Sie die Standardeinstellung WINS ist für Anwendungen in diesem Netzwerk nicht erforderlich. Verwenden Sie einen oder mehrere WINS-Server, wählen Sie WINS ist für Anwendungen in diesem Netzwerk erforderlich und geben Sie dann die IP-Adressen des bevorzugten und des alternativen WINS-Servers ein. Klicken Sie auf Weiter. 10. Auf der Seite DHCP-Bereiche hinzufügen oder bearbeiten legen Sie den Adressenbereich fest, aus dem Clients ihre IP-Adressen erhalten. Fügen Sie mit den folgenden Schritten so viele DHCPBereiche hinzu, wie Sie brauchen, und klicken Sie dann auf Weiter: a. Klicken Sie auf Hinzufügen, um das Dialogfeld Bereich hinzufügen zu öffnen. b. Geben Sie im Feld Bereichsname einen Namen für den Bereich ein, zum Beispiel Verkabelt192.168.1.0/24. c. Geben Sie in den Feldern Start-IP-Adresse und End-IP-Adresse die niedrigste und die höchste IP-Adresse ein, die Sie zuweisen möchten, beispielsweise 192.168.1.100 und 192.168.1.199. d. Im Feld Subnetzmaske geben Sie die Subnetzmaske ein, zum Beispiel 255.255.255.0. e. Geben Sie im Feld Standardgateway die IP-Adresse des Netzwerkrouters ein. f. Wählen Sie in der Dropdownliste Subnetztyp den Typ Verkabelt oder Drahtlos aus, je nach Art des Netzwerks. g. Wenn der Bereich sofort aktiv werden soll, wählen Sie das Kontrollkästchen Diesen Bereich aktivieren. h. Klicken Sie auf OK und dann auf Weiter. 11. Wenn die Seite Konfigurieren des statusfreien DHCPv6-Modus erscheint, wählen Sie Statusfreien DHCPv6-Modus für diesen Server deaktivieren, sofern Sie IPv6-Clients mit DHCP konfigurieren möchten. Die Standardeinstellung Statusfreien DHCPv6-Modus für diesen Server aktivieren bewirkt, dass DHCP für IPv6-Clients deaktiviert wird. Die IPv6-Clients führen dann ausschließlich mit den Informationen eine Autokonfiguration durch, die sie von Ihren IPv6-Routern erhalten. Klicken Sie auf Weiter. 12. Wenn die Seite IPv6 DNS-Servereinstellungen angeben erscheint, geben Sie die übergeordnete Domäne und die IPv6-Adressen des bevorzugten und des alternativen DNS-Servers ein und klicken dann auf Weiter. 13. Wenn die Seite DHCP-Server autorisieren erscheint, haben Sie die Wahl, ob Sie den DHCP-Server mit Ihren aktuellen Anmeldeinformationen autorisieren, andere Anmeldeinformationen verwenden 70 Kapitel 3: Dynamic Host Configuration Protocol oder die Autorisierung überspringen. Wenn Sie die Autorisierung überspringen, können Sie den DHCP-Server später in der DHCP-Konsole autorisieren. Klicken Sie auf Weiter. 14. Auf der Seite Installationsauswahl bestätigen überprüfen Sie Ihre Einstellungen und klicken dann auf Installieren. 15. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen. Autorisieren eines DHCP-Servers In Active Directory-Domänenumgebungen wird ein DHCP-Server nur dann gestartet, wenn er autorisiert ist. Anders gesagt, ein nichtautorisierter DHCP-Server kann Clients nicht mit DHCP-Adressen versorgen. Die Bedingung, dass Server autorisiert sein müssen, verringert das Risiko, dass ein Benutzer versehentlich einen DHCP-Server erstellt, der ungültige IP-Adresskonfigurationen an DHCPClients ausgibt und damit bewirken könnte, dass diese Clients keinen Zugriff auf Netzwerkressourcen erhalten. Für einen DHCP-Server, der kein Mitglied der Active Directory-Domäne ist, sendet der DHCP-Serverdienst eine DHCPInform-Broadcastnachricht aus, um Informationen über die Active Directory-Stammdomäne anzufordern, in der andere DHCP-Server installiert und konfiguriert wurden. Andere DHCPServer im Netzwerk antworten mit einer DHCPAck-Nachricht, die Informationen enthält, mit denen der anfragende DHCP-Server die Active Directory-Stammdomäne finden kann. Der anfragende DHCPServer fordert dann von Active Directory eine Liste der autorisierten DHCP-Server an und startet den DHCP-Serverdienst nur dann, wenn seine eigene Adresse in dieser Liste steht. Wenn ein Server autorisiert werden muss, wird in der DHCP-Konsole auf den IPv4- und IPv6-Symbolen ein roter Pfeil angezeigt. Hinweis Nur DHCP-Server auf Basis von Windows erfordern eine Autorisierung. DHCP-Server von anderen Herstellern können ohne Autorisierung gestartet werden und könnten den Clients versehentlich oder absichtlich ungültige IP-Adressen zuweisen und auf diese Weise bewirken, dass diese Clients keine Verbindung mehr mit dem Netzwerk herstellen können. So autorisieren Sie einen DHCP-Server 1. Melden Sie sich als Mitglied der Gruppe Domänen-Admins an. 2. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 3. Klicken Sie unter DHCP den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Autorisieren. 4. Klicken Sie den Servernamen erneut mit der rechten Maustaste an und klicken Sie auf Aktualisieren. Die roten Pfeile auf den IPv4- und IPv6-Symbolen in der DHCP-Konsole sollten als Hinweis darauf, dass der Server autorisiert ist, verschwinden. Nun beginnt der Server mit der Ausgabe von DHCPAdressen. Um die Autorisierung eines Servers aufzuheben, klicken Sie ihn mit der rechten Maustaste an und klicken dann auf Autorisierung aufheben. So autorisieren Sie eine DHCP-Server mit einem Skript Um einen DHCP-Server mit einem Skript zu autorisieren, geben Sie mit den Rechten eines Domänenadministrators folgenden Befehl: netsh dhcp add server ServerName [ServerIPv4Adresse] Mit folgendem Befehl können Sie alle autorisierten DHCP-Server auflisten: netsh dhcp show server Bereitstellungsschritte 71 Hinzufügen eines Bereichs Ein Bereich (scope) ist der IP-Adressenbereich, aus dem ein DHCP-Server seinen DHCP-Clients IPAdressen zuweisen kann. Für jedes Subnetz, das ein DHCP-Server mit IP-Adressen versorgt, muss ein DHCP-Bereich konfiguriert werden. Das gilt auch für Subnetze, die einen DHCP-Relay-Agenten verwenden. Sie können Bereiche hinzufügen, wenn Sie die DHCP-Serverrolle hinzufügen. Falls Sie zu einem späteren Zeitpunkt einen Bereich hinzufügen möchten, können Sie die DHCP-Konsole verwenden. So fügen Sie einen IPv4-Bereich hinzu 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie auf Neuer Bereich. Der Bereichserstellungs-Assistent öffnet sich. 3. Klicken Sie auf der Seite Willkommen auf Weiter. 4. Geben Sie auf der Seite Bereichsname einen Namen und eine Beschreibung für den Bereich ein und klicken Sie dann auf Weiter. 5. Geben Sie auf der Seite IP-Adressbereich die niedrigste und die höchste IP-Adresse ein, die Sie zuweisen möchten, zum Beispiel 192.168.1.100 und 192.168.1.199. Legen Sie dann die Subnetzmaske fest. Dazu geben Sie entweder im Feld Länge die Anzahl der Bits ein oder im Feld Subnetzmaske die Subnetzmaske (beispielsweise 255.255.255.0). Wenn Sie zur Identifikation von Netzwerken die klassenlose CIDR-Schreibweise (Classless Inter-Domain Routing) verwenden, wie zum Beispiel 192.168.1.0/24, geben Sie die Zahl hinter dem Schrägstrich »/« im Feld Länge ein. Klicken Sie auf Weiter. 6. Fügen Sie auf der Seite Ausschlüsse hinzufügen alle gewünschten Ausschlussbereiche hinzu (aus dem Bereich, den Sie auf der vorigen Seite festgelegt haben), aus denen keine Adressen zugewiesen werden sollen. Wenn Sie zum Beispiel einen Bereich für die Adressen von 192.168.1.100 bis 192.168.1.199 definiert haben, wobei die Adressen von 192.168.1.150 bis 192.168.1.155 aber bereits an Server vergeben wurden, würden Sie diesen Abschnitt als Ausschluss festlegen. Zur Einrichtung eines Ausschlusses gehen Sie folgendermaßen vor und klicken dann auf Weiter: a. Geben Sie im Feld Start-IP-Adresse die erste IP-Adresse aus dem Abschnitt ein, der aus dem DHCP-Bereich ausgeschlossen werden soll. b. Geben Sie im Feld End-IP-Adresse die letzte IP-Adresse aus dem Abschnitt ein, der aus dem DHCP-Bereich ausgeschlossen werden soll. Falls Sie nur eine einzelne IP-Adresse ausschließen möchten, geben Sie in den Feldern Start-IP-Adresse und End-IP-Adresse jeweils dieselbe Adresse ein. c. Klicken Sie auf Hinzufügen. d. Wiederholen Sie diese Schritte nach Bedarf, um weitere Ausschlüsse hinzuzufügen. 7. Legen Sie auf der Seite Leasedauer die Zeitspanne fest, für die Adressen, die von DHCP zugewiesen werden, gelten soll. In herkömmlich verkabelten Netzwerken werden gewöhnlich 8 Tage gewählt, in drahtlosen Netzwerken dagegen nur 6 Stunden. Klicken Sie auf Weiter. 8. Entscheiden Sie auf der Seite DHCP-Optionen konfigurieren, ob Sie bereits jetzt DHCP-Optionen festlegen möchten (wie zum Beispiel das Standardgateway und DNS-Serveradressen). Clients können nicht auf Netzwerkressourcen zugreifen, wenn diese Optionen nicht aktiviert sind. Daher sollten Sie die Optionen immer aktivieren. Klicken Sie auf Weiter. Falls Sie sich dafür entschei- 72 Kapitel 3: Dynamic Host Configuration Protocol den, die Optionen noch nicht festzulegen, überspringen Sie die nächsten Schritte bis zum letzten Schritt dieser Konfiguration. 9. Geben Sie auf der Seite Router (Standardgateway) die IP-Adresse des Standardgateways des Netzwerks ein und klicken Sie dann auf Hinzufügen. Sofern das Netzwerk über mehrere Standardgateways verfügt, fügen Sie alle diese Standardgateways hinzu. Klicken Sie dann auf Weiter. 10. Geben Sie auf der Seite Domänenname und DNS-Server im Feld Übergeordnete Domäne die übergeordnete Domäne ein, die Clients für die Namensauflösung verwenden. Wenn Sie zum Beispiel die übergeordnete Domäne contoso.com eintragen und ein Benutzer eines Clients gibt in seinem Webbrowser den Namen intranet ein, versucht der Clientcomputer, den Namen intranet. contoso.com aufzulösen. Die übergeordnete Domäne braucht nicht dieselbe Domäne wie die Active Directory-Domäne zu sein. Geben Sie dann den Hostnamen oder die IP-Adresse jedes DNS-Servers ein und klicken Sie auf Hinzufügen. Klicken Sie dann auf Weiter. 11. Auf der Seite WINS-Server können Sie entscheiden, ob Clients die IP-Adresse eines WINS-Servers erhalten sollen. Wenn Sie in Ihrem Netzwerk keinen WINS-Server verwenden, nehmen Sie auf dieser Seite keine Einstellungen vor. Wenn Sie einen oder mehrere WINS-Server einsetzen, geben Sie deren Hostnamen oder IP-Adressen ein und klicken jeweils auf Hinzufügen. Klicken Sie auf Weiter. 12. Klicken Sie auf der Seite Bereich aktivieren auf Ja, wenn Sie den Bereich sofort aktivieren möchten. Andernfalls klicken Sie auf Nein. Klicken Sie dann auf Weiter. 13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Der neue Bereich wird in der DHCP-Konsole unter dem Knoten IPv4 sichtbar. So fügen Sie einen IPv6-Bereich hinzu 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Klicken Sie IPv6 mit der rechten Maustaste an und klicken Sie dann auf Neuer Bereich. Der Bereichserstellungs-Assistent öffnet sich. 3. Klicken Sie auf der Seite Willkommen auf Weiter. 4. Geben Sie auf der Seite Bereichsname einen Namen und eine Beschreibung für den Bereich ein und klicken Sie dann auf Weiter. 5. Geben Sie auf der Seite Bereichspräfix das 64-Bit-Netzwerkpräfix ein, wie zum Beispiel 2001:db8::1. Klicken Sie auf Weiter. 6. Fügen Sie auf der Seite Ausschlüsse hinzufügen alle gewünschten Ausschlussbereiche hinzu (aus dem Bereich, den Sie auf der vorigen Seite festgelegt haben), aus denen keine Adressen zugewiesen werden sollen. Gehen Sie zur Konfiguration eines Ausschlusses folgendermaßen vor und klicken Sie dann auf Weiter: a. Geben Sie im Textfeld Start-IPv6-Adresse die erste IP-Adresse ein, die aus dem DHCPBereich ausgeschlossen werden soll. Sie müssen jedes Byte der Hostadresse eingeben, einschließlich der Nullen. Sie können zum Beispiel 0:0:20:20 eingeben, aber nicht 20:20. b. Geben Sie im Textfeld End-IPv6-Adresse die letzte IP-Adresse ein, die aus dem DHCP-Bereich ausgeschlossen werden soll. Falls Sie nur eine einzige IP-Adresse ausschließen möchten, lassen Sie das Textfeld End-IPv6-Adresse leer. c. Klicken Sie auf Hinzufügen. d. Wiederholen Sie diese Schritte nach Bedarf, um weitere Ausschlüsse hinzuzufügen. Bereitstellungsschritte 73 7. Legen Sie auf der Seite Bereichslease die bevorzugte Gültigkeitsdauer und die Gültigkeitsdauer der von DHCP zugewiesenen Adressen fest. Die vorgegebenen Standardeinstellungen reichen gewöhnlich aus. Weitere Informationen über die Lebensdauer von IPv6-Adressen finden Sie in Kapitel 2, »IPv6«. Klicken Sie auf Weiter. 8. Legen Sie auf der Seite Fertigstellen des Assistenten fest, ob der Bereich sofort aktiviert werden soll oder nicht, und klicken Sie dann auf Fertig stellen. Bevor Clients vom DHCPv6-Server IPv6-Adressen erhalten können, müssen Sie zuerst Ihre IPv6Router auf eine zustandsbehaftete Autokonfiguration einstellen. Weitere Informationen zu diesem Thema finden Sie in Kapitel 2. Hinzufügen einer Adressreservierung Router, DNS-Server und WINS-Server müssen statische IP-Adressen erhalten, die bei jedem Start des Computers gleich bleiben. Sie können die statischen IP-Adressen auf diesen Hosts manuell einstellen oder eine Reservierung zum DHCP-Server hinzufügen. Wenn Sie eine Reservierung einrichten, weist der DHCP-Server dem Host immer dieselbe IP-Adresse zu. Der DHCP-Sever erkennt den Host anhand der MAC-Adresse der Netzwerkkarte. So fügen Sie eine Reservierung hinzu 1. Ermitteln Sie die MAC-Adresse (physische Adresse) der Netzwerkkarte des Computers, für den Sie eine Reservierung vornehmen. Die MAC-Adresse wird zum Beispiel angezeigt, wenn Sie auf dem Computer, für den die Reservierung vorgenommen werden soll, in einer Eingabeaufforderung den Befehl ipconfig /all eingeben. 2. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 3. Erweitern Sie den Knoten IPv4 oder IPv6 und erweitern Sie dann den Bereich, zu dem Sie eine Reservierung hinzufügen möchten. Klicken Sie auf Reservierungen. 4. Klicken Sie Reservierungen mit der rechten Maustaste an und klicken Sie dann auf Neue Reservierung. 5. Geben Sie im Dialogfeld Neue Reservierung einen Namen für die Reservierung ein (zum Beispiel den Namen des Computers, für den Sie die Reservierung vornehmen), die IP-Adresse und die MAC-Adresse. Klicken Sie auf Hinzufügen. 6. Wiederholen Sie die obigen Schritte für alle erforderlichen Reservierungen. Klicken Sie dann auf Schließen. Hinzufügen eines Ausschlusses Wenn Sie einen Computer manuell mit einer IP-Adresse konfigurieren, die in einem DHCP-Bereich liegt, sollten Sie auf dem DHCP-Server einen entsprechenden Ausschluss definieren, damit der Server diese IP-Adresse keinem DHCP-Client zuweist. Außerdem sollten Sie entsprechende Ausschlüsse definieren, wenn sich die Bereiche von zwei DHCP-Servern überlappen, wie weiter oben in diesem Kapitel unter »Festlegen von Adressenbereichen« beschrieben. So fügen Sie einen Ausschluss zu einem IPv4-Bereich hinzu 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie den Knoten IPv4, erweitern Sie dann den Bereich, zu dem Sie einen Ausschluss hinzufügen möchten, und klicken Sie dann auf Adresspool. 3. Klicken Sie Adresspool mit der rechten Maustaste an und klicken Sie dann auf Neuer ausgeschlossener Bereich. 74 Kapitel 3: Dynamic Host Configuration Protocol 4. Geben Sie im Dialogfeld Ausschluss hinzufügen die Start- und Endadressen des IP-Bereichs ein, den Sie aus dem Adresspool ausschließen möchten, und klicken Sie dann auf Hinzufügen. 5. Wiederholen Sie die obigen Schritte nach Bedarf und klicken Sie dann auf Schließen. So fügen Sie einen Ausschluss zu einem IPv6-Bereich hinzu 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie den Knoten IPv6, erweitern Sie dann den Bereich, zu dem Sie einen Ausschluss hinzufügen möchten, und klicken Sie dann auf Ausschlüsse. 3. Klicken Sie Ausschlüsse mit der rechten Maustaste an und klicken Sie dann auf Neuer ausgeschlossener Bereich. 4. Geben Sie im Dialogfeld Ausschluss hinzufügen die Start- und Endadressen des IP-Bereichs ein, den Sie aus dem Adresspool ausschließen möchten, und klicken Sie dann auf Hinzufügen. 5. Wiederholen Sie die obigen Schritte nach Bedarf und klicken Sie dann auf Schließen. Hinzufügen oder Ändern von DHCP-Optionen DHCP-Optionen wie zum Beispiel das Standardgateway, der DNS-Server oder der WINS-Server, der DHCP-Clients zugewiesen wird, müssen geändert werden, wenn sich eine IP-Adresse ändert. So fügen Sie eine DHCP-Option hinzu oder ändern sie 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie den Knoten IPv4 oder IPv6 und erweitern Sie dann den Bereich, den Sie bearbeiten möchten. 3. Klicken Sie Bereichsoptionen mit der rechten Maustaste an und klicken Sie dann auf Optionen konfigurieren. Das Dialogfeld Bereichsoptionen öffnet sich. Abbildung 3.4 Das Dialogfeld Bereichoptionen Bereitstellungsschritte 75 4. Wählen Sie auf der Registerkarte Allgemein die Option, die Sie hinzufügen oder bearbeiten möchten. In Abbildung 3.4 ist die Option Router ausgewählt. Sie legt das Standardgateway für Clients fest. Verwenden Sie die Steuerelemente im Bereich Dateneingabe, um den Wert für diese Option festzulegen. 5. Klicken Sie auf OK. Konfigurieren des dynamischen DNS Für die meisten Organisationen reichen die Standardeinstellungen für das dynamische DNS aus. Allerdings müssen Sie die Einstellungen des dynamischen DNS ändern, wenn Windows NT 4.0 und frühere Windows-Versionen verwendet werden sollen oder wenn Sie manuell Anmeldeinformationen für die Aktualisierung des DNS-Servers eingeben möchten. So aktualisieren Sie DNS für Windows NT 4.0 und frühere Windows-Versionen 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie unter DHCP den Servernamen und klicken Sie dann auf IPv4. Hinweis Alle IPv6-Clients können ihre eigenen DNS-Einträge dynamisch aktualisieren. Daher ist diese Option für DHCPv6 nicht erforderlich. 3. Klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Wählen Sie auf der Registerkarte DNS das Kontrollkästchen DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern (z.B. Clients, die Windows NT 4.0 ausführen), dynamisch aktualisieren und klicken Sie dann auf OK. So geben Sie Anmeldeinformationen für dynamische DNS-Updates an 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie unter DHCP den Servernamen und klicken Sie dann auf IPv4 oder IPv6. Hinweis Alle IPv6-Clients können ihre eigenen DNS-Einträge dynamisch aktualisieren. Daher ist diese Option für DHCPv6 nicht erforderlich. 3. Klicken Sie IPv4 oder IPv6 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Erweitert auf Anmeldeinformationen. 5. Geben Sie im Dialogfeld Anmeldeinformationen für dynamisches DNS-Update den Benutzernamen, die Domäne und das Kennwort für den Benutzer ein, der über das Recht zur Aktualisierung des DNS-Servers verfügt, und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. DHCP-Relay-Agenten DHCP-Relay-Agenten leiten DHCP-Anfragen an einen DHCP-Server weiter, der sich in einem Remotenetzwerk befindet. Da es sich bei DHCP-Anfragen um Broadcastnachrichten handelt, die nur andere Computer aus demselben Netzwerksegment erreichen, sind in Subnetzen, die über keinen eigenen DHCP-Server verfügen, DHCP-Relay-Agenten erforderlich. Im Normalfall sollten Sie Router als DHCP-Relay-Agenten einrichten. Allerdings können Sie auch einen Computer, auf dem Windows Server 2008 ausgeführt wird, als DHCP-Relay-Agent konfigurieren, sofern er nicht bereits als DHCP- oder ICS-Server dient (ICS steht für Internet Connection Sha- 76 Kapitel 3: Dynamic Host Configuration Protocol ring, die gemeinsame Nutzung von Internetverbindungen) und seine NAT-Routingprotokollkomponente (Network Address Translation) nicht für eine automatische Adressenzuweisung aktiviert wurde. So konfigurieren Sie einen DHCP-Relay-Agenten 1. Klicken Sie auf Start und dann auf Server-Manager. 2. Klicken Sie im linken Bereich auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen. 3. Falls die Seite Vorbereitungsmaßnahmen angezeigt wird, klicken Sie auf Weiter. 4. Wählen Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Netzwerkrichtlinien- und Zugriffsdienste und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Netzwerkrichtlinien- und Zugriffsdienste auf Weiter. 6. Wählen Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Routing- und RAS-Dienste. Der Assistent wählt automatisch die Kontrollkästchen RAS und Routing. Klicken Sie auf Weiter. 7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. 8. Nachdem der Assistent zum Hinzufügen von Rollen die Installation abgeschlossen hat, klicken Sie auf Schließen. 9. Erweitern Sie im Server-Manager den Knoten Rollen, erweitern Sie Netzwerkrichtlinien- und Zugriffsdienste und klicken Sie dann auf Routing und RAS. Klicken Sie Routing und RAS mit der rechten Maustaste an und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren. Der Setup-Assistent für den Routing- und RAS-Server öffnet sich. 10. Klicken Sie auf der Willkommen-Seite auf Weiter. 11. Klicken Sie auf der Seite Konfiguration auf Benutzerdefinierte Konfiguration und klicken Sie dann auf Weiter. 12. Wählen Sie auf der Seite Benutzerdefinierte Konfiguration das Kontrollkästchen LAN-Routing und klicken Sie dann auf Weiter. 13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 14. Wenn Sie dazu aufgefordert werden, klicken Sie auf Dienst starten. 15. Erweitern Sie im Server-Manager den Knoten Routing und RAS. Erweitern Sie dann entweder IPv4 (um einen IPv4-DHCP-Relay-Agenten hinzuzufügen) oder IPv6 (um einen DHCPv6-RelayAgenten hinzuzufügen). Klicken Sie Allgemein mit der rechten Maustaste an und klicken Sie dann auf Neues Routingprotokoll. 16. Klicken Sie im Dialogfeld Neues Routingprotokoll auf DHCP-Relay-Agent oder DHCPv6-RelayAgent und klicken Sie dann auf OK. 17. Klicken Sie DHCP-Relay-Agent oder DHCPv6-Relay-Agent mit der rechten Maustaste an und klicken Sie dann auf Neue Schnittstelle. 18. Klicken Sie die Schnittstelle an, zu der Sie den DHCP-Relay-Agenten hinzufügen möchten, und klicken Sie dann auf OK. 19. Überprüfen Sie im Dialogfeld Eigenschaften von DHCP-Relay auf der Registerkarte Allgemein, ob das Kontrollkästchen DHCP-Pakete weiterleiten gewählt ist. Passen Sie die Schwellenwerte bei Bedarf mit Klicks auf die entsprechenden Pfeile an. Klicken Sie dann auf OK. Sie können den Knoten DHCP-Relay-Agent oder DHCPv6-Relay-Agent auswählen, um die Zahl der DHCP-Anforderungen und Antworten zu überprüfen, die der DHCP-Relay-Agent bearbeitet hat. Wartung 77 DHCP-Clientkonfiguration Windows-Computer und die meisten anderen IP-Hosts verwenden standardmäßig DHCP. Daher ist es normalerweise nicht erforderlich, einen Computer speziell als DHCP-Client zu konfigurieren. Verbinden Sie den Computer einfach mit einem Netzwerk und schalten Sie ihn ein. Falls Sie Computer, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, bereits mit manuell eingestellten IP-Adressen versehen haben, können Sie leicht die Standardeinstellung wiederherstellen, bei der die Computer ihre IP-Adressen von einem DHCP-Server erhalten. So konfigurieren Sie einen IPv4-Computer als DHCP-Client 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4) und dann auf Eigenschaften. Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich. 5. Klicken Sie auf der Registerkarte Allgemein auf IP-Adresse automatisch beziehen und DNSServeradresse automatisch beziehen und klicken Sie dann auf OK. Sie können Computer auch so einstellen, dass sie manuell festgelegte IP-Adressen verwenden, wenn kein DHCP-Server verfügbar ist. Weitere Informationen erhalten Sie in Kapitel 1. So konfigurieren Sie einen IPv6-Computer als DHCP-Client 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf Internetprotokoll Version 6 (TCP/IPv6) und dann auf Eigenschaften. Das Dialogfeld Eigenschaften von Internetprotokoll Version 6 öffnet sich. 5. Klicken Sie auf der Registerkarte Allgemein auf IPv6-Adresse automatisch beziehen und DNSServeradresse automatisch beziehen und klicken Sie dann auf OK. Wartung DHCP-Server sollten überwacht werden, um sicherzustellen, dass der DHCP-Dienst stets verfügbar ist und immer freie Adressen zur Verfügung stehen. DHCP-Server stellen nur geringe Ansprüche an die Wartung. Eingriffe sind gewöhnlich nur erforderlich, wenn ein Problem auftritt oder wenn Sie den DHCP-Serverdienst auf einen anderen Computer übertragen müssen. Überwachen von DHCP-Servern Sie können die Aktivität Ihres DHCP-Servers im Systemmonitor überwachen. Um den DHCP-Server in Echtzeit zu überwachen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf Start und dann auf Server-Manager. 78 Kapitel 3: Dynamic Host Configuration Protocol 2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools\Systemmonitor. 3. Klicken Sie auf der Symbolleiste des Systemmonitor-Snap-Ins auf die Schaltfläche mit dem grünen Pluszeichen. Das Dialogfeld Leistungsindikatoren hinzufügen öffnet sich. 4. Erweitern Sie in der Liste der verfügbaren Leistungsindikatoren den Knoten DHCP Server oder DHCPv6-Server. Klicken Sie auf den Leistungsindikator, den Sie hinzufügen möchten, und dann auf Hinzufügen. 5. Klicken Sie auf OK, um zum Systemmonitor-Snap-In zurückzukehren. Sie können folgende DHCP-Leistungsindikatoren überwachen: Empfangene Pakete/s Die Zahl der pro Sekunde eingehenden Nachrichten. Eine große Zahl weist auf eine starke Nutzung des DHCP-Servers hin. Entdeckungen/s Die Zahl der DHCP-Erkennungsnachrichten (DHCPDiscover-Nachrichten), die pro Sekunde eingehen. Angebote/s Die Zahl der DHCP-Angebotsnachrichten (DHCPOffer-Nachrichten), die der DHCPServer pro Sekunde an Clients sendet. Anforderungen/s Die Zahl der DHCP-Anforderungsnachrichten (DHCPRequest-Nachrichten), die der DHCP-Server pro Sekunde von Clients erhält. Benachrichtigungen/s Die Zahl der DHCP-Informationsnachrichten (DHCPInform-Nachrichten), die pro Sekunde eingehen. DHCP-Informationsnachrichten werden verwendet, wenn der DHCPServer die Active Directory-Stammdomäne sucht und wenn der Server dynamische Updates für Clients durchführt. Acks/s Die Zahl der DHCP-Bestätigungsnachrichten (DHCPAck-Nachrichten), die der DHCPServer pro Sekunde an Clients sendet. Nacks/s Die Zahl der DHCP-Ablehnungen (DHCPNak-Nachrichten), die der Server pro Sekunde an Clients sendet. Eine hohe Zahl kann auf potenzielle Netzwerkprobleme in Form eines falsch konfigurierten Servers oder falsch konfigurierter Clients hinweisen. Eine falsche Konfiguration eines DHCP-Servers liegt zum Beispiel vor, wenn ein Bereich versehentlich deaktiviert wurde. Was Clients betrifft, kann eine hohe Zahl von Ablehnungen zum Beispiel durch Computer wie Laptops oder andere Mobilgeräte verursacht werden, die zwischen Subnetzen wechseln. Abweisungen/s Die Zahl der DHCP-Abweisungsnachrichten (DHCPDecline-Nachrichten), die der DHCP-Server pro Sekunde von Clients erhält. Ein hoher Wert deutet darauf hin, dass einer Reihe von Computern Adressen zugewiesen wurden, die bereits verwendet werden. Das wiederum kann auf andere Probleme im Netzwerk hinweisen. Freigaben/s Die Zahl der DHCP-Freigabenachrichten (DHCPRelease-Nachrichten), die der DHCPServer pro Sekunde von Clients erhält. Diese Nachrichten sind ein Hinweis darauf, dass der Client seine Verbindung mit dem Netzwerk beenden will oder die IP-Adresse aus einem anderen Grund nicht mehr benötigt. Duplikate verworfen/s Die Zahl der Kopien von Paketen, die pro Sekunde vom DHCP-Server verworfen werden. Falls diese Zahl ständig größer als null ist, wird dasselbe Paket vielleicht von mehreren DHCP-Relay-Agenten oder Netzwerkschnittstellen an den Server weitergeleitet. Eine große Zahl kann ein Hinweis darauf sein, dass der Server zu langsam antwortet. Millisekunden/Paket (Durchschnitt) Die durchschnittliche Antwortzeit des DHCP-Servers in Millisekunden. Wartung 79 Länge der aktiven Warteschlange Die aktuelle Länge der Warteschlange des DHCP-Servers, in der noch nicht bearbeitete Nachrichten auf ihre Bearbeitung warten. Pakete abgelaufen/s Die Zahl der Pakete, die pro Sekunde verfallen und vom DHCP-Server verworfen werden, nachdem Sie 30 Sekunden oder länger in der Warteschlange auf ihre Bearbeitung gewartet haben. Jede Zahl, die größer als null ist, weist darauf hin, dass der Server oder das Netzwerk überlastet ist. Länge der Warteschlangen-Konflikterkennung Die aktuelle Länge der Konflikterkennungswarteschlange des DHCP-Servers. In dieser Warteschlange warten Nachrichten, auf die noch keine Antworten eingetroffen sind, während der DHCP-Server eine Adressenkonflikterkennung durchführt. Außerdem können Sie DHCP-Server mit dem Microsoft System Center Operations Manager 2007 überwachen. Weitere Informationen Weitere Informationen über den Microsoft System Center Operations Manager 2007 finden Sie auf http://www.microsoft.com/systemcenter/opsmgr/. Manuelles Sichern und Wiederherstellen eines DHCP-Servers Serversicherungssoftware sollte auch die DHCP-Konfiguration automatisch sichern. Allerdings können Sie einen DHCP-Server auch manuell sichern, damit Sie die Konfiguration zum Beispiel auf einem neuen Server sofort wiederherstellen können. So sichern Sie einen DHCP-Server 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Sichern. 3. Wählen Sie im Dialogfeld Ordner suchen den Ordner aus, in dem die Sicherungsdatei gespeichert werden soll, und klicken Sie dann auf OK. Damit ist die Datensicherung beendet. Falls Sie planen, den DHCP-Server sofort zu ersetzen, fahren Sie mit den folgenden Schritten fort. 4. Klicken Sie den Servernamen mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Beenden. Wenn Sie den Server beenden, kann er keine neuen Adressen mehr ausgeben, die nicht mehr in die Sicherung einbezogen werden. 5. Deaktivieren Sie anschließend in der Dienste-Konsole den DHCP-Serverdienst. Andernfalls wird der Dienst beim nächsten Neustart des Computers wahrscheinlich automatisch gestartet. So stellen Sie einen DHCP-Server wieder her 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Wiederherstellen. 3. Wählen Sie im Dialogfeld Ordner suchen den Ordner aus, in dem die Sicherungsdatei gespeichert wurde, und klicken Sie dann auf OK. Hinweis Falls Sie einen DHCP-Server wiederherstellen müssen, von dem Sie keine manuelle Sicherung erstellt haben, suchen Sie im Ordner %SystemRoot%\System32\dhcp\backup\ und dessen Unterordnern nach einer automatisch erstellten Sicherung. 80 Kapitel 3: Dynamic Host Configuration Protocol Problembehandlung In DHCP-Systemen treten nur relativ selten Fehler auf. Wenn sie aber auftreten, hindern sie gewöhnlich einen Benutzer am Zugang zum Netzwerk. Daher müssen DHCP-Probleme relativ rasch behoben werden. Die technischen Mitarbeiter sollten wissen, wie man DHCP-Probleme schnell erkennt und behebt. Die folgenden Abschnitte beschreiben, wie man Fehler auf DHCP-Clients und DHCP-Servern behebt. Beheben von Problemen auf DHCP-Clients Nachdem Sie überprüft haben, ob ein Computer als DHCP-Client konfiguriert wurde (wie im Abschnitt »DHCP-Clientkonfiguration« weiter oben in diesem Kapitel beschrieben), können Sie einen DHCP-Client dazu veranlassen, seine aktuelle IP-Adresse aufzugeben, einen neuen DHCP-Server zu suchen und eine neue IP-Adresse anzufordern. So zeigen Sie die DHCP-Konfiguration an 1. Zur Anzeige der aktuellen IP-Konfiguration geben Sie folgenden Befehl ein: Ipconfig /all Überprüfen Sie für jeden Netzwerkadapter in der Zeile DHCP aktiviert, ob DHCP für den Netzwerkadapter aktiviert wurde. Außerdem können Sie in der Zeile DHCP-Server der Ipconfig-Ausgabe noch überprüfen, welcher DHCP-Server die IP-Adresse zugewiesen hat. Verfügt der DHCP-Client über eine IP-Adresse aus den Bereich 169.254.0.0 bis 169.254.255.255, dann verwendet der Client eine APIPA-Adresse. APIPA-Adressen werden automatisch zugewiesen, wenn ein DHCP-Client keinen Kontakt zu einem DHCP-Server herstellen kann. Um das Problem zu beheben, überprüfen Sie zuerst, ob der Client mit dem Netzwerk verbunden und der DHCP-Server online ist. Ist der DHCP-Server mit einem anderen Netzwerk als der DHCP-Client verbunden, überprüfen Sie, ob ein DHCP-Relay-Agent an das Netzwerk des DHCP-Clients angeschlossen ist und der DHCP-Relay-Agent mit der IP-Adresse des DHCP-Servers konfiguriert wurde. Geben Sie dann auf dem DHCP-Client mit Administratorrechten den Befehl ipconfig /renew ein. So fordern Sie eine neue DHCP-Adresse an 1. Öffnen Sie eine Eingabeaufforderung und geben Sie folgende Befehle: ipconfig /release ipconfig /renew Beheben von Problemen auf DHCP-Servern Das häufigste Problem, das im Zusammenhang mit DHCP-Servern auftritt, ist die fehlende Autorisierung des DHCP-Servers. In Active Directory-Domänenumgebungen müssen alle DHCP-Server autorisiert sein. Weitere Informationen finden Sie im Abschnitt »Autorisieren eines DHCP-Servers« weiter oben in diesem Kapitel. Lässt sich der DHCP-Server immer noch nicht starten, überprüfen Sie das Systemereignisprotokoll und die Protokolldatei des DHCP-Serverdienstes, wie im nächsten Abschnitt beschrieben. Zusammenfassung des Kapitels 81 Verwenden des Überwachungsprotokolls zur Analyse des DHCP-Servers Der DHCP-Serverdienst speichert im Ordner %SystemRoot%\System32\DHCP ein Überwachungsprotokoll. Der DHCP-Serverdienst wählt für die Protokolldatei einen Namen, der sich nach dem Wochentag richtet, und überprüft zu diesem Zweck das Datum und die Uhrzeit auf dem Server. Wird zum Beispiel der DHCP-Server gestartet und ist der aktuelle Wochentag Montag, der 8. Oktober 2007, heißt die IPv4-Protokolldatei DhcpSrvLog-Mon.log und die IPv6-Protokolldatei heißt DhcpV6SrvLogMo.log. Um Mitternacht beginnt der DHCP-Server eine neue Protokolldatei und überschreibt dabei die entsprechende Protokolldatei aus der Vorwoche. Hinweis Da die Protokolldateien der Vorwoche automatisch überschrieben werden, bleibt der Platzbedarf der Protokolldateien relativ gering. Auf stark ausgelasteten DHCP-Servern können Sie für den Ordner %SystemRoot%\System32\DHCP die NTFS-Dateikomprimierung aktivieren. Dadurch beanspruchen die Protokolldateien wesentlich weniger Platz. Standardmäßig beendet der DHCP-Serverdienst die Protokollierung, wenn weniger als 20 MB Platz auf dem Datenträger frei sind oder wenn die aktuelle Protokolldatei größer wird als ein Siebtel des für alle auf dem Server gespeicherten DHCP-Protokolldateien vorgesehenen Platzes. Standardmäßig kann jede Protokolldatei maximal 10 MB groß werden. Diese Obergrenze können Sie ändern, indem Sie den gewünschten Wert mit sieben multiplizieren (für jeden Wochentag eine Datei) und das Ergebnis im Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCP Server\Parameters\DhcpLogFilesMaxSize speichern. Jede Überwachungsprotokolldatei beginnt mit einer Beschreibung der verschiedenen Ereigniscodes und der Felder der Protokolldatei. Daher sind Überwachungsprotokolldateien weitgehend selbsterklärend. Standardmäßig ist die Überwachungsprotokollierung aktiviert. So aktivieren oder deaktivieren Sie die Überwachungsprotokollierung 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie entweder IPv4 oder IPv6 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Markieren Sie auf der Registerkarte Allgemein das Kontrollkästchen DHCP-Überwachungsprotokollierung aktivieren nach Bedarf und klicken Sie dann auf OK. So ändern Sie den Überwachungsprotokolldateipfad 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie entweder IPv4 oder IPv6 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Erweitert auf Durchsuchen. Wählen Sie den gewünschten Überwachungsprotokolldateipfad aus und klicken Sie dann auf OK. Zusammenfassung des Kapitels Praktisch alle IPv4-Netzwerke und viele IPv6-Netzwerke erfordern einen oder mehrere DHCP-Server, um DHCP-Clients automatisch IP-Adressen zuweisen zu können. Im Idealfall setzen Sie an jedem Standort zwei DHCP-Server ein, wobei DHCP-Relay-Server Anforderungen aus Subnetzen weiterleiten, in denen kein DHCP-Server vorhanden ist. 82 Kapitel 3: Dynamic Host Configuration Protocol DHCP-Clients, die eine IP-Adresse anfordern, können keine Verbindung mit Netzwerkressourcen herstellen, wenn kein DHCP-Server verfügbar ist. Daher sollten Sie für redundante DHCP-Server sorgen. Am einfachsten lässt sich ein redundanter DHCP-Server integrieren, indem man zwei verschiedene DHCP-Server aufbaut und jeden gewünschten Bereich auf beide Server aufteilt, wobei jeder Server Adressen aus einem anderen Teil eines Bereichs zuweist. Damit DHCP-Server IP-Adressen wiederverwenden können, wenn Clients nicht mehr mit dem Netzwerk verbunden sind, beschränkt DHCP die Gültigkeitsdauer von IP-Adressenzuweisungen. In Drahtlosnetzwerken beträgt die Leasezeit gewöhnlich 6 Stunden, um zu verhindern, dass IP-Adressen unbrauchbar werden, weil sie Clients zugewiesen wurden, die schon längst nicht mehr mit dem Netzwerk verbunden sind. In herkömmlich verkabelten Netzwerken wird gewöhnlich eine Leasezeit von 8 Tagen verwendet. Allerdings können Sie auch kürzere Leasezeiten festlegen, wenn die verfügbaren IP-Adressen aus einem Bereich knapp werden sollten. Computer, auf denen Windows ausgeführt wird, werden standardmäßig als DHCP-Clients konfiguriert. Daher ist keine spezielle Einstellung als DHCP-Client mehr erforderlich. Windows Server 2008 ermöglicht Ihnen, mit Unterstützung durch einen Assistenten die DHCP-Serverrolle hinzuzufügen. Zusätzliche Konfigurationen können Sie in der DHCP-Konsole vornehmen. Als DHCP-Relay-Agenten werden gewöhnlich Router eingesetzt. Der Aufwand für die Wartung und Problembehebung ist sehr gering. Auf Clients sollten Sie das Programm Ipconfig verwenden, wenn eine manuelle Auffrischung der DHCP-Konfiguration erforderlich wird. Was Server betrifft, überprüfen Sie zuerst, ob der Server autorisiert ist. Überprüfen Sie dann das Systemereignisprotokoll und die DHCP-Überwachungsprotokolle auf weitere Informationen, die für die Problembehebung von Nutzen sind. Weitere Informationen Weitere Informationen über DHCP finden Sie in folgenden Dokumenten: Das »Microsoft Windows DHCP Team Blog« (http://blogs.technet.com/teamdhcp/) »The DHCPv6 Protocol« (http://www.microsoft.com/technet/technetmag/issues/2007/03/ CableGuy/default.aspx) RFC 2131, »Dynamic Host Configuration Protocol« (www.ietf.org/rfc/rfc2131.txt) 83 K A P I T E L 4 Windows-Firewall mit erweiterter Sicherheit In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 89 97 108 108 113 113 In den Betriebssystemen Windows Server 2008 und Windows Vista bietet Windows-Firewall Paketfilterung und IP Security (IPsec). Zusammen können diese Funktionen die Sicherheitsrisiken deutlich verringern, die mit dem Betrieb eines Netzwerks verbunden sind. Dazu gehört zum Beispiel das Risiko, dass Angreifer, die in böser Absicht eine Verbindung aus dem Internet oder den internen Netzwerken herstellen, die Kontrolle über interne Ressourcen erlangen. Die Standardsicherheitseinstellungen ermöglichen den meisten Netzwerkanwendungen, alle erforderlichen Verbindungen herzustellen. Durch eine sorgfältige Planung können Sie die Zugriffsrechte einschränken und die Sicherheit erhöhen, damit nur Computer aus bestimmten Netzwerken, Domänenmitglieder oder Computer, für die Sie ein Zertifikat ausgestellt haben, eine Verbindung mit Netzwerkressourcen herstellen können. Dieses Kapitel beschreibt, wie Sie die Windows-Firewall-Komponente von Windows Server 2008 einrichten, bereitstellen und warten und wie Sie Probleme beheben. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt. Konzepte In den späten 1990er Jahren wuchs das Internet (und Netzwerke im Allgemeinen) sehr schnell. Zu der Zeit stellten Würmer – eine Form von Malware, die sich hauptsächlich durch das Ausnutzen von Angriffspunkten in Netzwerkdiensten verbreitet – das größte Sicherheitsrisiko dar. Wenn man es vereinfacht darstellt, könnte man sagen, dass die Malwaretechnologie schneller Fortschritte machte als die Betriebssysteme mit ihren Gegenmaßnahmen. Daher waren Millionen von Computern, die mit dem Internet verbunden waren, von Malware befallen. Beginnend mit den Betriebssystemen Windows XP SP2 und Windows Server 2003 wurde Windows mit Windows-Firewall ausgestattet. Windows-Firewall filtert den ein- und ausgehenden Datenverkehr und blockiert den eingehenden Datenverkehr, der nicht genehmigt wurde. Windows-Firewall konnte die Zahl der erfolgreichen Angriffe über das Netzwerk sehr stark verringern. Andere komplexere Netzwerkangriffe setzen voraus, dass die Angreifer die Kommunikation im Netzwerk überwachen oder einen zugelassenen Server imitieren, um die Kommunikation abzufangen. IPSec kann das Risiko dieser Angriffsarten durch eine Authentifizierung und Verschlüsselung verringern. 84 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit In den Windows-Versionen Windows Vista und Windows Server 2008 ist die IPsec-Verwaltung nun ein integrierter Bestandteil von Windows-Firewall. Dieses Kapitel gibt Ihnen wichtige Hintergrundinformationen über Netzwerksicherheitskonzepte, beschreibt die Planung von Windows-Firewall- und IPsec-Implementierungen, schildert Schritt für Schritt die Bereitstellung von Windows-Firewall und IPsec und unterstützt Sie bei der Wartung und bei der Behebung von Problemen mit der Netzwerksicherheit. Filtern des Datenverkehrs mit Windows-Firewall Windows-Firewall gibt Administratoren die Kontrolle darüber, welche Dienste eingehende Netzwerkverbindungen annehmen können und welche Netzwerke eine Verbindung mit einem bestimmten Dienst herstellen dürfen. Standardmäßig lässt Windows-Firewall den gesamten ausgehenden Datenverkehr zu, aber Administratoren können auch festlegen, welche Anwendungen Daten senden können. Die folgenden Beispiele geben Ihnen einen Eindruck davon, welche Arten von Regeln Sie aufstellen können: Erlaube auf einem DNS-Server (Domain Name System) nur DNS-Abfragen aus internen Netzwerken. Erlaube auf einem E-Mail-Server jedem Host (einschließlich Hosts aus dem Internet), eine Verbindung mit dem SMTP-Server (Simple Mail Transfer Protocol) auf TCP-Port 25 herzustellen, aber erlaube nur Hosts aus internen Netzwerken, eine Verbindung mit dem POP-Server (Post Office Protocol) auf TCP-Port 110 herzustellen. Hindere alle Anwendungen und Dienste daran, eine ausgehende Verbindung aufzubauen, mit Ausnahme von Windows Update. Erlaube Hosts aus dem internen Netzwerk, Server anzupingen (mit dem Programm Ping Anfragen zu senden), aber blockiere alle Pings aus externen Netzwerken. Direkt von der Quelle: Verwenden von IPsec zum Durchtunneln einer Firewall Bei einer der letzten internen Diskussionen kam die Frage auf, wie man mit IPsec auf sichere Weise Active Directory-Umgebungen miteinander verbinden kann, die durch Firewalls voneinander getrennt sind. Für IPsec ist dies ein sehr häufig auftretendes Szenario. Es geht darum, auf sichere Weise Domänencontroller zu replizieren, die sich auf den entgegengesetzten Seiten einer Firewall (oder mehrerer Firewalls) befinden. Bei dieser Anwendung kann IPsec nicht nur seine Eignung zeigen, Verbindungen zwischen Hosts zu authentifizieren, sondern auch seine Fähigkeit zum Durchtunneln von Netzwerken und zur Verschlüsselung der übertragenen Daten. Dadurch verringert sich auch die Zahl der Ports, die Sie für die Active Directory-Replikation in den Firewalls der verschiedenen Standorte öffnen müssen, und der kritische Datenverkehr wird besser geschützt. Ian Hameroff, Senior Product Manager Security and Access Product Marketing Schützen des Datenverkehrs mit IPsec IPsec ist ein Sicherheitsstandard, der auf der Ebene der Netzwerkschicht als Bestandteil von IPv4 (Internet Protocol Version 4) und IPv6 (Internet Protocol Version 6) für die Authentifizierung und Ver- Konzepte 85 schlüsselung sorgt. Da IPsec seinen Schutz auf der Ebene der Netzwerkschicht anbietet, kann es für beliebige Netzwerkanwendungen Authentifizierungen vornehmen und Daten verschlüsseln. Die IPsec-Verschlüsselung ist wichtig, um Sniffing-Angriffe zu verhindern. Freigegebene Dateien werden zum Beispiel unverschlüsselt im Netzwerk übertragen. Ein Angreifer, der über direkten physischen Zugang zum Netzwerk verfügt, könnte zum Beispiel den Inhalt einer Datei mitlesen, die im Netzwerk übertragen wird. Mit IPsec kann die Netzwerkkommunikation verschlüsselt werden, was es Angreifern nahezu unmöglich macht, den Inhalt einer Datei bei ihrer Übertragung mitzulesen. Hinweis IPsec war zwar nicht Bestandteil des ursprünglichen IPv4-Standards, aber die meisten neueren Betriebssysteme, einschließlich Microsoft Windows 2000 und neuere Versionen von Windows, unterstützen IPsec. Neben einer Verschlüsselung kann IPsec auch eine Authentifizierung vornehmen. Bei dieser Authentifizierung überprüft IPsec auf einem Server, ob ein Clientcomputer Mitglied einer Domäne ist oder über ein gültiges Computerzertifikat verfügt, bevor es dem Client erlaubt, die gewünschte Verbindung herzustellen. Umgekehrt kann der Clientcomputer überprüfen, ob es sich bei dem Server um den richtigen Computer handelt. Die IPsec-Authentifizierung kann komplexe, aber sehr wirkungsvolle Manin-the-middle-Angriffe verhindern, wie sie Abbildung 4.1 schematisch darstellt. Abbildung 4.1 IPsec verhindert einen Man-in-the-middle-Angriff Unter dem Strich bietet IPsec einen hohen Schutz vor: Man-in-the-middle-Angriffen Sniffing-Angriffen Replay-Angriffen, bei denen zuvor aufgezeichnete Datenübertragungen wieder abgespielt werden, um die Authentifizierung zu umgehen Nichtautorisierten Zugriffen auf Netzwerkanwendungen, die keine Authentifizierung erfordern Nichtautorisierten Zugriffen auf Netzwerkanwendungen, die eine simple Authentifizierung anhand der Quell-IP-Adresse des Clients vornehmen 86 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Da IPsec auf der Ebene der Netzwerkschicht arbeitet, bleibt es für die meisten Anwendungen unsichtbar. Allerdings ist IPsec zu bestimmten Netzwerkinfrastrukturen inkompatibel. Da IPsec den Datenverkehr verschlüsselt, funktionieren Firewalls oder andere Geräte nicht mehr, die die übertragenen Datenpakete untersuchen. Meistens können Sie solche Geräte so einstellen, dass die IPsec-Kommunikation weitergeleitet wird. Allerdings sind die Geräte nicht in der Lage, den Datenverkehr zu überwachen. Weitere Informationen Dieses Kapitel gibt Ihnen einen Überblick über die Funktionsweise von IPsec. Ausführlichere Informationen finden Sie in den RFCs (Requests For Comments) 3457, 3456, 3281, 3193, 2857, 2709, 2451 und in ungefähr 22 weiteren, die Sie bei einer Suche nach IPsec finden. Erhältlich sind die RFCs von http://www.ietf.org. Transportmodus und Tunnelmodus IPsec kann in zwei verschiedenen Modi arbeiten: Transportmodus und Tunnelmodus. Der Transportmodus schützt die Host-zu-Host-Kommunikation. Im Transportmodus baut IPsec einen Übertragungstunnel auf der Ebene der Transportschicht auf, auch als Schicht 4 bekannt. Daher kann IPsec im Transportmodus zwar den UDP/TCP-Protokollheader (User Datagram Protocol/Transmission Control Protocol) und die Originaldaten verschlüsseln, aber der IP-Header selbst kann nicht geschützt werden. Der Tunnelmodus schützt die Host-zu-Netzwerk- und die Netzwerk-zu-Netzwerk-Kommunikation. In dieser Weise verwenden zum Beispiel VPNs (Virtuelle Private Netzwerke) IPsec. Weitere Informationen über VPNs finden Sie in Kapitel 12, »Remotezugriff-VPN-Verbindungen«. IPsec kapselt Daten mit einem Header und einem Nachspann. Je nach dem verwendeten IPsec-Protokoll wird der Originalinhalt ausgehender Pakete zudem verschlüsselt. Abbildung 4.2 stellt die IPsecPaketstruktur für den IPv4-Transportmodus dar. Das Diagramm zeigt die Verwendung des ESP-Protokolls (Encapsulating Security Payload) für die Authentifizierung und Verschlüsselung. IPsec ist ein integraler Bestandteil von IPv6. Abbildung 4.2 Aufbau von IPsec-Paketen IPsec NAT-Traversal Frühe Implementierungen von IPsec in IPv4 konnten kein NAT-Gerät (Network Address Translation) durchqueren, weil NAT-Geräte die Quell- und Ziel-IP-Adressen ändern. IPsec interpretierte die Änderung der IP-Adressen als unerwünschte Manipulationen und verwarf die Pakete. IPsec NAT-T (NAT-Traversal) ermöglicht es dem IPsec-Datenverkehr, kompatible NAT-Server zu durchqueren. Allerdings müssen die IPsec-Hosts und der NAT-Server NAT-T unterstützen und der NATServer muss so eingerichtet werden, dass er Datenverkehr auf UDP-Port 4500 durchlässt. Alle Versionen von Windows, die IPsec unterstützen, unterstützen auch NAT-T. Weitere Informationen über NAT-T finden Sie in RFC 3947. Konzepte 87 Nicht alle Computer unterstützen IPsec. Außerdem lässt IPsec viele verschiedene Authentifizierungsund Verschlüsselungsstandards zu. Vielleicht unterstützen zwei verschiedene IPsec-fähige Hosts nicht dieselbe Auswahl der möglichen Standards. Daher muss vor der Einrichtung einer IPsec-Verbindung eine IPSec-Aushandlung erfolgen, bei der Hosts herauszufinden versuchen, ob sie beide IPsec und eine gemeinsame Menge an akzeptablen Authentifizierungs- und Verschlüsselungsstandards unterstützen. Internet Key Exchange (IKE) ist der Algorithmus, mit dem die erste Sicherheitsassoziation (Security Association, SA) ausgehandelt wird. IKE ist eine Kombination des ISAKMP-Protokolls (Internet Security Association Key Management Protocol) und des Oakley-Schlüsselbestimmungsprotokolls (Oakley Key Determination Protocol) und führt eine zwei- oder dreiphasige Aushandlung im Hauptmodus oder im Schnellmodus durch. Insgesamt stehen drei Modi zur Verfügung: Hauptmodus IKE handelt die Authentifizierungs- und Verschlüsselungsprotokolle aus und authentifiziert den Computer. Benutzermodus (optional) Wenn für IPsec der Benutzermodus eingestellt wurde, authentifiziert IKE den Benutzer. Schnellmodus IKE schützt die einzelnen Datenübertragungen und ändert regelmäßig die Sicherheitsschlüssel, führt aber in diesem Modus keine Authentifizierung durch. Weitere Informationen Mehr über die IKE-Aushandlung und ihren Ablauf erfahren Sie in RFC 2409, erhältlich unter http://www.ietf.org/rfc/rfc2409.txt. Die folgenden Abschnitte beschreiben diese Modi ausführlicher. Hauptmodus Der Hauptmodus, auch als Phase 1 bekannt, führt die ursprüngliche lange Form der IKE-Aushandlung durch, um die Hosts zu authentifizieren und einen Hauptschlüssel zu generieren, damit eine ISAKMPSicherheitsassoziation zwischen den Computern eingerichtet werden kann. Nachdem die ISAKMPSA eingerichtet wurde, bleibt sie auf Windows-Computern standardmäßig für 8 Stunden gültig. Werden nach Ablauf der 8 Stunden noch aktiv Daten übertragen, wird die Hauptmodus-Sicherheitsassoziation automatisch neu ausgehandelt. Die HauptmodusAushandlung erfolgt in drei Teilen: Aushandeln der Schutzkombinationen Teil 1 der Hauptmodusaushandlung erfolgt unverschlüsselt und dient zur Identifizierung der verfügbaren Schutzkombinationen (einschließlich der Verschlüsselungs- und Hashalgorithmen, der Authentifizierungsmethoden und der Diffie-Hellman OakleyGruppen) und zur Bestimmung der Algorithmen, die während der Sitzung verwendet werden. Der IPsec-Client sendet dem IPsec-Server eine Liste der Schutzkombinationen, die der Client unterstützt. Der IPsec-Server antwortet dem Client dann mit der bevorzugten Schutzkombination. So funktioniert’s: Bestimmen der bevorzugten Schutzkombination Ein Windows-IPsec-Client schlägt Schutzkombinationen in der Reihenfolge vor, in der sie in einer Filteraktion aufgelistet werden. Ein Windows-IPsec-Server verwendet die erste passende Schutzkombination, die vom Client aufgelistet wird. Daher bestimmt der Windows-Client die Prioritäten der Schutzkombinationen, nicht der Server. Sie sollten die Liste so sortieren, dass die sicherste Kombination an erster Stelle steht und dann die jeweils etwas unsichere Kombination folgt. 88 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Diffie-Hellman-Schlüsselaustausch Nachdem IPsec eine Schutzkombination ausgehandelt hat, werden im Teil 2 der Hauptmodusaushandlung auf der Basis der ausgehandelten Diffie-Hellman Oakley-Gruppe ein öffentlicher und ein geheimer Diffie-Hellman-Schlüssel generiert. Die IPsecHosts tauschen die öffentlichen Schlüssel aus und generieren dann separat den Hauptschlüssel für den Hauptmodus. Dieser Schlüssel wird zur effizienten Verschlüsselung des Datenverkehrs zwischen den beiden Hosts verwendet. Authentifizierung Im Teil 3 der Hauptmodusaushandlung erfolgt die Authentifizierung. Die Authentifizierung in der Hauptmodusaushandlung ist aber eine Computerauthentifizierung, also keine Benutzerauthentifizierung, wie sie von den meisten Anwendungen erwartet wird. Daher werden bei der Authentifizierung nur die Computer überprüft und nicht die Benutzer, die an diesen Computern arbeiten, während die Authentifizierung stattfindet. Benutzermodus Der Benutzermodus ist eine optionale zweite Authentifizierungsphase, die sich direkt an den Hauptmodus anschließt, falls eine Benutzerauthentifizierung erforderlich ist. Bei der Benutzermodusauthentifizierung werden Benutzer mit Kerberos V5 von einem Active Directory-Domänencontroller authentifiziert. Die Benutzermodusauthentifizierung wurde mit Windows Vista und Windows Server 2008 neu eingeführt und ist daher in älteren Windows-Versionen nicht verfügbar. Schnellmodus Der Schnellmodus, auch als Phase 2 bekannt, richtet einen sicheren Kanal zwischen zwei IPsec-Hosts ein. Die Sicherheitsassoziationen, die im Schnellmodus angelegt werden, heißen IPsec-SAs. Zwei SAs werden eingerichtet, jede mit ihrem Sicherheitsparameterindex (Security Parameter Index, SPI). Eine IPsec-SA wird für den eingehenden Datenverkehr verwendet, die andere für den ausgehenden Datenverkehr. Im Schnellmodus wird das Schlüsselmaterial aktualisiert und bei Bedarf werden neue Schlüssel generiert. Außerdem wird eine Schutzkombination ausgewählt. Standardmäßig führen Windows-Computer jede Stunde oder nach der Übertragung von 100 MB Daten eine Schnellmodusaushandlung durch. Die regelmäßige Neuaushandlung der Schlüssel im Schnellmodus verringert das Risiko, dass ein Angreifer mit leistungsfähigen Computern die Schlüssel errät oder errechnet, die in der Kommunikation verwendet werden, denn Brute-force-Methoden können um so erfolgreicher sein, je mehr Daten dem Angreifer zur Verfügung stehen. Weitere Informationen Die Einrichtung einer IPsec-Verbindung ist rechenintensiv, weil eine asymmetrische Verschlüsselung mit einem öffentlichen Schlüssel erfolgt. Die Daten, die nach der Herstellung der Verbindung übertragen werden, werden mit einer symmetrischen Verschlüsselung mit einem gemeinsamen Schlüssel verschlüsselt. Dafür ist kein großer Anteil der Rechenleistung erforderlich. Allerdings kann sich auf Servern, auf denen es viele aktive IPsec-Verbindungen gibt, eine hohe Belastung des Prozessors ergeben. Um diese Belastung zu verringern, können Sie eine Netzwerkschnittstelle mit IPsec-Offload-Fähigkeit wählen. Weitere Informationen finden Sie in Kapitel 6, »Skalierbare Netzwerke«. Authentifizierungsheader und ESP IPsec verwendet zwei Protokolle: Authentifizierungsheader (Authentication Header, AH) Bietet Authentifizierung, Datenintegrität und Wiederabspielschutz (Antireplay) für das gesamte Paket einschließlich IP-Header, mit Ausnahme des Streckenzählers (Hop-Count) und anderer Felder, die sich während der Übertragung ändern können. AH verschlüsselt allerdings die Daten nicht und wird daher nicht so häufig wie ESP benutzt. AH kann keine NAT-Geräte überwinden. Planungs- und Entwurfsaspekte 89 ESP Bietet Authentifizierung, Datenintegrität, Wiederabspielschutz und bei Bedarf Verschlüsselung. ESP unterstützt NAT-T und kann NAT-Geräte durchlaufen. Da es die Verschlüsselung unterstützt, ist ESP fast immer die bessere Wahl. Standardmäßig verwendet Windows ESP und greift auf AH zurück, wenn ESP nicht möglich ist. Der Rückgriff auf AH dürfte aber eher selten erforderlich werden, denn ESP wird von vielen Computern geboten. Planungs- und Entwurfsaspekte Da Windows-Firewall-Regeln bewirken können, dass autorisierte Benutzer keine Verbindung mit kritischen Netzwerkressourcen herstellen können, und bei falscher Festlegung Angreifern den missbräuchlichen Zugriff auf Ressourcen erlauben, müssen Sie Windows-Firewall-Regeln sehr sorgfältig planen. Sie sollten für jede Serveranwendung Paketfilterrichtlinien festlegen, die Datenverkehr nur aus Netzwerken zulassen, die von autorisierten Benutzern verwendet werden. Wenn Sie IPsec-Richtlinien festlegen, müssen Sie zwischen Hosts unterscheiden, die IPsec unterstützen oder nicht, und eine Isolierungsstrategie entwickeln, die zwar eine möglichst hohe Sicherheit bietet, aber auch entsprechende Ausnahmen zulässt, damit autorisierte Clients Verbindungen herstellen können. Hinweis Informationen über die Durchsetzung von IPsec und über NAP (Network Access Protection) finden Sie in Kapitel 16, »IPsec-Erzwingung«. Planen der Windows-Firewall-Richtlinien Die folgenden Abschnitte bieten Informationen über die Planung der Windows-Firewall-Richtlinien. Zur Optimierung der Sicherheit sollten Sie die Standardfirewallrichtlinien kennen, die Windows Server 2008 automatisch konfiguriert, und die Situationen berücksichtigen, die benutzerdefinierte Windows-Firewall-Richtlinien erfordern könnten. Außerdem sollten Sie überprüfen, ob Sie den Bereich von Firewallregeln einschränken und ob Sie für verschiedene Windows-Firewall-Profile unterschiedliche Regeln anwenden müssen. Standardfirewallrichtlinien Standardmäßig blockiert Windows-Firewall unter Windows Vista und Windows Server 2008 den gesamten eingehenden Datenverkehr und erlaubt sämtlichen ausgehenden Datenverkehr. Dadurch können Clientanwendungen gewöhnlich ohne spezielle Konfiguration der Firewall verwendet werden. Für Serveranwendungen müssen entsprechende Ausnahmen definiert werden. Damit die Systemdienste wie vorgesehen arbeiten können, wurde Windows-Firewall mit einem Standardsatz an ein- und ausgehenden Regeln versehen. Diese Regeln werden aber nur aktiviert, wenn eine Funktion oder Rolle aktiviert wird. So gibt es in Windows-Firewall zum Beispiel die eingehende Regel WWW-Dienste (Eingehender HTTP-Datenverkehr), aber diese Regel bleibt standardmäßig deaktiviert. Wenn Sie die Rolle Anwendungsserver oder Webserver hinzufügen, aktiviert Windows Server 2008 diese Regel automatisch, um eingehende Verbindungen mit dem Webdienst zuzulassen. Die Standardfirewallrichtlinien genügen den Sicherheitsanforderungen der meisten Organisationen. Allerdings können Sie die Standardfirewallrichtlinien bei Bedarf ändern und: nur Verbindungen aus bestimmten Subnetzen zulassen. nur Verbindungen von bestimmten Benutzern oder Computern zulassen. 90 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit nur IPsec-geschützte Verbindungen zulassen. eine Ausnahme nur auf bestimmte Profile anwenden (das ist in erster Linie bei mobilen Computern sinnvoll). Benutzerdefinierte Windows-Firewall-Regeln Auch Anwendungen, die nicht von Microsoft entwickelt wurden, können automatisch Windows-Firewall-Regeln definieren. Für Anwendungen, die dies nicht automatisch tun, können Sie die Regeln manuell festlegen, wobei folgende Regeltypen zur Verfügung stehen: Programm Eine Regel, die Verbindungen unabhängig von der verwendeten Portnummer für eine bestimmte ausführbare Datei blockiert oder zulässt. Port Eine Regel, die Verbindungen für einen bestimmten TCP- oder UDP-Port unabhängig davon blockiert oder zulässt, welches Programm den Datenverkehr verursacht. Vordefiniert Eine Regel, die Verbindungen für eine bestimmte Windows-Komponente kontrolliert, beispielsweise für die Active Directory-Domänendienste, Datei- und Druckerfreigabe oder Remotedesktop. Gewöhnlich aktiviert Windows diese Regeln automatisch. Benutzerdefiniert Eine Regel, die Programm- und Portangaben umfassen kann. Im Normalfall sollten Sie Programmregeln erstellen, weil sie am einfachsten festzulegen sind. Wenn ein Dienst mehrere Ports überwacht und Sie für diese Ports unterschiedliche Beschränkungen festlegen möchten, erstellen Sie die entsprechenden Portregeln. Standardmäßig blockiert Windows-Firewall keinen ausgehenden Datenverkehr. Daher brauchen Sie nur dann ausgehende Regeln zu erstellen, wenn Sie sich dazu entschließen, den ausgehenden Datenverkehr standardmäßig zu sperren. Wenn Sie dafür sorgen, dass der ausgehende Datenverkehr grundsätzlich blockiert wird, sofern er nicht explizit erlaubt wurde, verringern Sie das Risiko, dass Malware (beispielsweise Spyware) vertrauliche Daten überträgt. Allerdings müssen Sie dann den nicht unbeträchtlichen Aufwand für die Tests einplanen, mit denen Sie überprüfen, ob alle erforderlichen Ausnahmen für die ausgehenden Datenverbindungen der autorisierten Anwendungen definiert wurden, die in Ihrer Organisation verwendet werden. Kontrollieren des Bereichs von Firewallrichtlinien Sie können die Eigenschaften einer Standardregel oder einer benutzerdefinierten Regel bearbeiten, um den Bereich zu ändern. Mit Bereich ist der IP-Adressenbereich gemeint, aus dem die IP-Adressen stammen müssen, damit die Windows-Firewallregel die Kommunikation mit dem betreffenden Dienst zulässt. Sie können zum Beispiel die Regeln für eingehende DNS-Verbindungen so ändern, dass nur Verbindungen aus den internen Subnetzen zugelassen werden. Dadurch verringern Sie das Risiko, dass ein Angreifer aus dem Internet Ihren DNS-Server abfragt, um die IP-Adressen von internen Ressourcen in Erfahrung zu bringen. Die Kontrolle der Bereiche der eingehenden Regeln ist eine der besten Methoden, um das Sicherheitsrisiko durch Netzwerkangriffe zu verringern. Im Idealfall wären alle Regeln mit einem Bereich konfiguriert, der nur Verbindungen aus einer beschränkten Menge an IP-Adressen zulässt, die von autorisierten Clients verwendet werden. Die Kontrolle des Bereichs kann allerdings die laufenden Verwaltungskosten erhöhen, denn Sie müssen den Bereich aktualisieren, sobald sich IP-Adressen ändern oder ein neues Subnetz hinzugefügt wird. Außerdem kann die Problembehebung durch die Bereichskontrolle komplizierter werden, weil ein Administrator die Eigenschaften einer Regel überprüfen muss, um herauszufinden, ob eine bestimmte Regel für den Client gilt, auf dem ein Problem auftritt. Planungs- und Entwurfsaspekte 91 Windows-Firewall-Profile Wenn Sie Regeln aufstellen, können Sie die Regeln auf eine beliebige Kombination der folgenden Profile anwenden (zum Beispiel auf alle): Domäne Gilt, wenn ein Computer mit seiner Active Directory-Domäne verbunden ist. Immer dann, wenn der für einen Mitgliedscomputer zuständige Domänencontroller zugänglich ist, wird dieses Profil benutzt. Privat Gilt, wenn ein Computer mit einem privaten Netzwerk verbunden ist. Standardmäßig werden keine Netzwerke als privat eingestuft. Benutzer müssen ein Netzwerk explizit als privat kennzeichnen, zum Beispiel das Netzwerk in ihrer Privatwohnung. Öffentlich Das Standardprofil gilt für alle Netzwerke, wenn kein Domänencontroller verfügbar ist. Das Profil Öffentlich wird zum Beispiel verwendet, wenn Benutzer auf einem Flughafen oder in einem Café eine Verbindung mit einem Wi-Fi-Hotspot herstellen. Standardmäßig lässt das Profil Öffentlich ausgehende Verbindungen zu, blockiert aber jeden eingehenden Datenverkehr, der nicht zu einer bestehenden Verbindung gehört. Profile sind in erster Linie für die Verwendung auf Mobilcomputern vorgesehen. Auf Servern richten Sie Regeln gewöhnlich so ein, dass sie für alle drei Profile gelten. Schutz der Kommunikation mit IPsec Das wahrscheinlich größte Risiko, das mit dem Einsatz von IPsec zum Schutz der Kommunikation verbunden ist, besteht darin, dass autorisierte Benutzer vielleicht keine Verbindung herstellen können, weil die Konfiguration noch nicht stimmt. Daher ist es wichtig, einen genauen Plan darüber aufzustellen, welche Benutzer und Computer eine Verbindung mit einem Server aufnehmen dürfen, und die Implementierung zu testen, bevor die Umstellung auf IPsec erfolgt. IPsec-Regeltypen Sie können folgende Arten von Sicherheitsregeln erstellen: Isolierung Erlaubt Computern nur dann eine Verbindung, wenn sie die angegebenen Kriterien erfüllen und zum Beispiel Mitglied Ihrer Active Directory-Domäne sind, oder wenn sie die gewünschten Integritätskriterien erfüllen und zum Beispiel die neusten Windows-Updates installiert wurden. Weitere Informationen über Integritätskriterien finden Sie in Teil III dieses Buchs, »Netzwerkzugriffsinfrastruktur«. Authentifizierungsausnahme Ermöglicht bestimmten Computern, die Anforderungen an die Authentifizierung zu umgehen, die von einer anderen Regel gestellt werden. Server-zu-Server Erfordert eine Authentifizierung zwischen bestimmten Computern. Tunnel Einige Organisationen implementieren IPsec-Tunnel, damit der IPsec-Datenverkehr auch Netzwerke durchlaufen kann, die IPsec nicht unterstützen. Diese Regel gibt die Hosts und die Ziele an, die diesen Tunnel verwenden, sowie das lokale und das Remotegateway. Weitere Informationen über die Verwendung von Tunneln finden Sie in Kapitel 13, »Standort-zu-Standort-VPNVerbindungen«. Benutzerdefiniert Ermöglicht Ihnen die Kombination von Kriterien aus den verschiedenen Regeltypen. Im Normalfall werden Sie Isolationsregeln für Richtlinien erstellen, die für alle Netzwerkverbindungen gelten sollen, Server-zu-Server-Regeln für Richtlinien, die nur für bestimmte Netzwerke gelten sollen, und Authentifizierungsausnahmeregeln für Computer, die IPsec nicht unterstützen. 92 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit IPsec-Authentifizierungsmethoden Für IPsec können Sie folgende Authentifizierungsmethoden wählen: Standard Verwendet die Standardauthentifizierungsmethode des Profils. Tabelle 4.1 zeigt die Standardeinstellungen. Tabelle 4.1 IPsec-Standardeinstellungen in Windows Server 2008 Einstellung Wert Authentifizierungsmethode Computer (Kerberos V5) Schlüsselaustauschalgorithmus Diffie-Hellman Group 2 Datenintegritätssicherungsmethode SHA1 IPsec-Authentifizierungsprotokoll ESP Gültigkeitsdauer der Verschlüsselungsschlüssel 60 Minuten oder 100.000 KB Verschlüsselungsmethode AES-128 (primär) und 3-DES (sekundär) Computer (Kerberos V5) Lässt nur Verbindungen von Computern zu, die Mitglieder Ihrer Domäne sind. Damit IPsec über eine gesamtstrukturübergreifende Vertrauensstellung hinweg IPsec verwendet, müssen Sie die Vertrauensstellungen unter Angabe der vollständigen Domänennamen (Fully Qualified Domain Names, FQDNs) konfigurieren. Außerdem müssen Sie die IPsec-Clientrichtlinien so konfigurieren, dass die Kommunikation mit jedem Domänencontroller aus der Domänenhierarchie der Gesamtstruktur möglich ist, damit IPsec von jedem Domänencontroller aus der Domäne des IPsec-Peers ein Kerberos-Ticket anfordern kann. Computer und Benutzer(Kerberos V5) Lässt nur Verbindungen mit Computern zu, die von autorisierten Benutzern verwendet werden. Diese Benutzer müssen Mitglieder Ihrer Domäne sein. Zuerst findet eine Computerauthentifizierung statt. Anschließend wird als zusätzliche Schutzmaßnahme der Benutzer mit Kerberos V5 authentifiziert. Computerzertifikat Lässt nur Verbindungen von Computern zu, die über ein Computerzertifikat von einer bestimmten Zertifizierungsstelle verfügen. Dadurch wird auch die Authentifizierung von Computern möglich, die nicht Mitglieder derselben Active Directory-Domäne sind. Allerdings müssen vorher Zertifikate für die Computer ausgestellt werden (beispielsweise mit den Active Directory-Zertifikatdiensten). Bevor Sie eine IPsec-Richtlinie anwenden, die eine Authentifizierung mit Zertifikaten zulässt, sollten Sie dafür sorgen, dass alle Computer neben gültigen Computerzertifikaten auch über die korrekten Stammzertifizierungsstellenzertifikate und die erforderlichen Kreuzzertifikate verfügen. Um sicherzustellen, dass die Zertifikatauthentifizierung nach Wunsch funktioniert, sollten Sie Ihre PKI-Infrastruktur vor der Einführung in einer Produktivumgebung mit verschiedenen IPsec-Richtlinienkonfigurationen testen. Erweitert Ermöglicht die Konfiguration mehrerer Benutzer- oder Computerauthentifizierungsmethoden und die Festlegung der relativen Prioritäten. Sie können die erweiterte Sicherheit auch so konfigurieren, dass eine Computerauthentifizierung mit vorinstallierten Schlüsseln erfolgt. In diesem Fall müssen Sie auf jedem Computer einen Schlüssel installieren, der als Kennwort dient. Allerdings sollten Sie vorinstallierte Schlüssel nur in Testumgebungen verwenden, weil es sich als sehr schwierig erweisen kann, vorinstallierte Schlüssel in Produktivumgebungen zu ändern. Sie müssten den Schlüssel ändern, falls der vorinstallierte Schlüssel bekannt wird. Sie können die Authentifizierungsmethoden nach Bedarf kombinieren. So können Sie zum Beispiel Ihren öffentlichen Webserver so einrichten, dass er interne Clients mit Kerberos authentifiziert und externe Clients mit einem Zertifikat mit öffentlichem Schlüssel. Nach der Konfiguration vergleicht Planungs- und Entwurfsaspekte 93 IPsec die Quell-IP-Adresse des Remotehosts mit den IPsec-Richtlinienregeln, um die zu verwendende Authentifizierungsmethode zu ermitteln. Nach der IPsec-Authentifizierung kann der Client eine Netzwerkverbindung mit dem Server herstellen. Allerdings verlangt dann vielleicht noch die Anwendung nach einer Authentifizierung. Wenn zum Beispiel ein autorisierter Benutzer eine Verbindung mit einem Dateiserver aufnimmt, der eine IPsecAuthentifizierung verlangt, findet die IPsec-Authentifizierung statt, bevor der Client den Versuch unternehmen kann, eine Verbindung zu einem freigegebenen Ordner herzustellen. Wurde der Client erfolgreich mit IPsec authentifiziert und ist er berechtigt, auf Netzwerkebene auf den Dateiserver zuzugreifen, muss der Benutzer trotzdem noch die Anmeldeinformationen eingeben, die für die betreffenden auf dem Dateiserver freigegebenen Ressourcen erforderlich sind. Abbildung 4.3 zeigt Beispiele für Sicherheitsmaßnahmen auf den verschiedenen Ebenen. Der Einsatz von Sicherheitsmaßnahmen auf mehreren Ebenen ist eine Strategie, die Defense-in-depth genannt wird. Sie bietet auch dann noch Schutz, wenn der Schutz auf einer bestimmten Ebene versagt. Zusätzlich zu den in Abbildung 4.3 dargestellten Schichten verwenden viele Organisationen in ihrer Netzwerkinfrastruktur außerdem noch Firewalls. Abbildung 4.3 IPsec ist Teil eines Sicherheitssystems, das sich über mehrere Netzwerkschichten erstreckt Server- und Domänenisolation Der Begriff Isolation bezog sich ursprünglich auf eine Netzwerkarchitektur, bei der Computer zu separaten Netzwerken zusammengefasst wurden, die von außen nicht zu erreichen waren, damit es für nichtautorisierte Benutzer sehr schwierig war, über das Netzwerk hinweg auf einen Computer zuzugreifen. Aber eine physische Isolation in dieser Form kann die Verwaltung der Computer erschweren und verhindert zudem, dass Mobilcomputer eine Verbindung herstellen können. IPsec kann durch die Authentifizierung eine logische Isolation auf hoher Ebene bieten, wobei es den Clients trotzdem möglich ist, aus einer Vielzahl von Netzwerken heraus eine Verbindung herzustellen. Bei der Server- und Domänenisolation wird nur autorisierten Computern gestattet, Netzwerkverbindungen einzurichten. Die Authentifizierung erfolgt in der Netzwerkschicht unterhalb der Anwendungsschicht und schützt die gesamte Netzwerkkommunikation. Sollte sich also ein Angreifer direkten physischen Zugang zu Ihrem Netzwerk verschaffen, weisen die geschützten Server Verbindungsversuche ab, weil der Computer des Angreifers nicht über die erforderlichen Anmeldeinformationen verfügen dürfte. 94 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Direkt von der Quelle: Einführung der Server- und Domänenisolation Server- und Domänenisolation ist ein relativ neues Einsatzgebiet für IPsec. Vor einigen Jahren suchte unsere eigene Microsoft IT-Abteilung (MSIT) nach einer besseren Methode, unser Firmennetzwerk vor Angriffen durch Schadsoftware (wie Viren und Würmer) zu schützen. Wie Sie sich vorstellen können, haben wir ein ziemlich großes Netzwerk, in dem es zu praktisch allen Herausforderungen kommt, mit denen es auch viele andere Organisationen tagtäglich zu tun haben, wie Remotezugriffen, Partner und Auftragnehmer »im Netz« und so weiter und so fort. Um unsere vorhandene Defense-in-depth-Lösung zu erweitern, brauchte die MSIT eine Technologie, die keine vollständige »Neuverdrahtung« des Firmennetzwerks erfordert, sondern eine zusätzliche Schicht auf der Basis des vorhandenen Netzwerks bildet und die Hosts, die wir als unverwaltete Geräte oder vielleicht sogar als schwarze Schafe einstufen, in bestimmten Segmenten unterbringen (und isolieren) kann. Das war wichtig, um die Angriffsfläche unseres Netzwerks weiter zu verkleinern und sicherzustellen, dass Computer, die sich nicht an unsere Integritätsrichtlinien halten (das betrifft zum Beispiel die neusten Updates, Antivirussignaturen, Hostfirewalls und so weiter), keine Sicherheitsrisiken in unser Netzwerk einschleppen können, die sich negativ auf unsere Arbeit auswirken könnten, und uns dabei unterstützen, Vorschriften wie beispielsweise Sarbanes-Oxley (SOX) einzuhalten. Nach der Überprüfung einiger Optionen entwickelte die MSIT-Abteilung eine Lösung mit IPsec, Active Directory-Gruppenrichtlinien und unserer vorhandenen Kerberos- und PKI-Infrastruktur (Public Key Infrastructure). Das war die erste praktische Umsetzung des Server- und Domänenisolation-Lösungsansatzes. Allerdings fanden wir natürlich nach und nach heraus, dass auch einige unserer Kunden in derselben organischen Weise ähnliche Lösungen entwickelt hatten. Daher würde ich Ihnen empfehlen zu überprüfen, was die Server- und Domänenisolation für Ihre vorhandene Windows-Infrastruktur bewirken kann. Dazu brauchen Sie weder die vorhandene Sicherheitstechnologie zu ersetzen noch die Netzwerkhardware auszuwechseln oder Ihre Anwendungen zu überarbeiten. Ian Hameroff, Senior Product Manager Security and Access Product Marketing IPsec verschlüsselt zudem standardmäßig den Datenverkehr, sodass es auch für einen Angreifer, der direkten physischen Zugang zu Ihrem Netzwerk hat, nahezu unmöglich ist, den Datenverkehr in lesbarer Form abzufangen und auf die unverschlüsselten Netzwerkdaten zuzugreifen. Auch wenn IPsec sehr flexible Autorisierungsstrategien bietet, wird es gewöhnlich in folgenden Weisen verwendet: Domänenisolation Nur Domänenmitglieder können untereinander Netzwerkverbindungen herstellen (mit einigen Ausnahmen). Serverisolation Ein bestimmter Server wird so eingerichtet, dass er Netzwerkverbindungen von vertrauenswürdigen Domänenmitgliedern oder von bestimmten Gruppen von Domänenmitgliedern akzeptiert. Sie könnten zum Beispiel einen Buchhaltungsserver so konfigurieren, dass er nur Computer und Benutzer aus der Gruppe Buchhaltung akzeptiert. Eine Serverisolation kann auch bedeuten, dass auch Verbindungen mit Computern erlaubt werden, die zwar keine Domänenmitglieder sind, aber über ein Computerzertifikat verfügen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Planungs- und Entwurfsaspekte 95 Die Server- und Domänenisolation kann Sie dabei unterstützen, folgende Risiken einzugrenzen: Angreifer, die eine Verbindung mit einem ungeschützten Drahtlosnetzwerk herstellen und auf Server zugreifen, die auf der Ebene der Anwendungen keine Authentifizierung erfordern Server, die Zugriffe von allen Benutzern zulassen, die über direkten physischen Zugang zum Netzwerk verfügen Autorisierte Benutzer, die nichtautorisierte Computer verwenden Allerdings ist die Server- und Domänenisolation nur eine zusätzliche Sicherheitsschicht. Sie bietet keinen Schutz vor folgenden Risiken: Autorisierte Benutzer mit autorisierten Computern, die ihre Zugriffsrechte missbrauchen Angreifer, die sich Zugang zu einem autorisierten Computer und je nach der Konfiguration von IPsec auch Zugang zu den Anmeldeinformationen eines autorisierten Benutzers verschaffen Würmer und andere Malware, die autorisierte Computer infizieren und andere Computer über das Netzwerk hinweg angreifen Angreifer, die auf Server zugreifen, die nicht durch IPsec geschützt werden Nichtautorisierte Verbindungen, die durch eine IPsec-Ausnahme möglich werden IPsec-Ausnahmen Ausnahmen sind Kriterien, die es ermöglichen, die Sicherheitsanforderungen von IPsec zu umgehen. Da Windows Server 2008 nicht standardmäßig IPsec verlangt, brauchen Sie nur dann Ausnahmen zu definieren, wenn Sie für die Kommunikation IPsec einsetzen. Wenn Sie IPsec verwenden, müssen Sie für autorisierte Verbindungen, die wegen IPsec sonst nicht hergestellt werden können, Ausnahmen definieren. Es könnte zum Beispiel erforderlich werden, folgende Ausnahmen festzulegen: Neu bereitgestellte Computer, die nicht für IPsec konfiguriert wurden Betriebssysteme, die IPsec nicht unterstützen Computer, die Gästen oder Auftragnehmern gehören Versuchen Sie, den Gültigkeitsbereich von Ausnahmen möglichst klein zu halten. Richten Sie nur für solche Ressourcen Ausnahmen ein, die für Computer zugänglich sein müssen, die IPsec nicht unterstützen. Vielleicht müssen Sie zum Beispiel eine Ausnahme für Hosts machen, die über den für Gäste reservierten drahtlosen Zugriffspunkt eine Verbindung mit Ihrem Proxyserver herstellen und auf das Internet zugreifen möchten (und zwar nur auf das öffentliche Internet). Die Ausnahme sollte nicht so weit gehen, dass diese Gäste zum Beispiel eine Verbindung mit einem Intranetwebserver herstellen können, der die Namen und Telefonnummern von Angestellten auflisten kann. Schränken Sie den Gültigkeitsbereich der Ausnahme noch weiter ein, indem Sie nur Zugriffe mit bestimmten TCP- oder UDP-Ports zulassen. Hinweis Ziehen Sie die Einrichtung einer Ausnahme für ICMP-Datenverkehr (Internet Control Message Protocol) in Erwägung. Das ermöglicht Administratoren, mit dem Programm Ping zu überprüfen, ob bestimmte Computer verfügbar sind, selbst wenn eine Fehlkonfiguration von IPsec verhindern sollte, dass diese Computer mit anderen Protokollen eine Verbindung herstellen können. Viele Infrastrukturserver erfordern IPsec-Ausnahmen: DHCP-Server DHCP-Server müssen in der Lage sein, DHCP-Aushandlungsdatenverkehr über UDP-Port 68 anzunehmen, ohne IPsec vorauszusetzen. DNS-Server Damit Clients Domänencontroller und andere Netzwerkressourcen finden können, sollten DNS-Server über UPD-Port 53 DNS-Abfragen zulassen, ohne IPsec vorauszusetzen. 96 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit WINS-Server (Windows Internet Name Service) Wenn Clientcomputer auf WINS-Server angewiesen sind, sollten Sie eine Ausnahme für WINS-Abfragen über UPD-Port 137 einrichten. Domänencontroller Domänencontroller müssen in der Lage sein, für verschiedene Kommunikationsprotokolle Verbindungen anzunehmen, die nicht durch IPsec geschützt sind. Jede Ausnahme, die Sie einrichten, ist ein Sicherheitsrisiko. Daher müssen Sie jede Ausnahme genau überprüfen und Maßnahmen ergreifen, um das Sicherheitsrisiko möglichst gering zu halten. Überprüfen Sie, ob Angreifer die Ausnahme für den Zugriff auf geschützte Ressourcen oder für Zugriffe mit erhöhten Rechten missbrauchen könnten. Wenn Sie zum Beispiel einem nichtautorisierten Gast den Zugriff auf Ihren Proxyserver gewähren, sollten Sie überprüfen, ob der Gast diesen Proxyserver für den Zugriff auf andere geschützte Ressourcen verwenden könnte. In ähnlicher Weise könnte ein Angreifer eine Remotedesktopsitzung für den Zugriff auf geschützte Ressourcen verwenden, wenn eine Ausnahme es einem Computer erlaubt, über Remotedesktop eine Verbindung mit einem IPsecgeschützten Computer herzustellen. Außerdem sollten Sie den physischen Zugang zum Netzwerk einschränken und NAP (Network Access Protection) verwenden, um Netzwerke zu schützen, auf denen Ausnahmen eingerichtet wurden, die einen Zugang zu internen Ressourcen ermöglichen. Wenn Sie zum Beispiel für neu angeschaffte Computer eine Ausnahme einrichten müssen, verwenden Sie physische Sperren, um den Zugang zum Bereitstellungsnetzwerk zu beschränken. Verhindern Sie nach Möglichkeit, dass IPsec-geschützte Computer mit Ressourcen arbeiten, die für nicht durch IPsec geschützte Computer zugänglich sind. Dadurch verringern sich die Risiken, dass vertrauliche Informationen auf nichtautorisierte Computer durchsickern und dass Malware von nichtautorisierten Computern die internen Computer infiziert. Wenden Sie außerdem das Defense-in-depth-Sicherheitsprinzip an und verlassen Sie sich keinesfalls allein auf IPsec, um die Sicherheit zu gewährleisten. Wenn ein Intranetwebserver IPsec verlangt, sollten Sie auch für die Webanwendung die Authentifizierung vorschreiben. Wenn Sie die Kommunikation mit Ihrem E-Mail-Server mit IPsec verschlüsseln, sollten Sie zusätzlich eine Verschlüsselung in der Anwendungsschicht aktivieren (beispielsweise SSL), um das Risiko zu verringern, falls IPsec umgangen oder versehentlich deaktiviert wird. Abbildung 4.4 zeigt, wie IPsec-Richtlinien zur Serverisolation in einem einfachen Netzwerk eingeplant werden könnten. In diesem Beispiel sollte eine Domänenisolation vorgesehen werden, damit IPsec-Verbindungen auf Domänenmitglieder beschränkt bleiben. Testen von IPsec Beginnen Sie den Test von IPsec in einer Testumgebung. Konfigurieren Sie Computer mit den clientund serverseitigen Komponenten Ihrer kritischen Anwendungen und überprüfen Sie, ob die Anwendungen in der Testumgebung funktionieren und sich genau wie in der Produktivumgebung verhalten. Ihre Testumgebung sollte mit Computern ausgestattet sein, auf denen alle potenziellen IPsec-Clientbetriebssysteme verfügbar sind, weil die verschiedenen Betriebssysteme unterschiedliche IPsec-Funktionen bieten. Testen Sie die Anwendungsleistung mit und ohne IPsec, um zu überprüfen, ob und wie weit sich IPsec auf die Leistung auswirkt. Fügen Sie auch Firewalls, Proxyserver und Router, wie sie in der Produktivumgebung eingesetzt werden, zur Testumgebung hinzu, damit Sie abschätzen können, wie sich diese Geräte in der Produktivumgebung auf die IPsec-Kommunikation auswirken. Testen Sie Clients, die IPsec nicht unterstützen, mit IPsec-fähigen Servern und überprüfen Sie, wie sich die IPsec-Konfiguration darauf auswirkt, ob Verbindungen erfolgreich aufgebaut werden oder nicht. Bereitstellungsschritte 97 Abbildung 4.4 Ein Isolationsbeispiel mit Ausnahmen Beginnen Sie die Praxiseinführung von IPsec mit einer Pilotbereitstellung. In der Pilotphase sollten Sie auf keinem Computer die IPsec-Kommunikation verlangen. Alle Computer sollten auch die Kommunikation ohne IPsec zulassen, um die Computer zu unterstützen, die nicht zum Pilotprojekt gehören. Die IPsec-Kommunikation sollten Sie erst verlangen, nachdem alle Computer auf IPsec umgestellt wurden. Hinweis Selbst wenn Sie planen, jeden Computer mit IPsec zu schützen, wird es eine Übergangsphase geben, in der einige Computer noch nicht ihre IPsec-Konfiguration erhalten haben. Daher müssen Sie während der IPsec-Einführung ungeschützte Verbindungen zulassen. Bereitstellungsschritte Sie können Windows-Firewall mit der Konsole Windows-Firewall aus dem Ordner Verwaltung lokal konfigurieren oder die Richtlinien aus dem Knoten Computerkonfiguration\Richtlinien\WindowsEinstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) verwenden. Im Normalfall werden Sie Richtlinien, die für ganze Computergruppen gelten, mit Gruppen- 98 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit richtlinienobjekten festlegen, wie zum Beispiel die Richtlinien für die IPsec-Verbindungssicherheit. Serverspezifische Richtlinien wie zum Beispiel die IP-Adressen, von denen DNS-Server Abfragen akzeptieren, werden Sie dagegen mit lokalen Programmen festlegen. Die folgenden Abschnitte beschreiben Aufgaben, die gewöhnlich zur Konfiguration von WindowsFirewall durchgeführt werden müssen. Firewalleinstellungen mit Gruppenrichtlinien Firewallrichtlinien sind am effizientesten, wenn sie in einer Active Directory-Domäne mit Gruppenrichtlinienobjekten festgelegt werden. Bevor Sie eine Firewallrichtlinie festlegen, überprüfen Sie, wie die ausführbare Datei der Anwendung heißt, welche TCP- oder UDP-Portnummern verwendet werden und welche anderen Protokolltypen für die Kriterien wichtig sind, die Sie in der Regel festlegen möchten. Überprüfen Sie auch, ob Sie den Bereich der Kommunikation auf bestimmte Computer oder Netzwerke einschränken können. In den Gruppenrichtlinien stehen für die Windows-Firewall-Einstellungen für Computer zwei verschiedene Knoten zur Verfügung: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit Die Einstellungen, die in diesem Knoten vorgenommen werden, gelten nur für Computer, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird. Nach Möglichkeit sollten Sie immer diesen Knoten verwenden, weil er eine präzisere Festlegung der Firewallregeln ermöglicht, die Konfiguration neuer Authentifizierungstypen erlaubt, eine neue Kryptografieoption bietet und weil viele Firewallregeln vorkonfiguriert sind. Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall Die Einstellungen dieses Knotens gelten für Computer, auf denen Windows XP, Windows Server 2003, Windows Vista oder Windows Server 2008 ausgeführt wird. Dieser Knoten ist zwar nicht so flexibel wie der zuvor beschriebene Knoten, aber die Einstellungen gelten für alle Windows-Versionen, die Windows-Firewall unterstützen. Wenn Sie die neuen IPsec-Funktionen von Windows Vista nicht benutzen, können Sie diesen Knoten verwenden, um sämtliche Clients zu konfigurieren. Um die besten Ergebnisse zu erzielen, erstellen Sie zuerst separate Gruppenrichtlinienobjekte für Windows Vista/Windows Server 2008 und für Windows XP/Windows Server 2003. Dann verwenden Sie WMI-Abfragen, um die Gruppenrichtlinienobjekte auf die Computer einzustellen, auf denen die passende Windows-Version ausgeführt wird. Weitere Informationen Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 555253, »HOWTO: Leverage Group Policies with WMI Filters« unter http://support.microsoft.com/kb/555253. Da der Schwerpunkt dieses Kapitels auf den Firewalleinstellungen für Windows Vista und Windows Server 2008 liegt, beschränken sich die weiteren Angaben auf die Einstellungen, die sich in der Konsole Windows-Firewall mit erweiterter Sicherheit durchführen lassen. So nehmen Sie die allgemeinen Firewalleinstellungen vor 1. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor. Hinweis Sie können diese Einstellungen auch für einzelne Computer vornehmen, und zwar in der Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs zur Verfügung steht. Bereitstellungsschritte 99 2. Wählen Sie Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\ Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit. 3. Klicken Sie Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Nehmen Sie auf den Registerkarten Domänenprofil, Privates Profil und Öffentliches Profil die erforderlichen Einstellungen in folgenden drei Gruppen vor: Status Hier legen Sie fest, ob die Firewall standardmäßig aktiviert wird und ob ein- und ausgehende Verbindungen standardmäßig zugelassen oder blockiert werden. Einstellungen Klicken Sie auf die Schaltfläche Anpassen der Gruppe Einstellungen, um festzulegen, ob Windows-Firewall eine Benachrichtigung anzeigt, wenn eingehende Verbindungen für ein Programm blockiert werden, ob Unicastantworten auf Multicast- oder Broadcastnachrichten zugelassen sind und ob die lokalen Firewall- und IPsec-Verbindungssicherheitsregeln mit den Gruppenrichtlinieneinstellungen zusammengeführt oder von diesen außer Kraft gesetzt werden. Protokollierung Klicken Sie auf die Schaltfläche Anpassen der Gruppe Protokollierung, wenn Sie die Protokollierung von Firewallaktionen protokollieren möchten, zum Beispiel verworfene Pakete oder erfolgreiche Verbindungen. Standardmäßig ist die Protokollierung deaktiviert und sollte auch deaktiviert bleiben, solange Sie keine Firewallprobleme beheben müssen. 5. Auf der Registerkarte IPsec-Einstellungen nehmen Sie Einstellungen in zwei Gruppen vor: IPsec-Standardeinstellungen Klicken Sie auf die Schaltfläche Anpassen, um das Dialogfeld IPsec-Einstellungen anpassen zu öffnen. In diesem Dialogfeld können Sie die Verschlüsselungstechnologie und die Schlüsselgültigkeitsdauer für den Hauptmodus und den Schnellmodus einstellen. Im Normalfall sind aber die Standardeinstellungen bereits optimal. Sie können auch die Standardauthentifizierungsmethode ändern, wobei die gewählte Authentifizierungsmethode allerdings durch IPsec-Regeln außer Kraft gesetzt werden kann. Klicken Sie auf OK. IPsec-Ausnahmen Legen Sie fest, ob der ICMP-Datenverkehr, wie er zum Beispiel von Ping und Tracert generiert wird, für IPsec eine Ausnahme ist. Das kann für Systemadministratoren von Nutzen sein, die einen Server anpingen möchten, der andernfalls eine IPsec-Authentifizierung verlangt. 6. Klicken Sie auf OK. Um mit einem Skript allgemeine Firewalleinstellungen vorzunehmen, wechseln Sie zuerst mit folgenden Befehlen in den netsh advfirewall-Kontext: netsh advfirewall Dann legen Sie mit dem Befehl set store fest, ob Sie mit dem lokalen Speicher arbeiten (die Standardvorgabe) oder mit einem Active Directory-Gruppenrichtlinienobjekt. Die folgenden Befehle demonstrieren, wie Sie im netsh advfirewall-Kontext zwei verschiedene Speicher auswählen können: set store local set store gpo="contoso.com\IT" Nach der Auswahl des Speichers stehen Ihnen viele Befehle zur Verfügung, mit denen Sie die allgemeinen Firewalleinstellungen festlegen können. In der folgenden Beschreibung steht Profil für allprofiles, domainprofile, privateprofile oder publicprofile. 100 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Im Kontext netsh advfirewall können Sie mit folgendem Befehl das Standardverhalten der Firewall festlegen. Das ist nicht nur bei der Behebung von Problemen von Nutzen, sondern auch, wenn aus bestimmten Gründen für eine bestimmte Zeit schärfere Regeln gelten sollen: set Profil firewallpolicy eingehend,ausgehend Beachten Sie bitte, dass auf das Komma kein Leerzeichen folgt. In diesem Befehl hat der Parameter Profil einen der folgenden Werte: allprofiles domainprofile privateprofile publicprofile Der Parameter eingehend hat einen der folgenden Werte: blockinbound Blockiert alle eingehenden Verbindungen, die nicht zu einer eingehenden Regel passen (die Standardeinstellung). blockinboundalways Blockiert alle eingehenden Verbindungen, selbst wenn sie zu einer eingehenden Regel passen. Das kann sinnvoll sein, um für eine gewisse Zeit die Netzwerksicherheit eines Computers zu erhöhen, wenn ein Computer zum Beispiel mit einem nicht vertrauenswürdigen Netzwerk verbunden wird und das öffentliche Profil Ausnahmen zulässt. allowinbound Lässt eingehende Verbindungen zu, selbst wenn Sie keine passende Ausnahme definiert haben. Das kann sinnvoll sein, um für eine gewisse Zeit Verbindungen mit jeder Anwendung zuzulassen und zu überprüfen, ob die Windows-Firewall-Einstellung zu Problemen führt. notconfigured Versetzt die Windows-Firewall-Richtlinie in ihren Standardzustand, nachdem sie mit einem der obigen Befehle verändert wurde. Der Parameter ausgehend erhält einen der folgenden Werte: allowoutbound Lässt auch ausgehende Verbindungen zu, die zu keiner ausgehenden Regel passen. blockoutbound Blockiert alle ausgehenden Verbindungen, die nicht zu einer ausgehenden Regel passen. Das kann sinnvoll sein, um Anwendungen für eine gewisse Zeit an der Kommunikation im Netzwerk zu hindern. notconfigured Versetzt die Windows-Firewall-Richtlinie in ihren Standardzustand, nachdem Sie mit einem der obigen Befehle verändert wurde. Der folgende Befehl bewirkt zum Beispiel, dass der gesamte ein- und ausgehende Datenverkehr unabhängig davon zugelassen wird, ob er zu einer Regel passt: set allprofiles firewallpolicy allowinbound,allowoutbound Und der folgende Befehl verleiht der Firewall wieder ihr Standardverhalten (allerdings gilt dies nur bei einer Konfiguration im Gruppenrichtlinienobjektspeicher von Active Directory): set allprofiles firewallpolicy notconfigured,notconfigured Wenn Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit die Standardeinstellungen wiederherstellen möchten, klicken Sie Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste an und klicken dann auf Wiederherstellen. Um die Standardeinstellungen mit einem Skript wiederherzustellen, geben Sie folgenden Befehl: netsh advfirewall reset Bereitstellungsschritte 101 Weitere Informationen über die verfügbaren Befehle erhalten Sie, wenn Sie in einer Eingabeaufforderung den Befehl netsh advfirewall ? eingeben. Festlegen der Standardregeln Windows-Firewall umfasst ein- und ausgehende Standardregeln für Windows-Dienste und Anwendungen, die auf Netzwerkzugriff angewiesen sind. Wenn Sie zum Beispiel die Active Directory-Rolle Domänencontroller hinzufügen, fügt Windows Server 2008 13 Regeln hinzu. Zusammen bilden diese Regeln eine Regelgruppe wie in Abbildung 4.5. Abbildung 4.5 Die Regelgruppe Active Directory-Domänendienste So aktivieren und deaktivieren Sie Regeln 1. Wählen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit den Knoten Eingehende Regeln oder Ausgehende Regeln. 2. Klicken Sie die gewünschte Regel mit der rechten Maustaste an und klicken Sie dann auf Regel aktivieren oder Regel deaktivieren. Wenn Sie eine einzelne Regel mit Netsh aktivieren möchten, verwenden Sie folgende Syntax: netsh advfirewall firewall set rule name="Regel" new enable=yes Oder deaktivieren Sie eine Regel mit folgendem Befehl: netsh advfirewall firewall set rule name="Regel" new enable=no Der folgende Befehl aktiviert zum Beispiel die Regel BITS-Peercaching (RPC), die standardmäßig deaktiviert ist: netsh advfirewall firewall set rule name="BITS-Peercaching (RPC)" new enable=yes Mit einem einzigen Netsh-Befehl können Sie eine ganze Regelgruppe aktivieren, wobei folgende Syntax gilt: netsh advfirewall firewall set rule group="RegelGruppe" new enable=yes Oder deaktivieren Sie eine Regelgruppe mit folgendem Befehl: netsh advfirewall firewall set rule group="RegelGruppe" new enable=no 102 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Der folgende Befehl aktiviert zum Beispiel alle Regeln in der BITS-Peercaching-Gruppe, die standardmäßig deaktiviert ist: netsh advfirewall firewall set rule group="BITS-Peercaching" new enable=yes So ändern Sie die Konfiguration einer Regel 1. Wählen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit den Knoten Eingehende Regeln oder Ausgehende Regeln. 2. Klicken Sie die gewünschte Regel mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Bearbeiten Sie die Einstellung der Regel: So ändern Sie den Bereich Klicken Sie auf die Registerkarte Bereich, klicken Sie auf Diese IP-Adressen und dann auf Hinzufügen, um Remote-IP-Adressen oder lokale IP-Adressen anzugeben. So schreiben Sie IPsec vor Klicken Sie auf die Registerkarte Allgemein und dann auf Nur sichere Verbindungen zulassen. So lassen Sie nur Verbindungen von bestimmten Benutzern oder Computern zu Klicken Sie auf die Registerkarte Benutzer und Computer und wählen Sie dann Nur Verbindungen von diesen Computern zulassen oder klicken Sie auf Nur Verbindungen von diesen Benutzern zulassen. Klicken Sie auf die Schaltfläche Hinzufügen, um die Benutzer oder Computer hinzuzufügen. So erreichen Sie, dass die Regel für ein bestimmtes Profil gilt Klicken Sie auf die Registerkarte Erweitert, klicken Sie auf Diese Profile und wählen Sie dann die Profile aus, für die die Regel gelten soll. 4. Klicken Sie auf OK. Hinzufügen neuer Regeln Viele Anwendungen und Dienste konfigurieren die Firewallregeln automatisch nach Bedarf. Für andere Anwendungen müssen Sie manuell Ausnahmen festlegen, die eingehende Verbindungen zulassen, beispielsweise für Anwendungen, die für ältere Windows-Versionen entwickelt wurden. So fügen Sie in den Gruppenrichtlinien eine Firewallausnahme hinzu 1. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor. Hinweis Sie können diese Einstellungen auch für einzelne Computer vornehmen, und zwar in der Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs zur Verfügung steht. Diese Konsole ersetzt die Konsole IP-Sicherheitsrichtlinienverwaltung von Windows XP und Windows Server 2003. 2. Wählen Sie Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\ Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit. 3. Klicken Sie entweder Eingehende Regeln (zur Filterung des von anderen Computern eingehenden Datenverkehrs) oder Ausgehende Regeln (zur Filterung des ausgehenden Datenverkehrs der Anwendungen des Computers, auf dem das Gruppenrichtlinienobjekt wirkt) mit der rechten Maustaste an und klicken Sie dann auf Neue Regel. Es öffnet sich der Assistent für neue eingehende Regeln oder der Assistent für neue ausgehende Regeln. Bereitstellungsschritte 103 4. Klicken Sie auf der Seite Regeltyp auf den Regeltyp, den Sie erstellen möchten, und dann auf Weiter. Weitere Informationen über Regeltypen finden Sie im Abschnitt »Benutzerdefinierte Windows-Firewall-Regeln« dieses Kapitels. 5. Wenn die Seite Programm erscheint, klicken Sie auf Dieser Programmpfad und geben den Pfad der ausführbaren Datei ein, für die die Regel gelten soll. Die Datei muss nicht zwangsläufig auf dem Computer liegen, auf dem Sie die Gruppenrichtlinie konfigurieren, und die Gruppenrichtlinie gilt nur, wenn es die Datei auf dem Computer gibt, der das Gruppenrichtlinienobjekt anwendet. Klicken Sie auf Weiter. 6. Wenn die Seite Protokolle und Ports erscheint, füllen Sie folgende Felder aus und dann auf Weiter. Protokolltyp Für die meisten Anwendungen sollten Sie entweder TCP oder UDP wählen. Sie können auch seltener verwendete Protokolle wählen, falls die Anwendung sie erfordert. Wählen Sie Benutzerdefiniert, um Ihre eigene Protokollnummer einzugeben. Protokollnummer Wird automatisch ausgefüllt, wenn Sie einen Protokolltyp wählen. Lokaler Port und Remoteport Gilt nur für die Protokolltypen TCP und UDP. Für Firewallausnahmen, die für einen Server gemacht werden, wählen Sie im Feld Lokaler Port die Einstellung Bestimmte Ports und lassen die Einstellung Alle Ports im Feld Remoteport unverändert. Für Firewallausnahmen, die nur für einen Client gelten, wählen Sie im Feld Remoteport die Einstellung Bestimmte Ports und lassen die Einstellung Alle Ports im Feld Lokaler Port unverändert. Nach der Wahl der Einstellung Bestimmte Ports geben Sie die Portnummern ein, jeweils durch ein Komma voneinander getrennt. Sofern die Anwendung es erfordert, wählen Sie Dynamisches RPC oder RPC-Endpunktzuordnung (wird nur vom RPCSS-Dienst verwendet). ICMP-Einstellungen Die Schaltfläche Anpassen wird nur aktiviert, wenn Sie die Protokolltypen ICMPv4 oder ICMPv6 wählen. Klicken Sie auf Anpassen, um bestimmte ICMP-Typen auszuwählen, oder Sie übernehmen die Voreinstellung Alle ICMP-Typen und klicken dann auf Weiter. 7. Wenn die Seite Bereich erscheint, übernehmen Sie die Standardeinstellungen, wenn Verbindungen von und mit jeder IP-Adresse möglich sein sollen. Wenn Sie die Kommunikation auf bestimmte IP-Adressen oder Netzwerke einschränken möchten, klicken Sie Diese IP-Adressen an, und zwar unter den lokalen IP-Adressen, um die Computer anzugeben, die diese Regeln anwenden, oder unter den Remote-IP-Adressen, um die Server anzugeben, mit denen Clients kommunizieren. Dann klicken Sie auf Hinzufügen, geben die IP-Adresse, das Netzwerk oder einen IP-Adressenbereich ein und klicken dann auf OK. Klicken Sie auf Anpassen, wenn Sie festlegen möchten, ob die Regel auf LAN-Schnittstellen, Remotezugriffsschnittstellen oder drahtlose Schnittstellen angewendet werden soll. Klicken Sie dann auf OK und anschließend auf Weiter. 8. Klicken Sie auf der Seite Aktion auf Verbindung zulassen, wenn Sie alle Verbindungen zulassen möchten, die die auf den vorigen Seiten festgelegten Kriterien erfüllen. Wenn Sie nur IPsec-Kommunikation zulassen möchten, klicken Sie auf Verbindungen zulassen, wenn sie sicher ist und legen fest, ob Verschlüsselung erforderlich ist. Wenn Sie Verbindungen blockieren wollen, die Ihre Kriterien erfüllen, klicken Sie auf Verbindung blocken. Klicken Sie auf Weiter. 9. Wählen Sie auf der Seite Profil die Profile aus, in denen die Regel gelten soll, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie im Abschnitt »Windows-Firewall-Profile« dieses Kapitels. 104 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit 10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein und klicken Sie dann auf Fertig stellen. Nach der Definition einer Regel können Sie die Regel im Gruppenrichtlinienverwaltungs-Editor mit einem Doppelklick anklicken, um ihre Eigenschaften zu bearbeiten. Clients wenden die Firewallregel nach der nächsten Aktualisierung der Gruppenrichtlinieneinstellungen an. IPsec-Verbindungssicherheitsregeln IPsec-Verbindungssicherheitsregeln ermöglichen es Ihnen, für Verbindungen, die die von Ihnen angegebenen Kriterien erfüllen, IPsec vorzuschreiben. Die Kriterien ähneln den Kriterien, die zur Definition von Windows-Firewall-Filtern verwendet werden. Sie können zum Beispiel eine IP-Sicherheitsregel festlegen für: den gesamten Datenverkehr von und zu IP-Adresse 10.4.22.17 den gesamten ICMP-Datenverkehr, der über das Standardgateway läuft den Datenverkehr, der an TCP-Port 80 gesendet wird, mit Ausnahme des Datenverkehrs, der aus dem internen Netzwerk stammt alle ausgehenden Verbindungen mit Ausnahme von Verbindungen mit bestimmten Servern Jeder Computer kann nur über eine IPsec-Richtlinie verfügen. Wenn für einen Computer mehrere Gruppenrichtlinienobjekte gelten und jedes GPO mit anderen IPsec-Richtlinien versehen wurde, wird nur die IPsec-Richtlinie des GPOs mit der höchsten Priorität angewendet. Hinzufügen einer IPsec-Verbindungssicherheitsregel Standardmäßig verfügen Windows Server 2008-Computer über eine einzige lokale IPsec-Richtlinie namens Request Security. Diese Richtlinie versucht, für die gesamte Kommunikation eine IPsecAuthentifizierung und Verschlüsselung zu verwenden, greift aber auf eine ungeschützte Kommunikation zurück, wenn die IPSec-Aushandlungen fehlschlagen. Um Computer für eine Server- oder Domänenisolation zu konfigurieren, müssen Sie zusätzliche Regeln erstellen. So fügen Sie eine IPsec-Sicherheitsregel hinzu 1. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor. Hinweis Sie können diese Einstellungen auch für einzelne Computer vornehmen, und zwar in der Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs zur Verfügung steht. 2. Wählen Sie Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\ Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit. Dieser Knoten dient zur Konfiguration von Computern, auf denen Windows Vista und Windows Server 2008 ausgeführt wird. Der Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\ Sicherheitseinstellungen\IP-Sicherheitsrichtlinien auf Active Directory dient zur Konfiguration von Windows XP und früheren Windows-Versionen. Hinweis Zur Konfiguration von IPsec auf einem einzelnen Computer öffnen Sie im Untermenü Verwaltung des Start-Menüs die Konsole Windows-Firewall mit erweiterter Sicherheit. 3. Klicken Sie Verbindungssicherheitsregeln mit der rechten Maustaste an und klicken Sie dann auf Neue Regel. Der Assistent für neue Verbindungssicherheitsregel öffnet sich. Bereitstellungsschritte 105 4. Wählen Sie auf der Seite Regeltyp den Regeltyp, wie im Abschnitt »IPsec-Regeltypen« dieses Kapitels beschrieben. Klicken Sie auf Weiter. 5. Wenn die Seite Computer ausschließen erscheint, klicken Sie auf die Schaltfläche Hinzufügen. Geben Sie die IP-Adresse, das Subnetz oder einen IP-Adressenbereich ein oder wählen Sie einen der vordefinierten Computersätze. Klicken Sie dann auf OK. Sie können so viele Ausnahmen hinzufügen, wie erforderlich sind. Klicken Sie auf Weiter. 6. Wenn die Seite Endpunkte festlegen erscheint, wählen Sie die Computer aus, für die Sie die Server-zu-Server-Verbindung konfigurieren möchten. Damit eine Verbindung die Kriterien erfüllt, muss der Client in einer Liste erscheinen (entweder Endpunkt 1 oder Endpunkt 2) und der Server in der anderen Liste. Wenn der Server und der Client beide in der Liste Endpunkt 1 stehen, gilt die Regel nicht für die Verbindung. Klicken Sie auf Weiter. 7. Wenn die Seite Tunnelendpunkte erscheint, klicken Sie auf die Schaltflächen Hinzufügen, um die Computer an den beiden Enden des Tunnels festzulegen. Dann geben Sie die IP-Adressen des lokalen Tunnelcomputers und des Remotetunnelcomputers ein. Ein IPsec-Tunnel muss an beiden Enden der Verbindung definiert werden. Sie müssen also für jeden der Endpunkte eine Tunnelendpunktregel definieren. Ein Computer, der an einem Endpunkt als lokaler Computer vorgesehen wird, ist am anderen Endpunkt der Remotecomputer, und umgekehrt. Daher sind am anderen Endpunkt die Einträge für Endpunkt 1 und Endpunkt 2 vertauscht. Klicken Sie auf Weiter. Weitere Informationen finden Sie im Abschnitt »IPsec-Regeltypen« dieses Kapitels. 8. Wenn die Seite Anforderungen erscheint, wählen Sie, ob Sie für ein- und ausgehende Verbindungen eine Authentifizierung anfordern oder vorschreiben. Die Anforderung einer Authentifizierung bietet keinen großen Sicherheitsvorteil, denn ein Angreifer könnte sich einfach dazu entschließen, keine Authentifizierung durchzuführen. Allerdings bietet die Anforderung der Authentifizierung eine Abwärtskompatibilität zu Clients, die IPsec nicht unterstützen oder nicht über die erforderlichen Anmeldeinformationen verfügen. Vorschreiben sollten Sie die Authentifizierung für eingehende Verbindungen nur dann, wenn alle autorisierten Clients IPsec unterstützen. Für ausgehende Verbindungen sollten Sie nur dann die Authentifizierung vorschreiben, wenn alle Server, mit denen ein Client eine Verbindung herstellen könnte (in dem Profil, das Sie später im Assistenten auswählen), IPsec unterstützen. Klicken Sie auf Weiter. 9. Wählen Sie auf der Seite Authentifizierungsmethode, ob die Computer mit einem Computerzertifikat oder mit einem vorinstallierten Schlüssel authentifiziert werden, wobei Sie vorinstallierte Schlüssel nur in Testumgebungen verwenden sollten. Oder Sie wählen Erweitert und klicken dann auf Anpassen, um mehrere Authentifizierungsmethoden auszuwählen. Klicken Sie auf Weiter. 10. Wählen Sie auf der Seite Profil die Profile aus, in denen die Regel gelten soll, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie im Abschnitt »Windows-Firewall-Profile« dieses Kapitels. 11. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein und klicken Sie dann auf Fertig stellen. Nach der Definition einer Regel können Sie die Regel im Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste anklicken, um sie zu bearbeiten. Auf diese Weise können Sie auch nachträglich festlegen, für welche Subnetze die Regel gelten soll, falls der Assistent Sie nicht zur Angabe dieser Informationen aufgefordert hat. Wenn Sie IPsec für ein bestimmtes Protokoll vorschreiben möchten, beispielsweise für Verbindungen mit freigegebenen Dateien oder Druckern, bearbeiten Sie die Eigenschaften der entsprechenden ein- 106 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit gehenden Regel und legen auf der Seite Allgemein eine Aktion fest, wie unter der Überschrift »So ändern Sie die Konfiguration einer Regel« in diesem Abschnitt beschrieben. Konfigurieren der Domänenisolation Zur Konfiguration einer Domänenisolation gehen Sie in einer Testumgebung so vor, wie in den folgenden Schritten beschrieben. Überprüfen Sie diese Schritte nach erfolgreichem Test mit unkritischen Servern in einer Produktivumgebung. Wenn Sie IPsec vorschreiben, kann dies dazu führen, dass Computer keine Verbindung mehr herstellen können. IPsec vorzuschreiben kann bei falscher Einstellung also dazu führen, dass wichtige Netzwerkanwendungen nicht mehr zugänglich sind. 1. Befolgen Sie die unter »So nehmen Sie die allgemeinen Firewalleinstellungen vor« beschriebenen Schritte, um die IPsec-Standardauthentifizierung und Verschlüsselung zu konfigurieren. Verwenden Sie dazu die Registerkarte IPsec-Einstellungen des Eigenschaftendialogfelds Windows-Firewall mit erweiterter Sicherheit. Standardmäßig wird nur eine Computerauthentifizierung mit Kerberos V5 durchgeführt. In Domänenumgebungen geschieht dies automatisch. Zur Verbesserung der Sicherheit können Sie eine Computer- und Benutzerauthentifizierung wählen. 2. Befolgen Sie die in diesem Kapitel bereits unter »Hinzufügen einer IPsec-Verbindungssicherheitsregel« beschriebenen Schritte, um eine Verbindungssicherheitsregel zu Ihrem Standard-Domänengruppenrichtlinienobjekt hinzuzufügen, die IPsec anfordert, aber nicht vorschreibt. 3. Überwachen Sie die Computer und überprüfen Sie, ob die Verbindungen mit IPsec erfolgreich hergestellt werden und dass sowohl die Authentifizierung als auch die Verschlüsselung korrekt erfolgt. Weitere Informationen finden Sie weiter unten im Kapitel im Abschnitt »Wartung«. Notieren Sie sich, welche Computer Zugriff auf Ressourcen brauchen, aber mit IPsec keine Verbindung herstellen können. 4. Fügen Sie mit den im Abschnitt »Hinzufügen einer IPsec-Verbindungssicherheitsregel« dieses Kapitels beschriebenen Schritten Verbindungssicherheitsregeln hinzu, die Ausnahmen für die Computer vorsehen, die IPsec nicht unterstützen. Gehen Sie bei der Festlegung dieser Regeln so genau wie möglich vor, damit die Ausnahmen nur für eine beschränkte Anzahl von Computern gelten und ihnen nur den geringstmöglichen Zugriff auf die Ressourcen ermöglichen. Wählen Sie auf der Seite Regeltyp des Assistenten für neue Verbindungssicherheitsregeln den Typ Authentifizierungsausnahme. Geben Sie auf der Seite Computer ausschließen die IP-Adressen der Computer an, für die eine Ausnahme gemacht werden soll. Bearbeiten Sie nach dem Abschluss des Assistenten die Eigenschaften der Regel und wählen Sie die Registerkarte Computer. Wenn Sie den Zugriff der Ausnahmecomputer auf bestimmte Ressourcen beschränken können, geben Sie die IP-Adressen dieser Ressourcen in der Gruppe Endpunkt 1 an. (Die Liste der Computer, für die Ausnahmen festgelegt werden, erscheint in der Gruppe Endpunkt 2.) 5. Erstellen Sie ein neues Gruppenrichtlinienobjekt, das nur für Computer aus einer Pilotgruppe gilt, und fügen Sie dann mit den im Abschnitt »Hinzufügen einer IPsec-Verbindungssicherheitsregel« dieses Kapitels beschriebenen Schritten eine Verbindungssicherheitsregel hinzu, die IPsec vorschreibt. Wählen Sie auf der Seite Regeltyp den Typ Isolierung. Auf der Seite Anforderungen wählen Sie Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich. Für Server funktionieren die Standardeinstellungen auf den anderen Seiten des Assistenten gewöhnlich in den meisten Umgebungen. Damit Mobilcomputer Verbindungen zu Ressourcen aus anderen Netzwerken herstellen können, könnten Sie diese Regel auf das Domänenprofil beschränken. 6. Überwachen Sie die Computer aus der Pilotgruppe und überprüfen Sie, ob die Computer erfolgreich auf Netzwerkressourcen zugreifen können und ob die Verbindungen mit IPsec erfolgen. Bereitstellungsschritte 107 7. Weiten Sie den Gültigkeitsbereich des IPsec-Pilot-Gruppenrichtlinienobjekts nach und nach aus, sodass immer mehr Computer IPsec voraussetzen. Zum Schluss sollten alle Computer aus Ihrer Domäne Verbindungen mit IPsec schützen. Arbeiten Sie eng mit den zuständigen IT-Gruppen zusammen, damit die Gruppen über die Änderungen informiert sind und wissen, wie man Verbindungssicherheitsregeln testet und ändert, falls Verbindungsprobleme auftreten. Wenn ein Supportmitarbeiter Änderungen vornehmen muss, um Verbindungen zu ermöglichen, überprüfen Sie die Änderungen auf ihre Auswirkungen auf die Sicherheit. Konfigurieren der Serverisolation Die Serverisolation erfolgt so ähnlich wie die Domänenisolation. Obwohl aber alle Clientcomputer so konfiguriert werden sollten, dass sie die Sicherheitsmaßnahmen unterstützen, müssen nur die zu schützenden Server so eingestellt werden, dass sie für eingehende Verbindungen IPsec vorschreiben. Wie bei der Domänenisolation können Sie Ausnahmen festlegen, bevor Sie IPsec vorschreiben. Während bei der Domänenisolation zwangsläufig eine Kerberos V5-Authentifizierung stattfindet, lässt sich bei der Serverisolation entweder die Authentifizierung mit Kerberos V5 verwenden (falls alle Computer oder Benutzer Mitglieder derselben Gesamtstruktur sind) oder mit Computerzertifikaten (falls nicht alle Computer Domänenmitglieder sind). Wenn Sie Computerzertifikate verwenden, müssen Sie entweder: Zertifikate von einer öffentlichen Zertifizierungsstelle kaufen Zertifikate von einer öffentlichen Zertifizierungsstelle, denen Windows bei einer IPsec-Verbindung standardmäßig vertraut, sind ideal für die Kommunikation mit Partnern, die nicht zur Organisation gehören. Auch die Clientcomputer brauchen Zertifikate. Zertifikate mit einer internen Zertifizierungsstelle erstellen Mit einer internen Zertifizierungsstelle, wie sie sich zum Beispiel mit den Active Directory-Zertifikatdiensten von Windows Server 2008 einrichten lässt, können Sie Ihre eigenen Zertifikate ausstellen. Sie müssen Server und Clients mit Computerzertifikaten ausstatten. Alle Computer müssen Ihrer Zertifizierungsstelle vertrauen. Konfigurieren einer Ausnahme für ICMP Administratoren verwenden oft ICMP, um Server anzupingen und auf diese Weise herauszufinden, ob die Server online sind oder nicht. Falls ein Problem mit IPsec verhindert, dass ein Administrator eine Verbindung mit einem Server herstellen kann, wird auch das Programm Ping keine Verbindung herstellen können. Das wiederum könnte den Administrator zu dem falschen Schluss verleiten, der Server sei offline. Wie bei allen anderen Ausnahmen ist auch die Definition einer Ausnahme für ICMP mit einem Sicherheitsrisiko verbunden. Angreifer können ICMP verwenden, um eine Übersichtskarte über Ihr Netzwerk zu erstellen oder um einen DoS-Angriff (Denial-of-Service) gegen Computer zu starten. So konfigurieren Sie eine IPsec-Ausnahme für ICMP 1. Klicken Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf den Knoten Windows-Firewall mit erweiterter Sicherheit und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte IPsec-Einstellungen. 3. Klicken Sie auf die Dropdownliste ICMP aus IPsec ausschließen, klicken Sie auf Ja und dann auf OK. 108 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Wartung Folgende Wartungsarbeiten fallen für Windows-Firewall an: Anpassen eingehender Filterregeln, wenn neue Serveranwendungen installiert werden. Weitere Informationen finden Sie im Abschnitt »Hinzufügen neuer Regeln« dieses Kapitels. Hinzufügen von Verbindungssicherheitsregeln, um Ausnahmen für neue Computer und Netzwerke einzurichten, die Zugang zu Netzwerkressourcen brauchen, aber IPsec nicht unterstützen können. Weitere Informationen finden Sie im Abschnitt »IPsec-Verbindungssicherheitsregeln« dieses Kapitels. Aktualisieren von Regeln, wenn sich IP-Adressen ändern. Zu diesem Zweck können in der Konsole Windows-Firewall mit erweiterter Sicherheit die Eigenschaften einer Regel bearbeitet werden. Entfernen von Ausnahmen (oder Erweitern des Gültigkeitsbereichs von vorhandenen Regeln), wenn Computer auf ein Betriebssystem umgestellt werden, das IPsec unterstützt. Da sich Änderungen in Windows-Firewall auf die Sicherheit auswirken können, sollten alle Änderungen nach dem MOF-Standardverwaltungsprozess (MOF steht für Microsoft Operations Framework) durchgeführt werden, wie folgt: Anfordern einer Änderung Formale Einleitung einer Änderung durch die Eingabe eines schriftlichen Änderungsvorschlags. Klassifizieren der Änderung Zuweisen einer Priorität und Kategorie anhand der Dringlichkeit und Bedeutung der Änderung für die Infrastruktur oder für Benutzer. Diese Klassifizierung wirkt sich auf die Geschwindigkeit und Durchführung der Umsetzung aus. Autorisieren der Änderung Prüfung, ob die Änderung zugelassen werden soll. Dabei werden mögliche negative Auswirkungen berücksichtigt, zum Beispiel auf die Funktionsfähigkeit von Anwendungen, die Netzwerkleistung und auf Sicherheitsrisiken. Entwickeln der Änderung Planen der Änderung einschließlich der Testreihen in einer Testumgebung und die Entscheidung, ob die neuen Regeln sofort auf allen Computern wirksam werden sollen oder zuvor in einer Pilotgruppe überprüft werden. Freigeben der Änderung Die Freigabe und Bereitstellung der Änderung in der Produktivumgebung. Prüfen der Änderung Ein Vorgang nach der Implementierung, bei dem überprüft wird, ob die Änderungen zu den gewünschten Ergebnissen geführt haben und ob sie dauerhaft übernommen oder rückgängig gemacht werden sollen. Insbesondere sollten Sie überprüfen, ob die IPsec-Regeln immer noch durchgesetzt werden und nicht versehentlich Ausnahmen für IPsec-fähige Computer eingeführt wurden. Weitere Informationen über MOF finden Sie in »Microsoft Operations Framework Process Model for Operations« unter http://www.microsoft.com/downloads/details.aspx?FamilyID=e0807633-268945fa-8d48-1b5b383afc00. Problembehandlung Windows-Firewall-Probleme zeigen sich gewöhnlich in der Form, dass bestimmte Verbindungen nicht zustande kommen. Anders gesagt, ein Benutzer ist vielleicht nicht in der Lage, eine Verbindung mit einem Server herzustellen. Leider kann es viele Ursachen dafür geben, dass keine Verbindung zustan- Problembehandlung 109 de kommt. Überprüfen Sie daher bei der Behebung von Verbindungsproblemen zuerst, ob WindowsFirewall die Ursache ist. Insbesondere bei der ersten Einführung von IPsec nehmen viele Administratoren an, dass die Ursache für allgemeine Verbindungsprobleme bei IPsec zu suchen ist. Wenn Sie eine ICMP-Ausnahme eingerichtet haben (wie im Abschnitt »Konfigurieren einer Ausnahme für ICMP« dieses Kapitels beschrieben), können Sie den Client und den Server anpingen, um die Verbindung zu überprüfen. Überprüfen Sie dann mit den Überwachungsfunktionen von Windows-Firewall mit erweiterter Sicherheit, ob zwischen Client und Server eine Sicherheitsassoziation aktiv ist, wie es im weiteren Verlauf dieses Abschnitts unter »Überwachen von IPsec-Sicherheitsassoziationen« beschrieben wird. Um zu überprüfen, ob es sich um ein anwendungsspezifisches Problem handelt, können Sie vom Client aus mit verschiedenen Protokollen versuchen, Verbindungen mit dem Server herzustellen. Greifen Sie zum Beispiel auf einen freigegebenen Ordner zu oder versuchen Sie, eine Verbindung zu einem Webserver herzustellen. Auch eingehende Windows-Firewall-Regeln können zu Verbindungsproblemen führen. Überprüfen Sie zuerst, ob andere Clients Verbindungen mit dem Server herstellen können. Wenn andere Clients eine Verbindung herstellen können, hat das Problem meistens eine der folgenden Ursachen: Es gibt ein allgemeines Verbindungsproblem mit dem Client. Überprüfen Sie, ob der Client eine Verbindung mit anderen Netzwerkressourcen herstellen kann und den Namen des Hostservers korrekt auflöst. Weitere Informationen über die Behebung von Problemen mit der Namensauflösung erhalten Sie in Kapitel 7, »DNS«. Für den Client gilt eine ausgehende Regel, die den Datenverkehr blockiert. Windows-Firewall erlaubt zwar standardmäßig jeden ausgehenden Datenverkehr, aber ausgehende Regeln können den Datenverkehr einer Anwendung blockieren. Überprüfen Sie, ob für die Anwendung, deren Übertragungsprobleme Sie beheben wollen, entsprechende ausgehende Regeln gelten. Die Anwendung wurde falsch konfiguriert. Auf dem Client wurde vielleicht der falsche Servername oder die falsche IP-Adresse für den Server eingestellt. Vielleicht wurde für die Clientanwendung auch eine falsche Portnummer eingestellt. Überprüfen Sie, ob die Anwendung korrekt konfiguriert wurde. Wenn keine Clients eine Verbindung mit dem Server herstellen können, beginnen Sie beim Server mit der Fehlersuche. Häufig liegt eines der folgenden Probleme vor: Der Server kann gar keine Verbindungen herstellen. Überprüfen Sie, ob der Server Verbindungen mit anderen Netzwerkressourcen herstellen kann. DNS ist falsch konfiguriert. Wenn im DNS-System kein Ressourcendatensatz vorhanden ist oder die IP-Adresse falsch ist, können Clients keine Verbindung mit dem Server aufnehmen. Weitere Informationen über die Lösung von DNS-Problemen finden Sie in Kapitel 7. IPsec-Regeln schreiben die Verwendung von IPsec vor. Überprüfen Sie, ob die Clients IPsec unterstützen oder ob für die Clients entsprechende Ausnahmen eingerichtet wurden. Der Dienst wurde falsch konfiguriert. Vielleicht wurde eine vom Standard abweichende IP-Adresse oder ein unüblicher Port für den Dienst eingestellt. Die Authentifizierung schlägt fehl. Viele Serveranwendungen erfordern eine Clientauthentifizierung. Überprüfen Sie in den Ereignisprotokollen der Anwendung, ob Authentifizierungsversuche fehlgeschlagen sind. Es gibt keine passende Windows-Firewall-Ausnahme. Wenn die bisher beschriebenen Probleme nicht zutreffen, überprüfen Sie, ob es eine Windows-Firewall-Ausnahme gibt, die auf dem Server eingehenden Datenverkehr zulässt. 110 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Die folgenden Abschnitte beschreiben die Verwendung des Network Monitors zur Überprüfung der Funktion von IPsec und die Protokollierung der Windows-Firewall-Aktivitäten. Damit können Sie zum Beispiel überprüfen, ob eingehende Verbindungsversuche abgelehnt werden. Windows-Firewall-Protokollierung Wenn Sie vermuten, dass Windows-Firewall wichtige Verbindungen blockiert oder andere Verbindungen nicht blockiert, für deren Sperrung Sie Filter konfiguriert haben, können Sie sich auf zwei verschiedene Arten den Datenverkehr genauer ansehen, den Windows-Firewall filtert: Aktivieren der Protokollierung in der Datei Pfirewall.log. Protokolliert die Windows-Firewall-Aktivitäten in einer Textdatei. Aktivieren der Überwachung im Sicherheitsereignisprotokoll. Protokolliert die Windows-FirewallAktivitäten im Sicherheitsereignisprotokoll, das in der Ereignisanzeige eingesehen werden kann. So aktivieren Sie die Windows-Firewall-Protokollierung 1. Öffnen Sie die Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs zu finden ist. Sie können die Protokollierung auch im Gruppenrichtlinienverwaltungs-Editor mit einem Gruppenrichtlinienobjekt aktivieren. 2. Klicken Sie den Knoten Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie je nach dem Profil, in dem Sie die Protokollierung aktivieren möchten, auf die Registerkarte Domänenprofil, Privates Profil oder Öffentliches Profil. 4. Klicken Sie in der Gruppe Protokollierung auf die Schaltfläche Anpassen. Das Dialogfeld Protokollierungseinstellungen für <Profilname> anpassen öffnet sich. 5. Geben Sie einen Namen für die Protokolldatei ein oder übernehmen Sie den Standardpfadnamen %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log. 6. Legen Sie die gewünschte Obergrenze für die Größe der Protokolldatei fest. Vorgeschlagen wird das Standardgrößenlimit 4 MB (4096 KB). 7. Wenn Sie die Pakete protokollieren möchten, die Windows-Firewall verwirft, klicken Sie auf die Dropdownliste Verworfene Pakete protokollieren und dann auf Ja. 8. Um die Verbindungen zu protokollieren, die Windows-Firewall zulässt, weil eine entsprechende Ausnahme definiert wurde, klicken Sie auf die Dropdownliste Erfolgreiche Verbindungen protokollieren und dann auf Ja. 9. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Sie können die Protokollierung auch mit folgenden Befehlen aktivieren: REM Wechsel in den Kontext "netsh firewall". netsh advfirewall REM Die folgenden Befehle werden im Kontext "netsh firewall" ausgeführt. set logging connections=enable set logging droppedpackets=enable set logging filelocation="Pfadname" Versuchen Sie bei aktivierter Protokollierung, das Problem zu reproduzieren, das Sie beheben möchten. Anschließend wiederholen Sie die Schritte, die zum Aktivieren der Protokollierung erforderlich waren, wobei Sie diesmal aber die Protokollierung wieder deaktivieren. Lassen Sie die Protokollie- Problembehandlung 111 rung nicht eingeschaltet, wenn Sie die Daten nicht brauchen, weil sich die Protokollierung negativ auf die Systemleistung auswirken kann. Mit einem Skript können Sie die Protokollierung folgendermaßen deaktivieren: REM Wechsel in den Kontext "netsh firewall". netsh advfirewall REM Die folgenden Befehle werden im Kontext "netsh firewall" ausgeführt. set logging connections=disable set logging droppedpackets=disable Wenn Sie sich die erfassten Daten ansehen möchten, öffnen Sie die Datei %SystemRoot%\System32\ LogFiles\Firewall\Pfirewall.log (oder die Datei, die Sie festgelegt haben) im Editor (notepad.exe) oder in einem anderen Texteditor. Wie aus Abbildung 4.6 hervorgeht, beginnt die Protokolldatei mit einer Liste der Felder, die aufgezeichnet werden. Jede Zeile mit der Aktion ALLOW weist auf eine erfolgreiche Verbindung hin und jede Zeile mit der Aktion DROP auf ein verworfenes Paket. Abbildung 4.6 Die Protokolldatei Pfirewall.log So aktivieren Sie die Windows-Firewall-Sicherheitsüberwachung 1. Um die Pakete zu protokollieren, die Windows-Firewall verwirft, geben Sie in einer Eingabeaufforderung folgenden Befehl: auditpol /set /subcategory:"Filterplattform: Verworfene Pakete" /failure:enable 2. Um die Verbindungen zu protokollieren, die Windows-Firewall zulässt, weil eine entsprechende Ausnahme definiert wurde, geben Sie in einer Eingabeaufforderung folgenden Befehl: auditpol /set /subcategory:"Filterplattformverbindung" 3. Versuchen Sie bei aktivierter Protokollierung, das Problem zu reproduzieren, das Sie beheben möchten. 4. Wenn Sie die Protokollierung von verworfenen Paketen oder erfolgreichen Verbindungen aktiviert haben, deaktivieren Sie die Protokollierung nun, indem Sie in einer Eingabeaufforderung folgenden Befehl geben: auditpol /clear Vermeiden Sie es, die Protokollierung aktiviert zu lassen, weil sich daraus umfangreiche Aktivitäten ergeben können, die sich negativ auf die Systemleistung auswirken. 112 Kapitel 4: Windows-Firewall mit erweiterter Sicherheit Sie können die Protokolldatei einsehen, indem Sie im Server-Manager das Protokoll Diagnose\Ereignisanzeige\Windows-Protokolle/Sicherheit öffnen. Firewallereignisse gehören zur Aufgabenkategorie Filterplattform: Verworfene Pakete oder Filterplattformverbindung. Wie Abbildung 4.7 zeigt, werden unter anderem die Quell- und Ziel-IP-Adressen sowie die Portnummern (Anschlussnummern) erfasst. Abbildung 4.7 Ein verworfenes Paket wurde im Sicherheitsereignisprotokoll protokolliert Überwachen von IPsec-Sicherheitsassoziationen Mit der Konsole Windows-Firewall mit erweiterter Sicherheit können Sie aktive IPsec-Sitzungen überwachen. Wählen Sie in der Konsole den Knoten Überwachung\Sicherheitszuordnungen\Hauptmodus oder den Knoten Überwachung\Sicherheitszuordnungen\Schnellmodus. Unter jedem Knoten werden aktive Sicherheitszuordnungen angezeigt, einschließlich der IP-Adressen, Authentifizierungsmethode und Verschlüsselungsmethode. Verwenden des Network Monitors Der Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten aufzeichnen und untersuchen, einschließlich der IPsec-Kommunikation. Mit dem Network Monitor können Sie zwar keine von IPsec verschlüsselten Inhalte lesen, aber Sie können überprüfen, ob IPsec verwendet wird und ob die Daten verschlüsselt werden. Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.microsoft.com/ downloads/ und suchen nach »Network Monitor«. Im Hilfesystem des Programms finden Sie ausführ- Weitere Informationen 113 liche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann. Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor auch über einen Link, den Sie auf der Begleit-CD dieses Buchs finden. Zusammenfassung des Kapitels Windows-Firewall verfügt über zwei Leistungsbereiche, die eng miteinander verknüpft sind: Paketfilterung Windows-Firewall kann selektiv ein- und ausgehende Netzwerkkommunikation zulassen oder blockieren. Diese Fähigkeit gibt Administratoren die Kontrolle darüber, mit welchen Diensten auf einem Server welche Netzwerke Verbindungen herstellen können und welche Anwendungen ausgehende Verbindungen aufnehmen dürfen. Für viele Organisationen reichen die Standardeinstellungen aus. Organisationen mit strengeren Sicherheitsanforderungen können mit Windows-Firewall auch sehr genau kontrollieren, welche Netzwerke welche Dienste verwenden dürfen. IPsec-Verbindungssicherheit IPsec kann für verschiedene Anwendungen und Netzwerke Authentifizierung und Verschlüsselung anfordern oder vorschreiben. Damit können Sie eine Domänenisolation implementieren, bei der Computer, die Mitglieder einer Domäne sind, nur Verbindungen von anderen Computern oder Benutzern akzeptieren, die ebenfalls Mitglieder der Domäne sind. Die Serverisolation bietet eine ähnliche Einschränkung der Zugriffsrechte auf Serverbasis. Natürlich können Sie für Computer, die zwar auf Verbindungen angewiesen sind, aber IPsec nicht unterstützen, auch Ausnahmen definieren. Bei der Implementierung einer Sicherheitsfunktion sollten Sie die Vorteile und die Kosten gegeneinander abwägen. Eine Änderung der Standardeinstellungen von Windows-Firewall kann das Risiko deutlich verringern, das durch viele Arten von Netzwerkangriffen besteht. Allerdings können diese hochgesteckten Sicherheitsanforderungen auch zu unerwarteten Verbindungsproblemen führen und die Behebung von Fehlern erschweren. Ein gründlicher Test, der vor der Bereitstellung in einer Testumgebung erfolgt, sorgfältige Wartungsprozeduren und effiziente Verfahrensweisen zur Behebung von Problemen können die Kosten deutlich reduzieren. Weitere Informationen In folgenden Dokumenten finden Sie weitere Informationen über die Planung des Einsatzes, die Bereitstellung und Wartung von Windows-Firewall: »Server and Domain Isolation« (http://www.microsoft.com/sdisolation) »Server and Domain Isolation Using IPsec and Group Policy« (http://www.microsoft.com/technet/ security/guidance/architectureanddesign/ipsec/) »HOWTO: Leverage Group Policies with WMI Filters« (http://support.microsoft.com/kb/555253) »Microsoft Operations Framework Process Model for Operations« (http://www.microsoft.com/ downloads/details.aspx?FamilyID=e0807633-2689-45fa-8d48-1b5b383afc00) 115 K A P I T E L 5 QoS auf Richtlinienbasis In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 121 126 132 134 138 139 Dieses Kapitel beschreibt, wie man QoS (Quality of Service) in Windows Server 2008 konzipiert, bereitstellt, wartet und Probleme behebt. In diesem Kapitel wird vorausgesetzt, dass Sie: die Bedeutung der Gruppenrichtlinien und von Active Directory für die Verwaltung von Microsoft Windows-Computern verstehen. wissen, was Router für Ihre Netzwerkinfrastruktur bedeuten und wie man sie verwaltet. Konzepte In einer Zeit, in der mehr und mehr Menschen und Organisationen dazu übergehen, Echtzeitnetzdienste zu verwenden, wie zum Beispiel VoIP (Voice over Internet Protocol), Multimediastreaming oder Videokonferenzen, werden die Auswirken von Leistungsproblemen im Netzwerk immer deutlicher. Vor zehn Jahren hätte eine schwache Netzwerkleistung nur dazu geführt, dass sich eine Webseite etwas langsamer öffnet. Heutzutage kann sie bedeuten, dass der Telefondienst unbrauchbar ist, dass wichtige Videokonferenzen unterbrochen oder Finanztransaktionen nicht abgeschlossen werden. Einfach nur auf schnellere Netzwerkhardware zu wechseln, löst nicht alle Leistungsprobleme. Viele Netzwerke sind so aufgebaut, dass zum Beispiel die Übertragung einer einzigen großen Datei dazu führen kann, dass der größte Teil der Bandbreite für diese Datei verwendet wird und alle Echtzeitdienste darunter leiden. QoS (Quality of Service) bedeutet zum Beispiel, dass Server, Clients und die Netzwerkinfrastruktur zusammenarbeiten, um die Übertragungen nach bestimmten Prioritäten durchzuführen. Mit QoS können zum Beispiel Telefonanrufe und andere Echtzeitkommunikation Vorrang vor Dateiübertragungen, E-Mail, Webbrowsern und anderen Übertragungen mit nachrangiger Priorität erhalten. Die Ursachen von Netzwerkleistungsproblemen Zu den Eigenschaften und Verhaltensweisen eines Netzwerks, die zu Leistungsproblemen führen können, gehören Verzögerungszeiten, unregelmäßige Übertragungen (»Jitter«), Zustellung in falscher 116 Kapitel 5: QoS auf Richtlinienbasis Paketreihenfolge und verlorene Pakete. Die folgenden Abschnitte beschreiben diese Bedingungen etwas ausführlicher. Verzögerungszeit Mit Verzögerung- oder Latenzzeit ist eine Verzögerung bei der Übertragung eines Datenpakets gemeint. Sie gibt an, wie lange es dauert, bis ein Paket sein Ziel erreicht, und wird gewöhnlich in Millisekunden (ms) gemessen. Bei der Planung für QoS ist die Rundwegverzögerungszeit die wichtigste Maßzahl, weil sie die größte Auswirkung auf Echtzeitkommunikation hat, die in beide Richtungen erfolgt, wie zum Beispiel VoIP. Mit Rundwegverzögerungszeit (round-trip latency) ist die Zeit gemeint, die für die Übertragung eines Datenpakets an einen Remotehost bis zum Eintreffen der Antwort vom Remotehost erforderlich ist. Verzögerungszeiten haben verschiedene Ursachen: Weiterleitungsverzögerung Wenn ein Router ein Paket bearbeitet und von einem Netzwerk ins nächste überstellt, gibt es gewöhnlich eine unbedeutende Verzögerung von ein bis zwei Millisekunden. Gehen die Daten aber schneller beim Router ein, als er sie ins Zielnetzwerk weiterleiten kann, weil er zum Beispiel Daten mit 5 MBit/s (Megabit pro Sekunde) erhält und sie an eine Schnittstelle weiterleiten muss, die nur 1,54 MBit/s unterstützt, muss der Router die Pakete in eine Warteschlange stellen. Dadurch ergeben sich zusätzliche Verzögerungszeiten. Ausbreitungsverzögerung Die Übertragung der elektrischen Signale erfolgt zwar sehr schnell, aber mit endlicher Geschwindigkeit. In den meisten Kupfer- oder Glasfasernetzen breiten sich die Signale mit ungefähr 2/3 der Lichtgeschwindigkeit aus, also ungefähr mit 200.000 Kilometer pro Sekunde. In lokalen Netzwerken ist diese Ausbreitungsverzögerung für alle praktischen Zwecke vernachlässigbar. Geht die Übertragung aber auf die andere Seite der Erde, dauert sie etwa 100 ms (die Kabel folgen gewöhnlich nicht der kürzesten Verbindung zwischen Absender und Empfänger). Erfolgt die Kommunikation über Satellit, treten Verzögerungszeiten von ungefähr 500 ms auf, wodurch die Verbindung in den meisten Fällen nicht mehr für VoIP zu gebrauchen ist. Virtuelle private Netzwerke haben häufig die Nebenwirkung, dass die Netzwerkkommunikation auf einem extrem ineffizienten Pfad zwischen Quelle und Ziel erfolgt, was eine höhere Ausbreitungsverzögerung nach sich zieht. Hostbearbeitungsverzögerung Gehört ein eintreffendes Datenpaket zu einer VoIP- oder Streamingmedienkommunikation, speichert das Betriebssystem oder die Anwendung das Paket in einem Jitterpuffer, um die Auswirkungen kurzfristiger Übertragungsschwankungen und falscher Paketreihenfolgen aufzufangen. Jitterpuffer werden zwar unterschiedlich implementiert, aber gewöhnlich werden die Pakete etwa 20 bis 200 ms zwischengespeichert, wodurch sich die Verzögerungszeit vergrößert. Wenn die Pakete hinreichend lange im Jitterpuffer zwischengespeichert wurden, muss die Anwendung die Daten aus den Paketen verarbeiten. Je nach der Geschwindigkeit des Computers und des Anteils an der Rechenzeit, den die Netzwerkanwendung erhält, ergeben sich daraus zusätzliche Bearbeitungsverzögerungen. Jitter Mit Jitter sind Schwankungen in den Verzögerungszeiten gemeint. Wenn zum Beispiel ein unidirektionaler Videodatenstrom mit einer Anfangsverzögerung von 10 ms beginnt, können sich die Bedingungen im Netzwerk plötzlich ändern, sodass sich eine Verzögerung von 100 ms ergibt. Um die Auswirkungen solcher Schwankungen aufzufangen, verwenden die entsprechenden Programme Jitterpuffer. Je höher die Schwankungen sind, desto länger müssen die Daten im Jitterpuffer verbleiben. Dadurch ergibt sich für die gesamte Kommunikation eine höhere Verzögerungszeit. Konzepte 117 Zustellung in falscher Reihenfolge In IP-Netzwerken kann es geschehen, dass zwei aufeinanderfolgende Pakete auf zwei verschiedenen Wegen vom Empfänger zum Ziel geleitet werden. Das kann zur Folge haben, dass die Pakete in der falschen Reihenfolge am Ziel eintreffen. Das TCP (Transmission Control Protocol) löst dieses Problem automatisch, indem es auf das fehlende Paket wartet und die Pakete in der richtigen Reihenfolge weitergibt. Bei Dateiübertragungen und vielen anderen Kommunikationsarten ergeben sich durch die Zustellung von Paketen in der falschen Reihenfolge keine weiteren Probleme. Bei der Echtzeitkommunikation wie VoIP oder bei Streamingmedien (sie verwenden gewöhnlich UDP, User Datagram Protocol) ist ein Paket, das außer der Reihe und nach Ablauf der Wartezeit im Jitterpuffer eintrifft, nutzlos und wird vom Clientcomputer verworfen. Verworfene Pakete Router verwerfen normalerweise nur dann Datenpakete, wenn die Warteschlange des Routers voll ist und keine weiteren Pakete mehr aufnehmen kann. Gehen auf diese Weise TCP-Datenpakete verloren, kann dies die Netzwerkbelastung zusätzlich erhöhen, weil die verworfenen Pakete noch einmal übertragen werden müssen. So kann QoS Abhilfe schaffen QoS kann auf verschiedene Weise die Auswirkungen von Netzwerkproblemen auf Übertragungen mit hoher Priorität verringern: Verringern der Verzögerungszeiten Standardmäßig leiten Router den Datenverkehr auf FIFO-Basis (First-In, First-Out) weiter. Mit QoS können Router einen DSCP-Wert (Differentiated Services Code Point) verwenden, um Daten hoher Priorität selbst dann vor den Daten niedrigerer Priorität zu übertragen, wenn die höher priorisierten Daten zuletzt eintreffen. Dadurch vergrößert sich die Verzögerungszeit für die Daten mit niedrigerer Priorität, aber sie verkleinert sich für die Daten mit hoher Priorität. Eine Verbesserung der Übertragungsleistung des Routers führt zwar dazu, dass die Warteschlange schneller leer wird, aber sie macht die Warteschlange nicht überflüssig. Computer, die Daten übertragen, können ebenfalls Pakete, die von verschiedenen Anwendungen übermittelt werden, in Warteschlangen stellen und QoS-Prioritäten verwenden, um die Pakete hoher Priorität zuerst zu übertragen. Hinweis Selbst mit QoS können sich bei der Übertragung großer Datenmengen am Router kleine Weiterleitungsverzögerungen ergeben. Stellen Sie sich zum Beispiel einen Benutzer vor, der ein VoIPGespräch führt, während er mit HTTP eine große Datei über eine DSL-Verbindung hochlädt, die 128 KBit/s (Kilobit pro Sekunde) leistet. Nachdem der Router den VoIP-Datenverkehr weitergeleitet hat, beginnt er mit der Übertragung eines HTTP-Pakets, das häufig etwa 1500 Byte groß ist. Trifft ein weiteres VoIP-Paket ein, nachdem der Router mit der Weiterleitung des HTTP-Pakets begonnen hat, muss er zuerst dieses Paket vollständig übertragen, bevor er das neue VoIP-Paket weiterleiten kann. Das würde in diesem Beispiel ungefähr 100 ms dauern. Diese 100 ms Weiterleitungsverzögerung können dazu führen, dass die Gesamtverzögerungszeit über die für VoIP akzeptable Verzögerungszeit von 150 ms anwächst. Um die Auswirkungen der Übertragung eines einzigen großen Pakets auf die Verzögerungszeiten zu minimieren, lassen sich einige Router so einstellen, dass sie Pakete mit niedrigerer Priorität in kleinere Pakete aufteilen. Verringern des Jitters Mit derselben Technik, die zur Verringerung der Verzögerungszeiten eingesetzt wird, kann QoS auch Jitter verringern. Geringere Schwankungen in der Übertragungsgeschwindigkeit machen es möglich, die Zeitspanne zu verkleinern, die Daten im Jitterpuffer zwi- 118 Kapitel 5: QoS auf Richtlinienbasis schengespeichert werden, wodurch sich wiederum die Gesamtverzögerungszeit verkleinert. Häufig wird der Jitterpuffer automatisch angepasst, wenn sich die Netzwerkbedingungen ändern. Je nach dem Aufbau Ihres Netzwerks können Sie Schwankungen in der Übertragung vielleicht dadurch verringern, dass Sie wichtige Übertragungen über spezielle Verbindungen leiten, auf denen geringe Verzögerungszeiten auftreten. Verringern der Zustellung in falscher Reihenfolge Wenn Sie Datenübertragungen mit DSCP-Werten kennzeichnen, können Sie Router so einstellen, dass für alle Übertragungen desselben Typs dieselbe Route verwendet wird. Auf diese Weise verringern sich Jitter und auch die Zahl der Zustellungen, die in falscher Reihenfolge erfolgen. Verringern der Anzahl der verworfenen Pakete hoher Priorität Wenn Sie Datenübertragungen mit DSCP-Werten kennzeichnen, können Sie viele Router so einstellen, dass sie zuerst Datenpakete mit niedrigerer Priorität verwerfen, bevor sie auch Pakete hoher Priorität verwerfen. QoS für ausgehende Datenübertragungen Auf Computern, auf denen die Betriebssysteme Windows Vista oder Windows Server 2008 ausgeführt werden, können Sie mit zwei Techniken QoS implementieren: DSCP und die Drosselung des Datenverkehrs (traffic throttling). Im Idealfall würden Sie beides kombinieren, um die bestmögliche Leistung zu erreichen. Abbildung 5.1 DSCP und die Drosselung des Datenverkehrs lassen sich kombinieren Abbildung 5.1 illustriert, wie DSCP und die Drosselung des Datenverkehrs miteinander kombiniert werden können. In diesem Beispiel ist ein schnelles 100-MBit/s-LAN mit einer relativ langsamen 1,54-MBit/s-Internetverbindung verbunden. Serveradministratoren haben die Drosselung des Datenverkehrs verwendet, um den Datenverkehr, der vom Webserver und vom E-Mail-Server ins Internet erfolgt, auf jeweils 512 KBit/s zu begrenzen. Selbst wenn die Website ausgelastet wird und viele Benutzer gleichzeitig ihre E-Mail herunterladen, verbleiben also für den VoIP-Server immer noch 512 Konzepte 119 KBit/s Bandbreite. Um die Verzögerungszeiten zu verringern, die auftreten können, wenn der Router Datenpakete in die Warteschlange stellt, wird der Datenverkehr jedes Servers mit einer DSCP-Nummer gekennzeichnet. Der Router verwendet diese DSCP-Nummern zur Priorisierung des Datenverkehrs, damit der VoIP-Datenverkehr, der am empfindlichsten auf Verzögerungszeiten reagiert, die Warteschlange immer zuerst verlassen kann. Die folgenden Abschnitte beschreiben DSCP und die Drosselung des Datenverkehrs ausführlicher. DSCP RFC 2474 definiert DSCP (Differentiated Services Code Point), das zum IP-Header der ausgehenden Datagramme einen Wert hinzufügt, mit dem Router den Datenverkehr priorisieren können. Sie können Windows Server 2008 zum Beispiel so einstellen, dass es zum FTP-Datenverkehr den DSCPWert 10 hinzufügt und zum Datenverkehr, der von Streamingmedien stammt, den DSCP-Wert 46. Wenn ein Router diesen Datenverkehr weiterleitet, kann er Datenverkehr mit dem DSCP-Wert 10 zur Warteschlange niederer Priorität hinzufügen und den Datenverkehr mit dem DSCP-Wert 46 zur Warteschlange hoher Priorität. Der DSCP-Wert wird im IP-Header als Zahl von 0 bis 63 angegeben, wobei 0 bedeutet, dass kein DSCP-Wert angegeben wurde. In IPv4 verwendet DSCP das TOS-Oktett (TOS steht für Type Of Service, definiert in RFC 791) im Header, wie in Abbildung 5.2 dargestellt. In IPv6 verwendet DSCP das Datenverkehrsklassenoktett (traffic class) im Header. Obwohl DSCP in IPC4 und IPv6 jeweils ein vollständiges Acht-Bit-Oktett belegt, verwendet DSCP nur die ersten 6 Bits. Die verbleibenden beiden Bits sind ECN-Bits (Explicit Congestion Notification). Abbildung 5.2 DSCP im IPv4-Header Weitere Informationen Weitere Informationen über ECN finden Sie in http://www.microsoft.com/technet/ community/columns/cableguy/cg1006.mspx. 120 Kapitel 5: QoS auf Richtlinienbasis Die Drosselung des Datenverkehrs Während DSCP es Ihrer Routinginfrastruktur ermöglicht, den Datenverkehr zu priorisieren, können Windows Vista und Windows Server 2008 auch die Bandbreite drosseln, die bestimmten Anwendungen und Protokollen zur Verfügung steht. Bei der Drosselung beschränkt eine QoS-Richtlinie den ausgehenden Netzwerkdatenverkehr, der zum angegebenen Kriterium passt, auf eine bestimmte Rate. Wenn Sie zum Beispiel über ein 10-MBit/s-LAN verfügen, können Sie Ihre E-Mail-Server davon abhalten, die verfügbare Bandbreite vollständig für sich zu beanspruchen, indem Sie die Server in einer eigenen Organisationseinheit (Organizational Unit, OU) unterbringen und mit dieser Organisationseinheit ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) verknüpfen. In dem Gruppenrichtlinienobjekt konfigurieren Sie eine QoS-Richtlinie, die den E-Mail-Datenverkehr auf 4 MBit/s drosselt (den E-Mail-Datenverkehr können Sie über TCP-Portnummern einstellen). QoS für eingehenden Datenverkehr DSCP-Werte geben Ihnen eine gewisse Kontrolle darüber, wie Ihre Netzwerkinfrastruktur ausgehende Nachrichten behandelt, wogegen die Drosselung des Datenverkehrs (traffic throttling) direkt die Bandbreite verringert, die von verschiedenen Anwendungen verwendet wird. Sie können die Übertragungsraten des eingehenden Datenverkehrs zwar nicht direkt kontrollieren, aber Windows kann die Größe des TCP-Empfangsfensters verringern, um die Übertragungsrate des eingehenden Datenverkehrs zu verkleinern. Standardmäßig optimiert Windows das TCP-Empfangsfenster auf maximalen Durchsatz. Allerdings können Sie auf Computern, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, die systemweit geltenden QoS-Einstellungen verwenden, um die maximale Größe des TCP-Empfangsfensters festzulegen und auf diese Weise den eingehenden Datenverkehr zu drosseln. Die Größe des TCP-Empfangsfensters ist ein Maß für die Datenmenge, die der Sender an den Empfänger übertragen darf, bevor er auf eine Bestätigung warten muss. Ein größeres Empfangsfenster bedeutet, dass der Sender mehr Daten auf einmal übertragen kann, wodurch sich die Netzwerkbelastung und der Durchsatz erhöhen. Durch die Begrenzung der maximalen Größe des TCP-Empfangsfensters kann ein Empfänger indirekt den Durchsatz auf einer eingehenden TCP-Verbindung kontrollieren. Weitere Informationen über die Einstellung der Maximalgröße des TCP-Empfangsfensters finden Sie im weiteren Verlauf dieses Kapitels unter der Überschrift »So konfigurieren Sie systemweit gültige QoS-Einstellungen«. QoS-Implementierung Unter Windows Vista und Windows Server 2008 wird QoS im NDIS 6.0-Lightweight-Filtertreiber implementiert, dessen ausführbare Datei Pacer.sys im Ordner %SystemRoot%\System32\Drivers zu finden ist. Pacer.sys steuert die QoS-Paketplanung für richtlinienbasiertes QoS und für Anwendungen, die APIs (Application Programming Interface) aus den Bereichen GQoS (Generic QoS), TC (Traffic Control) und qWAVE (Quality Windows Audio Video Experience) verwenden. Pacer.sys wird nur verwendet, wenn die QoS-Paketplaner-Komponente einer Netzwerkverbindung oder eines Netzwerkadapters aktiviert ist (standardmäßig ist sie aktiviert). Pacer.sys ersetzt den Treiber Psched.sys, der in den Betriebssystemen Windows Server 2003 und Windows XP verwendet wird. Hinweis Quality Windows Audio Video Experience (qWAVE) ist eine QoS-API, die entwickelt wurde, um die Leistung des Audio- und Videostreamings in Heimnetzwerken zu verbessern. Auf Windows Server 2008Computern bietet qWAVE nur Übertragungsraten- und Priorisierungsdienste. Da es hauptsächlich für die Heimanwendung entwickelt wurde, wird es in diesem Kapitel nicht näher besprochen. Planungs- und Entwurfsaspekte 121 Planungs- und Entwurfsaspekte QoS kann auf Windows-Computern zwar mit wenigen Mausklicks bereitgestellt werden, aber ohne entsprechende Planung werden Sie die Leistungsvorteile vielleicht nicht umsetzen können. Dieser Abschnitt beschreibt, wie Sie die Ziele für Ihre QoS-Implementierung festlegen, DSCP-Werte angeben und die Drosselung des Datenverkehrs planen, die Hardware- und Softwarevoraussetzungen überprüfen und die QoS-Richtlinien festlegen können. Festlegen der QoS-Ziele Bei der Planung der QoS-Richtlinien für Ihr Netzwerk bestimmen Sie, welche Anwendungen QoS erfordern, und legen Ziele für die Verzögerungszeiten und Bandbreiten fest, die von den Anwendungen eingehalten werden sollen: Planungsziele für Verzögerungszeiten Für VoIP und Videokonferenzen ist eine Minimierung der Verzögerungszeiten entscheidend. Kleinere Verzögerungszeiten sind zwar immer von Vorteil, aber die größte Verzögerung, die Menschen bei einer Übertragung vom Sender bis zum Empfänger hinnehmen, liegt bei etwa 150 bis 200 ms. Oberhalb von 200 ms wirken sich Verzögerungszeiten zunehmend als Störungen aus. Gespräche mit langen Verzögerungen werden schwierig und es kommt häufig dazu, dass mehrere Teilnehmer gleichzeitig zu sprechen beginnen. Planungsziele für Bandbreiten Diese Ziele hängen davon ab, welche Anwendungen Sie einsetzen, und betreffen zum Beispiel die Anzahl von Medienstreams, die mindestens gleichzeitig übertragen werden können, oder die maximale Dauer für die Übertragung einer Netzwerkdatensicherung eines bestimmten Umfangs. Nachdem Sie QoS implementiert haben, können Sie anhand dieser Ziele überprüfen, ob die Implementierung erfolgreich war oder ob noch weitere Änderungen erforderlich sind. Planen von DSCP-Werten Tabelle 5.1 listet nach sinkender Priorität geordnet DSCP-Standardwerte für verschiedene Anwendungen auf. Die Werte aus den fett gedruckten Zeilen werden am häufigsten verwendet. Tabelle 5.1 DSCP-Standardwerte Zweck Übliche Verwendung IP-Routing Router-zu-Router-Kommunikation DSCP-Wert 48 VoIP VoIP-Datenverkehr einschließlich Anrufanmeldung und Steuerung 46 Interaktives Video Bidirektionale Videokonferenzen 34 Streamingvideo Unidirektionales Videostreaming. Videostreams könnten alternativ auch als einsatzkritische Daten klassifiziert werden. 32 Einsatzkritische Daten Datenbankabfragen, geschäftliche Kommunikation, Videostreaming 26 Transaktionsdaten Datenbankabfragen und Transaktionen. Transaktionsdaten könnten alternativ auch als einsatzkritische Daten klassifiziert werden. 28 Anrufanmeldung VoIP-Steuerungsdaten (sie könnten alternativ als VoIP klassifiziert werden). 24 Netzwerkverwaltung Netzwerkverwaltungsprotokolle wie SNMP (Simple Network Management Protocol). Netzwerkverwaltungsdaten könnten alternativ auch als einsatzkritische Daten klassifiziert werden. 16 f 122 Kapitel 5: QoS auf Richtlinienbasis Zweck Übliche Verwendung Beste Möglichkeit Der restliche Datenverkehr einschließlich E-Mail und Browsen im Web Massendaten Datensicherungen, Dateiübertragungen, nicht kommerzielle Anwendungen Aufräumarbeiten Nachrangiger Datenverkehr. Als Alternative könnte man den nachrangigen Datenverkehr auch als Massendaten deklarieren. DSCP-Wert 0 10 8 Hinweis Es ist üblich, DSCP-Werte, die aus anderen Netzwerken wie zum Beispiel dem Internet stammen, zu entfernen oder zu ändern, weil diese Werte im anderen Netzwerk eine unterschiedliche Bedeutung haben könnten oder vielleicht sogar Bestandteile eines DoS-Angriffs sind (Denial-of-Service). Daher können Sie nicht voraussetzen, dass DSCP-Werte erhalten bleiben, wenn Sie Daten in andere Netzwerke senden, die Sie nicht verwalten. WMM und DSCP-Werte Wireless Multimedia (WMM) umfasst vier Zugriffskategorien für die Priorisierung des Datenverkehrs in einem drahtlosen 802.11-Netzwerk. Zur Festlegung der Prioritäten verwendet WMM DSCP-Werte. Daher können Sie automatisch die Vorteile von WMM nutzen, indem Sie DSCPWerte angeben. Tabelle 5.2 zeigt, wie die DSCP-Werte in die WMM-Zugriffskategorien passen. Tabelle 5.2 DSCP-Werte und WMM-Zugriffskategorien DSCP-Wert WMM-Zugriffskategorie 48–63 Stimme (Voice, VO) 32–47 Video (VI) 24–31, 0–7 Beste Möglichkeit (Best Effort, BE) 8–23 Hintergrund (Background, BK) Sie brauchen nicht für jedes Protokoll, das in Ihrem Netzwerk verwendet wird, eine eigene DSCPNummer anzugeben. Geben Sie stattdessen DSCP-Werte für die verschiedenen Datenverkehrsprioritätstypen an. Eine typische DSCP-Strategie umfasst zum Beispiel die folgenden fünf Warteschlangen: Steuerungsdatenverkehr Damit ist die Kommunikation zwischen Routern gemeint. Gewöhnlich erfordert diese Kommunikation zwar nur eine sehr geringe Bandbreite, sollte aber trotzdem mit einer hohen Priorität erfolgen, weil die schnelle Übermittlung der Steuerungsdaten Ausfallzeiten verringern kann, selbst im Fall von Hardwarefehlern. Außerdem sollten Sie diese Priorität für den VoIP-Steuerungsdatenverkehr wählen. Verwenden Sie für den Steuerungsdatenverkehr den DSCPWert 26. Verzögerungssensibler Datenverkehr Datenverkehr, der wie VoIP so schnell wie möglich zugestellt werden muss. Im Normalfall sollten Sie diesem Datenverkehr den DSCP-Wert 46 zuweisen, auch Expedited Forwarding (EF) genannt. Geschäftskritischer Datenverkehr, auch bekannt als Better than Best Effort (BBE) Kommunikation, die mit höherer Priorität erfolgen sollte, wie zum Beispiel Kundendienstdatenbankabfragen von einer Branchenanwendung oder Streamingvideo, die aber nicht so empfindlich gegenüber Verzögerungszeiten ist. Verwenden Sie den DSCP-Wert 34. Planungs- und Entwurfsaspekte 123 Beste-Möglichkeiten-Datenverkehr Standarddatenverkehr einschließlich des Datenverkehrs, der nicht mit einer DSCP-Nummer gekennzeichnet ist, sollte nach den obigen beiden Warteschlangen bearbeitet werden. Diesem Datenverkehr sollte der DSCP-Wert 0 zugewiesen werden. Das ist der Standardwert dafür, dass kein DSCP-Wert zugewiesen wurde. Aufräumarbeiten-Datenverkehr Nachrangiger Datenverkehr wie Datensicherungen, das Herunterladen von Updates, unkritische Dateisynchronisationen und Datenverkehr, der nichts mit der Arbeit zu tun hat, aber von den Angestellten und Mitarbeitern generiert wird. Verwenden Sie den DSCP-Wert 10 oder 8. Hinweis Wenn Sie dem Datenverkehr von zu vielen Anwendungen eine hohe Priorität zuweisen, kann die Warteschlange für den Datenverkehr hoher Priorität auf Routern so lang werden, dass sich beträchtliche zusätzliche Wartezeiten ergeben. Das widerspricht dem Sinn von QoS. Daher sollten Sie die höchste DHCPKennzeichnung für Echtzeitkommunikation wie VoIP reservieren. In vielen Netzwerken ist die Struktur noch einfacher. Dort werden nur zwei Prioritäten verwendet, nämlich eine für den verzögerungssensiblen Datenverkehr und eine weitere für den Standarddatenverkehr (Beste Möglichkeiten). Wenn Sie aber über Programme verfügen, die die Netzwerkleistung für verschiedene Datenverkehrstypen anhand der DSCP-Werte differenzieren können, ist es von Vorteil, selbst dann eine größere Anzahl an DSCP-Werten zu definieren, wenn Ihre Netzwerkinfrastruktur gar nicht dafür ausgerichtet ist, Pakete mit unterschiedlichen DSCP-Werten separat zu bearbeiten. Planen der Drosselung des Datenverkehrs Im Idealfall sollten Netzwerke immer voll ausgelastet sein, selbst wenn die übertragenen Daten als nachrangig eingestuft werden. Die Priorisierung des Datenverkehrs mit DSCP-Werten unterstützt dieses Ziel, weil sie es dem nachrangigen Datenverkehr ermöglicht, die gesamte verfügbare Bandbreite zu beanspruchen, wenn kein höherrangiger Datenverkehr stattfindet. Wenn Teile Ihres Netzwerks keine Priorisierung des Datenverkehrs durch DSCP-Werte unterstützen, können Sie die Datenübertragung von Computern, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, durch die Drosselung des Datenverkehrs begrenzen. Versuchen Sie aber nicht, für jede Anwendung und jedes Protokoll durch Drosselung des Datenverkehrs die Bandbreite einzuschränken. Verwenden Sie die Drosselung des Datenverkehrs nur, um die Datenübertragung von niederrangigen Anwendungen zu begrenzen, beispielsweise für die Datensicherung im Netzwerk oder beim Herunterladen von großen Updates. Vergessen Sie bitte nicht, dass die Drosselung des Datenverkehrs nur den Datenverkehr auf einzelnen Computern begrenzt. Sie kann nicht die Bandbreite beschränken, die von mehreren Computern gemeinsam beansprucht wird. Wenn Sie zum Beispiel fünf FTP-Server einrichten und sicherstellen möchten, dass sie zusammen niemals mehr als die halbe Bandbreite Ihrer 500 KBit/s-Verbindung beanspruchen, müssen Sie auf jedem der fünf Computer eine QoS-Richtlinie konfigurieren, mit der Sie den Datenverkehr auf jeweils 50 KBit/s beschränken. Insgesamt ergibt sich daraus eine Übertragungsrate von 250 KBit/s, wenn alle fünf Server mit ihrer vorgesehenen Maximalleistung Daten übertragen. Hardware- und Softwarevoraussetzungen Die folgenden Abschnitte beschreiben die Unterstützung der QoS-Richtlinien durch Betriebssystem und Anwendungen, die Abwärtskompatibilität zu QoS-APIs aus älteren Windows-Versionen und die Anforderungen an die Netzwerkinfrastruktur für die QoS-Unterstützung. 124 Kapitel 5: QoS auf Richtlinienbasis Unterstützung der QoS-Richtlinien QoS-Richtlinien können Sie nur unter Windows Vista und Windows Server 2008 anwenden. Ältere Windows-Versionen unterstützen QoS-APIs, mit denen einzelne Anwendungen DSCP-Werte festlegen und eine Drosselung des Datenverkehrs vornehmen können. Allerdings unterstützen sie keine Anwendung von QoS-Richtlinien durch Gruppenrichtlinienobjekte. Wenn Sie QoS-Richtlinien in einer Domäne verwenden möchten, können Sie Domänencontroller mit Microsoft Windows 2000 Server, Windows Server 2003 oder Windows Server 2008 verwenden. Anwendungen, die auf Windows Vista und Windows Server 2008 ausgeführt werden, brauchen QoS nicht zu unterstützen, damit ihr Netzwerkdatenverkehr priorisiert wird. Mit QoS-Richtlinien können Sie QoS auf jeden Netzwerkdatenverkehr anwenden, auch auf Netzwerkdatenverkehr, der von Diensten des Kernbetriebssystems stammt (beispielsweise vom Serverdienst). Abwärtskompatibilität für QoS-APIs Windows 2000, Windows XP und Windows Server 2003 bieten mit speziellen Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) QoS-Fähigkeiten, nämlich mit GQoS (Generic QoS), TOS (IP Type Of Service) und TC (Traffic Control). Allerdings ist es dafür erforderlich, dass Entwickler in ihren Anwendungen tatsächlich eine dieser APIs verwenden. Die meisten Entwickler haben dies nicht getan. Daher unterstützen die meisten Anwendungen QoS nicht. Wenn Sie eine Anwendung verwenden, die eine dieser APIs benutzt, ist dies kein Hinderungsgrund für den Einsatz dieser Anwendung unter Windows Vista und Windows Server 2008. Weitere Informationen Weitere Informationen über diese APIs finden Sie in »The MS QoS Components« unter http://technet.microsoft.com/en-us/library/bb742475.aspx. Hinweis GQoS, IP TOS und TC wurden heruntergestuft und von ihrer Verwendung wird abgeraten. Unter Windows Vista werden sie zwar immer noch unterstützt, aber in zukünftigen Windows-Versionen ist dies vielleicht nicht mehr der Fall. Wenn Sie also Anwendungen einsetzen, die GQoS, TOS oder TC verwenden, sollten Sie die Entwickler dazu auffordern, stattdessen die neue API QOS2 zu verwenden. In der Headerdatei QOS2.h finden Entwickler weitere Informationen über QOS2. Anforderungen an die Netzwerkinfrastruktur Zur vollständigen Unterstützung der QoS-Richtlinien muss Ihre Netzwerkinfrastruktur die Verwendung von mehreren Warteschlangen zur Priorisierung des Datenverkehrs anhand von DSCP-Werten unterstützen (wie in RFC 2474 definiert). Die Drosselung des Datenverkehrs stellt allerdings keine Anforderungen an die Netzwerkinfrastruktur. Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten Unter Windows Vista und Windows Server 2008 können Sie mit lokalen Gruppenrichtlinienobjekten oder Active Directory-Gruppenrichtlinienobjekten QoS für jede Anwendung im Netzwerk konfigurieren. Dank der Flexibilität der Gruppenrichtlinienobjekte können Sie also Folgendes tun: Konfigurieren von QoS-Richtlinien für Organisationseinheiten Die meisten Organisationen strukturieren und verwalten ihre Computer und Benutzer mit Active Directory-Organisationseinheiten. Indem Sie ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpfen und in diesem Gruppenrichtlinienobjekt die QoS-Richtlinien festlegen, können Sie auf den verschiedenen Computern Ihrer Organisation unterschiedliche QoS-Richtlinien anwenden. Wenn Sie zum Beispiel für E-Mail-Server und Webserver eigene Organisationseinheiten einrichten, können Sie unterschiedliche Gruppenrichtlinienobjekte mit den Organisationseinheiten verknüpfen und zum Beispiel den Planungs- und Entwurfsaspekte 125 E-Mail-Datenübertragungen (beispielsweise mit Microsoft Office Outlook Web Access oder OWA) eine höhere Priorität als dem Standard-Webdatenverkehr geben. Konfigurieren von QoS-Richtlinien anhand der Gruppenmitgliedschaft von Benutzern Indem Sie GPOs mit entsprechenden Zugriffskontrolllisten (access control lists, ACLs) versehen, die den Zugriff auf der Basis der Gruppenmitgliedschaft steuern, können Sie QoS-Benutzerkonfigurationsrichtlinien festlegen, die bestimmten Gruppen eine höhere Priorität als anderen Gruppen geben. Sie könnten zum Beispiel dem Datenverkehr von der Kundenservicegruppe eine höhere Priorität geben. Konfigurieren von QoS-Richtlinien für Standorte Wenn die Netzwerkinfrastruktur an verschiedenen Standorten unterschiedlich eingerichtet wird und zum Beispiel unterschiedliche DSCP-Werte verwendet werden, können Sie mit den Active Directory-Standorten Gruppenrichtlinienobjekte verknüpfen, die an den verschiedenen Standorten für die korrekten Einstellungen sorgen. Konfigurieren von QoS-Richtlinien für eigenständige Computer Windows Vista und Windows Server 2008 unterstützen mehrere lokale Gruppenrichtlinienobjekte (multiple local GPOs, MLGPOs). Mit MLGPOs können Sie auch auf Computern, die nicht zu Ihrer Active Directory-Domäne gehören, QoS-Richtlinien konfigurieren. Wenn Sie eine QoS-Richtlinie konfigurieren, weisen Sie einen DHCP-Wert oder eine Drosselungsrate zu und legen dann die Kriterien fest, anhand derer Windows den Datenverkehr erkennt, für den die QoS-Richtlinie gilt. Folgende Kriterien können Sie verwenden: Dateiname der sendenden Anwendung (zum Beispiel Anwendung.exe) IPv4 oder IPv6-Quell- oder Zielnetzwerk oder Adresse Quell- oder Ziel-TCP- oder -UDP-Portnummer oder Bereich So funktioniert’s: QoS-Richtlinienprioritäten Wenn eine Verbindung die Kriterien von mehreren QoS-Richtlinien erfüllt, wird die präziseste QoS-Richtlinie angewendet. Wenn Sie zum Beispiel eine Richtlinie für ein ganzes Netzwerk definieren (beispielsweise für 192.168.1.0/24) und eine zweite Richtlinie für eine bestimmte IP-Adresse (wie 192.168.1.5) festlegen, wird die IP-Adressenrichtlinie verwendet, und nicht die Netzwerkrichtlinie. Bei der Anwendung von QoS-Richtlinien befolgt Windows folgende Regeln. 1. QoS-Richtlinien auf Benutzerebene haben Vorrang vor QoS-Richtlinien, die auf Computerebene festgelegt wurden. 2. QoS-Richtlinien für Anwendungen haben Vorrang vor QoS-Richtlinien für Netzwerke oder IP-Adressen. 3. QoS-Richtlinien für IP-Adressen und genauer angegebene Netzwerke haben Vorrang vor QoSRichtlinien, die Netzwerke weniger genau angeben. 4. QoS-Richtlinien für Portnummern haben Vorrang vor QoS-Richtlinien für Portbereiche, die wiederum Vorrang vor QoS-Richtlinien ohne Angabe von Portnummern haben. 5. Stehen immer noch mehrere QoS-Richtlinien im Widerspruch zueinander, haben Richtlinien für Quell-IP-Adressen Vorrang vor Richtlinien für Ziel-IP-Adressen, und Richtlinien, in denen ein Quellport angegeben wird, haben Vorrang vor Richtlinien, in denen ein Zielport angegeben wird. Für eine bestimmte Verbindung kann nur eine QoS-Richtlinie angewendet werden. Gibt es für eine einzige Verbindung zwei Richtlinien für die Drosselung des Datenverkehrs, legt die präzisere Richtlinie die Drosselungsrate fest. Die Wirkung der Richtlinien addiert sich nicht. 126 Kapitel 5: QoS auf Richtlinienbasis Um die Zahl der Konflikte zu verringern und die QoS-Bereitstellung zu vereinfachen, sollten Sie Ihre QoS-Richtlinien so präzise wie möglich formulieren. Statt zum Beispiel eine QoS-Richtlinie für den gesamten ausgehenden Datenverkehr eines Computers zu verwenden, können Sie eine Richtlinie so formulieren, dass sie für eine bestimmte Portnummer des Computers gilt. QoS-Richtlinien für Windows Vista-Mobilcomputer Computer, auf denen Windows Server 2008 ausgeführt wird, wenden auf alle Netzwerkschnittstellen QoS-Richtlinien an. Windows Vista-Computer arbeiten etwas anders, weil das Betriebssystem für den mobilen Einsatz konzipiert wurde. Daher können sie auch außerhalb einer Organisation mit anderen Netzwerken verbunden sein. Andere Organisationen verwenden vielleicht andere DSCP-Nummern. Vielleicht verwenden sie auch gar keine QoS-Richtlinien. Daher wendet Windows Vista nur dann QoS-Richtlinien an, wenn der Computer mit Ihrem internen Netzwerk verbunden ist. Genauer gesagt, Windows Vista wendet QoS-Richtlinien nur in Domänennetzwerken an. Ob ein Netzwerk zu einer Domäne gehört, erkennt Windows Vista, wenn es über die Schnittstelle Kontakt zu einem Domänencontroller aufnimmt. Daher wendet Windows Vista Ihre QoS-Richtlinien nicht an, wenn ein Benutzer zum Beispiel in einem Café eine Verbindung mit einem Drahtlosnetzwerk aufnimmt. Stellt der Benutzer dagegen über ein VPN eine Verbindung mit Ihrem internen Netzwerk her, wendet Windows Vista QoS-Richtlinien auf diese Verbindung an. Weitere Informationen Weitere Informationen über Netzwerktypen unter Windows Vista finden Sie in Kapitel 26, »Konfigurieren der Windows-Netzwerkfunktionen« der technischen Referenz von Windows Vista von Mitch Tulloch, Tony Northrup und Jerry Honeycutt, unter Zusammenarbeit mit dem Microsoft Windows Vista Team (Microsoft Press, 2007). Bereitstellungsschritte Nach der entsprechenden Planung und Vorbereitung erfordert es nur wenige Minuten, mit den Gruppenrichtlinien QoS zu implementieren. Dieser Abschnitt beschreibt, wie sich mit Gruppenrichtlinienobjekten QoS-Richtlinien einrichten lassen, die DSCP-Werte und die Drosselung des Datenverkehrs definieren. Außerdem beschreibt er die Konfiguration von systemweit gültigen QoS-Einstellungen, wie zum Beispiel die Durchsatzstufe für eingehende TCP-Verbindungen. So konfigurieren Sie QoS in den Gruppenrichtlinien Damit QoS seine Wirkung entfalten kann, sollten Sie so viele Computer wie möglich so einstellen, dass sie dem Datenverkehr DSCP-Werte zuweisen und den ausgehenden Datenverkehr, sofern die Priorisierung nicht ausreicht, entsprechend drosseln. So konfigurieren Sie QoS mit Gruppenrichtlinien 1. Öffnen Sie das Gruppenrichtlinienobjekt, in dem Sie die Richtlinie definieren wollen, im Gruppenrichtlinienverwaltungs-Editor und erweitern Sie in der Strukturdarstellung den Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS oder Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS. Hinweis QoS-Benutzerrichtlinien gelten nur für Benutzerprozesse, wenn der Benutzer angemeldet ist. Auf Servern sollten Sie normalerweise QoS-Computerrichtlinien definieren. Bereitstellungsschritte 127 2. Klicken Sie den Knoten Richtlinienbasierter QoS mit der rechten Maustaste an und klicken Sie dann auf Neue Richtlinie erstellen. 3. Der Assistent für richtlinienbasiertes QoS öffnet sich. Geben Sie auf der Seite Erstellen einer QoS-Richtlinie, die in Abbildung 5.3 zu sehen ist, nach Bedarf einen eindeutigen Namen für die Richtlinie ein. Geben Sie dann einen der DSCP-Werte aus Tabelle 5.1 an, den Ihre Netzwerkinfrastruktur zur Priorisierung des Datenverkehrs verwenden kann, sowie eine Drosselungsrate in KByte/s oder in MByte/s, die Windows zur Beschränkung der Übertragungsrate des ausgehenden Datenverkehrs verwendet. Klicken Sie auf Weiter. Abbildung 5.3 Die Seite Erstellen einer QoS-Richtlinie Hinweis Beachten Sie bitte, dass die Drosselungsrate in Kilobyte pro Sekunde (KByte/s) oder in Megabyte pro Sekunde (MByte/s) angegeben werden muss. 8 Bits entsprechen einem Byte. Daher teilen Sie bei der Ermittlung der Drosselungsraten den in KBit/s oder MBit/s vorliegenden Zahlenwert durch 8 und geben das Ergebnis im Assistenten für richtlinienbasiertes QoS ein. Wenn Sie den Datenverkehr zum Beispiel auf 128 KBit/s drosseln möchten, geben Sie als Drosselungsrate 16 KByte/s ein. 4. Auf der Seite Diese QoS-Richtlinie wird angewendet auf, die in Abbildung 5.4 zu sehen ist, wählen Sie entweder Alle Anwendungen oder Nur Anwendungen, bei denen es sich um folgende ausführbare Datei handelt. Wenn Sie eine Anwendung angeben, wendet Windows Vista den DSCP-Wert oder die Drosslungsrate auf den Netzwerkdatenverkehr an, der von dieser Anwendung erzeugt wird. Wenn Sie einen Dienst drosseln müssen, überprüfen Sie die Eigenschaften des Dienstes im Snap-In Dienste. Liegt für den Dienst eine eigene ausführbare Datei vor (eine andere Datei als svchost.exe), können Sie diese Datei angeben. Andernfalls können Sie auf den nächsten beiden Seiten des Assistenten festlegen, für welchen Datenverkehr die Richtlinie gilt. Klicken Sie auf Weiter. 5. Auf der Seite Legen Sie die Quell- und Ziel-IP-Adresse fest (Abbildung 5.5) können Sie festlegen, ob die Richtlinie für den Datenverkehr von oder an eine bestimmte IP-Adresse oder von oder an ein bestimmtes Netzwerk gilt. Wenn Sie zum Beispiel eine QoS-Richtlinie festlegen möchten, die den Datenverkehr in einem VPN beschränkt, würden Sie Nur für die folgende Ziel-IP-Adresse oder 128 Kapitel 5: QoS auf Richtlinienbasis -Präfix wählen und dann die Zieladresse für das VPN eingeben. Dabei sind IPv4 und IPv6-Adressen zulässig und Sie können eine Netzwerkpräfixlängendarstellung verwenden, um Netzwerke anzugeben. Bei der Netzwerkpräfixlängendarstellung würden Sie zum Beispiel 192.168.1.0/24 eingeben, wenn Sie das gesamte Netzwerk 192.168.1.x meinen, oder 192.168.0.0/16 für das Netzwerk 192.168.x.x. Weitere Informationen finden Sie in »Subnets and Subnet Masks« unter http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnbb_tcp_prux.mspx. Klicken Sie auf Weiter. Abbildung 5.4 Die Seite Diese QoS-Richtlinie wird angewendet auf Abbildung 5.5 Die Seite Legen Sie die Quell- und Ziel-IP-Adresse fest Bereitstellungsschritte 129 Hinweis QoS-Richtlinien gelten nur für ausgehenden Datenverkehr. Daher wird die Quelladresse immer dem Computer zugeordnet, auf dem Sie die Richtlinie anwenden, während mit der Zieladresse immer der Remotecomputer oder das Remotenetzwerk gemeint ist. Geben Sie eine Quelladresse ein, wenn die Richtlinie auf andere Computer angewendet werden soll, als sich durch den Gültigkeitsbereich eines Gruppenrichtlinienobjekts erfassen lassen. 6. Auf der Seite Legen Sie das Protokoll und die Portnummern fest (Abbildung 5.6) können Sie den Datenverkehr anhand der TCP- oder UDP-Portnummern beschreiben. Wenn Sie zum Beispiel den ausgehenden Webdatenverkehr eines Webservers drosseln möchten, würden Sie erst TCP wählen. Dann würden Sie Von dieser Quellportnummer bzw. diesem -bereich wählen und die Portnummer 80 eingeben (das ist die Nummer des Ports, über den HTTP-Webdatenverkehr erfolgt). Klicken Sie auf Fertig stellen. Abbildung 5.6 Die Seite Legen Sie das Protokoll und die Portnummern fest Hinweis Bei der Konfiguration von QoS-Richtlinien für Server geben Sie die Quellportnummer an und lassen jeden beliebigen Zielport zu. Bei der Konfiguration von QoS-Richtlinien für Clients geben Sie die Zielportnummer an und lassen jeden beliebigen Quellport zu. Nach der Definition können Sie die Richtlinie bearbeiten, indem Sie sie im Detailbereich des Gruppenrichtlinienverwaltungs-Editors mit der rechten Maustaste anklicken und dann Vorhandene Richtlinie bearbeiten wählen. Das Dialogfeld Eine vorhandene QoS-Richtlinie bearbeiten weist Registerkarten auf, die den Seiten des Assistenten für richtlinienbasiertes QoS entsprechen. Weitere Informationen finden Sie im Verlauf dieses Kapitels unter den Überschriften »Bearbeiten von QoSRichtlinien« und »Löschen von QoS-Richtlinien«. Hinweis Derzeit ist die Verwendung von Gruppenrichtlinienobjekten die einzige Möglichkeit, QoS-Richtlinien zu konfigurieren. Microsoft bietet keine Tools an, mit denen sich QoS-Richtlinien durch Skripts konfigurieren lassen. 130 Kapitel 5: QoS auf Richtlinienbasis So konfigurieren Sie systemweit gültige QoS-Einstellungen Systemweit gültige QoS-Einstellungen können Sie im Knoten Computerkonfiguration\Administrative Vorlagen\Netzwerk\QoS-Paketplaner des Gruppenrichtlinienverwaltungs-Editors vornehmen. Sie brauchen diese Einstellungen nur zu ändern, wenn Sie die ausstehenden Pakete oder die reservierbare Bandbreite einschränken oder die Zeitgeberauflösung ändern müssen. Im Knoten QoS-Paketplaner sind folgende Richtlinien verfügbar: Ausstehende Pakete einschränken Legt die maximale Anzahl von ausstehenden Paketen fest, die auf einem Netzwerkadapter zu jedem Zeitpunkt ausgegeben werden können. Wenn dieses Limit erreicht ist, werden neue Pakete in Pacer.sys zwischengespeichert, bis der Netzwerkadapter ein Paket abgeschlossen hat. Dann wird ein zuvor zwischengespeichertes Paket aus der Pacer.sysWarteschlange entnommen und an den Netzwerkadapter gesendet. Standardmäßig ist diese Einstellung deaktiviert. Im Normalfall sollte es nicht erforderlich werden, sie zu aktivieren. Reservierbare Bandbreite beschränken Legt die prozentuale Bandbreite fest, die eine Anwendung reservieren kann. Standardmäßig wird der Wert auf 20 Prozent festgelegt, wodurch 80 Prozent der Bandbreite für Prozesse übrig bleiben, die keine Bandbreite reserviert haben. Zeitgeberauflösung festlegen Dieser Wert wird nicht unterstützt und sollte nicht eingestellt werden. Der Knoten QoS-Paketplaner enthält zudem drei untergeordnete Knoten, in denen Sie die DSCPStandardwerte manuell einstellen können: DSCP-Wert von übereinstimmenden Paketen Diese Einstellungen gelten für Pakete, die der Ablaufspezifikation entsprechen. DSCP-Wert von nicht übereinstimmenden Paketen Diese Einstellungen gelten für Pakete, die der Ablaufspezifikation nicht entsprechen. Prioritätswert für Schicht 2 Diese Einstellungen legen in Netzwerken, in denen sie unterstützt werden, die Standardprioritätswerte für die Verbindungsschicht fest. Sie brauchen die Werte in diesen untergeordneten Knoten nur zu ändern, wenn Sie Ihre Netzwerkinfrastruktur mit DSCP-Werten konfiguriert haben, die nicht dem Standard entsprechen. In den Gruppenrichtlinien können Sie auch erweiterte QoS-Einstellungen für Computer vornehmen. Klicken Sie im Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste auf den Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS und klicken Sie dann auf Erweiterte QoS-Einstellungen. Im resultierenden Dialogfeld Erweiterte QoS-Einstellungen können Sie Folgendes tun: Stufe für eingehenden TCP-Durchsatz festlegen Die meisten QoS-Richtlinien gelten für den ausgehenden Datenverkehr, den der Clientcomputer sendet. Mit dieser Einstellung auf der Registerkarte Eingehender TCP-Datenverkehr können Sie Windows so einstellen, dass es versucht, den eingehenden Datenverkehr durch eine Anpassung der Größe des TCP-Empfangsfensters zu drosseln, wie in diesem Kapitel unter der Überschrift »QoS für eingehenden Datenverkehr« beschrieben. Tabelle 5.3 listet die maximale Größe des TCP-Empfangsfensters für jede eingehende Durchsatzstufe auf. Standardmäßig verwendet Windows Stufe 3 (maximaler Durchsatz) für die Größe des TCP-Empfangsfensters. Im Gegensatz zum richtlinienbasierten QoS für den ausgehenden Datenverkehr kann diese Einstellung die Datenrate des eingehenden Datenverkehrs nicht auf der Basis von Anwendungen, Adressen oder Ports steuern. Bereitstellungsschritte 131 Tabelle 5.3 Maximale TCP-Empfangsfenstergröße Eingehende TCP-Durchsatzstufe Maximum 0 64 KB 1 256 KB 2 1 MB 3 16 MB Hinweis Da UDP-Datenverkehr keine Bestätigungen (acknowledge) vorsieht, können Sie den UDPDatenverkehr nicht auf dem Empfängercomputer drosseln. DSCP-Markierungsanforderungen von Anwendungen steuern Anwendungen können zwar für ausgehende Netzwerkkommunikation ihre eigenen DSCP-Werte anfordern, aber die meisten Anwendungen legen keinen Wert fest. Standardmäßig verwendet Windows den DSCP-Wert, der von der Anwendung festgelegt wird. Wenn Sie möchten, dass Windows den von der Anwendung angegebenen DSCP-Wert ignoriert und sich bei der Einstellung der DSCP-Werte ausschließlich an die QoS-Richtlinien hält, wählen Sie das Kontrollkästchen DSCP-Markierungsanforderungen von Anwendungen steuern und wählen dann Ignoriert, wie in Abbildung 5.7 dargestellt. Abbildung 5.7 Von Anwendungen angegebene DSCP-Werte werden ignoriert 132 Kapitel 5: QoS auf Richtlinienbasis Wartung Die Wartungsarbeiten für QoS bestehen darin, nach Bedarf QoS-Richtlinien zu aktualisieren oder zu löschen und die QoS-Richtlinien zu überwachen, um sicherzustellen, dass sie angewendet werden und wie geplant funktionieren. Die folgenden Abschnitte beschreiben die Wartungsarbeiten ausführlicher. Löschen von QoS-Richtlinien Sie können QoS-Richtlinien in der Konsole Gruppenrichtlinienverwaltung löschen. So entfernen Sie eine Richtlinie 1. Öffnen Sie im Untermenü Verwaltung des Start-Menüs die Konsole Gruppenrichtlinienverwaltung. 2. Klicken Sie das Gruppenrichtlinienobjekt, in dem die Richtlinie definiert ist, mit der rechten Maustaste an und klicken Sie dann auf Bearbeiten. 3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Benutzerkonfiguration oder Computerkonfiguration, erweitern Sie Richtlinien, dann Windows-Einstellungen und klicken Sie dann auf Richtlinienbasierter QoS. 4. Klicken Sie im Detailbereich die Richtlinie mit der rechten Maustaste an, die Sie entfernen möchten, und klicken Sie dann auf Richtlinie löschen. 5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Ja. Bearbeiten von QoS-Richtlinien Sie können QoS-Richtlinien mit der Konsole Gruppenrichtlinienverwaltung bearbeiten. So bearbeiten Sie eine QoS-Richtlinie 1. Öffnen Sie im Untermenü Verwaltung des Start-Menüs die Konsole Gruppenrichtlinienverwaltung. 2. Klicken Sie das Gruppenrichtlinienobjekt, in dem Sie eine Richtlinie bearbeiten möchten, mit der rechten Maustaste an und klicken Sie dann auf Bearbeiten. 3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Benutzerkonfiguration oder Computerkonfiguration, erweitern Sie Richtlinien, dann Windows-Einstellungen und klicken Sie dann auf Richtlinienbasierter QoS. 4. Klicken Sie im Detailbereich die Richtlinie mit der rechten Maustaste an, die Sie bearbeiten möchten, und klicken Sie dann auf Vorhandene Richtlinie bearbeiten. 5. Führen Sie die erforderlichen Änderungen durch und klicken Sie dann auf OK. Die Änderungen werden bei der nächsten Aktualisierung der Gruppenrichtlinien wirksam. Wenn Sie die Gruppenrichtlinien auf einem Computer sofort aktualisieren möchten, öffnen Sie eine Eingabeaufforderung als Administrator und geben den Befehl gpupdate /force. Überwachen von QoS Sie können QoS mit dem Systemmonitor von Windows überwachen, mit dem Network Monitor, den Sie kostenlos von Microsoft herunterladen können, oder mit Überwachungsprogrammen anderer Hersteller. Die folgenden Abschnitte beschreiben diese Tools. Wartung 133 Systemmonitor Das Systemmonitor-Snap-In, zu finden in der Konsole Computerverwaltung unter Zuverlässigkeit und Leistung\Überwachungstools), bietet einige nützliche Leistungsindikatoren, von denen Sie Informationen über die Netzwerkleistung erhalten: Netzwerkschnittstelle\Bytes gesendet/s und Netzwerkschnittstelle\Pakete gesendet/s Geben die gesamte übertragene Datenmenge an, unabhängig davon, ob für die Daten QoS-Richtlinien gelten oder nicht. Pacer-Datenstrom\Bytes gesendet und Pacer-Datenstrom\Gesendete Pakete Relativ zu den Indikatoren der Netzwerkschnittstelle lässt sich mit diesen Indikatoren der Anteil des ausgehenden Datenverkehrs ermitteln, für den QoS-Richtlinien gelten. Pacer-Pipe\Ungültige geplante Pakete und Pacer-Pipe\Ungültige geplante Pakete/Sekunde Wenn diese Werte ansteigen, bedeutet dies, dass QoS den Datenverkehr durch eine Verlangsamung der Paketübertragung drosselt. Network Monitor Der Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail untersuchen. Wie aus Abbildung 5.8 hervorgeht, können Sie mit dem Network Monitor zum Beispiel den DSCP-Wert im IP-Header überprüfen. Wie Sie in der Abbildung sehen, gilt für das ausgewählte IPv4-Paket der DSCP-Wert 10 (Massendatenverkehr). Auf diese Weise können Sie also überprüfen, ob DSCP-Werte verwendet werden, und etwaige Probleme bei Bedarf beheben. Abbildung 5.8 Anzeigen des DSCP-Werts im Network Monitor Sie können den Network Monitor auch zur Überprüfung der Größe des TCP-Empfangsfensters verwenden, das Sie nach der Beschreibung aus dem Abschnitt »So konfigurieren Sie systemweit gültige QoS-Einstellungen« dieses Kapitels konfigurieren können. Überprüfen Sie nach dem Aufzeichnen des Datenverkehrs den Wert Window des TCP-Headers, wie in Abbildung 5.9 gezeigt. Windows passt diesen Wert zwar automatisch an, aber er sollte immer unter dem Wert liegen, der in Tabelle 5.3 für die gewählte Einstellung angegeben wird. 134 Kapitel 5: QoS auf Richtlinienbasis Abbildung 5.9 Überprüfen des TCP-Empfangsfensters im Network Monitor Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.microsoft.com/ downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann. Überwachungsprogramme anderer Hersteller Die Überwachung einzelner Computer kann nützliche Informationen darüber liefern, wie QoS-Richtlinien angewendet werden. Allerdings können Sie sich nur durch die Überwachung Ihrer Netzwerkinfrastruktur ein vollständiges Bild von der Netzwerkleistung und den Auswirkungen der QoS-Richtlinien machen. Versuchen Sie, von den Herstellern Ihrer Netzwerkinfrastruktur Informationen über Überwachungsprogramme zu erhalten, mit denen Sie die QoS-Leistung überprüfen können. Mit manchen Programmen können Sie auch die Leistung bestimmter Anwendungen überwachen. Einige Entwickler (wie zum Beispiel Agilent und NetIQ) bieten Software zur Überwachung der VoIPLeistung an. Wenn Sie QoS einsetzen, um VoIP zu ermöglichen, sollten Sie Überwachungsprogramme wie diese verwenden, um zu überprüfen, ob Ihr Netzwerk die Leistungsanforderungen erfüllt. Ist die Leistung zu gering, erhöhen Sie die Bandbreite oder verringern die Datenmenge, die durch die QoSRichtlinien eine hohe Priorität erhält, oder beides. Problembehandlung QoS-Richtlinien verursachen normalerweise keine ernsthaften Verbindungsprobleme. Erfüllt QoS aber nicht Ihre Leistungsanforderungen, können Sie die Richtlinien und die Konfiguration Ihrer Netzwerkinfrastruktur überprüfen, um sicherzustellen, dass die Implementierung nach Plan erfolgt ist. Die folgenden Abschnitte beschreiben Methoden für die Behebung von Problemen, die sich mit QoSRichtlinien und mit der Netzwerkleistung ergeben können. Problembehandlung 135 Überprüfen der QoS-Richtlinien Mit den Gruppenrichtlinienergebnis-Assistenten können Sie einen Bericht über die QoS-Richtlinien erstellen, die für einen Computer oder Benutzer gelten. So zeigen Sie QoS-Richtlinien an 1. Öffnen Sie im Untermenü Verwaltung des Start-Menüs die Konsole Gruppenrichtlinienverwaltung. 2. Klicken Sie den Knoten Gruppenrichtlinienergebnisse mit der rechten Maustaste an und klicken Sie dann auf Gruppenrichtlinienergebnis-Assistent. 3. Klicken Sie auf der Willkommen-Seite des Gruppenrichtlinienergebnis-Assistenten auf Weiter. 4. Übernehmen Sie auf der Seite Computerauswahl die Standardeinstellung, indem Sie auf Weiter klicken. 5. Übernehmen Sie auf der Seite Benutzerauswahl die Standardeinstellung, indem Sie auf Weiter klicken. 6. Klicken Sie auf der Seite Zusammenfassung der Auswahl auf Weiter. 7. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 8. Drücken Sie in der Konsole Gruppenrichtlinienverwaltung auf die EINGABETASTE , um den Standardnamen für den Bericht zu übernehmen. 9. Klicken Sie bei Bedarf auf der Registerkarte Einstellungen unter Computerkonfiguration und unter Benutzerkonfiguration auf Für richtlinienbasiertes QoS anzeigen. Klicken Sie bei Bedarf dann auf Für QoS-Richtlinien anzeigen. 10. Die Konsole Gruppenrichtlinienverwaltung zeigt alle QoS-Richtlinien an, die auf den Computer oder Benutzer angewendet werden. Die Konsole Gruppenrichtlinienverwaltung zeigt die QoS-Richtlinien mit ihren DSCP-Werten, Drosselungsraten, Richtlinienbedingungen und ausschlaggebenden Gruppenrichtlinienobjekten (das Gruppenrichtlinienobjekt mit der höchsten Priorität). Weitere Informationen über QoS-Richtlinienprioritäten finden Sie in diesem Kapitel unter der Überschrift »Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten«. Direkt von der Quelle: Aufzeichnen von QoS-Tags mit dem Network Monitor Stellen Sie sich die Situation vor, dass eine Netzwerkanwendung QoS-APIs von Windows aufruft, um den ausgehenden Datenverkehr in Schicht 2 mit einem IEEE 802.1Q-Tag UserPriority zu versehen (es wird gewöhnlich 802.1p genannt). Die Überprüfung, ob ein ausgehendes Paket tatsächlich mit diesem Tag versehen wurde, ist wegen des Aufbaus eines Windows-Netzwerkstapels und der Weise, in der Pakete zusammengestellt werden, nicht so einfach, wie es auf den ersten Blick vielleicht aussieht. Bei näherer Betrachtung aktualisiert der QoS-Paketplaner (Pacer.sys in Vista/ 2008 Server und Psched.sys in XP/2003 Server) im Netzwerkstapel einfach eine Out-of-BandStruktur (nicht das tatsächlich zusammengestellte Paket), zu dem ein 802.1Q-UserPriority-Tag hinzugefügt werden soll. Bei dieser speziellen NDIS-Struktur handelt es sich um NDIS_NET_BUFFER_ LIST_8021Q_INFO. Sie enthält Membervariablen für VlanID und UserPriority und wird an den NDISMiniporttreiber übergeben, um die Prioritätskennzeichnung (UserPriority) und die VLAN-Kennzeichnung (VlanId) vorzunehmen. Es bleibt dem NDIS-Miniporttreiber überlassen, anhand dieser Werte das 802.1Q-Tag ins Paket einzufügen, bevor die Übertragung über die Verbindung erfolgt. 136 Kapitel 5: QoS auf Richtlinienbasis Ein Miniporttreiber wird dieses Tag nur einfügen, wenn diese Funktion unterstützt wird und in den erweiterten Eigenschaften des Netzwerkkartentreibers aktiviert ist. Standardmäßig ist die Prioritätskennzeichnung in Schicht 2 deaktiviert. Unter dem Aspekt des Schichtaufbaus des Netzwerkstapels ist es wichtig, dass es sich bei Pacer.sys um einen NDIS-Lightweight-Filtertreiber (LWF-Treiber) handelt, der immer oberhalb eines Miniporttreibers eingefügt wird, bei dem es sich immer um die am tiefsten im Stapel liegende Software handelt, weil er direkt mit der Netzwerkkarten-Hardware kommuniziert. Beachten Sie bitte auch, dass Netzwerkprotokollanalyseprogramme wie Microsoft Network Monitor ebenfalls Netzwerkstapelfilter sind und immer oberhalb des Miniporttreibers eingefügt werden. Das ist wichtig, weil daraus deutlich wird, dass bei der Aufzeichnung des Datenverkehrs auf dem sendenden Computer nie das Tag eines Pakets sichtbar wird (das Tag wird unterhalb der Sniffing-Software eingefügt). Wie steht es mit dem Versuch, das Netzwerk auf dem empfangenden Computer zu untersuchen? Das ist zwar keine schlechte Idee, aber das Schicht-2-Tag wird dadurch nicht sichtbar. Wie aus der NDIS-Entwicklerdokumentation eindeutig hervorgeht, müssen Miniporttreiber das Tag nach Erhalt entfernen und die Werte in die Felder UserPriority und VlanId der Struktur NDIS_NET_BUFFER_LIST_ 8021Q_INFO übertragen. Diese Out-of-Band-Struktur kann dann von den weiter oben im Stapel liegenden NDIS-Filtertreibern zur Implementierung dieser Funktionen verwendet werden. Das Schicht-2-Tag wird deswegen entfernt, weil Tcpip.sys alle empfangenen Pakete verwirft, die dieses Tag enthalten. Wenn sich also ein Miniporttreiber falsch verhält und dieses Tag nicht entfernt, erreicht das Paket die Benutzermodusanwendung nicht, weil es intern verworfen wird. Kurz gesagt: Eine Netzwerkprotokollanalyseanwendung auf dem sendenden Computer sieht das Tag nie. Eine Netzwerkprotokollanalyseanwendung auf dem empfangenden Computer sieht das Tag nie. Die Überwachung von durch Tags gekennzeichneten Paketen in anderen Netzwerkelementen (beispielsweise in einem Switch) ist schwierig, sofern sie überhaupt möglich ist. Gabe Frost, Product Manager Core Windows Networking Überprüfen der DSCP-Strapazierfähigkeit Wenn eine QoS-Richtlinie nicht den Leistungsvorteil bietet, den Sie erwartet haben, überprüfen Sie zuerst, ob die QoS-Richtlinie richtig angewendet wird. Überprüfen Sie anhand des Abschnitts »Überprüfen der QoS-Richtlinien« dieses Kapitels, ob auf dem Zielcomputer die gewünschten QoS-Richtlinien gelten und zu dem Datenverkehr passen, den Sie priorisieren möchten. Überprüfen Sie dann mit dem Network Monitor, ob dem ausgehenden Datenverkehr der richtige DSCP-Wert zugewiesen wird. Weitere Informationen zu diesem Thema finden Sie im Abschnitt »Network Monitor« dieses Kapitels. Wird der DSCP-Wert nicht zugewiesen, dann werden die QoSRichtlinien nicht richtig angewendet. Überprüfen Sie, ob das vorgesehene Gruppenrichtlinienobjekt für den Computer gilt und ob die Zuordnung der QoS-Richtlinien zum betreffenden Datenverkehr über den Namen der Anwendung, über die Portnummer oder die IP-Adresse erfolgen kann. Da es der Netzwerkinfrastruktur möglich ist, die DSCP-Werte aus Paketen zu entfernen, müssen Sie auch überprüfen, ob der DSCP-Wert noch vorhanden ist, wenn das Paket den Remotehost erreicht. Handelt es sich beim Remotehost um einen Computer, auf dem Windows ausgeführt wird, können Sie mit dem Network Monitor überprüfen, ob die DSCP-Werte beim Eingang auf dem Zielcomputer noch vorhanden sind. Wird auf dem Remotehost kein Windows ausgeführt, verwenden Sie einen anderen Problembehandlung 137 passenden Protokollanalysator. Sind die DSCP-Werte beim Eingang auf dem Remotehost nicht mehr vorhanden, hat die Netzwerkinfrastruktur die DSCP-Werte entfernt. Wenden Sie sich zur Unterstützung bei der Problembehebung an Ihre Netzwerkadministratoren. Ist der DSCP-Wert beim Eingang des Pakets auf dem Remotehost noch intakt, wurde die Netzwerkinfrastruktur vielleicht nicht korrekt auf die Priorisierung des Datenverkehrs eingestellt oder unterstützt vielleicht QoS nicht. Um die besten Ergebnisse zu erzielen, sollten alle Router zwischen Client und Server QoS unterstützen und so eingerichtet werden, dass sie Pakete anhand ihrer DSCP-Werte priorisieren. Auf dem Client können Sie mit dem Programm PathPing überprüfen, welchen Weg die Pakete zwischen Client und Server vermutlich nehmen werden, wie das folgende Beispiel zeigt (der fett gedruckte Text wird vom Benutzer eingegeben). pathping www.contoso.com Routenverfolgung zu contoso.com [10.46.196.103] über maximal 30 Abschnitte: 0 contoso-test [192.168.1.207] 1 10.211.240.1 2 10.128.191.245 3 10.128.191.73 4 10.125.39.213 5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98] 6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201] 7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106] 8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54] 9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177] 10 10.127.70.6 11 10.46.33.225 12 10.46.36.210 13 10.46.155.17 14 10.46.129.51 15 10.46.196.103 Die Leistungsdaten, die PathPing liefert, sind bei der Behebung von QoS-Problemen mit Vorsicht zu interpretieren, denn PathPing benutzt ICMP-Pakete (Internet Control Message Protocol), denen vielleicht eine niedrigere oder höhere Priorität als dem Datenverkehr zugewiesen wird, den Sie untersuchen. Gelegentlich kann sich der genaue Übertragungsweg je nach den Bedingungen ändern, die im Netzwerk herrschen, oder die Übermittlung des Datenverkehrs, den Sie untersuchen, erfolgt wegen der QoS-Einstellungen vielleicht auf einem anderen Weg als die Übermittlung der ICMP-Pakete. Nachdem Sie mit PathPing eine mögliche Route zwischen Client und Server ermittelt haben, untersuchen Sie jede Routerkonfiguration und überprüfen, ob der Router die DSCP-Werte beibehält und ob er den Datenverkehr korrekt anhand der DSCP-Werte priorisiert. Wenn möglich, überprüfen Sie auf jedem Router mit einem Protokollanalysator, ob der DSCP-Wert noch intakt ist. Isolieren von Netzwerkleistungsproblemen Bei der Einrichtung von QoS gilt es in erster Linie zu verhindern, dass im vorrangigen Datenverkehr zu hohe Verzögerungszeiten auftreten oder nicht genügend Bandbreite zur Verfügung steht. Überprüfen Sie zuerst anhand der Angaben in den Abschnitten »Überprüfen der QoS-Richtlinien« und »Überprüfen der DSCP-Strapazierfähigkeit« dieses Kapitels, ob Sie die QoS-Richtlinien und ihre Netzwerkinfrastruktur richtig eingestellt haben. Überprüfen Sie dann, ob folgende häufiger auftretende Probleme vorliegen: 138 Kapitel 5: QoS auf Richtlinienbasis Die Verzögerungszeiten erreichen die physikalischen Grenzen. Wie im Abschnitt »Verzögerungszeiten« dieses Kapitels beschrieben, können Verzögerungszeiten mit steigender Entfernung ebenfalls ansteigen, weil sich das elektrische Signal nur mit endlicher Geschwindigkeit ausbreiten kann. Um die Auswirkungen dieses Sachverhalts zu minimieren, sollten Sie für ein effizientes Routing sorgen. Wenn Sie zum Beispiel an der Ostküste der USA zwei Büros haben und an der Westküste eines, würde es mit einer größeren Verzögerungszeit bestraft, wenn der Datenaustausch zwischen den beiden Ostküstenbüros über das Westküstenbüro erfolgte. Um das zu verhindern, könnten Sie eine direkte Verbindung zwischen den Ostküstenbüros einrichten. In ähnlicher Weise führt auch eine Datenübertragung durch ein VPN dazu, dass eine bestimmte Route weniger effizient wird. Die Bandbreite erreicht ihre praktische Grenze. Wenn Sie nicht den erwarteten Datendurchsatz erreichen, überprüfen Sie, ob Ihre Erwartungen für die verwendete Netzwerkart realistisch sind. Verkabelte Ethernetnetzwerke erreichen zum Beispiel nur 65 bis 80 Prozent ihrer theoretischen Maximalleistung, während es Drahtlosnetzwerke gewöhnlich nur auf 35 bis 50 Prozent der ausgewiesenen Bandbreite bringen. Internetverbindungen einschließlich VPNs, die das Internet benutzen, haben es mit starken Schwankungen in der Übertragungsleistung zu tun, die nicht nur von Ihrem direkten Internetanbieter abhängen, sondern auch von jedem anderen Internetanbieter, der den Datenverkehr irgendwo auf dem Weg von der Quelle zum Ziel weiterleitet. Der Computer ist ausgelastet. Wenn der Prozessor eines Computers stark ausgelastet ist, ist er vielleicht nicht mehr in der Lage, eingehende Datenpakete zügig und effizient zu bearbeiten. Vielleicht leidet auch die Reaktionsgeschwindigkeit der Client- oder Serveranwendung darunter. Diese mögliche Problemursache können Sie vermeiden, indem Sie während der Tests nicht benötigte Dienste und Anwendungen beenden. Die Warteschlangen hoher Priorität sind auf den Routern überlastet. Die meisten Router, die QoS unterstützen, ermöglichen Ihnen die Überwachung der Datenmengen, die sich in den verschiedenen Prioritätswarteschlangen befinden. Je mehr Pakete in einer Warteschlange vorhanden sind, desto höher die Verzögerungszeit. Um diese Wirkung abzuschwächen, können Sie entweder die Bandbreite im Zielnetzwerk erhöhen oder den Umfang des hoch priorisierten Datenverkehrs verringern. Die Treiber sind zu langsam. Überprüfen Sie, ob die Computer über aktuelle Versionen der Netzwerkkartentreiber verfügen. Überprüfen Sie außerdem, ob die Routerfirmware auf dem neusten Stand ist. Zusammenfassung des Kapitels Bei entsprechender Anwendung kann das richtlinienbasierte QoS von Windows Vista und Windows Server 2008 die Effizienz Ihres Netzwerks und die Qualität von Netzwerkanwendungen wie VoIP erhöhen. Wenn Sie sich einen Überblick über die häufigsten Ursachen von Leistungsproblemen in Netzwerken verschafft haben, wie zum Beispiel Verzögerungszeiten und Jitter, können Sie den Einsatz von QoS zur Optimierung der verfügbaren Bandbreiten planen. Eine QoS-Bereitstellung bedeutet die Konfiguration Ihrer Netzwerkinfrastruktur und der Computer aus Ihrem Netzwerk. Zur Vereinfachung der Arbeit können Sie QoS für Computer, auf denen Windows Vista und Windows Server 2008 ausgeführt wird, mit Gruppenrichtlinien konfigurieren. Nach der Bereitstellung können Sie die QoS-Leistung mit dem Systemmonitor, dem Network Monitor oder mit Überwachungsprogrammen anderer Hersteller überwachen. Bei Bedarf können Sie QoSRichtlinien bearbeiten oder entfernen, um die QoS-Ziele zu erreichen, die Sie bei der Planung festgelegt haben. Wenn Sie die Planvorgaben nicht erreichen, können Sie zur Behebung der Probleme die Weitere Informationen 139 QoS-Richtlinien analysieren, die DSCP-Strapazierfähigkeit überprüfen und die Netzwerkverbindungen identifizieren, die für die Probleme verantwortlich sind. Weitere Informationen In folgenden Dokumenten finden Sie weitere Informationen über die QoS-Unterstützung in Windows: »Quality of Service« unter http://technet.microsoft.com/en-us/network/bb530836.aspx RFC 2474, »Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers« unter http://www.ietf.org/rfc/rfc2474.txt »The MS QoS Components« unter http://technet.microsoft.com/en-us/library/bb742475.aspx »Quality of Service in Windows Server 'Longhorn' and Windows Vista« unter http://www. microsoft.com/downloads/details.aspx?familyid=0230e025-9549-400b-807e-97e8a0cb9703 »Windows Vista Policy-based Quality of Service (QoS)« unter http://www.microsoft.com/ downloads/details.aspx?FamilyID=59030735-8fde-47c7-aa96-d4108f779f20 »Policy-based QoS Architecture in Windows Server 2008 and Windows Vista: The Cable Guy, March 2006« unter http://www.microsoft.com/technet/community/columns/cableguy/cg0306.mspx Das MSDN-Forum »Network Quality of Service MSDN« unter http://forums.microsoft.com/ MSDN/ShowForum.aspx?ForumID=825&SiteID=1 Weitere Informationen über die Verwaltung von Gruppenrichtlinien in Windows finden Sie in folgenden Dokumenten: »Windows Server Group Policy« unter http://www.microsoft.com/grouppolicy »Enterprise Management with the Group Policy Management Console« unter http://go.microsoft. com/fwlink/?LinkID=8630 141 K A P I T E L 6 Skalierbare Netzwerke In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 147 151 153 153 155 156 Dieses Kapitel beschreibt die Planung, Bereitstellung und Wartung von Netzwerkfunktionen des Betriebssystems Windows Server 2008, die für einen Datendurchsatz von über 1 Gigabit vorgesehen sind und zudem die Hauptprozessoren eines Computers entlasten sollen, sowie die Problembehebung bei diesen Funktionen. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt. Konzepte Da die Übertragungsleistungen der Netzwerke weiter steigen und Anwendungen beginnen, die höhere Leistung zu nutzen, muss auch die Effizienz der Client- und Serversoftware steigen. Denken Sie zum Beispiel an einen Computer, auf dem das Betriebssystem Windows Server 2003 ausgeführt wird und der die Daten von mehreren stark beanspruchten 1- oder 10-Gigabit-Ethernet-Netzwerkkarten verarbeiten muss: Die große Zahl an Unterbrechungen (Interrupts), mit denen Netzwerkkarten das Eintreffen neuer Pakete bekannt geben, kann eine beträchtliche Menge an Rechenzeit beanspruchen. Die Bearbeitung der Netzwerkdaten bleibt auf einen einzigen CPU-Kern beschränkt, obwohl viele Server inzwischen über acht oder mehr Kerne verfügen. Dadurch wird die Skalierbarkeit beschränkt. Die Übertragung der Daten von der Netzwerkkarte in Speicherbereiche des Betriebssystems erfolgt durch den Prozessor, der durch diesen Kopiervorgang zusätzlich belastet wird. Wird die Kommunikation mit IPsec (Internet Protocol Security) geschützt, ist zusätzliche Rechenzeit für die Authentifizierung und Verschlüsselung erforderlich. Diese technischen Aspekte ziehen in der Praxis einige Probleme nach sich: SANs (Storage Area Networks) sind ineffizient, weil TCP/IP einen relativ hohen Verwaltungsaufwand erfordert, der die Speicher- und Abgleichvorgänge verlangsamt. Anwendungen, die das Netzwerk stark belasten, wie zum Beispiel Sicherungsprogramme, können ebenfalls einen großen Teil der Rechenzeit beanspruchen und dadurch alle anderen Anwendungen behindern. 142 Kapitel 6: Skalierbare Netzwerke Speicher, Rechenleistung und Bandbreite reichen vielleicht für einen Abgleich der Server aus, aber die wachsende Belastung durch das Netzwerk und der damit verbundene Verwaltungsaufwand müssen von einem einzigen Prozessor getragen werden, der daher irgendwann einen Engpass darstellen kann. Für Dateiserver und Webserver, die in der Lage sein sollten, Netzwerke jeder Leistung auszulasten, stellt die Beschränkung auf einen Prozessor einen Engpass dar. Daher müssten mehrere Server eingesetzt werden, um diese Leistungsbeschränkung aufzuheben. Die folgenden Abschnitte beschreiben Netzwerkkonzepte, die für skalierbare Netzwerke von Bedeutung sind. Weitere Informationen TCP-Chimney-Abladung, Empfangsseitige Skalierung (Receive-Side Scaling, RSS) und NetDMA wurden mit dem Windows Server 2003 Scalable Networking Pack eingeführt. Weitere Informationen finden Sie in dem Artikel »Windows Server 2003 Scalable Networking Pack Overview« unter http://www.microsoft.com/technet/community/columns/cableguy/cg0606.mspx. Die Betriebssysteme Microsoft Windows 2000, Windows XP und Windows Server 2003 sind in der Lage, IPsec-Abladung zu unterstützen. TCP-Chimney-Abladung Der Verwaltungsaufwand bei der Bearbeitung von Netzwerkverbindungen ist für den Prozessor so groß, weil er zum Beispiel die Daten aus mehreren TCP-Paketen zu einem einzigen Segment zusammenfassen muss. Abbildung 6.1 stellt die TCP-Chimney-Abladung-Architektur dar, die es der Netzwerkkarte ermöglicht, TCP-Daten für ausgehende Pakete zu segmentieren, die Daten aus den eingehenden Paketen wieder zu größeren Einheiten zusammenzufassen und die Bestätigungen für gesendete und empfangene Daten zu senden und zu verarbeiten. Abbildung 6.1 TCP-Chimney-Abladung-Architektur Konzepte 143 So funktioniert’s: TCP-Chimney-Abladung Bei der TCP-Chimney-Abladung übergibt die Netzwerkkarte die Daten direkt an einen Switch aus einer höheren Schicht und informiert die dazwischen liegenden Schichten nur durch eine Aktualisierung der Zustandsdaten über das Geschehen. Dadurch wird der Prozessor des Computers von einem großen Teil des TCP-Verwaltungsaufwands entlastet. Die Switchschicht entscheidet, ob der effizientere Chimney oder der herkömmliche Codepfad gewählt wird, bei dem die Daten durch die dazwischen liegenden Schichten geleitet werden. Ohne TCP-Chimney-Abladung müssten alle Datenübertragungen die Protokolle der Schichten 2, 3 und 4 durchlaufen. Die TCP-Chimney-Abladung ist in den 32-Bit- und 64-Bit-Versionen der Betriebssysteme Windows Vista und Windows Server 2008 möglich und funktioniert auf 32-Bit- und 64-Bit-E/A-Bussen. Eine TCP-Chimney-Abladung bleibt für Administratoren und Anwendungsentwickler unsichtbar. Die TCPChimney-Abladung ist nicht zu QoS oder Netzwerkkarten-Teaming-Treibern kompatibel, die für ältere Windows-Versionen entwickelt wurden. Hinweis Wie der Name andeutet, ändert sich durch TCP-Chimney-Abladung nichts daran, wie Datenpakete von anderen Protokollen wie ARP (Address Resolution Protocol), DHCP (Dynamic Host Configuration Protocol), ICMP (Internet Control Message Protocol) und UDP (User Datagram Protocol) bearbeitet werden. Auch mit TCP-Chimney-Abladung muss das Betriebssystem noch alle E/A-Vorgänge der Anwendungen bearbeiten. Daher zeigen sich die Vorteile überwiegend bei der Übertragung großer Datenmengen, während Anwendungen, die gelegentlich kleine Datenmengen übertragen, kaum eine Leistungssteigerung aufweisen dürften. Ein deutlicher Vorteil zeigt sich zum Beispiel auf Streamingmedienservern. Für einen Datenbankserver, der 100 bis 500 Bytes für eine Datenbank empfängt oder versendet, ändert sich dagegen kaum etwas. Weitere Informationen Wenn Sie sich für die Leistungsdaten von TCP-Chimney-Abladung mit Testdaten interessieren, lesen Sie »Boosting Data Transfer with TCP Offload Engine Technology« unter http://www.dell.com/downloads/global/power/ps3q06-20060132-broadcom.pdf und »Enabling Greater Scalability and Improved File Server Performance with the Windows Server 2003 Scalable Networking Pack and Alacritech Dynamic TCP Offload« unter http://www.alacritech.com/Resources/Files/File_ Serving_White_Paper.pdf. Weitere Informationen über TCP-Chimney-Abladung finden Sie in »Scalable Networking: Network Protocol Offload – Introducing TCP Chimney« unter http://www.microsoft.com/whdc/ device/network/TCP_Chimney.mspx. Empfangsseitige Skalierung Wenn sich LAN-Geschwindigkeiten von 10 Gigabit weiter durchsetzen und in Zukunft mit noch höheren Geschwindigkeiten zu rechnen ist, darf die Software bei der Bearbeitung des eingehenden Datenverkehrs nicht zum Engpass werden. Einer der wichtigsten potenziellen Engpässe ist die Zeit, die für die Bearbeitung eines Pakets erforderlich ist. Die Rechenleistung der Computer hat sich auch in den letzten Jahren weiter gesteigert. Statt aber die Taktfrequenzen der Mikroprozessoren immer weiter zu erhöhen, setzen Computerhersteller zunehmend auf die Verwendung mehrerer Prozessoren und auf Prozessoren mit mehreren Kernen. Damit auch die Netzwerkkomponenten von Windows diese Rechenleistung ausnutzen können, sollte die Software alle Prozesse vermeiden, die sich auf einen einzigen Ablaufpfad beschränken (die Software sollte also nicht single-threaded sein). 144 Kapitel 6: Skalierbare Netzwerke Windows Server 2003 unterstützt NDIS 5.1 (Network Driver Interface Specification), das die Bearbeitung des eingehenden Datenverkehrs auf einen Prozessor beschränkt, wie in Abbildung 6.2 dargestellt (wobei die Wahl des Prozessors allerdings davon abhängt, welcher Prozessor die Unterbrechung bearbeitet hat). Abbildung 6.2 NDIS 5.0-Bearbeitung eingehender Datenpakete Mit NDIS 6.0 und in Windows Vista und Windows Server 2008 kann die für das Netzwerk zuständige Unterbrechungsroutine (Interrupt Service Routine, ISR) die Bearbeitung parallelisieren, indem sie die auf einer RSS-fähigen Netzwerkkarte eingehenden Datenpakete auf die Warteschlangen von mehreren Prozessoren verteilt (Abbildung 6.3). Abbildung 6.3 NDIS 6.0-Bearbeitung von Datenpaketen, die auf einer RSS-fähigen Netzwerkkarte eingehen Auf PCI-e- oder PCI-X-Computern, die MSI oder MSI-X unterstützen, können die Verwaltung in einer Warteschlange und die Unterbrechungen auf mehrere Prozessoren verteilt werden, wie in Abbildung 6.4 dargestellt. Mit RSS erhalten Anwendungen und Dienste die Netzwerkdaten zwar immer noch in der richtigen Reihenfolge, aber auf Mehrprozessorsystemen werden die Prozessoren effizienter genutzt. Konzepte 145 Abbildung 6.4 NDIS 6.0 -Bearbeitung eingehender Datenpakete mit einer RSS-fähigen Netzwerkkarte, die MSI oder MSI-X unterstützt Direkt von der Quelle: MSI- und MSI-X-Unterbrechungen Ein PCI-e-/PCI-X-Gerät kann auf zwei Arten eine Unterbrechung (Interrupt) hervorrufen: Durch Unterbrechungsleitungen Durch Nachrichten Die Unterbrechung der laufenden Arbeit eines Prozessors durch eine Signalleitung ist die »alte« Methode, Unterbrechungen auszulösen. Meistens werden alle Unterbrechungen, die durch Signalleitungen gemeldet werden, durch einen einzigen Prozessor bearbeitet. Moderne Systeme, die MSI (Message Signaled Interrupts) unterstützen, ermöglichen es den Hardwaregeräten, einen beliebigen Prozessor ihrer Wahl zu unterbrechen. RSS-fähige Netzwerkkarten, die außerdem Unterbrechungen auf MSI-Basis unterstützen, erreichen daher eine optimale Leistung, indem sie nicht nur die eingehenden Pakete zur Bearbeitung auf mehrere Prozessoren verteilen, sondern auch die Unterbrechungen. Beachten Sie bitte auch, dass Windows Vista und Windows Server 2008 die ersten Windows-Betriebssysteme sind, die MSI/MSI-X-Systeme und -Geräte softwaremäßig unterstützen. Rade Trimceski, Program Manager Windows Networking & Devices Windows Server 2008 kann nicht nur für eingehenden Datenverkehr einen Lastausgleich unter allen Prozessoren durchführen, sondern auch für die Bearbeitungsvorgänge, die durch TCP-Fensteraktualisierungen hervorgerufen werden. Insgesamt steigert RSS auf allen Mehrprozessorsystemen die Zahl der Transaktionen pro Sekunde, die Zahl der Verbindungen pro Sekunde und den Netzwerkdurchsatz, insbesondere auf Web-, Datei-, Sicherungs- und Datenbankservern. Hinweis Die Standardeinstellung für RSS ist, für RSS die ersten vier geeigneten Prozessoren zu verwenden (geeignet sind alle Prozessoren mit Ausnahme von virtuellen Hyperthread-Prozessoren). Weitere Informationen Ausführliche Informationen über RSS finden Sie in »Scalable Networking: Eliminating the Receive Processing Bottleneck – Introducing RSS« unter http://download.microsoft.com/ download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/NDIS_RSS.doc. 146 Kapitel 6: Skalierbare Netzwerke NetDMA NetDMA, das von Intel und Microsoft gemeinsam entwickelt wurde, ist eine weitere Technik zur Verringerung der Prozessorbelastung bei der Bearbeitung des Netzwerkdatenverkehrs und zur Steigerung des Netzwerkdurchsatzes. NetDMA überträgt Daten von einem Ort im Arbeitsspeicher des Computers direkt an einen anderen Ort, wobei die Daten nicht den Mikroprozessor durchlaufen müssen. NetDMA setzt voraus, dass die vorliegende Hardwareplattform eine Technologie wie Intel I/OAT (Intel I/O Acceleration Technology) unterstützt, eine Funktion, die sich mit Intel Xeon-Prozessoren und Chipsätzen der Reihe Intel 5000 verwenden lässt. Intels Tests zeigen, dass I/OAT mit NetDMA die Prozessorauslastung von 36 auf 24 Prozent senken kann, wenn vier reale Gigabit-Ethernet-Netzwerkkarten in beide Richtungen ausgelastet werden, wodurch ein Datenverkehr von nahezu 8 Gigabit pro Sekunde (GBit/s) entsteht. Mit acht Gigabit-Ethernet-Adaptern (die einen Datenverkehr von ungefähr 16 GBit/s erzeugten) verbesserten Intel I/OAT und NetDMA den Durchsatz um mehr als 20 Prozent. Mit zwei oder weniger Gigabit-Ethernet-Netzwerkkarten im Computer, die 4 GBit/s oder weniger an Datenverkehr erzeugten, waren die Verbesserungen dagegen nur gering. Weitere Informationen Weitere Informationen über Intel I/OAT finden Sie unter http://www.intel.com/ go/ioat. NetDMA und TCP-Chimney-Abladung sind nicht zueinander kompatibel. Wenn eine Netzwerkkarte NetDMA und TCP-Chimney-Abladung unterstützt, verwendet Windows Server 2008 TCP-ChimneyAbladung. Weitere Informationen Weitere Informationen über NetDMA finden Sie in »Introduction to Intel I/O Acceleration Technology and the Windows Server 2003 Scalable Networking Pack« unter http://www.intel.com/ technology/ioacceleration/317106.pdf. IPsec-Abladung IPsec kann den Netzwerkdatenverkehr authentifizieren und verschlüsseln, ohne Änderungen in der Anwendung zu erfordern. Allerdings erfordert die Authentifizierung oder Verschlüsselung der Pakete zusätzliche Rechenzeit. Auf Servern, die eine große Anzahl von Verbindungen bedienen und die auf eine möglichst hohe Rechenleistung angewiesen sind, kann der für IPsec zusätzlich erforderliche Rechenaufwand dazu führen, dass sich der Prozessor zum Leistungsengpass entwickelt. Hinweis Für die Verschlüsselung der Daten in einer IPsec-Sitzung mit einem geheimen Schlüssel ist eine gewisse Rechenzeit erforderlich. Allerdings verwendet IPsec bei der Einrichtung der IPsec-Sitzung eine Verschlüsselung mit einem öffentlichen Schlüssel, um den geheimen Schlüssel übertragen zu können. Es ist diese Verschlüsselung mit einem öffentlichen Schlüssel, die den größten Teil der Rechenzeit beansprucht. Die IPsec-Abladung verlagert die IPsec-Bearbeitung auf eine entsprechende IPsec-abladungsfähige Netzwerkkarte, die gewöhnlich über einen Prozessor verfügt, der für die Authentifizierung und Verschlüsselung optimiert wurde. Indem Sie einen Server mit einer Netzwerkkarte ausrüsten, die zur IPsec-Abladung fähig ist, können Sie den Verwaltungsaufwand für IPsec wesentlich verringern (ob dieser Faktor aber eine spürbare Rolle spielt, hängt von der Auslastung und der Rechenleistung des Servers ab). Weitere Informationen über IPsec finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«, und Kapitel 16, »IPsec-Erzwingung«. Planungs- und Entwurfsaspekte 147 Planungs- und Entwurfsaspekte Skalierbare Netzwerkfunktionen erfordern gewöhnlich die Verwendung der unterstützten Hardware. Einige Funktionen machen Kompromisse erforderlich, beispielsweise die Deaktivierung von Softwarefirewalls. Wegen dieser Kosten sollten Sie sorgfältig überprüfen, ob die Vorteile der verschiedenen skalierbaren Netzwerkfunktionen die Nachteile überwiegen. Die folgenden Abschnitte beschreiben, wie Sie die skalierbaren Netzwerkfunktionen bewerten können. Bewerten der Skalierungstechnologien für Netzwerke Wenn Sie die für Sie geeignete Lösung suchen, berücksichtigen Sie Folgendes: TCP-Chimney-Abladung TCP-Chimney-Abladung funktioniert nur mit NDIS 6.0-Treibern unter Windows Server 2008, NDIS 5.2-Treibern unter Windows Server 2003 mit SP2 und kompatibler Hardware. Wenn Sie also einen NDIS 5.1-Treiber oder einen älteren Treiber verwenden oder Ihre Netzwerkkarte die TCP-Chimney-Abladung nicht unterstützt, funktioniert es nicht. Da die Leistungsvorteile durch die TCP-Chimney-Abladung erst ab einem Durchsatz von 2 GBit/s von Bedeutung sind, hat es wenig Sinn, in langsameren Netzwerken als Gigabit-Ethernet die TCPChimney-Abladung zu verwenden. Noch deutlicher dürften die Vorteile aber bei 10 GBit/s und höher werden. RSS und NetDMA RSS führt zu einer effizienteren Verwendung der Prozessoren, weil die Last auf mehrere Prozessoren verteilt wird, während NetDMA den Umfang der Bearbeitung des Datenverkehrs durch die Prozessoren verringert. Falls Sie für die Anschaffung von RSS- oder NetDMAfähiger Hardware ein zusätzliches Budget brauchen, sollten Sie vor dem Kauf neuer Hardware entsprechende Belastungstests durchführen, um zu überprüfen, ob tatsächlich der Prozessor der limitierende Faktor ist und ob der Server Ihre Skalierungsanforderungen ohne spezielle Hardware erfüllen kann. Wenn kein Prozessor vollständig ausgelastet wird, bieten RSS und NetDMA keine nennenswerten Vorteile. IPsec-Abladung Wie RSS und NetDMA verbessert auch die IPsec-Abladung nur dann die Leistung, wenn der Prozessor den Engpass darstellt. Die IPsec-Abladungshardware verringert zwar den Bearbeitungsaufwand für die Kryptografiefunktionen, beschleunigt aber nicht die Bearbeitung in den Filterfunktionen. Vergessen Sie beim Test der IPsec-Abladungshardware nicht, dass die Abladungshardware gewöhnlich nur eine beschränkte Zahl von Sicherheitszuordnungen unterstützt. Oberhalb dieser Grenze verwenden die Prozessoren des Computers die Kryptografiefunktionen, als sei keine IPsec-Abladungshardware vorhanden. Bei der Planung sollten Sie auch überprüfen, ob diese Skalierbarkeitsfunktionen zu Ihrer Serverkonfiguration kompatibel sind. Die TCP-Chimney-Abladung und NetDMA lassen sich nicht mit folgenden Funktionen kombinieren: Windows-Firewall IPsec NAT (Network Address Translation) Firewalls anderer Hersteller Außerdem ist RSS nicht zu NAT-Treibern kompatibel und wirkt nicht auf IPsec-Datenverkehr, sofern dieser nicht mit IPsec-Abladung entschlüsselt wurde. Tabelle 6.1 listet die Skalierbarkeitstechnologien auf, die sich je nach der eingesetzten Netzwerktechnologie zur Leistungssteigerung eignen. 148 Kapitel 6: Skalierbare Netzwerke Tabelle 6.1 Kompatibilität der Netzwerktechnologie zu den Skalierbarkeitstechnologien Technologie TCP-Chimney- RSS Abladung NetDMA IPsecAbladung Windows-Firewall – X X X Firewalls anderer Hersteller – X X X IPsec – Nur wenn die IPsec-Abladung verwendet wird X X NAT – – – X Wenn Sie also eine dieser Funktionen verwenden und herausfinden, dass die Bearbeitung der Netzwerkkommunikation zu viel Rechenzeit erfordert, werden Sie sich auf RSS stützen müssen und auf die IPsec-Abladung, sofern Sie IPsec verwenden. Da die Verwendung der TCP-Chimney-Abladung oder von NetDMA die Deaktivierung von Windows-Firewall und IPsec erfordert, sollten Sie diese Funktionen nur auf Servern verwenden, die hohe Ansprüche an die Skalierbarkeit stellen und sich, was die Sicherheit betrifft, auf externe Geräte verlassen können, um den Datenverkehr zu filtern, beispielsweise auf eine Netzwerkfirewall. Belastungstest von Servern Jede der in diesem Kapitel besprochenen Netzwerkskalierungstechnologien kann den maximalen Durchsatz Ihrer Server erhöhen, indem sie die Belastung des Prozessors verringert. Allerdings ist die Übernahme dieser Technologie den Aufwand vielleicht nicht wert, wenn Netzwerkadapter, die diese Technologie unterstützen, wesentlich teurer sind als Standardnetzwerkkarten. Bevor Sie also einen Teil Ihres Hardwarebudgets für diese Funktionen verplanen, sollten Sie überprüfen, ob Sie die zusätzliche Skalierbarkeit brauchen und ob es tatsächlich der Netzwerkdurchsatz oder der Prozessor ist, der die Leistung Ihres Servers beschränkt. Hinweis Sofern Sie bereits herausgefunden haben, dass die Leistung eines Servers durch einen zu schwachen Netzwerkdurchsatz oder durch den Prozessor begrenzt wird, ist ein zusätzlicher Belastungstest wahrscheinlich den Aufwand nicht wert. Testen Sie stattdessen die neue Hardware auf Kompatibilität, rüsten Sie den Server mit einer Netzwerkkarte auf, die TCP-Chimney-Abladung, RSS, NetDMA und, sofern Sie IPsec verwenden, auch die IPsec-Abladung unterstützt, und überwachen Sie anschließend die Leistung, um zu überprüfen, ob die Verbesserungen spürbar werden. Sie können mit einer entsprechenden Belastungstestsoftware die Skalierbarkeit von Servern überprüfen, indem Sie eine große Zahl von Clientanfragen simulieren. Damit die Produktivnetzwerke nicht darunter leiden, sollten Sie diese Tests aber in einer speziellen Testumgebung durchführen. Microsoft bietet folgende Tools für verschiedene Serverarten an: Read80Trace und OSTRESS Ermöglicht die Belastung von Datenbankservern. Sie können diese Tools unter http://www.microsoft.com/downloads/details.aspx?familyid=5691ab53-893a-4aafb4a6-9a8bb9669a8b herunterladen. Web Capacity Analysis Tool Ermöglicht die Belastung von Webservern durch die Übermittlung einer großen Zahl von Anfragen. Dieses Tool ist in den Internet Information Services (IIS) 6.0 Resource Kit Tools enthalten und lässt sich auch für andere Webserver verwenden. Sie können das Tool unter http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73b628-ade629c89499 herunterladen. Planungs- und Entwurfsaspekte 149 Web Application Stress Tool Ein weiteres Tool zur Belastung von Webservern, erhältlich unter http://www.microsoft.com/downloads/details.aspx?FamilyID=e2c0585a-062a-439e-a67d75a89aa36495. Windows Media Load Simulator Ermöglicht Ihnen die Belastung von Streamingmedienservern. Weitere Informationen erhalten Sie unter http://www.microsoft.com/windows/windowsmedia/ howto/articles/loadsim.aspx. Außerdem bieten auch noch andere Firmen Belastungstestprogramme für verschiedene Serveranwendungen an. Falls Sie Eigenentwicklungen vorziehen, sollten Sie mit Ihrem Anwendungsentwicklungsteam über die Erstellung von Tools reden, die eine große Anzahl von Clientanfragen simulieren. Ausführlichere Informationen über die Erstellung von Belastungstesttools mit Microsoft Visual Studio finden Sie in »Working with Load Tests« unter http://msdn2.microsoft.com/en-us/library/ms182561 (VS.80).aspx. Überwachen der Serverleistung Bei der Verwendung eines Belastungstesttools ist es wichtig, die Serverleistung zu überwachen, um die Komponente ermitteln zu können, in der der Engpass auftritt. Mit dem Systemmonitor-Snap-In können Sie zum Beispiel die folgenden Leistungsindikatoren verwenden, um Grenzen in der Netzwerkleistung zu ermitteln: Prozessor\Prozessorzeit (%) Fügen Sie _Total und, sofern der Computer über mehrere Kerne oder mehrere Prozessoren verfügt, <Alle Instanzen> hinzu. _Total ist bei der Abschätzung der Vorteile der TCP-Chimney-Abladung, NetDMA und der IPsec-Abladung von Nutzen. <Alle Instanzen> zeigt die Auslastung aller Prozessoren. An den Daten können Sie abschätzen, ob ein einzelner Prozessor einen Leistungsengpass darstellt und ob der Server von RSS profitieren würde. Prozess\Prozessorzeit (%) Überwachen Sie die Instanz System, die Ihnen unter anderem einen Hinweis darauf gibt, wie viel Prozessorzeit für die Bearbeitung des Netzwerkdatenverkehrs aufgewendet wird, und alle Instanzen, die Prozessorzeit beanspruchen könnten. Wenn Sie zum Beispiel die Leistung eines Datenbankservers untersuchen, überwachen Sie den Datenbankprozess. Wenn Sie einen Belastungstest mit Dateiservern durchführen, können Sie davon ausgehen, dass der größte Teil der Prozessorzeit, die für die Instanz System ausgewiesen wird, der Bearbeitung des Netzwerkdatenverkehrs zugeschrieben werden kann. Prozessor\Interrupts/sec Dieser Wert sollte sinken, wenn Sie die TCP-Chimney-Abladung oder eine andere Form der TCP-Abladung wählen. Netzwerkschnittstelle\Empfangene Bytes/s und Netzwerkschnittstelle\Bytes gesendet/s Diese Leistungsindikatoren helfen Ihnen, die aktuelle Belastung des Servers einzuschätzen. Wenn Sie die Belastung so stark erhöhen, dass der Server seine Leistungsgrenze erreicht, sollten diese Werte nach der Aktivierung der Netzwerkskalierungsfunktionen höher sein. Netzwerkschnittstelle\Empfangene Pakete/s und Netzwerkschnittstelle\Pakete gesendet/s Zusammen mit den Leistungsindikatoren Empfangene Bytes/s und Bytes gesendet/s ermöglichen Ihnen diese Leistungsindikatoren die Berechnung der durchschnittlichen Größe eines Pakets. NetDMA und TCP-Chimney-Abladung bieten bei größeren Paketen deutlichere Vorteile, während RSS bei beliebigen Paketgrößen wirksam ist. TCPv4\Aktive Verbindungen und TCPv6\Aktive Verbindungen Diese Werte zeigen Ihnen die aktuelle Zahl aktiver TCP-Verbindungen und helfen Ihnen, die Belastung des Servers einzuschätzen. 150 Kapitel 6: Skalierbare Netzwerke So starten Sie den Systemmonitor und erfassen in Echtzeit Daten 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf Zuverlässigkeits- und Leistungsüberwachung. 2. Wählen Sie den Knoten Zuverlässigkeit und Leistung\Überwachungstools\Systemmonitor. 3. Klicken Sie auf die Schaltfläche Hinzufügen (das grüne Pluszeichen) in der Symbolleiste, um Leistungsindikatoren hinzuzufügen. Nachdem Sie Leistungsindikatoren zum Systemmonitor hinzugefügt haben, können Sie einen Sammlungssatz erstellen, um die Daten für eine spätere Analyse in einer Datei zu speichern. Das ermöglicht Ihnen, die Leistung vor und nach der Implementierung der Skalierbarkeitstechnologie zu vergleichen. So erstellen Sie einen Sammlungssatz 1. Klicken Sie in der Zuverlässigkeits- und Leistungsüberwachung mit der rechten Maustaste auf Systemmonitor, klicken Sie auf Neu und dann auf Sammlungssatz. 2. Geben Sie einen Namen für den Sammlungssatz ein, wie in Abbildung 6.5 gezeigt. Klicken Sie dann auf Weiter. Abbildung 6.5 Die erste Seite des Assistenten zum Erstellen neuer Sammlungssätze 3. Wählen Sie einen Ordner, in dem die Datendatei gespeichert werden soll, und klicken Sie dann auf Weiter. 4. Klicken Sie auf der letzten Seite auf Fertig stellen. Nach der Erstellung ist der Sammlungssatz im Knoten Sammlungssätze\Benutzerdefiniert zu finden. Bevor Sie mit Ihrem Belastungstest beginnen, klicken Sie den Sammlungssatz mit der rechten Maustaste an und klicken dann auf Starten. Ist der Belastungstest abgeschlossen, klicken Sie den Sammlungssatz wieder mit der rechten Maustaste an und klicken dann auf Anhalten. Nach der Datenerfassung können Sie die Daten mit folgenden Schritten analysieren: 1. Klicken Sie in der Zuverlässigkeits- und Leistungsüberwachung mit der rechten Maustaste auf Systemmonitor und klicken Sie dann auf Eigenschaften. Bereitstellungsschritte 151 2. Wählen Sie auf der Registerkarte Quelle die Option Protokolldateien und klicken Sie dann auf Hinzufügen. Wählen Sie die Protokolldatei aus, die Sie einsehen möchten, und klicken Sie auf Öffnen. 3. Klicken Sie auf OK, um zum Systemmonitor zurückzukehren und die Daten zu untersuchen. Wenn Sie den potenziellen Nutzen der Skalierbarkeitsfunktionen abschätzen möchten, stellen Sie bei der Untersuchung der Daten folgende Fragen: Wurde einer der Prozessoren vollständig ausgelastet? Wenn dies der Fall ist und der Server über mehrere Prozessoren verfügt, können RSS, TCP-Chimney-Abladung, NetDMA oder, sofern Sie IPsec verwenden, die IPsec-Abladung die Leistung verbessern. Liegen die Werte für Bytes gesendet/s und Empfangene Bytes/s in der Nähe der praktischen Grenzen, die für das Medium gelten? In diesem Fall würden die Skalierbarkeitsfunktionen zwar nicht die Netzwerkleistungen verbessern, aber sie können die Auslastung des Prozessors verringern und auf diese Weise mehr Rechenleistung für Anwendungen verfügbar machen. Lautet die Antwort auf die Frage »nein« und werden die Prozessoren nicht vollständig ausgelastet, so wird die Leistung durch eine andere Netzwerkkomponente beschränkt. Vielleicht brauchen Sie für den Belastungstest noch weitere Clients, um den Server auszulasten. Vielleicht ist Ihre Netzwerkinfrastruktur nicht in der Lage, die volle Geschwindigkeit zu bewältigen. Bereitstellungsschritte Bevor Sie skalierbare Netzwerkfunktionen verwenden, sollten Sie einen Belastungstest der Software durchführen, wie im vorigen Abschnitt beschrieben, um Referenzwerte für die Einschätzung der Leistung Ihrer Server zu erhalten. Führen Sie den Test nach der Bereitstellung der skalierbaren Netzwerkfunktionen erneut durch und vergleichen Sie die Leistung mit den alten Werten. Dadurch können Sie überprüfen, ob Sie die gewünschten Leistungsverbesserungen erreicht haben. Die meisten skalierbaren Netzwerkfunktionen sind standardmäßig aktiviert, wenn auf dem Computer kompatible Netzwerkkarten installiert sind. Daher ist vielleicht gar keine spezielle Konfiguration mehr erforderlich. Die folgenden Abschnitte beschreiben, wie Sie die aktuelle Konfiguration überprüfen und die skalierbaren Netzwerkfunktionen aktivieren oder deaktivieren können. Konfigurieren der TCP-Chimney-Abladung Standardmäßig ist die TCP-Chimney-Abladung aktiviert. Wenn Sie den Status überprüfen möchten, geben Sie folgenden Befehl und überprüfen die Zeile Chimney-Abladestatus: netsh interface tcp show global Auch wenn die TCP-Chimney-Abladung aktiviert ist, wird sie nur dann aktiv, wenn eine kompatible Netzwerkkarte verfügbar ist. Um die TCP-Chimney-Abladung explizit zu aktivieren, geben Sie folgenden Befehl: netsh interface tcp set global chimney=enabled Zur Deaktivierung der TCP-Chimney-Abladung geben Sie folgenden Befehl: netsh interface tcp set global chimney=disabled Die TCP-Chimney-Abladung wird nur aktiviert, wenn alle folgenden Bedingungen erfüllt sind: Es ist keine Firewall aktiviert, auch nicht Windows-Firewall. Es werden keine IPsec-Richtlinien angewendet. NAT ist nicht aktiviert. 152 Kapitel 6: Skalierbare Netzwerke Konfigurieren der empfangsseitigen Skalierung Standardmäßig ist die empfangsseitige Skalierung (Receive-Side Scaling, RSS) aktiviert. Den aktuellen Status können Sie mit folgendem Befehl überprüfen: netsh interface tcp show global Auch wenn die empfangsseitige Skalierung aktiviert ist, wird sie nur dann aktiv, wenn eine kompatible Netzwerkkarte verfügbar ist. Um die empfangsseitige Skalierung explizit zu aktivieren, geben Sie folgenden Befehl: netsh interface tcp set global rss=enabled Zur Deaktivierung der empfangsseitigen Skalierung geben Sie folgenden Befehl: netsh interface tcp set global rss=disabled Konfigurieren von NetDMA Windows enthält keine Tools zur Konfiguration von NetDMA. Verwenden Sie zur Konfiguration und Überwachung von NetDMA die entsprechende Software des Herstellers der Hardwareplattform (im Fall von Intel I/OAT ist das zum Beispiel Intel). Das Intel I/OAT System Check Utility ist bei folgender Adresse erhältlich http://www.intel.com/support/network/adapter/pro100/sb/CS-023725.htm. NetDMA wird nur aktiviert, wenn die folgenden Bedingungen alle erfüllt sind: Die Netzwerkkarte ist so eingestellt, dass sie keine TCP-Chimney-Abladung unterstützt. (Diese beiden Technologien sind inkompatibel. Sind beide verfügbar, ist die TCP-Chimney-Abladung zu bevorzugen.) NAT ist nicht aktiviert. Konfigurieren der IPsec-Abladung Die IPsec-Abladung ist standardmäßig aktiviert. Wenn Sie überprüfen möchten, ob die IPsec-Abladung und alle TCP/IP-Hardwarebeschleunigungen aktiviert sind, geben Sie in einer Eingabeaufforderung folgende Befehle und überprüfen die Zeile »Taskabladung«: netsh interface ipv4 show global netsh interface ipv6 show global Außerdem können Sie die Abladefähigkeiten mit folgenden Befehlen ausführlicher untersuchen: netsh interface ipv4 show offload netsh interface ipv6 show offload Um die IPsec-Abladung zu aktivieren oder zu deaktivieren, bearbeiten Sie den Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ipsec\EnableOffload. Stellen Sie den Wert zur Deaktivierung der IPsec-Abladung auf 0 oder zur Aktivierung der IPsec-Abladung auf 1. Um die IPsec-Abladung und die TCP/IP-Hardwarebeschleunigungen explizit zu aktivieren, geben Sie folgende Befehle: netsh interface ipv4 set global taskoffload=enabled netsh interface ipv6 set global taskoffload=enabled Zur Deaktivierung der IPsec-Abladung und der TCP/IP-Hardwarebeschleunigungen geben Sie folgende Befehle: netsh interface ipv4 set global taskoffload=disabled netsh interface ipv6 set global taskoffload=disabled Problembehandlung 153 Wartung Nachdem Sie die skalierbaren Netzwerkfunktionen bereitgestellt haben, sollten Sie den Netzwerkdurchsatz und die Prozessorauslastung auf den Servern überwachen, um sicherzustellen, dass die Funktionen aktiviert bleiben und ordnungsgemäß arbeiten. Steigt die Auslastung eines Prozessors oder fällt der Netzwerkdurchsatz, wurden die skalierbaren Netzwerkfunktionen vielleicht deaktiviert. Insbesondere die TCP-Chimney-Abladung und NetDMA sind zu vielen gängigen Netzwerkkomponenten inkompatibel und werden vielleicht als unerwünschte Nebenwirkung einer Softwareaktualisierung oder bei Konfigurationsänderungen automatisch deaktiviert. Nachdem Sie überprüft haben, ob die skalierbaren Netzwerkfunktionen Ihnen Leistungsvorteile bieten und in Ihrer Umgebung einsetzbar sind, sollten Sie die Belastungen Ihrer Server überwachen, um andere Server zu identifizieren, die vielleicht von diesen Funktionen profitieren könnten. Wenn Sie Server mit einer hohen Netzwerk- und Prozessorauslastung finden, beginnen Sie wieder mit der Planungsphase und überprüfen, welche Hardwareaufrüstungen erforderlich sind und ob die Aktivierung der skalierbaren Netzwerkfunktionen von Vorteil wäre. Problembehandlung Wenn Ihr Netzwerk einen schlechten Durchsatz aufweist oder die Netzwerkleistung nach der Aktivierung der TCP-Chimney-Abladung oder der empfangsseitigen Skalierung sinkt, deaktivieren Sie diese Funktionen und überprüfen, ob das Leistungsproblem damit behoben ist. Anleitungen zur Deaktivierung dieser Funktionen finden Sie im Abschnitt »Bereitstellungsschritte« dieses Kapitels. Vielleicht ist es auch möglich, die Skalierbarkeitsfunktionen durch eine Änderung der Optionen Ihrer Netzwerkkarte zu aktivieren, zu deaktivieren oder zu konfigurieren. So zeigen Sie die Optionen der Netzwerkkarte an und ändern sie nach Bedarf 1. Klicken Sie auf Start, klicken Sie Computer mit der rechten Maustaste an und klicken Sie dann auf Verwalten. 2. Erweitern Sie in der Konsole Server-Manager den Knoten Diagnose und klicken Sie dann auf Geräte-Manager. 3. Erweitern Sie im Detailbereich den Knoten Netzwerkadapter. 4. Klicken Sie Ihren Netzwerkadapter mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 5. Das Eigenschaftendialogfeld des Netzwerkadapters öffnet sich. Klicken Sie auf die Registerkarte Erweitert. 6. Überprüfen Sie die erweiterten Eigenschaften und nehmen Sie die gewünschten Einstellungen vor. 7. Klicken Sie auf OK, um Ihre Einstellungen zu speichern. Problembehandlung bei der TCP-Chimney-Abladung Um zu überprüfen, ob aktuelle Verbindungen abgeladen werden, geben Sie in einer Eingabeaufforderung folgenden Befehl: netstat -t 154 Kapitel 6: Skalierbare Netzwerke Die Ausgabe wird ungefähr so aussehen: Aktive Verbindungen Proto. Lokale Adresse Abladungsstatus Remoteadresse Status TCP 127.0.0.1:27015 InHost TCP 127.0.0.1:49166 Abgeladen TCP 192.168.1.161:49169 InHost TCP 192.168.1.161:50279 Abgeladen TCP 192.168.1.161:54109 Abgeladen TCP 192.168.1.161:54880 InHost TCP 192.168.1.161:54931 Abgeladen d820:49166 HERGESTELLT d820:27015 HERGESTELLT by1msg3245816:msnp HERGESTELLT MCE:5900 HERGESTELLT beta:5900 HERGESTELLT od-in-f103:http WARTEND 76.9.1.18:http WARTEND Netstat zeigt eine Liste aller Verbindungen an. Die letzte Spalte zeigt den aktuellen Abladungsstatus. (Vielleicht müssen Sie das Eingabeaufforderungsfenster verbreitern, damit sich der Text einfacher lesen lässt). Die Verbindung kann sich in einem der folgenden Abladungszustände befinden: InHost Die Netzwerkverbindung wurde nicht abgeladen (der Prozessor des Computers ist für die Bearbeitung zuständig). Abgeladen Die Bearbeitung der Netzwerkverbindung erfolgt durch den Netzwerkadapter. Abladen Die Netzwerkverbindung wird an den Netzwerkadapter übergeben. Hochladen Die Netzwerkverbindung wird an den Hostprozessor zurückgegeben. Wenn Sie überprüfen möchten, welche Anwendungen sich in der TCP-Chimney-Abladungstabelle befinden, geben Sie in einer Eingabeaufforderung folgenden Befehl: netsh interface tcp show chimneyapplications Wenn Sie die Socketinformationen in der TCP-Chimney-Abladungstabelle überprüfen möchten, geben Sie in einer Eingabeaufforderung folgenden Befehl: netsh interface tcp show chimneyports Problembehandlung bei der IPsec-Abladung Wenn Sie die IPsec-Abladung verwenden, zeigt der Network Monitor die Kommunikation unverschlüsselt an, weil die IPsec-Abladungshardware die Daten entschlüsselt, bevor sie vom Network Monitor aufgezeichnet werden. Wenn nach der Aktivierung der IPsec-Abladung Probleme auftreten, gibt es vielleicht Kompatibilitätsprobleme mit der IPsec-Abladungskomponente. Überprüfen Sie zuerst, ob Sie über die neuste Version des Netzwerkadaptertreibers verfügen. Bleiben die Probleme nach einer Aktualisierung der Treiber bestehen, deaktivieren Sie die IPsec-Abladung, wie im Abschnitt »Konfigurieren der IPsecAbladung« dieses Kapitels beschrieben. Tritt das Problem bei deaktivierter IPsec-Abladung nicht auf, haben Sie die Ursache des Problems auf die IPsec-Abladung eingegrenzt. Zusammenfassung des Kapitels 155 Sobald Sie den IPsec-Abladungsadapter als Problemursache erkannt haben, sammeln Sie auf folgende Weise weitere Informationen über das Problem: Durchsuchen Sie das Systemereignisprotokoll nach Einträgen, die für IPsec wichtig sind. Erstellen Sie eine Network Monitor-Aufzeichnung und analysieren Sie jeden Verbindungsversuch mit dem IPsec-Monitor (Ipsecmon.exe). Überprüfen Sie den Leistungsindikator Empfangene vertrauliche Bytes des IPsec-Monitors und überprüfen Sie, ob Pakete beim Empfang verloren gehen. Wenden Sie sich auch an den Verkäufer der IPsec-Abladungshardware. Vielleicht kann er Ihnen weiterhelfen. Zusammenfassung des Kapitels Mit steigenden Netzwerkgeschwindigkeiten stellen viele Unternehmen fest, dass der Netzwerkdurchsatz auf einem Server durch die Prozessoren des Servers begrenzt werden kann. Obwohl man von einem Datenbankserver vermutet, dass er einen großen Teil seiner Rechenleistung im Datenbankdienst erbringt, verwendet der Server in vielen Fällen einen beträchtlichen Teil der Rechenzeit für die Durchführung der Netzwerkkommunikation. Der daraus entstehende Leistungsnachteil wird auf Servern deutlich, die kontinuierlich mehr als 4 GBit/s an Daten senden und empfangen. Bei einem Durchsatz von 8 GBit/s und mehr ist dieser Effekt nicht mehr zu vernachlässigen. Damit Server auch einen so hohen Datendurchsatz verarbeiten können, unterstützt Windows Server 2008 (sofern der Computer mit kompatiblen Netzwerkadaptern ausgerüstet ist) vier wichtige Skalierungstechnologien für Netzwerke: TCP-Chimney-Abladung TCP-Daten werden direkt an höhere Schichten übergeben. Die Bearbeitung in den Schichten 2, 3 und 4 wird umgangen. Empfangsseitige Skalierung In einem mit mehreren Prozessoren ausgerüsteten Computer kann die Netzwerkbearbeitung durch mehrere Prozessoren gleichzeitig erfolgen, wobei die Reihenfolge der Datenübertragungen erhalten bleibt. NetDMA Statt die Daten bei Kopiervorgängen durch den Prozessor zu leiten, werden die Daten direkt vom Netzwerkadapter in den Speicher des Computers übertragen. IPsec-Abladung Authentifizierung und Verschlüsselung erfolgen durch einen speziellen Prozessor auf dem Netzwerkadapter. Dadurch wird der Hauptprozessor des Servers entlastet. Allerdings weist jede dieser Technologien auch Nachteile auf. Erstens setzt jede einen Netzwerkadapter voraus, der die betreffende Technologie unterstützt. TCP-Chimney-Abladung und NetDMA können nicht zusammen mit Windows-Firewall, IPsec oder NAT verwendet werden. NetDMA erfordert außer einem unterstützten Netzwerkadapter auch einen speziellen Chipsatz und kann nicht zusammen mit der TCP-Chimney-Abladung verwendet werden. Zur Konfiguration dieser Technologien verwenden Sie das Befehlszeilentool Netsh. Der Aufwand für die Wartung und Problembehandlung sollte relativ gering sein, weil diese Technologien nach ihrer Konfiguration unsichtbar im Hintergrund arbeiten. 156 Kapitel 6: Skalierbare Netzwerke Weitere Informationen Weitere Informationen über die Skalierung von Windows-Netzwerken finden Sie in folgenden Dokumenten: »Scalable Networking« unter http://www.microsoft.com/snp »Scalable Networking: Network Protocol Offload – Introducing TCP Chimney« unter http://www.microsoft.com/whdc/device/network/TCP_Chimney.mspx »Scalable Networking: Eliminating the Receive Processing Bottleneck – Introducing RSS« unter http://download.microsoft.com/download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/ NDIS_RSS.doc »Microsoft Windows Scalable Networking Initiative« unter http://download.microsoft.com/ download/5/b/5/5b5bec17-ea71-4653-9539-204a672f11cf/scale.doc »Introduction to Intel I/O Acceleration Technology and the Windows Server 2003 Scalable Networking Pack« unter http://www.intel.com/technology/ioacceleration/317106.pdf Wenn Sie sich für Leistungstests der TCP-Chimney-Abladung interessieren, lesen Sie folgende Dokumente: »Boosting Data Transfer with TCP Offload Engine Technology« unter http://www.dell.com/ downloads/global/power/ps3q06-20060132-broadcom.pdf »Enabling Greater Scalability and Improved File Server Performance with the Windows Server 2003 Scalable Networking Pack and Alacritech Dynamic TCP Offload« unter http://www. alacritech.com/Resources/Files/File_Serving_White_Paper.pdf Weitere Informationen über Belastungstests finden Sie in folgenden Tools und Dokumenten: Die Tools Read80Trace und OSTRESS, erhältlich unter http://www.microsoft.com/downloads/ details.aspx?familyid=5691ab53-893a-4aaf-b4a6-9a8bb9669a8b Das Tool Web Capacity Analysis Tool aus den Internet Information Services (IIS) 6.0 Resource Kit Tools unter http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a4c73-b628-ade629c89499 Der Windows Media Load Simulator. Informationen sind erhältlich unter http://www.microsoft. com/windows/windowsmedia/howto/articles/loadsim.aspx. »Working with Load Tests« unter http://msdn2.microsoft.com/en-us/library/ms182561 (VS.80).aspx Das Web Application Stress Tool, erhältlich unter http://www.microsoft.com/downloads/ details.aspx?FamilyID=e2c0585a-062a-439e-a67d-75a89aa36495 T E I L I I Namensauflösungsinfrastruktur In diesem Teil: Kapitel 7: Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 8: Windows Internet Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 195 159 K A P I T E L 7 Domain Name System In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 163 169 182 186 194 194 Dieses Kapitel bietet Ihnen Informationen über die Planung, Bereitstellung und Wartung der DNSServerrolle (Domain Name System) des Betriebssystems Windows Server 2008. Außerdem wird die Problembehandlung besprochen. Das Kapitel setzt voraus, dass Sie über Grundwissen über Active Directory-Domänen, die Aufgabe der Domänencontroller, DHCP (Dynamic Host Configuration Protocol) und TCP/IP (Transmission Control Protocol/Internet Protocol) verfügen. Konzepte Computer identifizieren sich untereinander mit IP-Adressen. Für Menschen sind aber Hostnamen wie www.microsoft.com leichter zu verstehen und zu merken. DNS ermöglicht es Computern, menschenlesbare Hostnamen in computerfreundliche IP-Adressen zu übersetzen. Damit sich jeder der Millionen Computer im Internet mit einem Hostnamen identifizieren kann, wurde DNS als hierarchisches verteiltes System konzipiert. Die folgenden Abschnitte beschreiben die DNS-Hierarchie, die Verwendung von DNS-Zonen zur Verteilung der Verwaltung, die verschiedenen Arten von DNS-Ressourceneinträgen, die Identifizierung von mobilen Clients mit DNS-Einträgen durch dynamisches DNS und den entscheidenden Vorgang, nämlich die Auflösung von Hostnamen. DNS-Hierarchie Wie das Internet selbst ist DNS ein sehr großes verteiltes öffentliches System. Personen oder Organisationen registrieren den gewünschten Domänennamen bei einer Registrierungsstelle, von der der Name in den öffentlichen, gemeinsam genutzten DNS-Servern der obersten Ebene registriert wird. Solche Top-Level-DNS-Server lösen Namen wie microsoft.com zu den offiziellen DNS-Servern von Microsoft auf. Diese DNS-Server wiederum lösen Namen, die wie zum Beispiel support.microsoft. com oder windowsupdate.microsoft.com untergeordnete Domänen der registrierten Domäne sind, zu IP-Adressen auf. Damit DNS als skalierbares verteiltes System eingesetzt werden kann, ist es hierarchisch aufgebaut, wie Abbildung 7.1 zeigt. Es gibt sowohl allgemeine Top-Level-Domänen (wie .com, .org und .net) als 160 Kapitel 7: Domain Name System auch landesspezifische Top-Level-Domänen (wie .us, .uk und .tv). Firmen und Personen verfügen dann über ihre eigenen Domänen der zweiten Ebene (wie microsoft.com oder contoso.com) und Organisationen können für eigene Zwecke untergeordnete Domänen einrichten (corp.microsoft.com). Domänen, untergeordnete Domänen und Hostnamen werden durch Punkte (».«) voneinander getrennt, wobei Hostnamen und untergeordnete Domänen zuerst angegeben werden und Top-Level-Domänen zuletzt. Abbildung 7.1 Die DNS-Hierarchie DNS-Zonen Jeder Domänenname in der DNS-Hierarchie (wie contoso.com, north.contoso.com und campus.north. contoso.com) ist eine separate Zone. Jede Zone kann von einem anderen Server verwaltet werden. Auf diese Weise wird DNS zum verteilten System. Sie können zum Beispiel die Zonen contoso.com und north.contoso.com auf DNS-Servern verwalten, die in Ihrer Firmenzentrale stehen, und die Zone west.conotoso.com auf einem DNS-Server, der in einer Zweigstelle steht. Sie können einen Server auf verschiedene Weisen so einrichten, dass er eine Zone unterstützt: Primärzone Dadurch wird der DNS-Server konfiguriert, dass er für die Zone autorisiert. Das bedeutet, dass der DNS-Server DNS-Anfragen für die Zone verbindlich beantworten kann und Änderungen und Ergänzungen an der DNS-Datenbank zulässt. Sekundärzone Der so konfigurierte DNS-Server dient als Reserveserver für die Domäne. Das bedeutet, dass der DNS-Server von einer primären Serverzone eine Kopie der Zone erhält und DNS-Anfragen für die Zone beantworten kann. Sekundärzonen lassen keine direkten Änderungen oder Ergänzungen zu. Stubzone Ein so eingerichteter DNS-Server leitet Anfragen an einen anderen Namensserver weiter, der für die Zone als primärer oder sekundärer DNS-Server dient. Stubzonen enthalten nur NS-, SOA- und A-Einträge. DNS-Einträge Innerhalb einer Domäne werden Netzwerkressourcen wie Domänencontroller, E-Mail-Server und Clientcomputer durch Ressourceneinträge identifiziert. Im vollständigen Domänennamen www.contoso.com bezeichnet der Hostname www zum Beispiel einen Server aus der Domäne contoso.com. DNS-Server unterstützen unterschiedliche Eintragstypen für Standardhostnamen, Mailserver, Aliasnamen, Reverse-IP-Adressen-Lookups und andere Ressourcen. Tabelle 7.1 zeigt die gebräuchlichsten DNS-Ressourceneinträge. Konzepte 161 Tabelle 7.1 Gebräuchliche DNS-Ressourceneinträge Ressourceneintrag Verwendungszweck A Die gebräuchlichste Methode zur Identifizierung eines Computers. Der A-Eintrag verknüpft einen Hostnamen mit einer IPv4-IP-Adresse. AAAA Ein A-Eintrag für IPv6. Vier A’s werden verwendet, weil eine IPv6-Adresse 128 Bit breit ist und daher viermal mehr Platz als eine 32-Bit-IPv4-A-Adresse beansprucht. CNAME Ein kanonischer Namenseintrag, der als Alias (Zweitname) für einen vorhandenen A- oder AAAAEintrag dient. Sie können einen CNAME-Eintrag verwenden, wenn eine bestimmte IP-Adresse unter mehreren verschiedenen Hostnamen zugänglich sein soll. MX Ein Mail Exchanger-Eintrag, der den für die Domäne zuständigen Mailserver angibt. Sie können mehrere MX-Einträge verwenden, um auch Reservemailserver anzugeben. NS Ein Namensservereintrag, der einen DNS-Server für eine Domäne bezeichnet. Wenn Sie mehrere DNSServer für die Domäne verwenden, sollte für jeden Server ein NS-Eintrag vorgenommen werden. PTR Ein Zeigereintrag, der es Clients ermöglicht, den einer IP-Adresse zugeordneten Hostnamen abzufragen. Dieser Vorgang wird Reverse-DNS-Lookup genannt. Die Top-Level-Domäne für IPv4-PTR-Einträge ist in-addr.arpa. Die Top-Level-Domäne für IPv6-PTR-Einträge ist ip6.arpa. SOA Der Autoritätsursprung-Eintrag (Start of Authority) gibt den autorisierenden DNS-Server an und muss für alle Forward- und Reverse-Lookup-Zonen als erster Eintrag vorliegen. SRV Der SRV-Eintrag dient zur Identifizierung von Active Directory-Domänencontrollern in einer Domäne und kann zur Identifizierung anderer Dienste verwendet werden. Dynamische DNS-Updates Vor Jahren, als den meisten Computern noch statische IP-Adressen zugewiesen wurden, erstellten Administratoren die DNS-Einträge für jeden Computer im Netzwerk von Hand. Heutzutage werden die meisten IP-Adressen mit DHCP automatisch zugewiesen. Da sich DHCP-Adressen ändern können, ist es nicht mehr sinnvoll, die Ressourceneinträge für sämtliche Computer von Hand zu aktualisieren. Das dynamische DNS (Dynamic DNS) ermöglicht es Clients, ihre eigenen DNS-Einträge zu aktualisieren. Computer mit statischen IP-Adressen können zwar auch das dynamische DNS verwenden, aber besonders sinnvoll ist es für DCHP-Clients, die vielleicht beim Ablauf der DHCP-Lease oder bei jeder erneuten Verbindung mit einem Netzwerk eine andere IP-Adresse erhalten. Beim dynamischen DNS übermittelt entweder der DHCP-Server oder der DHCP-Client einen aktualisierten Ressourceneintrag an den DNS-Server, wenn dem Client eine IP-Adresse zugewiesen wird. Wie im Abschnitt »DNS-Sicherheit« dieses Kapitels beschrieben wird, ist es aber mit einem Sicherheitsrisiko verbunden, DNS-Aktualisierungen zuzulassen. Wenn Sie das Risiko minimieren möchten, lassen Sie nur sichere DNS-Aktualisierungen zu oder sperren alle dynamischen DNS-Aktualisierungen. DNS-Namensauflösung Da DNS über Millionen verschiedener DNS-Server verteilt ist, kann kein einzelner Server Abfragen nach allen möglichen Hostnamen beantworten. Daher erfolgt die Beantwortung von DNS-Abfragen häufig rekursiv. Das bedeutet, dass der DNS-Server, der eine Abfrage erhält, die er nicht beantworten kann, sich mit einer Abfrage an einen anderen DNS-Server wenden muss. 162 Kapitel 7: Domain Name System Eine typische DNS-Abfrage läuft folgendermaßen ab: 1. Ein Client sendet die DNS-Abfrage an seinen lokalen DNS-Server. Er braucht zum Beispiel die IP-Adresse von www.microsoft.com. 2. Dieser DNS-Server sendet eine Abfrage an den Stamm-DNS-Server, um herauszufinden, welcher DNS-Server für die Top-Level-Domäne (wie .com) zuständig ist. 3. Dieser DNS-Server sendet dann eine Abfrage an den Top-Level-DNS-Server der Domäne. In diesem Beispiel würde der lokale DNS-Server einen DNS-Server abfragen, der für .com zuständig ist. 4. Der für .com zuständige DNS-Server antwortet dem lokalen DNS-Server des Clients und sendet ihm die IP-Adresse des DNS-Servers der Domäne, wie in den NS-Einträgen der Domäne angegeben. In diesem Beispiel würde der .com-Server mit einer Liste der DNS-Server für die Domäne microsoft.com antworten. 5. Der lokale DNS-Server sendet dem DNS-Server der Domäne der zweiten Ebene eine Abfrage, um den Hostnamen aufzulösen. In diesem Beispiel würde der lokale DNS-Server eine Abfrage an einen der DNS-Server für microsoft.com senden, um den Hostnamen www.microsoft.com aufzulösen. 6. Der DNS-Server der Domäne der zweiten Ebene für microsoft.com antwortet dem lokalen DNSServer mit der IP-Adresse des angegebenen Hostnamens. 7. Der lokale DNS-Server leitet die dem Hostnamen zugeordnete IP-Adresse an den Client weiter. Damit ist die Abfrage abgeschlossen. Hinweis Normalerweise speichert jeder Server auf jeder Stufe dieses Prozesses das Ergebnis der Abfrage zwischen, damit er zukünftige Abfragen mit demselben Hostnamen sofort beantworten kann. Außerdem können Clientcomputer Hostnamen lokal zwischenspeichern. Da Hostnamen für einige Stunden im Zwischenspeicher stehen können, sind Änderungen an den vorhandenen DNS-Einträgen vielleicht einige Stunden lang nicht für alle Clients sichtbar. Abbildung 7.2 Ablauf einer DNS-Abfrage Planungs- und Entwurfsaspekte 163 Abbildung 7.2 illustriert den Ablauf einer DNS-Abfrage. In dieser Abbildung verfügt der StandardDNS-Server des Clients bereits in seinem Zwischenspeicher über die IP-Adresse des DNS-Servers für .com. Andernfalls müsste er eine Abfrage an den DNS-Stammserver senden, um die IP-Adresse des .com-DNS-Servers zu erfahren. Dieses vereinfachte Beispiel umfasst zwar sechs Schritte, aber in der Praxis können manche Abfragen bereits mit zwei Schritten beantwortet werden, wenn der DNS-Standardserver den Hostnamen in seinem Zwischenspeicher vorfindet, oder sie erfordern vielleicht wesentlich mehr Schritte, wenn der gesuchte Host zu einer untergeordneten Domäne gehört. DNS-Abfragen können zwar mit TCP oder UDP (User Datagram Protocol) durchgeführt werden, erfolgen aber praktisch immer mit UDP, um den Aufwand für den Aufbau einer TCP-Verbindung zu vermeiden. TCP und UDP verwenden für den DNS-Datenverkehr Port 53. Planungs- und Entwurfsaspekte Ist die DNS-Infrastruktur erst einmal aufgebaut, können sich nachträgliche Änderungen als sehr schwierig erweisen. Um zu verhindern, dass in der DNS-Infrastruktur größere Änderungen erforderlich sind, bedarf es einer sorgfältigen Planung. Wenn Sie zum Beispiel einen Intranetserver server.contoso.com nennen und sich später dazu entschließen, ihn nach server.north.contoso.com zu verlegen, müssten Sie jede Clientanwendung aktualisieren, auf dem der Originalservername gespeichert ist, bevor die Änderung wirksam wird. Letztlich sparen Sie Zeit, wenn Sie bei der Planung Ihrer DNS-Struktur bereits die Zukunft Ihrer Organisation berücksichtigen. Es könnte zum Beispiel erforderlich werden, zusätzliche Mitarbeiter einzustellen, Zweigniederlassungen zu gründen oder sich mit anderen Organisationen zusammenzuschließen. Dieser Abschnitt beschreibt die Planung und Konzeption einer DNS-Infrastruktur. DNS-Zonen Jede Zone kann über einen anderen primären DNS-Server verfügen und die Verwaltung einzelner Zonen lässt sich leicht an andere Gruppen aus Ihrer Organisation delegieren. Wenn Ihre Organisation an mehreren Standorten über Büros verfügt und sich auch die IT-Abteilung über mehrere Standorte verteilt, müssen Sie vielleicht für jedes Büro eine separate Zone einrichten. Ist Ihre IT-Verwaltung dagegen zentral organisiert, wird sich eine geringere Zonenzahl leichter verwalten lassen. Um die Sicherheitsrisiken zu beschränken, könnte es auch erforderlich sein, für interne und externe Namen separate Zonen einzurichten. Die folgenden Abschnitte bieten Ihnen weitere Informationen über die Planung Ihrer DNS-Zonen. Interne und externe Zonen Viele Organisationen brauchen interne und externe DNS-Einträge. Microsoft verwendet zum Beispiel externe DNS-Einträge für öffentliche Server wie www.microsoft.com, connect.microsoft.com und windowsupdate.microsoft.com. Außerdem verwendet Microsoft DNS-Einträge für jeden der vielen Tausend Computer des internen Netzwerks. Um zu verhindern, dass potenzielle Angreifer die Hostnamen und IP-Adressen der Computer Ihres internen Netzwerks in Erfahrung bringen, sollten Sie für interne und externe DNS-Einträge separate Zonen einrichten. Zu diesem Zweck können Sie zum Beispiel in Ihrer primären Domäne Unterdomänen einrichten, beispielsweise contoso.com für öffentliche Adressen und corp.contoso.com für nichtöffentliche Adressen. Sie können auch eine nichtöffentliche Domäne aufbauen, deren IP-Adressen und Hostnamen sich nur in Ihrem internen Netzwerk auflösen lassen, beispielsweise in contoso.pvt. 164 Kapitel 7: Domain Name System Planen interner Zonen Für eine kleine Organisation mit einer zentralen IT-Verwaltung reicht es vielleicht schon aus, eine einzige interne Zone einzurichten. Sie können Ihre Server zum Beispiel file.corp.contoso.com, printer.corp.contoso.com oder mail.corp.contoso.com nennen. Allerdings wird die Verwaltung einer einzelnen Zone schwieriger, wenn die Zahl der Standorte steigt. Stellen Sie sich eine Organisation mit zwei Büros vor, jedes mit einer eigenen IT-Abteilung. Wenn beide über einen Dateiserver verfügen, geben beide Büros ihrem Server vielleicht den Namen file.corp.contoso.com und vergeben den Namen auf diese Weise doppelt. Außerdem könnte ein Administrator in einem Büro eine Änderung an der Zone durchführen, aus der sich für einen Administrator eines anderen Büros Schwierigkeiten ergeben. Mit der Zahl der Büros und DNS-Administratoren steigt auch die Zahl der potenziellen Konflikte. Viele dieser Konflikte können Sie vermeiden, indem Sie für jedes Büro oder jede IT-Abteilung eine separate Zone einrichten. Sorgen Sie bei jeder Zone dafür, dass folgende Bedingungen erfüllt sind: Jede Zone verfügt über einen primären DNS-Server. Jede Zone verfügt über mindestens einen sekundären DNS-Server, auf dem eine Sicherung der Zonendatei gespeichert wird. Bei der Verwendung von Zonen, die in Active Directory integriert sind, können Zonen automatisch die Zonendaten unter Domänencontrollern replizieren. Jede Zone kann von allen anderen DNS-Servern der Organisation aufgelöst werden. Das kann die Erstellung von Stubzonen bedeuten (Stubzonen werden im weiteren Verlauf des Kapitels noch besprochen). Für jede Zone sind Administratoren vorgesehen, die für das Hinzufügen, Entfernen und Aktualisieren von Einträgen verantwortlich sind. Anordnung der DNS-Server DNS-Server für externe Domänen müssen mit dem öffentlichen Internet verbunden werden. Um Angriffsflächen zu verkleinern, sollten Sie interne DNS-Server nur mit Ihrem nichtöffentlichen Netzwerk verbinden. Abbildung 7.3 zeigt, wie mit zwei DNS-Servern öffentliche und nichtöffentliche DNS-Dienste bereitgestellt und Risiken minimiert werden. In dieser Beispielkonfiguration wird der externe DNS-Server zusammen mit öffentlichen Mail- und Webservern ans Grenznetzwerk angeschlossen. Der interne DNS-Server wird zusammen mit den internen Servern und Clients ans interne Netzwerk angeschlossen. Der externe DNS-Server enthält Datensätze für externe Server. Bei Bedarf kann der interne DNS-Server so konfiguriert werden, dass er DNS-Abfragen an den externen DNS-Server weiterleitet. Clients senden bei der Einrichtung nahezu aller ausgehenden Netzwerkverbindungen zuerst eine DNS-Abfrage. Folglich schwächt eine langsame Bearbeitung von DNS-Abfragen die Anfangsnetzwerkleistung jeder Netzwerkanwendung. Daher sollten Sie an jedem Standort einen DNS-Server einrichten, um die Verzögerungszeiten möglichst gering zu halten, selbst wenn dieser Standort keine eigene Zone braucht. Hinweis Ein Microsoft Windows-DNS-Server kann über 10.000 Abfragen pro Sekunde bearbeiten. Große und wichtige Standorte sollten für die ersten 20.000 Benutzer zwei DNS-Server haben. Geht die Zahl der Benutzer über 20.000 hinaus, fügen Sie für jeweils 10.000 zusätzliche Benutzer einen weiteren DNS-Server hinzu. Vermeiden Sie es, auf jedem Domänencontroller einer Gesamtstruktur DNS zu installieren, sofern Sie nicht an jedem Standort auf Redundanz in der Namensauflösung angewiesen sind. Planungs- und Entwurfsaspekte Abbildung 7.3 Anordnung der externen und internen DNS-Server Abbildung 7.4 Verwenden regionaler DNS-Server 165 166 Kapitel 7: Domain Name System Wenn Sie regionale Zonen implementieren (bei der Verwendung von in Active Directory integrierten Zonen regionale Domänen), konfigurieren Sie einige DNS-Server als Sekundärserver für Server aus anderen Regionen. Auf diese Weise erreichen Sie eine Art geografischer Redundanz. Dann können Namen aus einer Zone auch dann aufgelöst werden, wenn das regionale Netzwerk ausfällt oder bei einer Naturkatastrophe in der Region beschädigt wird. Abbildung 7.4 zeigt, wie regional verteilte DNS-Server verwendet werden können, um die Ergebnisse von DNS-Abfragen lokal zwischenzuspeichern und die DNS-Datenbanken anderer Server zu sichern. Selbst wenn für eine Zweigstelle keine eigene Zone vorgesehen ist, sollten Sie an dem Standort einen DNS-Server zur Zwischenspeicherung einrichten. Zur Einrichtung solch eines DNS-Zwischenspeicherservers installieren Sie einfach die DNS-Serverrolle, ohne irgendwelche Zonen hinzuzufügen. Ein DNS-Zwischenspeicherserver kann so konfiguriert werden, dass er interne oder externe DNS-Einträge auflöst. Nach der Auflösung speichert er eine Kopie jedes Eintrags, damit er zukünftige Abfragen beantworten kann, ohne zusätzliche Abfragen im WAN durchzuführen. Informationen über die Netzwerkleistung finden Sie in Kapitel 5, »QoS auf Richtlinienbasis«. Regionale DNS-Server können auch als primäre DNS-Server für die Zone der Region verwendet werden. In Active Directory-Umgebungen konfigurieren Sie regionale Domänencontroller so, dass sie als regionale DNS-Server arbeiten, um die verbesserte Sicherheit und die automatische Zonenreplikation zu nutzen. DNS-Zonenreplikation Abgesehen von den Routern ist keine andere Netzwerkkomponente wichtiger als die DNS-Server. Praktisch jede Netzwerkanwendung ist auf DNS-Server angewiesen. Wenn Ihre DNS-Server nicht mehr im Netzwerk verfügbar sind, werden praktisch alle Netzwerkaktivitäten aufhören. Damit Netzwerkanwendungen auch dann noch verwendbar sind, wenn ein DNS-Server ausfällt, sollten Sie für jede Zone mindestens einen DNS-Reserveserver einrichten. Zonenreplikation bedeutet, dass die Ressourceneinträge vom primären DNS-Server auf den sekundären DNS-Server (also auf den Reserveserver) übertragen werden. Liegt eine große Zahl an Ressourceneinträgen vor, die beispielsweise durch dynamische DNS-Clients häufig aktualisiert werden, sollten Sie prüfen, ob ausreichend Bandbreite für den Datenverkehr verfügbar ist, der durch die Zonenreplikation entsteht. Um eine optimale Leistung zu erreichen, konfigurieren Sie Ihre DNS-Server als Domänencontroller und verwenden Active Directory-integrierte Zonen. Active Directory-integrierte Zonen führen eine automatische authentifizierte Replikation durch und übertragen nur die Änderungen, die in der DNSDatenbank erfolgt sind, an andere Server. Eine Replikation kann sich über folgende Bereiche erstrecken: Auf allen DNS-Servern in dieser Gesamtstruktur Alle DNS-Server in der Gesamtstruktur, bei denen es sich um Domänencontroller handelt, auf denen Windows Server 2003 oder Windows Server 2008 ausgeführt wird. Wählen Sie diese Replikationsart, wenn es in Ihrer Gesamtstruktur mehrere Domänen gibt, in denen DNS-Server vorhanden sind. Auf allen DNS-Servern in dieser Domäne Alle DNS-Server in der Domäne, bei denen es sich um Domänencontroller handelt, auf denen Windows Server 2003 oder Windows Server 2008 ausgeführt wird. Dies ist die Standardeinstellung für Active Directory-integrierte Zonen. Auf allen Domänencontrollern in dieser Domäne Alle Domänencontroller in der Active DirectoryDomäne, einschließlich Computer, auf denen Microsoft Windows 2000 Server ausgeführt wird. Diese Option brauchen Sie nur zu wählen, wenn Sie immer noch DNS-Server unter Windows Planungs- und Entwurfsaspekte 167 2000 Server einsetzen. Dadurch wird aber der Replikationsdatenverkehr umfangreicher, weil DNS-Einträge auch auf Domänencontroller repliziert werden, auf denen der DNS-Serverdienst gar nicht installiert ist. Daher sollte diese Einstellung vermieden werden. Auf allen Domänencontrollern im Bereich dieser Verzeichnispartition Alle Domänencontroller in der angegebenen Anwendungsverzeichnispartition, einschließlich der Computer, auf denen Windows 2000 Server ausgeführt wird. Auf diese Weise können Sie DNS-Daten auf DNS-Server replizieren, die unter Windows 2000 Server laufen, und den Bereich der Replikation einschränken. Diese Option kann zwar den Umfang des Replikationsdatenverkehrs einschränken, erfordert aber zusätzliche Einstellungen. Weitere Informationen finden Sie im Hilfe und Support-System von Windows Server 2008. Active Directory-integrierte Zonen können Sie nur auf Domänencontrollern erstellen. Server, die nur Mitglieder einer Domäne sind, sowie eigenständige Computer unterstützen keine Active Directoryintegrierte Zonen. Wenn Sie keine Active Directory-integrierten Zonen verwenden, erfolgt die Replikation auf sekundäre DNS-Server mit herkömmlichen Zonenübertragungen. Diese Methode zur Aktualisierung von DNS-Server beruht auf Standards, die in RFC 1034 (erhältlich unter http://www.ietf. org/rfc/rfc1034.txt) und RFC 1035 definiert werden (erhältlich unter http://www.ietf.org/rfc/rfc1035.txt). Der Microsoft-DNS-Server unterstützt auch inkrementelle Zonenübertragungen, wie in RFC 1995 beschrieben (erhältlich unter http://www.ietf.org/rfc/rfc1995.txt). In vielen gängigen Szenarien lässt sich dadurch der Umfang des Zonenübertragungsdatenverkehrs deutlich verringern. So funktioniert’s: Zonenübertragungen Während DNS-Standardabfragen über den UDP-Port 53 erfolgen, wird für Zonenübertragungen der TCP-Port 53 verwendet. UDP ist für DNS-Abfragen effizienter, weil gewöhnlich nur zwei Pakete gebraucht werden, nämlich eine Ein-Paket-Abfrage, die an den DNS-Server gesendet wird, und eine Ein-Paket-Antwort, die zum Client zurückgesendet wird. Zonenübertragungen können sehr umfangreich werden, insbesondere die erste Zonenübertragung, und erfordern daher die Zuverlässigkeit und Flusskontrolle von TCP. Zonenübertragungen zuzulassen ist ein beträchtliches Sicherheitsrisiko, weil der Empfänger sofort jeden Computer in Ihrer Organisation identifizieren kann und sich die erforderliche Bearbeitungszeit eignet, um einen DoS-Angriff (Denial-of-Service) durchzuführen. Daher erlaubt der DNSServer von Windows Server 2008 keine Zonenübertragungen von nichtautorisierten Servern. Verwenden Sie als zusätzliche Schutzmaßnahme Netzwerkfirewalls und Windows-Firewall, um den TCP-Port 53 zu sperren. Weitere Informationen über Firewalls finden Sie in Kapitel 4, »WindowsFirewall mit erweiterter Sicherheit«. Wenn der primäre und sekundäre DNS-Server inkrementelle Zonenübertragungen unterstützen (eine Funktion, die von Windows 2000 Server und höher, BIND-Version 8.2.1 und höher und von vielen anderen nicht von Microsoft stammenden DNS-Servern unterstützt wird), werden nur die Änderungen übertragen, die seit der letzten Übertragung an der DNS-Datenbank erfolgt sind. Unterstützen weder der primäre noch der sekundäre DNS-Server inkrementelle Zonenübertragungen, wird bei einer Zonenübertragung die gesamte DNS-Datenbank kopiert. Ist eine große Zahl an Ressourceneinträgen vorhanden, kann eine Zonenübertragung eine beträchtliche Bandbreite beanspruchen. 168 Kapitel 7: Domain Name System DNS-Sicherheit Sicherheit ist aus verschiedenen Gründen für DNS-Server von entscheidender Bedeutung. Erstens verlassen sich DNS-Clients darauf, dass DNS-Server für einen Hostnamen die korrekte IP-Adresse liefern. Wenn ein Angreifer Hostnamen zu einem DNS-Server hinzufügen oder aktualisieren kann, kann er den Datenverkehr umleiten und einen Man-in-the-middle-Angriff durchführen. Könnte ein Angreifer zum Beispiel die IP-Adresse von www.woodgrovebank.com von der gültigen IP-Adresse in die IP-Adresse eines nicht zugelassenen Servers ändern, könnte dieser Server die von den Benutzern eingegebenen Informationen abfangen und aufzeichnen, einschließlich der PIN-Nummern, Kennwörter und Kontodaten. Ein weiterer Grund für die hohe Bedeutung der Sicherheit der DNS-Server liegt darin, dass DNSServer gewöhnlich über die Hostnamen und IP-Adressen sämtlicher Computer aus den lokalen DNSZonen verfügen. Ein Angreifer mit Zugriff auf die Datenbank eines DNS-Servers verfügt daher über eine Liste aller Computer und IP-Adressen in Ihrer Organisation, einschließlich Ihrer Domänencontroller und deren Standorte, die er für Angriffe verwenden könnte. Manche Anwendungen sind auf einen Reverse-Lookup angewiesen, um Benutzer zu authentifizieren, beispielsweise Webserver. Ein Webserver könnte zum Beispiel Anfragen von allen Clients zulassen, deren IP-Adresse sich zu *.fabrikam.com auflösen lässt. Wenn der Computer des Angreifers also seine IP-Adresse zur ReverseLookup-Tabelle eines DNS-Servers hinzufügen kann, kann er sich als internen Computer ausgeben. Um diese Sicherheitsrisiken möglichst klein zu halten, sollten Sie sich bei der Planung Ihrer DNSInfrastruktur an folgende Richtlinien halten: Verwenden Sie Active Directory-integrierte Zonen, damit Sie einen Nutzen von der automatischen authentifizierten DNS-Datenbankreplikation zwischen DNS-Servern haben. Aktivieren Sie nur sichere dynamische DNS-Updates. Wenn Sie es nicht vertrauenswürdigen Clients erlauben, ihre DNS-Einträge zu registrieren, steigt das Risiko sehr stark, dass ein Angreifer den DNS-Eintrag für eine Authentifizierung gegenüber einer Netzwerkanwendung oder für einen Man-in-the-middle-Angriff verwenden kann. Installieren Sie wie bei jedem anderen Computer immer die neusten Sicherheitsupdates auf Ihren DNS-Servern. Außerdem sollten Sie sich über aktuelle Neuentwicklungen im Bereich der Sicherheitsrisiken informieren und entsprechende Maßnahmen ergreifen, um neue Angriffsformen abzuwehren. Konfigurieren Sie auf internen DNS-Servern Windows-Firewall und Netzwerkfirewalls, um Abfragen von externen IP-Adressen zu blockieren. Erlauben Sie Zonenübertragungen nur zu autorisierten DNS-Servern aus Ihrem internen Netzwerk. Wenn Sie Active Directory verwenden, können Sie Zonenübertragungen vielleicht auch vollständig deaktivieren. Überwachen Sie die Änderungen, die an Ihrer DNS-Datenbank vorgenommen werden, und schränken Sie die Zahl der Benutzer ein, die das Recht haben, solche Änderungen durchzuführen. Die Zone GlobalNames Frühe Windows-Versionen waren auf WINS (Windows Internet Name Service) angewiesen, um in gerouteten Netzwerken NetBIOS-Computernamen in IP-Adressen aufzulösen. Die WINS-Namensauflösung wird auch von den Betriebssystemen Windows Server 2008 und Windows Vista noch unterstützt. NetBIOS-Computernamen sind einteilige Hostnamen, die bis zu 15 Zeichen lang sein können, wie CONTOSOSERVER oder VISTA342. Bereitstellungsschritte 169 Inzwischen ist DNS die bevorzugte Methode zur Namensauflösung. Wenn Sie derzeit nicht über eine WINS-Infrastruktur verfügen, brauchen Sie wahrscheinlich auch keine einzurichten. DNS erfüllt alle Anforderungen, die an eine Namensauflösung gestellt werden. Falls Sie noch mit einer WINS-Infrastruktur arbeiten, sollten Sie prüfen, ob eine Umstellung auf DNS nicht besser wäre. Um die Umstellung in Umgebungen zu erleichtern, in denen es mehrere Active Directory-Umgebungen gibt, unterstützen Windows Server 2008-DNS-Server die Zone GlobalNames. Hinweis Einer der größten Nachteile von WINS liegt darin, dass es kein Internet Protocol Version 6 (IPv6) unterstützt. DNS unterstützt IPv6. Die Zone GlobalNames löst einfache einteilige Namen auf, wie zum Beispiel NetBIOS-Computernamen. Anders gesagt, die Zone GlobalNames könnte den Computernamen CONTOSOSERVER auflösen, ohne ihn in einen vollständigen Domänennamen (FQDN, Fully Qualified Domain Name) wie contososerver.contoso.com umzuformen. Das ermöglicht es Clients aus unterschiedlichen DNS-Standarddomänen, dieselben Computernamen oder andere einteilige Namen aufzulösen. Anders als WINS unterstützt die Zone GlobalNames keine dynamisch durchgeführten Einträge und ist daher für die Ansprüche von Unternehmen nicht ausreichend skalierbar. Allerdings kann die Zone GlobalNames statisch vorgenommene WINS-Einträge für wohlbekannte Server ersetzen. Sie sollten nur dann den Ersatz Ihrer WINS-Infrastruktur durch eine GlobalNames-Zone in Erwägung ziehen, wenn die folgenden Punkte erfüllt sind: Sie wollen WINS außer Dienst stellen oder planen die Umstellung auf ein IPv6-Netzwerk. Sie brauchen die Auflösung einteiliger (single-label) Namen nur für statisch eingetragene Namen, beispielsweise für die Namen von Servern oder Websites. Sie können sich nicht darauf verlassen, dass Clients Anfragen mit NetBIOS-Computernamen automatisch in vollständige Domänennamen (FQDNs) konvertieren. Normalerweise fügen Clients zu jedem einteiligen Namen automatisch den Standarddomänennamen hinzu und versuchen, den Namen mit DNS aufzulösen. Außerdem können Sie für Clients eine Liste mit Domänennamen aufstellen, mit denen die Clients versuchen sollen, einteilige Namen aufzulösen. Wenn es aber zu viele Domänennamen gibt, die in Frage kämen, kann die Zone GlobalNames eine sinnvolle Alternative sein. Weitere Informationen Lesen Sie »Configuring DNS Client Settings« unter http://technet2.microsoft. com/windowsserver/en/library/5fe46cef-db12-4b78-94d2-2a0b62a282711033.mspx?mfr=true. Alle ihre autorisierenden DNS-Server werden unter Windows Server 2008 ausgeführt. Ältere Windows-Versionen unterstützen die Zone GlobalNames nicht. Weitere Informationen Weitere Informationen über die Zone GlobalNames erhalten Sie in »DNS Server GlobalNames Zone Deployment« unter http://www.microsoft.com/downloads/ details.aspx?FamilyID=1c6b31cd-3dd9-4c3f-8acd-3201a57194f1. Weitere Informationen über WINS finden Sie in Kapitel 8, »Windows Internet Name Service«. Bereitstellungsschritte Die Bereitstellung von DNS erfordert das Hinzufügen der Rolle DNS-Server, die Konfiguration der Zonen, für die der DNS-Server zuständig ist, den Eintrag der Adresse des neuen DNS-Servers im DHCP-Server und die manuelle Konfiguration der DNS-Clients, die mit einer statischen IP-Adresse 170 Kapitel 7: Domain Name System arbeiten. Diese Schritte sind aber alle relativ einfach und lassen sich gewöhnlich in wenigen Minuten durchführen. Dieser Abschnitt beschreibt diese Aufgaben ausführlicher. DNS-Serverkonfiguration Wenn Sie einen DNS-Server einrichten, überprüfen Sie zuerst, ob der Computer die relativ geringen Anforderungen erfüllt, die an einen DNS-Server gestellt werden. Installieren Sie dann die Rolle DNSServer. Nach der Konfiguration der Rolle DNS-Server können Sie den DNS-Server testen, bei Bedarf die DNS-Stammserver konfigurieren und auch eine DNS-Weiterleitung einrichten, sofern erforderlich. Zum Schluss konfigurieren Sie Zonen, für die Ressourceneinträge auf dem DNS-Server gespeichert werden. Die folgenden Abschnitte beschreiben, wie ein Computer als DNS-Server eingerichtet und Zonen konfiguriert werden. Voraussetzungen für DNS-Server Der Bearbeitungsaufwand für die DNS-Serverrolle ist minimal und jeder Computer, der in der Lage ist, Windows Server 2008 auszuführen, kann auch als DNS-Server dienen. Allerdings kann sich die Speicherausstattung als Beschränkung erweisen, wenn die Zonen Tausende von Ressourceneinträgen umfassen. Zusätzlich zu dem Arbeitsspeicher, der vom Betriebssystem (etwa 512 MB) und anderen installierten Rollen beansprucht wird, erfordert jeder DNS-Eintrag ungefähr 100 Bytes RAM. Enthält eine Zone also 10.000 Ressourceneinträge, braucht der Server, auf dem die Zone verwaltet wird, dafür ungefähr 1 MB Speicher. Wenn Sie Reverse-Lookups von IP-Adressen aktivieren, sind für jeden Computer mindestens zwei Ressourceneinträge erforderlich, nämlich ein A-Eintrag und ein PTR-Eintrag. Installieren der Rolle DNS-Server Die einfachste Methode, einen Windows Server 2008-Computer zu einem DNS-Server zu machen, besteht darin, mit dem Server-Manager die Rolle DNS-Server hinzuzufügen. So konfigurieren Sie einen Server, der kein Domänencontroller ist, als DNS-Server 1. Konfigurieren Sie den Server mit einer statischen IP-Adresse. Da Clients für die Suche nach einem DNS-Server keinen Hostnamen verwenden können, darf sich die IP-Adresse eines DNSServers nie ändern. 2. Klicken Sie auf Start und dann auf Server-Manager. 3. Klicken Sie in der Strukturansicht auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen. 4. Falls die Seite Vorbereitungsmaßnahmen angezeigt wird, klicken Sie auf Weiter. 5. Auf der Seite Serverrollen auswählen wählen Sie DNS-Server und klicken dann auf Weiter. 6. Klicken Sie auf der Seite DNS-Server auf Weiter. 7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. 8. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. Windows Server 2008 wird einige Minuten brauchen, um die DNS-Serverrolle zu installieren. Zur Standardkonfiguration gehört eine Liste mit IP-Adressen von DNS-Stammservern, damit sich der Server sofort für die Auflösung von öffentlichen Hostnamen verwenden lässt und als zwischenspeichernder DNS-Server dienen kann. Bereitstellungsschritte 171 Konfigurieren des DNS-Servers Nach der Installation der DNS-Serverrolle können Sie den Server mit dem Snap-In DNS-Manager verwalten. Wenn Sie das DNS-Manager-Snap-In im Server-Manager öffnen möchten, erweitern Sie Rollen und klicken dann auf DNS-Server. Die folgenden Abschnitte beschreiben, wie Sie verschiedene Konfigurationsaufgaben im geöffneten DNS-Manager durchführen können. Testen des DNS-Servers Sie können im Server-Manager überprüfen, ob Ihr DNS-Server Namen aus dem Internet korrekt auflöst. Damit wird aber nur überprüft, ob die Stammserver richtig konfiguriert wurden. Es wird also nicht getestet, ob Ihre internen Zonen eingerichtet sind. Testen der Konfiguration des DNS-Servers 1. Erweitern Sie im linken Bereich unter Server-Manager den Knoten DNS-Server so weit, dass Sie den Servernamen sehen. 2. Klicken Sie den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Überwachen. 4. Wählen Sie eines oder mehrere der Kontrollkästchen. Damit legen Sie fest, wie der Test erfolgt. Folgende Optionen stehen zur Wahl: Einfache Abfrage auf diesem DNS-Server Fragt den DNS-Server mit einem Eintrag ab, den der DNS-Server lokal auflösen kann. Rekursive Abfrage auf andere DNS-Server Fragt den DNS-Server mit einem Eintrag ab, der eine Rückfrage bei einem Remote-DNS-Server erfordert. Automatischen Test bei folgendem Intervall durchführen Führt den Test mit regelmäßigen Wiederholungen aus, zwischen denen eine Pause von mindestens 30 Sekunden eingelegt wird. Dieser Test wird sogar dann fortgesetzt, wenn das Eigenschaftendialogfeld des Servers geschlossen wird. 5. Klicken Sie auf Jetzt testen. Das Eigenschaftendialogfeld zeigt die Ergebnisse des Tests in der Liste Testergebnisse an. Ist die einfache Abfrage erfolgreich, bedeutet dies, dass der DNS-Server läuft. Ist die rekursive Abfrage erfolgreich, dann läuft der DNS-Server und ist in der Lage, eine Verbindung mit den DNS-Stammservern herzustellen, um öffentliche DNS-Namen aufzulösen. Konfigurieren der DNS-Stammserver Von Zeit zu Zeit, in Abständen von einigen Jahren, aktualisiert die Internet Assigned Numbers Authority (IANA) die IP-Adresse eines DNS-Stammservers oder gibt vielleicht einen neuen DNS-Stammserver bekannt. Die IANA wird aber nie mehr als ein oder zwei IP-Adressen auf einmal ändern, und solange ein DNS-Stammserver auf Ihrem Server korrekt konfiguriert ist, wird er in der Lage sein, öffentliche Hostnamen aufzulösen. Daher brauchen Sie sich um die Verwaltung der Liste der DNS-Stammserver nicht allzu viele Gedanken zu machen. Die aktuelle Liste der DNS-Stammserver erhalten Sie von http://www.root-servers.org/. So ändern Sie einen DNS-Stammserver oder fügen einen DNS-Stammserver hinzu 1. Klicken Sie den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Stammhinweise. 172 Kapitel 7: Domain Name System 3. Um einen DNS-Stammserver zu ändern, wählen Sie ihn aus und klicken auf Bearbeiten. Wählen Sie die vorhandene IP-Adresse, geben Sie die neue IP-Adresse ein und klicken Sie dann auf OK. 4. Um einen DNS-Stammserver hinzuzufügen, klicken Sie auf Hinzufügen. Geben Sie den Namen des DNS-Servers ein (wie m.root-servers.net) und klicken Sie dann auf Auflösen. Nachdem die IP-Adresse überprüft wurde, klicken Sie auf OK. 5. Klicken Sie auf OK, um zum DNS-Manager zurückzukehren. Standardmäßig ist ein neuer DNS-Server nur als zwischenspeichernder DNS-Server konfiguriert. Der DNS-Server kann Namen aus dem öffentlichen Internet auflösen und speichert die Ergebnisse für nachfolgende Abfragen. Direkt von der Quelle: Der Unterschied zwischen DNS-Serverweiterleitung und Stammhinweisen Ein DNS-Server, der die Weiterleitung einsetzt, wird Abfragen an bestimmte DNS-Server weiterleiten und eine rekursive Bearbeitung anfordern. Ein DNS-Server, der Stammhinweise verwendet, wird versuchen, Abfragen rekursiv zu bearbeiten, wobei er mit den angegebenen Stammhinweisen beginnt. Der wichtigste Unterschied liegt darin, dass Stammhinweise nur verwendet werden können, wenn es einen DNS-Stamm gibt, der sich für Ihre Umgebung eignet. Wenn Sie Ihre eigenen Stammserver betreiben, können Sie die Weiterleitung (Forwarding) oder Stammhinweise verwenden, aber wenn Sie keine eigenen Stammserver betreiben, werden Sie sich vermutlich auf die Weiterleitung beschränken. Wenn Sie zum Beispiel ein großes Unternehmensnetzwerk aufbauen und Ihren eigenen internen Stammserver betreiben, können Sie sich für Stammhinweise entscheiden. In diesem Fall ist die Internetnamensauflösung zwar nicht in Ihrem Firmennetzwerk verfügbar, aber diese Aufgabe könnten auch Proxyserver übernehmen. In kleineren Umgebungen und insbesondere dann, wenn die Computer in der Lage sein sollen, auch Internetnamen aufzulösen, sollten Sie die Weiterleitung verwenden, weil die DNS-Stammserver des Internet nicht wissen, wie sie Ihre Active DirectoryDomänen finden können. Jeff Westhead, Senior Software Development Engineer Enterprise Networking Group Konfigurieren der DNS-Weiterleitung Wie in diesem Kapitel bereits beschrieben, können DNS-Server alle Abfragen, die sich in der lokalen Zone nicht beantworten lassen, an einen anderen DNS-Server weiterleiten. So richten Sie die DNS-Weiterleitung ein 1. Öffnen Sie den DNS-Manager. 2. Klicken Sie den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Weiterleitungen. 4. Klicken Sie auf Bearbeiten. Das Dialogfeld Weiterleitungen bearbeiten öffnet sich. Bereitstellungsschritte 173 5. Im Dialogfeld Weiterleitungen bearbeiten geben Sie die IP-Adresse oder den Hostnamen des DNS-Servers ein, an den alle nicht beantwortbaren DNS-Anfragen weitergeleitet werden sollen, und drücken dann die EINGABETASTE . Der angegebene Weiterleitungsserver wird sofort getestet, um zu überprüfen, ob er Hostnamen auflösen kann. 6. Wiederholen Sie die Schritte 4 und 5 bei Bedarf, um weitere Server hinzuzufügen. Dann bringen Sie die DNS-Server mit den Schaltflächen Nach oben und Nach unten in die gewünschte Reihenfolge. 7. Klicken Sie auf OK, um zum Eigenschaftendialogfeld des Servers zurückzukehren. 8. Wählen Sie auf der Registerkarte Weiterleitungen das Kontrollkästchen Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind, wenn Sie möchten, dass der Server Hostnamen mit öffentlichen DNS-Servern aufzulösen versucht, falls die Weiterleitungsserver, die sie konfiguriert haben, nicht antworten. 9. Klicken Sie auf OK, um zum DNS-Manager zurückzukehren. Nach der Einrichtung der Weiterleitungen wird Ihr DNS-Server als zwischenspeichernder DNS-Server arbeiten. Direkt von der Quelle: Einrichten der DNS-Weiterleitung Die DNS-Server in einer untergeordneten Active Directory-Domäne sollten Abfragen an einen oder mehrere DNS-Server aus der direkt übergeordneten Domäne weiterleiten, damit die Weiterleitung auf diese Weise bis hinauf zur Stammdomäne erfolgen kann. Die DNS-Server in der Stammdomäne können so eingestellt werden, dass sie Abfragen an die DNS-Server Ihres Internetanbieters weiterleiten, wenn die Computer in Ihrer Active Directory-Umgebung Internetnamen auflösen sollen. Gehört Ihre Active Directory-Umgebung zu einer umfangreicheren Unternehmensinfrastruktur, können Sie die DNS-Server Ihrer Stammdomäne auch so einrichten, dass sie Abfragen an geeignete DNS-Server aus Ihrer Unternehmensinfrastruktur weiterleiten. Es ist sehr wichtig, dass alle DNS-Server aus der Weiterleitungsliste dieselbe Sicht auf den DNSNamespace haben. Sie sollten zum Beispiel keine Weiterleitung an beide DNS-Server Ihres Internetanbieters und an andere DNS-Server aus Ihrer Active Directory-Infrastruktur vornehmen. Es wird vorausgesetzt, dass alle Weiterleitungen aus der Liste für alle Namen zum selben Ergebnis kommen. Da die DNS-Server Ihres Internetanbieters keine Namen aus Ihrer Active DirectoryUmgebung auflösen können, dürfen Sie keine DNS-Server Ihres Internetanbieters mit DNS-Servern aus Ihrer Active Directory-Umgebung kombinieren, wenn Sie Weiterleitungen festlegen. Jeff Westhead, Senior Software Development Engineer Enterprise Networking Group Konfigurieren von Zonen Die folgenden Abschnitte beschreiben die Einrichtung der verschiedenen Zonenarten. Informationen über die Planung von Zonen finden Sie in diesem Kapitel unter der Überschrift »DNS-Zonen«. Konfigurieren einer primären Forward-Lookupzone Primäre Forward-Lookupzonen speichern die maßgebliche Kopie der DNS Ressourceneinträge. Sie brauchen aber nur für Zonen, für deren Verwaltung Sie zuständig sind, primäre Forward-Lookupzonen einzurichten. 174 Kapitel 7: Domain Name System So fügen Sie eine primäre Forward-Lookupzone hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie auf Neue Zone. Der Assistent zum Erstellen neuer Zonen öffnet sich. 3. Klicken Sie auf der Willkommen-Seite des Assistenten zum Erstellen neuer Zonen auf Weiter. 4. Klicken Sie auf der Seite Zonentyp auf Primäre Zone. Handelt es sich bei dem DNS-Server um einen Domänencontroller, können Sie auch noch das Kontrollkästchen Zone in Active Directory speichern wählen. Klicken Sie auf Weiter. 5. Wenn die Seite Active Directory-Zonenreplikationsbereich erscheint, wählen Sie die gewünschte Replikationsweise und klicken dann auf Weiter. Die Seite Active Directory-Zonenreplikationsbereich erscheint nur bei der Erstellung einer Active Directory-integrierten Zone. Weitere Informationen über die Active Directory-Zonenreplikation finden Sie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels. 6. Geben Sie auf der Seite Zonenname einen Namen für die Zone ein, der der mit dieser Zone verwalteten Domäne entspricht (beispielsweise west.contoso.com), und klicken Sie dann auf Weiter. 7. Wenn die Seite Zonendatei erscheint, wählen Sie, ob Sie eine neue Zonendatei erstellen oder eine vorhandene verwenden möchten. Klicken Sie auf Weiter. Die Seite Zonendatei wird nur angezeigt, wenn Sie eine Zone erstellen, die nicht in Active Directory integriert ist. 8. Auf der Seite Dynamisches Update wählen Sie eine der drei folgenden Optionen und klicken dann auf Weiter: Nur sichere dynamische Updates zulassen Diese Option ist nur für Active Directory-integrierte Zonen verfügbar und bewirkt, dass nur von Domänenmitgliedern dynamische Aktualisierungen angenommen werden. Während für Server häufig statische DNS-Einträge vorgenommen werden, ist dies für Clientcomputer eher selten der Fall, insbesondere für Mobilcomputer. Daher kann die Zulassung von dynamischen Aktualisierungen die einzige Möglichkeit für Clients bedeuten, die Hostnamen anderer Clients aufzulösen. Nicht sichere und sichere dynamische Updates zulassen Diese Option ist für Standardzonen und für Active Directory-integrierte Zonen verfügbar und erlaubt es Clients, ihre eigenen DNSEinträge selbst dann zu aktualisieren, wenn sie keine Mitglieder der Active Directory-Domäne sind. Weitere Informationen über die Sicherheitsrisiken, die mit der Zulassung unsicherer dynamischer Aktualisierungen verbunden sind, finden Sie in diesem Kapitel unter »DNSSicherheit«. Dynamische Updates nicht zulassen Verhindert, dass Clients (einschließlich DHCP-Server) ihre DNS-Einträge in der Zone aktualisieren. 9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Später können Sie die vorgenommenen Einstellungen ändern, indem Sie die Zone im DNS-Manager mit der rechten Maustaste anklicken und auf Eigenschaften klicken. Wenn Sie dynamische Updates zulassen, sollten Sie den Abschnitt »Warten von Zonen« weiter unten im Kapitel lesen. Konfigurieren einer sekundären Forward-Lookupzone Eine sekundäre Forward-Lookupzone dient als Reserveserver für eine primäre Lookupzone und kann DNS-Abfragen für die Zone beantworten. Gewöhnlich werden sekundäre Forward-Lookupzonen eingerichtet, um in Zonen, die nicht in Active Directory integriert sind, für Redundanz zu sorgen. Bereitstellungsschritte 175 So fügen Sie eine sekundäre Forward-Lookupzone hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone. Der Assistent zum Erstellen neuer Zonen öffnet sich. 3. Klicken Sie auf der Willkommen-Seite des Assistenten zum Erstellen neuer Zonen auf Weiter. 4. Klicken Sie auf der Seite Zonentyp auf Sekundäre Zone und klicken Sie dann auf Weiter. 5. Geben Sie auf der Seite Zonenname einen Namen für die Zone ein, der der mit dieser Zone verwalteten Domäne entspricht (beispielsweise west.contoso.com), und klicken Sie dann auf Weiter. 6. Geben Sie auf der Seite Master-DNS-Server den Hostnamen oder die IP-Adresse des MasterDNS-Servers ein und drücken Sie dann die EINGABETASTE . Der Assistent zum Erstellen neuer Zonen testet den Master-DNS-Server automatisch. 7. Wenn Sie weitere Master-DNS-Server hinzufügen möchten, wiederholen Sie entsprechend oft die Schritte 5 und 6. Bringen Sie die Server dann mit den Schaltflächen Nach oben und Nach unten in die gewünschte Reihenfolge. Klicken Sie auf Weiter. 8. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Diese Einstellungen können Sie später ändern, indem Sie die Zone im DNS-Manager mit der rechten Maustaste anklicken und auf Eigenschaften klicken. Konfigurieren eines WINS-Forward-Lookups Sie können ein WINS-Forward-Lookup erstellen, damit DNS-Abfragen für eine Zone von einem WINS-Server aufgelöst werden. Wenn ein WINS-Server zum Beispiel über einen Datensatz über einen Computer namens HOST verfügt und ein Client eine DNS-Abfrage nach host.contoso.com sendet, die von dem für contoso.com zuständigen DNS-Server nicht aufgelöst werden kann, kann der DNS-Server den WINS-Server nach der IP-Adresse von HOST fragen. So fügen Sie ein WINS-Forward-Lookup hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Knoten mit dem Namen Ihres Servers und anschließend den Knoten ForwardLookupzonen. 3. Klicken Sie die Zone, zu der Sie ein WINS-Forward-Lookup hinzufügen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte WINS und wählen Sie dann das Kontrollkästchen WINS-Forward-Lookup verwenden. 5. Geben Sie die IP-Adresse des WINS-Servers ein und klicken Sie auf Hinzufügen. Wiederholen Sie diesen Schritt für jeden Ihrer WINS-Server und bringen Sie die Server dann mit den Schaltflächen Nach oben und Nach unten in die gewünschte Reihenfolge. Klicken Sie auf OK. Sie können auch ein WINS-Reverse-Lookup konfigurieren, indem Sie das Eigenschaftendialogfeld einer Reverse-Lookupzone öffnen und dann die Registerkarte WINS-R anklicken. Konfigurieren des Zonenreplikationsbereichs Wie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels beschrieben, können Sie den Replikationsbereich für Active Directory-integrierte Zonen so einstellen, dass die Replikation auf alle DNSServer der Gesamtstruktur, alle DNS-Server der Domäne, alle Domänencontroller der Domäne oder alle Domänencontroller im Bereich einer bestimmten Verzeichnispartition erfolgt. Gewöhnlich reicht die Standardeinstellung aus. Sie sorgt dafür, dass Standarddomänen auf alle DNS-Server der Domäne 176 Kapitel 7: Domain Name System repliziert werden und die Unterdomäne _msdcs (sie enthält die SRV-Einträge für Domänencontroller und andere Dienste) auf alle DNS-Server der Gesamtstruktur repliziert wird. So konfigurieren Sie den Replikationsbereich für eine Active Directory-integrierte Zone 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Knoten mit dem Namen Ihres Servers und anschließend den Knoten ForwardLookupzonen. 3. Klicken Sie die Zone, für die Sie die Replikation einrichten möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Allgemein neben Replikation auf Ändern. 5. Klicken Sie den gewünschten Replikationstyp an und klicken Sie dann auf OK. 6. Klicken Sie noch einmal auf OK, um das Dialogfeld mit den Eigenschaften der Zone zu schließen. Zulassen von Zonenübertragungen Sie sollten für Zonen, die nicht in Active Directory integriert sind, Zonenübertragungen zwischen dem bevorzugten und dem alternativen DNS-Server zulassen. Da ein Angreifer aber eine Zonenübertragung dazu verwenden könnte, die Hosts aus Ihrem nichtöffentlichen Netzwerk zu identifizieren oder einen DoS-Angriff durchzuführen, sollten Sie keine Zonenübertragungen von anderen Computern zulassen. In vielen Active Directory-Bereitstellungen werden gar keine Zonenübertragungen verwendet, sie sollten in diesem Fall deaktiviert werden. Die Active Directory-Replikation erfolgt nicht mit Zonenübertragungen. So erlauben Sie einem Server die Durchführung von Zonenübertragungen 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Knoten mit dem Namen Ihres Servers und anschließend den Knoten ForwardLookupzonen. 3. Klicken Sie die Zone, für die Sie eine Zonenübertragung einrichten möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Namenserver. Wenn der DNS-Server, zu dem die Zonenübertragungen erfolgen sollen, nicht in der Liste aufgeführt wird, klicken Sie Hinzufügen und geben den vollständigen Namen des Servers ein. Dabei wird automatisch ein NS-Eintrag für den Server erstellt. 5. Klicken Sie auf die Registerkarte Zonenübertragungen, wählen Sie das Kontrollkästchen Zonenübertragungen zulassen und dann das Kontrollkästchen Nur an Server, die in der Registerkarte "Namenserver" aufgeführt sind. Gewöhnlich ist dies zwar die richtige Einstellung, aber es stehen drei Optionen zur Wahl: Nur an Server, die in der Registerkarte "Namenserver" aufgeführt sind Erlaubt allen Namenservern für die Zone, die auf der Registerkarte Namenserver aufgeführt werden, eine Zonenübertragung. Das ist die bevorzugte Methode für die Zulassung von Zonenübertragungen. Hinweis Sie können auf der Registerkarte Zonenübertragungen auf die Schaltfläche Benachrichtigen klicken und Server angeben, die über die Aktualisierung von DNS-Einträgen informiert werden. Dadurch lässt sich der Zeitaufwand für die Synchronisation aller DNS-Server verringern. Allerdings wird die Benachrichtigung standardmäßig für alle Server aktiviert, die auf der Registerkarte Namenserver aufgeführt werden. In den meisten Fällen ist also keine manuelle Konfiguration erforderlich. Bereitstellungsschritte 177 An jeden Server Vermeiden Sie diese Option, weil sie jedem die Durchführung eines Zonentransfers erlaubt, der Netzwerkzugriff auf Ihren DNS-Server hat. Nur an folgende Server Wählen Sie diese Option, wenn Sie manuell die IP-Adressen der Server konfigurieren möchten, die Zonenübertragungen durchführen dürfen. 6. Klicken Sie auf OK. Delegieren der Autorität für eine Unterdomäne an eine andere Zone Wenn ein anderer DNS-Server für eine Unterdomäne zuständig sein soll, müssen Sie die Autorität für diese Unterdomäne vom primären DNS-Server der übergeordneten Domäne delegieren. Diese Delegierung ermöglicht es den DNS-Servern für die übergeordnete Domäne, Anfragen an die Namenserver für die Unterdomäne weiterzuleiten. Soll zum Beispiel ein neuer DNS-Server für south.contoso.com zuständig sein, können Sie auf dem primären DNS-Server für contoso.com mit der DNS-Manager-Konsole die Autorität für die Unterdomäne south.contoso.com an den neuen DNS-Server delegieren. Wenn ein für contoso.com vorgesehener DNS-Server Abfragen für die Domäne south.contoso.com erhält, leitet er diese Abfragen an die DNS-Server weiter, die für south.contoso.com vorgesehen sind. So delegieren Sie die Autorität für eine Unterdomäne 1. Öffnen Sie den DNS-Manager. 2. Klicken Sie die übergeordnete Domäne mit der rechten Maustaste an und klicken Sie dann auf Neue Delegierung. Der Assistent zum Erstellen neuer Delegierungen öffnet sich. 3. Klicken Sie auf der Seite Willkommen auf Weiter. 4. Geben Sie auf der Seite Namen der delegierten Domäne den Namen der neuen Unterdomäne ein und klicken Sie dann auf Weiter. 5. Klicken Sie auf der Seite Namenserver auf Hinzufügen, um das Dialogfeld Neuer Namenservereintrag zu öffnen. Geben Sie dann den Hostnamen des DNS-Servers an, der für die Domäne zuständig ist. Klicken Sie auf OK, dann auf Weiter und schließlich auf Fertig stellen. Folgen Sie nun der Beschreibung »Konfigurieren einer primären Forward-Lookupzone« aus diesem Abschnitt, um auf dem DNS-Server die Unterdomäne zu konfigurieren. Konfigurieren einer Stubzone Stubzonen konfigurieren Ihren DNS-Server so, dass er Anfragen für eine bestimmte Domäne an einen bestimmten Server weiterleitet. Das ähnelt der Weise, in der eine delegierende Autorität Anfragen für eine Unterdomäne an einen anderen Namenserver leitet. Allerdings lassen sich Stubzonen für die Konfiguration von Namenservern für jede Domäne verwenden. Im Normalfall erstellen Sie Stubzonen für Domänen aus Ihrem internen Netzwerk, die nicht in Ihren DNS-Stammservern geführt werden. So fügen Sie eine Stubzone hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone. Der Assistent zum Erstellen neuer Zonen öffnet sich. 3. Klicken Sie auf der Willkommen-Seite des Assistenten zum Erstellen neuer Zonen auf Weiter. 178 Kapitel 7: Domain Name System 4. Klicken Sie auf der Seite Zonentyp auf Stubzone. Handelt es sich bei dem DNS-Server um einen Domänencontroller, können Sie auch noch das Kontrollkästchen Zone in Active Directory speichern wählen. Klicken Sie auf Weiter. 5. Wenn die Seite Active Directory-Zonenreplikationsbereich erscheint, wählen Sie die gewünschte Replikationsweise und klicken dann auf Weiter. Die Seite Active Directory-Zonenreplikationsbereich erscheint nur bei der Erstellung einer Active Directory-integrierten Zone. Weitere Informationen über die Active Directory-Zonenreplikation finden Sie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels. 6. Auf der Seite Zonenname geben Sie einen Namen für die Zone ein, die die Domäne präsentiert, für die die Stubzone Anfragen bearbeitet. Klicken Sie auf Weiter. 7. Wenn die Seite Zonendatei erscheint, klicken Sie auf Weiter. Die Seite Zonendatei wird nur angezeigt, wenn Sie eine Zone erstellen, die nicht in Active Directory integriert ist. 8. Geben Sie auf der Seite Master-DNS-Server die IP-Adressen der Namensserver ein, die Abfragen für die Zone bearbeiten. Klicken Sie auf Weiter und dann auf Fertig stellen. Konfigurieren einer bedingten Weiterleitung Ähnlich wie eine Stubzone versetzt eine bedingte Weiterleitung Ihre DNS-Server in die Lage, DNSAbfragen an einen bestimmten Server für eine bestimmte Domäne zu senden. Sie können zum Beispiel eine bedingte Weiterleitung einrichten, damit alle Anfragen für fabrikam.com an einen bestimmten Namenserver gesendet werden. Gewöhnlich empfiehlt es sich, eine Stubzone statt einer bedingten Weiterleitung zu verwenden, weil eine Stubzone automatisch aktualisiert werden kann, wenn sich einer der DNS-Server für eine Domäne ändert. Vielleicht müssen Sie statt einer Stubzone aber eine bedingte Weiterleitung verwenden, wenn die DNS-Abfrage eine Firewall durchlaufen muss und nur einige der Remote-DNS-Server für die Zone verfügbar sind. So fügen Sie eine bedingte Weiterleitung hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie mit der rechten Maustaste auf Bedingte Weiterleitungen und klicken Sie dann auf Neue bedingte Weiterleitung. 3. Geben Sie im Dialogfeld Neue bedingte Weiterleitung den Zonennamen ins Textfeld DNSDomäne ein. Geben Sie dann die IP-Adressen der DNS-Server ein, die für die Domäne zuständig sind, und klicken Sie anschließend auf OK. Konfigurieren einer Reverse-Lookupzone Reverse-Lookupzonen ermöglichen es Clients, IP-Adressen in Hostnamen aufzulösen, und werden häufig von Serveranwendungen wie beispielsweise Microsoft Exchange Server im Rahmen der Überprüfung einer Clientanfrage verwendet. So fügen Sie eine Reverse-Lookupzone hinzu 1. Öffnen Sie den DNS-Manager. 2. Erweitern Sie den Namen Ihres Servers, klicken Sie Reverse-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone. 3. Klicken Sie auf der Willkommen-Seite des Assistenten zum Erstellen neuer Zonen auf Weiter. 4. Klicken Sie auf der Seite Zonentyp auf den Zonentyp und klicken Sie dann auf Weiter. 5. Wenn die Seite Active Directory-Zonenreplikationsbereich erscheint, wählen Sie die gewünschte Replikationsweise und klicken dann auf Weiter. Bereitstellungsschritte 179 6. Wählen Sie auf der ersten Seite mit dem Namen Name der Reverse-Lookupzone entweder IPv4 oder IPv6 und klicken Sie dann auf Weiter. 7. Geben Sie auf der zweiten Seite mit dem Namen Name der Reverse-Lookupzone die Netzwerk-ID der IP-Adresse ein. Im Fall von IPv4-Adressen entspricht diese gewöhnlich den ersten drei Oktetten der IP-Adresse, wie zum Beispiel 192.168.1. Allerdings ist es auch möglich, nur ein oder zwei Oktette der IP-Adresse zu verwenden. Für IPv6-Adressen geben Sie das Adresspräfix ein, beispielsweise 2001:DB8::/32, damit der Assistent der Reverse-Lookupzone automatisch einen Namen gibt. Klicken Sie auf Weiter. 8. Wenn die Seite Zonendatei erscheint, übernehmen Sie die Standardvorgabe, eine neue Datei zu erstellen, sofern Sie nicht bereits über eine zuvor erstellte Datei verfügen, die Sie verwenden möchten. Klicken Sie auf Weiter. 9. Auf der Seite Dynamisches Update wählen Sie eine der drei Optionen, die in diesem Kapitel bereits unter der Überschrift »Konfigurieren einer primären Forward-Lookupzone« beschrieben wurden, und klicken dann auf Weiter. 10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. Verwenden von Dnscmd Die DNS-Manager-Konsole ist die einfachste Methode zur Konfiguration Ihrer DNS-Server, sofern eine grafische Benutzeroberfläche verfügbar ist. Falls Sie einen DNS-Server mit einem Skript konfigurieren möchten oder Windows Server 2008 Server Core verwenden, können Sie das Programm Dnscmd verwenden. Hinweis In älteren Windows-Versionen war Dnscmd Teil der Windows Support Tools, die eine separate Installation erforderten. Nun wird Dnscmd automatisch im Ordner %SystemRoot%\System32\ installiert, wenn Sie die Rolle DNS-Server hinzufügen. Ausführlichere Informationen erhalten Sie vom Programm selbst, wenn Sie in einer Eingabeaufforderung den Befehl Dnscmd /? eingeben. DHCP-Serverkonfiguration Dieser Abschnitt beschreibt, wie Sie Ihren DHCP-Server konfigurieren müssen, damit er Clients mit den Adressen Ihrer DNS-Server versorgt, und wie Sie den DHCP-Server für dynamische DNS-Updates verwenden. Eine umfassendere Beschreibung von DHCP finden Sie in Kapitel 3, »Dynamic Host Configuration Protocol«. Konfigurieren eines DHCP-Servers für die Versorgung mit DNS-Serveradressen Heutzutage werden Clientcomputer in den meisten Netzwerken mit DHCP konfiguriert. Wenn Sie die Rolle DHCP-Server zu einem Windows Server 2008-Computer hinzufügen, können Sie die IP-Adressen der DNS-Server auf den Seiten Angeben von IPv4-DNS-Servereinstellungen (Abbildung 7.5) und IPv6 DNS-Servereinstellungen angeben eingeben. So konfigurieren Sie die DNS-Serveradressen nach der Konfiguration der DHCP-Serverrolle 1. Erweitern Sie im Server-Manager den Knoten Rollen und erweitern Sie dann DHCP-Server. 2. Erweitern Sie erst den Servernamen und dann IPv4 oder IPv6. 3. Klicken Sie auf Serveroptionen. 180 Kapitel 7: Domain Name System 4. Klicken Sie im rechten Bereich die Option DNS-Server mit einem Doppelklick an. Verwenden Sie das Dialogfeld Serveroptionen zur Eingabe der IPv4- oder IPv6-IP-Adressen Ihrer DNS-Server. Klicken Sie auf OK. Abbildung 7.5 Einstellen der DNS-Server bei der Konfiguration des DHCP-Servers im Assistenten zum Hinzufügen von Rollen Konfigurieren eines DHCP-Servers für dynamische DNS-Updates Standardmäßig aktualisiert ein Windows Server 2008-DHCP-Server die A- und PTR-Einträge für DHCP-Clients, die eine dynamische DNS-Aktualisierung anfordern, automatisch. So konfigurieren Sie einen DHCP-Server für dynamische DNS-Updates 1. Erweitern Sie im Server-Manager den Knoten Rollen und erweitern Sie dann DHCP-Server. 2. Erweitern Sie den Servernamen, klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte DNS. Wählen Sie Dynamische DNS-Aktualisierungen mit den unten angegebenen Einstellungen aktivieren. 4. Damit der DHCP-Server nach dem Ablauf einer DHCP-Lease Ressourceneinträge entfernen kann, wählen Sie das Kontrollkästchen A- und PTR-Einträge beim Löschen der Lease verwerfen. 5. Um für Clientcomputer, die nicht in der Lage sind, ihre eigenen Aktualisierungen durchzuführen, dynamische DNS-Updates durchzuführen, wählen Sie das Kontrollkästchen DNS-A- und -PTREinträge für DHCP-Clients, die keine Aktualisierung anfordern (z.B. Clients, die Windows NT 4.0 ausführen), dynamisch aktualisieren. Windows 2000 und alle höheren Windows-Versionen können ihre eigenen dynamischen DNS-Updates durchführen. Klicken Sie auf OK. Bereitstellungsschritte 181 DNS-Clientkonfiguration Die folgenden Abschnitte beschreiben, wie Sie einen DHCP-Server so konfigurieren, dass er DHCPClients mit den korrekten IP-Adressen Ihrer DNS-Server versorgt, und wie Sie die IP-Adressen von DNS-Servern auf Computern manuell einstellen, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird. Direkt von der Quelle: Konfigurieren von DNS-Clients Alle Computer, auf denen Windows ausgeführt wird, einschließlich DNS-Server und Domänencontroller, sind DNS-Clients und verfügen über eine Liste von DNS-Servern, an die Anfragen gesendet werden. In einer Active Directory-Umgebung sollten Sie Ihre DNS-Clients generell auf DNS-Server aus der lokalen Domäne einstellen, die in Active Directory integriert sind. Um eine Namensauflösung außerhalb der Domäne zu ermöglichen, sollten diese DNS-Server Anfragen an DNS-Server aus der übergeordneten Active Directory-Domäne oder an DNS-Server Ihres Internetanbieters weiterleiten, falls Sie den Clients die Auflösung von Internetnamen ermöglichen möchten. Es wird vorausgesetzt, dass alle DNS-Server aus der DNS-Serverliste alle Namen auf gleiche Weise auflösen. Sie sollten keinen Client mit DNS-Servern konfigurieren, die nicht dieselben Namen auflösen können. Da die DNS-Server Ihres Internetanbieters zum Beispiel nicht in der Lage sind, Namen aus Ihren Active Directory-Domänen aufzulösen, können Sie bei der Konfiguration Ihrer DNS-Clients nicht die DNS-Server Ihres Internetanbieters und die DNS-Server aus Ihrer Active DirectoryDomäne mischen. Jeff Westhead, Senior Software Development Engineer Enterprise Networking Group Manuelles Konfigurieren von Windows Vista oder Windows Server 2008 Wenn Computer auf die Verwendung von DHCP eingestellt werden, brauchen Sie nur den DHCPServer mit den IP-Adressen der DNS-Server zu konfigurieren. Wenn Clients eine DHCP-Lease erhalten, erhalten Sie automatisch auch die IP-Adressen Ihrer DNS-Server. So konfigurieren Sie einen Computer mit einer manuell zugewiesenen IP-Adresse für DHCP 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. Wenn sich die Benutzerkontensteuerung mit einem Dialogfeld meldet, nehmen Sie die erforderliche Eingabe vor. 4. Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) oder Internetprotokoll Version 6 (TCP/IPv6) und klicken Sie dann auf Eigenschaften. 5. Klicken Sie auf Folgende DNS-Serveradressen verwenden. Dann geben Sie in den Feldern Bevorzugter DNS-Server und Alternativer DNS-Server die IP-Adressen Ihrer DNS-Server ein. Falls Sie mehr als zwei DNS-Server verwenden, klicken Sie auf Erweitert und fügen die Server auf der Registerkarte DNS hinzu. 6. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Die neuen DNS-Servereinstellungen werden innerhalb weniger Sekunden wirksam. 182 Kapitel 7: Domain Name System Konfigurieren von Windows Vista oder Windows Server 2008 mit einem Skript Mit dem Programm Netsh können Sie einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, mit der IP-Adresse eines DNS-Servers konfigurieren, wie die folgenden Beispiele demonstrieren: netsh interface ipv4 add dnsserver "LAN-Verbindung" 192.168.1.213 netsh interface ipv6 add dnsserver "LAN-Verbindung" fec0:0:0:ffff::1 Konfigurieren redundanter DNS-Server Befolgen Sie zur Einrichtung eines redundanten DNS-Servers für eine Zone, die nicht in Active Directory integriert ist, folgende allgemeine Schritte. Bei einer Active Directory-integrierte Zone erfolgt die Replikation automatisch und Sie brauchen nur die Clientkonfiguration durchzuführen, die in Schritt 3 beschrieben wird. 1. Fügen Sie den sekundären Server auf dem primären Server der Zone im Eigenschaftendialogfeld der Zone auf der Registerkarte Namenserver hinzu. Sorgen Sie dafür, dass Zonenübertragungen erlaubt sind. 2. Befolgen Sie auf dem neuen redundanten DNS-Server die im Abschnitt »Konfigurieren einer sekundären Forward-Lookupzone« dieses Kapitels beschriebenen Schritte. 3. Konfigurieren Sie die Clientcomputer mit der IP-Adresse des sekundären Servers als alternativen DNS-Server, wie im Abschnitt »DNS-Clientkonfiguration« dieses Kapitels beschrieben. Bei dieser Konfiguration fragen Clients den sekundären DNS-Server ab, wenn der primäre DNSServer nicht erreichbar ist. Um die Belastung gleichmäßiger auf beide DNS-Server zu verteilen, können Sie die Hälfte Ihrer Clientcomputer so einstellen, dass sie den sekundären DNS-Server als primären DNS-Server verwenden. Wartung Zur Wartung von DNS-Servern ist es erforderlich, dafür zu sorgen, dass die DNS-Datenbank für alle Zonen auf dem aktuellen Stand ist. Außerdem müssen Sie gelegentlich einen ausgefallenen DNSServer ersetzen. Die folgenden Abschnitte beschreiben, wie Sie Ressourceneinträge hinzufügen, für die Genauigkeit einer Zone sorgen und die Überwachung der DNS-Server automatisieren. Hinzufügen von Ressourceneinträgen Für neue Computer, die dynamisches DNS nicht unterstützen, werden Sie A- und PTR-Einträge hinzufügen müssen. Außerdem müssen Sie vielleicht CNAME-Einträge erstellen, damit ein einzelner Server über mehrere Ressourceneinträge erreichbar ist. Um einen Ressourceneintrag hinzuzufügen, klicken Sie die Zone, zu der Sie ihn hinzufügen möchten, mit der rechten Maustaste an und klicken dann auf die Art des Eintrags, den Sie vornehmen möchten. Der DNS-Manager öffnet die Dialogfelder Neuer Host oder Neuen Eintrag erstellen, in denen Sie die erforderlichen Angaben machen können. Wartung 183 Hinweis Manche Hostnamen können bei der Auflösung mehrere IP-Adressen ergeben, wie zum Beispiel www.microsoft.com. Ihr Webbrowser ist intelligent genug, eine Verbindung mit einer anderen Adresse zu versuchen, wenn die erste Adresse nicht richtig funktioniert. Auf diese Weise können mehrere Webserver mit unterschiedlichen IP-Adressen auf Anfragen antworten, die an denselben Hostnamen gerichtet sind. Dadurch ergibt sich eine bessere Skalierbarkeit und Redundanz. Wenn Sie mehrere Server mit identischen Inhalten unter derselben DNS-Adresse bereitstellen möchten, erstellen Sie einfach mehrere A-Einträge mit demselben Hostnamen, aber verschiedenen IP-Adressen. Webbrowser verstehen diese Art der RoundRobin-DNS-Adressierung zwar, aber andere Anwendungen kommen damit vielleicht nicht zurecht. Warten von Zonen Wenn ein Server mit einem statischen DNS-Eintrag außer Dienst gestellt wird und eine IP-Adresse ungültig oder neu zugewiesen wird, sollten Sie alle Ressourceneinträge für diesen Server entfernen, einschließlich der Einträge für Reverse-Lookups. Außerdem sollten Sie regelmäßig überprüfen, beispielsweise alle sechs Monate, ob alle Ressourceneinträge auf dem aktuellen Stand sind. Wenn Sie DHCP-Clients erlauben, ihre A- und PTR-Ressourceneinträge dynamisch zu aktualisieren, können Sie die DNS-Server so einstellen, dass sie veraltete Datensätze automatisch entfernen (in der amerikanischen Fachliteratur werden diese Aufräumarbeiten auch Scavenging genannt). Wenn Ihr DHCP-Server ein Windows Server 2008-Computer ist, entfernt der DHCP-Server automatisch die Ressourceneinträge des Clients, sobald die DHCP-Lease abläuft. So aktivieren Sie die Aufräumarbeiten auf einem DNS-Server 1. Klicken Sie in der DNS-Manager-Konsole die Zone mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Allgemein und dann auf die Schaltfläche Alterung. 3. Wählen Sie im Dialogfeld Zonenalterung/Eigenschaften das Kontrollkästchen Veraltete Ressourceneinträge aufräumen. Geben Sie dann die Intervalle für die Nichtaktualisierung und für die Aktualisierung an. Im Normalfall sollte das Aktualisierungsintervall mindestens so lang sein wie das Erneuerungsintervall einer DHCP-Lease, das Standardmäßig 4 Tage beträgt. Für die meisten Bereitstellungen werden die Standardvorgaben von 7 Tagen für Aktualisierungs- und Nichtaktualisierungsintervalle empfohlen. 4. Klicken Sie auf OK und dann auf Ja, falls Sie darauf hingewiesen werden, dass das Zonendateiformat nicht zu älteren Windows-Versionen kompatibel ist. 5. Klicken Sie auf OK, um zur DNS-Manager-Konsole zurückzukehren. 6. Klicken Sie in der DNS-Manager-Konsole den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. Wählen Sie im Eigenschaftendialogfeld des Servers auf der Registerkarte Erweitert das Kontrollkästchen Aufräumvorgang bei veralteten Einträgen automatisch aktivieren. Für Active Directory-integrierte Zonen kann dies auf allen DNS-Servern erfolgen oder auf eine Teilmenge von zentral erreichbaren DNS-Servern beschränkt bleiben, denn auch die Löschung alter Datensätze wird automatisch repliziert. Automatisches Testen Auf der Registerkarte Überwachen des Eigenschaftendialogfelds Ihres Servers können Sie ein automatisches Testen Ihres DNS-Servers einstellen. Mit den Optionen dieser Registerkarte können Sie den DNS-Serverdienst aktiv testen, indem Sie DNS-Abfragen übermitteln. Die Ergebnisse werden in der Liste Testergebnisse angezeigt. Eine ausführlichere Beschreibung, wie die automatischen Tests eingestellt werden, finden Sie im Abschnitt »Testen des DNS-Servers« dieses Kapitels. 184 Kapitel 7: Domain Name System Außerdem sollten Sie zur Überwachung Ihrer DNS-Server Tools wie den Microsoft System Center Operations Manager 2007 verwenden. Weitere Informationen Weitere Informationen über das Microsoft System Center erhalten Sie unter http://www.microsoft.com/systemcenter/opsmgr/. Direkt von der Quelle: Überwachen von DNS-Einträgen (oder Löschungen) Einige Organisationen müssen das Hinzufügen oder Löschen von DNS-Einträgen überwachen. Wenn Sie die DNS-Server, die DNS-Zonen und Einträge genauer untersuchen, werden Sie feststellen, dass die Objektüberwachung für diese Ressourcen standardmäßig aktiviert ist. Daher sollte man denken, dass Erstellungen, Löschungen oder Änderungen im Sicherheitsereignisprotokoll erfasst werden, solange die Objektzugriffsüberwachung für den DNS-Server aktiviert ist. Wie sich aber herausstellt, entspricht die Aktivierung der Objektzugriffsüberwachung nicht den DNS-Zoneneinträgen, die in den Sicherheitsprotokollen erfasst werden. Stattdessen müssen Sie auf den Computern, auf denen DNS-Server ausgeführt werden, die Überwachung des Verzeichnisdienstes aktivieren. Ist das geschehen, werden für die Erstellung eines neuen DNS-Eintrags folgende Ereignisse ins Sicherheitsprotokoll eingetragen: Ereignistyp: Erfolgsüberwachung Ereignisquelle: Sicherheit Ereigniskategorie: Verzeichnisdienstzugriff Ereigniskennung: 566 Datum: DD.MM.YYYY Uhrzeit: HH:MMM:SS Benutzer: [username] Computer: [dns server] Beschreibung: Objektvorgang: Objektserver: DS Vorgangstyp: Objektzugriff Objekttyp: dnsZone Objektname: DC=[zone].com,CN=MicrosoftDNS,CN=System,DC=[zone],DC=com Handlekennung: Primärer Benutzername: [machine]$ Primäre Domäne: [domain name] Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: administrator Clientdomäne: [domain] Clientanmeldekennung: (0x0,0x706012D) Zugriffe: Untergeordnetes Objekt erzeugen Eigenschaften: Untergeordnetes Objekt erzeugen dnsNode Weitere Info: DC=Testing2,DC=[zone].com,cn=MicrosoftDNS,cn=System,DC=[zone],DC=com Weitere Info2: DC=Testing2,DC=[zone].com,CN=MicrosoftDNS,CN=System,DC=[zone],DC=com Zugriffsmaske: 0x1 Wartung 185 Und für das Löschen eines Eintrags: Ereignistyp: Erfolgsüberwachung Ereignisquelle: Sicherheit Ereigniskategorie: Verzeichnisdienstzugriff Ereigniskennung: 566 Datum: 23.8.2006 Uhrzeit: 19:28:30 Benutzer: [perp] Computer: [dns server] Beschreibung: Objektvorgang: Objektserver: DS Vorgangstyp: Objektzugriff Objekttyp: dnsNode Objektname: DC=Test,DC=zone.com,CN=MicrosoftDNS,CN=System,DC=zone,DC=com Handlekennung: Primärer Benutzername: [computer name]$ Primäre Domäne: [Domain] Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: administrator Clientdomäne: [domain] Clientanmeldekennung: (0x0,0x729EE07) Zugriffe: Eigenschaft schreiben Eigenschaften: Eigenschaft schreiben Default property set dnsRecord dNSTombstoned dnsNode Weitere Info: Weitere Info2: Zugriffsmaske: 0x20 Die Aktivierung der Verzeichniszugriffsüberwachung führt im Sicherheitsprotokoll zu einer großen Zahl von Einträgen. In den meisten Produktivumgebungen kommen auf jede böswillige DNSLöschung Tausende von völlig korrekten Aktionen. Daher sollte man diese Art der Überwachung nur selten einsetzen. Sie funktioniert nur für Active Directory-integrierte Zonen. Anthony Witecki, Senior Consultant Microsoft Services, Public Sector Heraufstufen einer sekundären Zone zu einer primären Zone Herkömmliche Sicherungen sind zwar auch für DNS-Server wichtig, aber Ihre Hauptmethode, für die Verfügbarkeit von DNS-Daten zu sorgen, sollte für Active Directory-integrierte Zonen die Active Directory-Replikation und für Zonen, die nicht in Active Directory integriert sind, die Zonenübertragung sein. Replikation und Zonenübertragung bieten eine Kombination von Datensicherung, die nahezu in Echtzeit erfolgt, und Redundanz. Wenn der primäre DNS-Server einer Zone ausfällt, kann ein sekundärer DNS-Server Abfragen für die Domäne bearbeiten. Allerdings akzeptieren sekundäre DNS-Server keine Aktualisierungen. Wenn Sie den primären DNS-Server nicht zügig wieder einsatzbereit machen können, können Sie einen sekun- 186 Kapitel 7: Domain Name System dären DNS-Server zu einem primären DNS-Server heraufstufen. Dadurch sind in der Zone wieder Aktualisierungen möglich. Um eine Sekundärzone zu einer Primärzone heraufzustufen, gehen Sie folgendermaßen vor: 1. Klicken Sie die Zone in der DNS-Manager-Konsole mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Allgemein. Klicken Sie dann neben Typ auf Ändern. 3. Klicken Sie im Dialogfeld Zonentyp ändern auf Primäre Zone und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Falls Sie den ehemaligen primären DNS-Server nicht wieder ans Netzwerk anschließen möchten, entfernen Sie seine NS-Einträge, aktualisieren die Konfiguration der Sekundärzonen und ändern dann die Konfiguration der Clients, die über die IP-Adresse des Servers verfügen. Wenn Sie den ehemaligen primären DNS-Server der Zone wieder in Betrieb nehmen möchten, gehen Sie folgendermaßen vor, um die DNS-Datenbank für die Zone vom temporären primären DNS-Server zu aktualisieren: 1. Klicken Sie auf dem wiederhergestellten DNS-Server mit der rechten Maustaste auf die Zone und klicken Sie dann auf Eigenschaften. 2. Klicken Sie neben Typ auf Ändern. Klicken Sie im Dialogfeld Zonentyp ändern auf Sekundäre Zone und dann auf OK. 3. Klicken Sie unter der Masterserver-Liste auf Bearbeiten. Fügen Sie im Dialogfeld Masterserver bearbeiten die IP-Adresse des temporären primären DNS-Servers hinzu und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um zur DNS-Manager-Konsole zurückzukehren. 4. Klicken Sie die Zone mit der rechten Maustaste an und klicken Sie dann auf Übertragung vom Master. Dadurch wird die Zonendatenbank mit den Daten vom temporären primären DNS-Server aktualisiert. Je nach der Zahl der Ressourceneinträge kann dies einige Sekunden oder Minuten dauern. 5. Stufen Sie nun auf dem wiederhergestellten DNS-Server die sekundäre Zone zur primären Zone herauf. Führen Sie dann die Schritte 1 bis 4 auf dem temporären primären DNS-Server durch, um die Zone wieder zur sekundären Zone herabzustufen. Warnung Wenn Sie keine Active Directory-integrierte Zonen verwenden, lassen Sie es nicht zu, dass es zwei primäre DNS-Server für eine Zone gibt. Sonst können sich durch die Konflikte zwischen den beiden primären DNS-Servern ungewöhnliche Probleme ergeben, deren Ursachen nur sehr schwer zu finden sind. Problembehandlung Die folgenden Abschnitte beschreiben Tools und Techniken zur Behebung von Problemen, die sich mit DNS-Servern ergeben können. Liegt das Problem beim Server selbst, weil sich der DNS-Serverdienst zum Beispiel nicht starten lässt oder Zonenübertragungen nicht funktionieren, überprüfen Sie die Ereignisprotokolle. Zur Behebung von Problemen mit Active Directory-integrierte Zonen verwenden Sie das Programm DCDiag. Wenn Sie die Ursache des Problems immer noch nicht ermitteln können, aktivieren Sie auf dem Server die Debugprotokollierung. Sind keine Ressourceneinträge verfügbar oder sind sie nicht korrekt, können Sie das Problem gewöhnlich mit Nslookup eingrenzen. Zur Behebung von komplexeren Problemen verwenden Sie DNSLint oder den Network Monitor. Problembehandlung 187 Ereignisprotokolle Standardmäßig protokolliert der DNS-Serverdienst Fehler und Warnungen im Ereignisprotokoll Anwendungs- und Dienstprotokolle\DNS-Server mit der Quellenangabe DNS-Server-Service. Dieses Protokoll ist unter Server\Globale Protokolle\DNS-Ereignisse auch in der DNS-Manager-Konsole verfügbar. Das Ereignisprotokoll enthält viele Informationen, die bei der Behebung von Problemen von Nutzen sind, darunter folgende: Start und Stopp des DNS-Serverdienstes Aktualisierungen von Zonendateien Potenzielle Konfigurationsprobleme, wie zum Beispiel fehlende SOA-Einträge Fehler bei Zonenübertragungen Fehler bei der dynamischen Registrierung und Deregistrierung Hinweis Wenn Sie schon mit DNS-Servern gearbeitet haben, die auf älteren Windows-Versionen ausgeführt wurden, achten Sie bitte darauf, dass einige Ereignisse in Windows Vista und Windows Server 2008 neue Ereigniskennungen erhalten haben. Um den Umfang der Protokollierung zu ändern (was gewöhnlich nicht erforderlich ist), öffnen Sie den DNS-Manager, zeigen die Servereigenschaften an und klicken dann auf die Registerkarte Ereignisprotokollierung. Verwenden von Nslookup Mit Nslookup können Sie manuell Abfragen an DNS-Server übermitteln. Nslookup ermöglicht Ihnen die Abfrage von bestimmten Eintragstypen, beispielsweise von MX- oder SOA-Einträgen. Außerdem können Sie mit Nslookup versuchen, Zonenübertragungen durchzuführen. Durchführen einer einfachen Abfrage Um eine einfache DNS-Abfrage beim Standardserver durchzuführen, geben Sie einfach an, welchen Eintrag Sie abfragen möchten, wie im folgenden Beispiel: nslookup contoso.com. Server: dns.fabrikam.com Address: 192.168.1.1:53 Non-authoritative answer: Name: contoso.com Adresses: 207.46.232.182, 207.46.197.32 Direkt von der Quelle: Schließen Sie vollständige Domänennamen für Nslookup mit einem Punkt ab Wenn Sie in Nslookup einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eingeben, sollten Sie ihn mit einem Punkt abschließen. Andernfalls versucht Nslookup vielleicht, verschiedene Suchsuffixe anzuhängen, was zu verwirrenden Ergebnissen führen kann. Wenn Nslookup einen unqualifizierten Namen auflösen soll, lassen Sie den abschließenden Punkt weg. 188 Kapitel 7: Domain Name System Wenn Ihr Computer zum Beispiel Mitglied der Domäne contoso.com ist, steht in der Liste Ihrer Suchsuffixe auch contoso.com. Wenn Sie nun versuchen, www.microsoft.com aufzulösen, sendet Nslookup Abfragen für www.microsoft.com. und www.microsoft.com.contoso.com. In manchen Fällen können die Ergebnisse der Abfragen verwirrend sein, insbesondere dann, wenn Sie viele Suchsuffixe verwenden. Schreiben Sie nslookup www.microsoft.com. daher mit einem expliziten abschließenden Punkt. Jeff Westhead, Senior Software Development Engineer Enterprise Networking Group Im obigen Beispiel hat der Client Kontakt zum DNS-Standardserver (192.168.1.1) aufgenommen und erfolgreich eine Antwort erhalten, aus der hervorgeht, dass es für contoso.com zwei IP-Adressen gibt: 207.46.232.182 und 207.46.197.32. Das weist darauf hin, dass der DNS-Server korrekt arbeitet. Die folgende Antwort auf dieselbe Abfrage würde darauf hinweisen, dass der DNS-Server keine IP-Adresse für den Hostnamen contoso.com findet: *** dns.fabrikam.com can't find contoso.com: Non-existent domain Sofern der Domänenname vorhanden ist, überprüfen Sie, ob die Stammhinweise auf dem DNS-Server korrekt konfiguriert wurden. Handelt es sich bei der Domäne um eine interne Domäne, überprüfen Sie, ob Sie für die Domäne eine Stubzone oder eine bedingte Weiterleitung einrichten sollten. Die folgende Antwort bedeutet, dass kein DNS-Server antwortet: Server: dns.fabrikam.com Address: 192.168.1.1:53 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Zeitüberschreitung bei Anforderung an dns.fabrikam.com Überprüfen Sie, ob der Clientcomputer über die korrekte IP-Adresse für den DNS-Server verfügt und ob der DNS-Server betriebsbereit und im Netzwerk verfügbar ist. Überprüfen Sie außerdem, ob Sie einen zweiten DNS-Server einrichten sollten, um die Ausfallsicherheit zu verbessern. Abfragen eines bestimmten Eintragstyps Um einen bestimmten DNS-Eintrag vom DNS-Server abzurufen, beispielsweise einen MX-Eintrag, verwenden Sie die Option type, wie im folgenden Beispiel gezeigt: nslookup -type=mx contoso.com Server: dns.contoso.com Address: 192.168.1.1:53 Non-authoritative answer: contoso.com MX preference = 10, mail exchanger = ail.global.frontbridge.com mail.global.frontbridge.com mail.global.frontbridge.com mail.global.frontbridge.com internet address = 10.46.163.22 internet address = 10.199.154.22 internet address = 10.209.45.169 Problembehandlung 189 Abfragen eines anderen als des DNS-Standardservers Sie sind bei Abfragen nicht auf den DNS-Standardserver des Computers beschränkt, sondern können auch einen anderen DNS-Server angeben, an den die Abfrage gerichtet werden soll. Das folgende Beispiel zeigt, wie man den DNS-Server unter der IP-Adresse 192.168.1.213 nach dem Eintrag east.contoso.com befragt: nslookup east.contoso.com 192.168.1.213 Server: dns.contoso.com Address: 192.168.1.213:53 Non-authoritative answer: Name: east.contoso.com Adresses: 192.168.13.182 Mit dieser Methode lässt sich zum Beispiel überprüfen, ob zwei DNS-Server dieselben Antworten geben. Debugprotokollierung auf dem Client Wenn Sie zur Fehlerbehebung ausführlichere Informationen brauchen, geben Sie die Option debug an. Das folgende Beispiel zeigt einen Teil der Ausgabe für eine Abfrage des SOA-Eintrags von microsoft.com: nslookup -debug -type=soa microsoft.com -----------Got answer: HEADER: opcode = QUERY, id = 1, rcode = NXDOMAIN header flags: response, want recursion, recursion avail. questions = 1, answers = 0, authority records = 0, additional = 0 QUESTIONS: 1.1.168.192.in-addr.arpa, type = PTR, class = IN -----------Server: dns.contoso.com Address: 192.168.1.1:53 -----------Got answer: HEADER: opcode = QUERY, id = 3, rcode = NOERROR header flags: response, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: microsoft.com, type = SOA, class = IN ANSWERS: -> microsoft.com ttl = 3600 (1 hour) primary name server = ns1.msft.net responsible mail addr = msnhst.microsoft.com 190 Kapitel 7: Domain Name System serial refresh retry expire default = 2007090703 = 300 (5 mins) = 600 (10 mins) = 2419200 (28 days) TTL = 3600 (1 hour) Sollte das noch nicht genügen, können Sie Nslookup auch im interaktiven Modus starten, indem Sie einfach den Befehl nslookup ohne Parameter geben. In der Eingabeaufforderung von Nslookup geben Sie dann den Befehl ? ein (also das Fragezeichen), damit Ihnen Nslookup eine Befehlsübersicht anzeigt. Debugprotokollierung auf dem Server Wenn sich ein DNS-Serverproblem nicht mit Unterstützung der Ereignisprotokolle beheben lässt, können Sie die Debugprotokollierung aktivieren, um den eingehenden, ausgehenden oder den gesamten DNS-Server-Datenverkehr zu protokollieren. So konfigurieren Sie die Debugprotokollierung 1. Öffnen Sie die DNS-Manager-Konsole. 2. Klicken Sie Ihren Server mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Wählen Sie auf der Registerkarte Debugprotokollierung (Abbildung 7.6) das Kontrollkästchen Pakete zum Debuggen protokollieren und geben Sie im Textfeld Dateipfad und -name einen Pfad und einen Dateinamen ein. Abbildung 7.6 Die Registerkarte Debugprotokollierung 4. Falls mit einem bestimmten Client Probleme auftreten, wählen Sie das Kontrollkästchen Pakete nach IP-Adressen filtern, klicken auf Filtern, geben die IP-Adresse ein und schließen dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Nachdem Sie nun die Debugprotokollierung aktiviert haben, wiederholen Sie die Schritte, bei denen sich das Problem gezeigt hat, um es zu reproduzieren. Sie könnten zum Beispiel auf einem Client- Problembehandlung 191 computer mit dem Programm Nslookup eine Abfrage an den DNS-Server senden, der nicht korrekt antwortet. Zur Analyse des Debugprotokolls öffnen Sie die Protokolldatei mit einem Texteditor, beispielsweise mit dem Editor von Windows. Das Debugprotokoll enthält eine Beschreibung jedes Pakets, das die Kriterien erfüllt, die Sie auf der Registerkarte Debugprotokollierung festgelegt haben. Verwenden von DNSLint DNSLint ist ein Befehlszeilenprogramm von Microsoft, mit dem sich einige häufiger auftretende DNS-Probleme diagnostizieren lassen. Außerdem kann DNSLint überprüfen, ob bestimmte DNSEinträge intakt sind. Die folgenden Zeilen zeigen einen Teil des Textes, der bei der Untersuchung einer Domäne ausgegeben wird: DNSLint Report System Date: Fri Aug 10 15:48:03 2007 Command run: dnslint /d contoso.com Domain name tested: contoso.com The following 5 DNS servers were identified as authoritative for the domain: DNS server: ns3.msft.net IP Address: 213.199.161.77 UDP port 53 responding to queries: YES TCP port 53 responding to queries: Not tested Answering authoritatively for domain: YES SOA record data from server: Authoritative name server: dns.cp.msft.net Hostmaster: msnhst.microsoft.com Zone serial number: 2007062601 Zone expires in: 83.33 day(s) Refresh period: 1800 seconds Retry delay: 900 seconds Default (minimum) TTL: 3600 seconds Additional authoritative (NS) records from server: ns4.msft.net Unknown ns5.msft.net Unknown ns1.msft.net Unknown ns2.msft.net Unknown ns3.msft.net Unknown Host (A) records for domain from server: 207.46.232.182 207.46.197.32 Mail Exchange (MX) records from server (preference/name/IP address): 10 mail.global.contoso.com Unknown DNSLint führt nicht nur eine ausführliche Untersuchung einer Domäne durch, sondern kann auch überprüfen, ob ein Active Directory-Domänencontroller auf LDAP (Lightweight Directory Access 192 Kapitel 7: Domain Name System Protocol) und DNS-Abfragen antwortet und ob die für Active Directory erforderlichen DNS-Einträge vorhanden sind. Außerdem kann DNSLint die Verbindungen mit den E-Mail-Servern aus einer Domäne testen. Herunterladen können Sie DNSLint unter http://support.microsoft.com/?kbid=321045. Verwenden von DCDiag DCDiag ist ein Befehlszeilenprogramm von Windows Server 2008, mit dem Sie überprüfen können, ob Active Directory-Domänencontroller über die passende DNS-Konfiguration verfügen (außerdem werden noch viele andere Aspekte der Active Directory-Konfiguration getestet). Erkennt DCDiag ein DNS-Konfigurationsproblem, zeigt es ausführliche Informationen an, um Sie bei der Behebung des Problems zu unterstützen. Mit DCDiag können Sie den Stammserver oder alle Domänencontroller testen. Gehen Sie folgendermaßen vor: Um die DNS-Konfiguration des Stammdomänencontrollers zu testen, geben Sie den Befehl DCDiag /test:DNS. Um die DNS-Konfiguration aller Domänencontroller zu testen, geben Sie den Befehl DCDiag /test:DNS /e. Die folgenden Zeilen zeigen die Ergebnisse eines DNS-Tests mit DCDiag, den das System mit einigen Warnungen bestanden hat: Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = 2008-vm * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt Server wird getestet: Default-First-Site-Name\2008-VM Testbeginn: Connectivity Warnmeldung beim Auflösen des Hostnamens 2008-vm.corp.contoso.com mithilfe des Stapels IPv6 *** Achtung: Die Identität des Servers im Verzeichnis konnte nicht anhand der von den DNS-Servern zurückgegebenen Namen bestätigt werden. Sollten Probleme beim Zugreifen auf diesen Verzeichnisserver bestehen, überprüfen Sie, ob dieser Server ordnungsgemäß mit DNS konfiguriert ist ......................... 2008-VM hat den Test Connectivity bestanden Primärtests werden ausgeführt Server wird getestet: Default-First-Site-Name\2008-VM Testbeginn: DNS DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten... ......................... 2008-VM hat den Test DNS bestanden. Partitionstests werden ausgeführt auf : ForestDnsZones Problembehandlung 193 Partitionstests werden ausgeführt auf : DomainDnsZones Partitionstests werden ausgeführt auf : Schema Partitionstests werden ausgeführt auf : Configuration Partitionstests werden ausgeführt auf : corp Unternehmenstests werden ausgeführt auf : corp.contoso.com Testbeginn: DNS Testergebnisse für Domänencontroller: Domänencontroller: 2008-vm.corp.contoso.com Domäne: corp.contoso.com TEST: Basic (Basc) Achtung: Adapter 00:03:FF:3A:50:8F besitzt eine dynamische IP-Adresse (möglicherweise eine Fehlkonfiguration). Achtung: Adapter [00000006] Intel 21140-basierter PCI Fast-Ethernet-Adapter (emuliert) besitzt einen ungültigen DNS-Server: 192.168.1.213 (<Name nicht verfügbar>) Warnung: Der AAAA-Eintrag für diesen Domänencontroller wurde nicht gefunden TEST: Records registration (RReg) Netzwerkkarte [00000006] Intel 21140-basierter PCI Fast-Ethernet-Adapter (emuliert): Warnung: Fehlender AAAA-Eintrag beim DNS-Server ::1: 2008-vm.corp.contoso.com Warnung: Fehlender AAAA-Eintrag beim DNS-Server ::1: gc._msdcs.corp.contoso.com Achtung: Die Eintragsregistrierungen wurden auf einigen Netzwerkkarten nicht gefunden. Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten DNS-Server: DNS-server: 192.168.1.213 (<"Name nicht verfügbar>) 1 Testfehler auf diesem DNS-Server Dies ist kein gültiger DNS-Server. PTR-Eintragsabfrage für 1.0.0.127.in-addr.arpa. schlug fehl auf DNS-Server 192.168.1.213 Die Namensauflösung funktioniert nicht. _ldap._tcp.corp.contoso.com. schlug fehl auf DNS-Server 192.168.1.213 2008-vm PASS WARN PASS PASS PASS WARN n/a corp.contoso.com hat den Test DNS bestanden Falls Sie ausführlichere Informationen wünschen, geben Sie beim Aufruf zusätzlich den Parameter /v an. 194 Kapitel 7: Domain Name System Verwenden des Network Monitors Der Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail untersuchen, einschließlich der DNS-Abfragen und Antworten. Gewöhnlich reicht die Debugprotokollierung auf dem Client (mit Nslookup) oder dem Server (unter Verwendung der DNS-ManagerKonsole) zwar aus, aber der Network Monitor lässt sich ebenfalls einsetzen, falls Sie die rohen, noch nicht interpretierten Paketdaten untersuchen möchten. Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.microsoft.com/ downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann. Zusammenfassung des Kapitels DNS-Server zählen zu den wichtigsten Komponenten der Netzwerkinfrastruktur. Wenn Ihre DNSServer nicht richtig funktionieren, können Netzwerkanwendungen keine Verbindung mit Servern herstellen. Auch E-Mail, das Internet und andere Dienste sind dann nicht mehr zugänglich. Zum Lieferumfang von Windows Server 2008 gehört ein zuverlässiger, skalierbarer und leicht konfigurierbarer DNS-Server, der die Namensauflösung für interne Clients und für Clients aus dem öffentlichen Internet vornehmen kann, die auf Ihre Web- oder E-Mail-Server zugreifen müssen. Der größte Teil der für den DNS-Server erforderlichen Einstellungen lässt sich in der DNS-Manager-Konsole oder mit dem Befehlszeilenprogramm Dnscmd vornehmen. Damit Sie Probleme, die sich mit DNSServern ergeben, schnell beheben können, hat Microsoft für eine ausführliche Ereignisprotokollierung gesorgt, das clientseitige Programm Nslookup bereitgestellt und eine serverseitige Debugprotokollierung implementiert. Weitere Informationen Weitere Informationen über DNS finden Sie in folgenden Dokumenten. Eine Liste der von Microsoft zum Thema DNS bereitgestellten Dokumentation finden Sie in »Domain Name System« unter http://www.microsoft.com/dns. Eine aktuelle Liste der DNS-Stammserver erhalten Sie von http://www.root-servers.org/. Informationen über den System Center Operations Manager 2007 erhalten Sie unter http://www.microsoft.com/systemcenter/opsmgr/. Um den Network Monitor herunterzuladen, besuchen Sie http://www.microsoft.com/downloads/ search.aspx und suchen nach Network Monitor 3.1. DNSLint können Sie von http://support.microsoft.com/?kbid=321045 herunterladen. Weitere Informationen über die Zone GlobalNames finden Sie in »DNS Server GlobalNames Zone Deployment« unter http://www.microsoft.com/downloads/details.aspx?FamilyID= 1c6b31cd-3dd9-4c3f-8acd-3201a57194f1. 195 K A P I T E L 8 Windows Internet Name Service In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 198 201 204 209 214 215 Ein Windows Internet Name Service-Server (WINS-Server) ist ein Dienst, der eine zentralisierte Namensauflösung für NetBIOS-Namen bietet. Obwohl DNS (Domain Name System) inzwischen WINS als Hauptmethode zur Namensauflösung in Windows-Netzwerken abgelöst hat, verwenden viele Organisationen aus Gründen der Abwärtskompatibilität immer noch WINS. Dieses Kapitel bietet Informationen über die Planung, Bereitstellung und Wartung der WINS-Serverfunktion des Betriebssystems Windows Server 2008, sowie über die Behebung von Problemen. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol), DHCP (Dynamic Host Configuration Protocol) und DNS vorausgesetzt. Konzepte Dieser Abschnitt gibt Ihnen einen Überblick über wichtige WINS- und NetBIOS-Namensauflösungskonzepte, wobei folgende Aspekte den Schwerpunkt bilden: Die Geschichte der NetBIOS-Namensauflösung Die Struktur der NetBIOS-Namen Wie Clients WINS-Server verwenden können, um NetBIOS-Namen aufzulösen Wie Clients ihre eigenen NetBIOS-Namen mit einem WINS-Server registrieren können Ausführliche Informationen über NetBIOS und NetBIOS-Namenserver (NBNS) finden Sie in RFC 1001 unter http://www.ietf.org/rfc/rfc1001.txt und in RFC 1002 unter http://www.ietf.org/rfc/ rfc1002.txt. WINS ist die Microsoft-Implementierung von NBNS. Die Geschichte von NetBIOS NetBIOS ist eine API (Application Programming Interface), die von IBM entworfen wurde, damit Computer auf einfache Weise in einem Netzwerk kommunizieren können. Microsoft hat NetBIOS und ein Schicht-2-Protokoll namens NetBEUI (NetBIOS Extended User Interface) für die ersten Versionen des Windows-Netzwerks übernommen. 196 Kapitel 8: Windows Internet Name Service Als sich TCP/IP immer mehr durchsetzte, entwickelte Microsoft NetBIOS über TCP/IP, um die Abwärtskompatibilität für Anwendungen zu gewährleisten, die NetBIOS-APIs verwenden. Eine der größten Herausforderungen war die Erweiterung von NetBIOS. Dabei handelt es sich um ein Protokoll, das für den Einsatz in einem einfachen lokalen Netzwerk (Local Area Network, LAN) entwickelt wurde und nun auch in gerouteten Netzwerken eingesetzt werden sollte, die keine Broadcastnachrichten unterstützen. Die NetBIOS-Namensauflösung in NetBEUI macht es erforderlich, dass der Server eine Broadcastnachricht vom Client empfangen kann. Broadcastnachrichten werden in TCP/IP-Netzwerken aber gewöhnlich nicht über Router in andere Netzwerksegmente weitergeleitet. Microsoft entwickelte WINS, damit die NetBIOS-Namensauflösung auch in gerouteten TCP/IP-Netzwerken funktioniert. Mit WINS verwaltet ein zentraler WINS-Server eine Liste mit NetBIOS-Namen und IP-Adressen für jeden Computer aus dem Netzwerk. Jeder Client übermittelt beim Hochfahren eine Liste mit NetBIOS-Namen und gibt sie beim Herunterfahren frei. Clients können den WINSServer abfragen, um die zu einem beliebigen NetBIOS-Namen gehörende IP-Adresse zu erfahren. NetBIOS-Namen waren unter Microsoft Windows NT 4.0 und älteren Domänen erforderlich, um am Netzwerk teilnehmen zu können. Seit Microsoft Windows 2000 Server verwenden Active DirectoryDomänen aber DNS für die Namensauflösung und ein WINS-Server ist nicht länger erforderlich. Aus Gründen der Abwärtskompatibilität zu älteren Windows-Versionen bieten die Betriebssysteme Windows 2000 Server, Windows Server 2003 und Windows Server 2008 alle einen WINS-Serverdienst an. Alle jüngeren Windows-Clients unterstützen die Verwendung von DNS zur Auflösung von NetBIOS-Namen. Allerdings können Sie die Clients auch so konfigurieren, dass sie einen WINS-Server abfragen. Heutzutage werden NetBIOS und WINS praktisch nur noch zur Unterstützung von Windows NT 4.0Domänen sowie von Windows 95 oder älteren Windows-Versionen gebraucht. Außerdem sind Microsoft Exchange 2000 Server und Exchange Server 2003 auf WINS angewiesen, um ihren vollen Funktionsumfang zu erreichen, wie man im Microsoft Knowledge Base-Artikel 837391 nachlesen kann. Wenn es möglich ist, sollten Sie die Bereitstellung neuer WINS-Server vermeiden. Tabelle 8.1 Gebräuchliche NetBIOS-Dienstcodes Name 16. Zeichen (Hex) Typ Verwendung ComputerName 00 Eindeutig (Unique) Arbeitsstationsdienst ComputerName 01 Eindeutig Nachrichtendienst ComputerName 03 Eindeutig Nachrichtendienst UserName 03 Eindeutig Nachrichtendienst DomainName 1B Eindeutig Hauptsuchdienst der Domäne ComputerName 1D Eindeutig Hauptsuchdienst ComputerName 20 Eindeutig Dateiserver DomainName 00 Gruppe (Group) Domänenname ..__MSBROWSE__. 01 Gruppe Hauptsuchdienst DomainName 1C Gruppe Domänencontroller DomainName 1Eh Gruppe Wahl des Suchdienstes Konzepte 197 NetBIOS-Namen Ein NetBIOS-Name ist ein 16-Byte-Name. NetBIOS-Namen können Folgendes bezeichnen: Dienste Dienste, die auf einem Computer ausgeführt werden Benutzer Bestimmte Benutzer auf einem Computer Gruppen Arbeitsgruppen oder Domänen Bei den ersten 15 Zeichen eines NetBIOS-Namens handelt es sich gewöhnlich um einen Computer-, Benutzer-, Arbeitsgruppen- oder Domänennamen. Das sechzehnte Zeichen bezeichnet einen bestimmten Dienst (vergleichbar mit der Weise, in der eine Portnummer in TCP/IP-Netzwerken einen Dienst bezeichnet). Tabelle 8.1 listet gebräuchliche NetBIOS-Dienste auf und nennt auch das jeweils damit verknüpfte 16. Byte. WINS-Namensauflösung WINS-Abfragen erfolgen mit dem NetBIOS-Datagrammprotokoll, das UDP-Port 137 verwendet (UDP bedeutet User Datagram Protocol). Wenn der primäre WINS-Server nicht antwortet oder wenn seine Antwort lautet, dass der Name nicht zu finden ist, sendet der Client eine Abfrage an den sekundären WINS-Server. Die Betriebssysteme Windows Server 2008, Windows Vista und die meisten neueren Windows-Versionen verwenden standardmäßig folgenden Prozess, um einen einfachen einteiligen Namen wie zum Beispiel einen Computernamen aufzulösen: 1. Vergleiche den Namen mit den bereits aufgelösten DNS-Namen, die im DNS-Zwischenspeicher stehen. 2. Überprüfe die lokale Hosts-Datei nach dem Namen. Die Datei Hosts hat keine Erweiterung und ist im Ordner %SystemRoot%\System32\Drivers\Etc\ zu finden. 3. Füge zum einteiligen Namen die Standarddomäne hinzu und befrage dann DNS. Muss Windows zum Beispiel COMPUTERNAME auflösen und ist contoso.com der Standarddomänenname, führt es mit computername.contoso.com eine Abfrage durch. Auf Clients können mehrere Domänennamen konfiguriert sein. Der einteilige Name wird einzeln mit jedem Domänennamen kombiniert. Dann wird die Abfrage wiederholt. Weitere Informationen Weitere Informationen finden Sie in »Configuring DNS Client Settings« unter http://technet2.microsoft.com/windowsserver/en/library/5fe46cef-db12-4b78-94d22a0b62a282711033.mspx. 4. Übermittle eine LLMNR-Abfrage (Linklocal Multicast Name Resolution) an das lokale Netzwerk. Verwende dabei Internetprotokoll Version 4 (IPv4) und Internetprotokoll Version 6 (IPv6). Weitere Informationen Weitere Informationen über LLMNR finden Sie in RFC 4795 unter http://www.ietf.org/rfc/rfc4795.txt und in »The Cable Guy – November 2006, Link Local Multicast Name Resolution« unter http://www.microsoft.com/technet/community/columns/ cableguy/cg1106.mspx. 5. Überprüfe, ob der Name mit einem bereits aufgelösten NetBIOS-Namen im NetBIOS-Namenscache übereinstimmt, oder mit einem Namen, der aus der Datei Lmhosts geladen wurde. Die Datei Lmhosts hat keine Namenserweiterung und liegt im Ordner %SystemRoot%\System32\ Drivers\Etc\. 198 Kapitel 8: Windows Internet Name Service 6. Übermittle eine NetBIOS-Namensauflösungsabfrage an die WINS-Server. Beginne mit dem primären WINS-Server und fahre fort, bis der Name aufgelöst ist. 7. Sende drei Broadcast-NetBIOS-Namensauflösungsanfragen ins lokale Netzwerk. Warte jeweils 750 ms zwischen den Anfragen. 8. Suche den Namen in der lokalen Datei %SystemRoot%\System32\Drivers\Etc\Lmhosts. Der Prozess endet, wenn einer dieser Schritte zu einer erfolgreichen Auflösung des Namens führt. Ist der Name am Schluss dieses Vorgangs immer noch nicht aufgelöst, wird der Vorgang mit einem Fehler abgeschlossen. Gewöhnlich dauert es 1,5 bis 2,5 Sekunden, bevor das Zeitintervall abläuft. WINS-Clientregistrierungen Wie bei dynamischen DNS-Updates (besprochen in Kapitel 7, »DNS«) registrieren sich auch WINSClients beim Hochfahren selbst bei ihrem konfigurierten WINS-Server. Da sich Clients automatisch selbst registrieren, bleibt die WINS-Datenbank auf dem aktuellen Stand, wenn sich Computer mit Ihrem Netzwerk verbinden oder IP-Adressen ändern. So funktioniert’s: Entfernen von WINS-Clientregistrierungen Damit NetBIOS-Namen nicht veralten, löscht WINS nichtstatische Einträge nach 4 Tagen, wenn der Client den Eintrag nicht erneuert. Standardmäßig registrieren Clients ihre NetBIOS-Namen nach Ablauf der halben Gültigkeitsdauer des NetBIOS-Namenseintrags erneut, oder alle 2 Tage. Wird ein Client normal heruntergefahren, sendet er eine NetBIOS-Namensfreigabenachricht an den WINS-Server und der WINS-Server löscht den NetBIOS-Namen aus der Datenbank. Da WINS Replikationen verwendet, um mehrere WINS-Server synchron zu halten, werden Einträge nicht einfach gelöscht. Stattdessen werden WINS-Einträge, die abgelaufen sind, als veraltet gekennzeichnet. Ist ein Eintrag veraltet, wird dieser Status auf andere WINS-Server repliziert. Irgendwann löschen alle WINS-Server den veralteten Eintrag. Fragt ein Client nach einem veralteten NetBIOSEintrag, antwortet der WINS-Server, dass dieser NetBIOS-Eintrag nicht existiert. In diesem Sinne behandeln WINS-Server einen veralteten Eintrag wie einen gelöschten Eintrag. Durch die WINS-Replikation können WINS-Einträge automatisch auf andere WINS-Server kopiert und in Ihrer gesamten Organisation verfügbar gemacht werden. Planungs- und Entwurfsaspekte Die meisten großen Organisationen verwenden nicht nur aus Redundanzgründen mehrere WINSServer, sondern richten auch aus Leistungsgründen an jedem Standort WINS-Server ein. Um diese Server synchron zu halten und sicherzustellen, dass alle Clients jeden NetBIOS-Namen auflösen können, müssen Sie Replikationspartnerschaften zwischen WINS-Servern einrichten. Bei entsprechender Planung kann eine WINS-Infrastruktur beinahe wartungsfrei sein. Ohne Planung kann eine WINSInfrastruktur unzuverlässig sein, viel Bandbreite beanspruchen und Probleme aufweisen, die nur schwer zu beheben sind. Dieser Abschnitt beschreibt die Planung und das Design einer WINS-Infrastruktur. Planungs- und Entwurfsaspekte 199 Anordnung der WINS-Server Ein einzelner WINS-Server kann bis zu 10.000 WINS-Clients bedienen. Daher brauchen die meisten Organisationen kaum mehr als nur einen WINS-Server, damit ihre Ansprüche an die Skalierbarkeit erfüllt sind. Um die Verzögerungszeiten bei der Bearbeitung von WINS-Abfragen zu minimieren, sollten Sie aber an jedem Standort einen WINS-Server einrichten, wie in Abbildung 8.1 dargestellt. Abbildung 8.1 Aufbau von WINS-Servern an den verschiedenen Standorten Der Einfachheit halber können Sie WINS auf Ihren Active Directory-Domänencontrollern und auf DNS-Servern konfigurieren, die unter Windows betrieben werden. Der zusätzliche Leistungsbedarf ist nur gering. WINS-Replikation WINS unterstützt zwei Replikationsarten: Push Der WINS-Server übermittelt Updates an Replikationspartner, nachdem eine bestimmte Anzahl lokaler Änderungen aufgetreten sind. Ob eine Aktualisierung erforderlich ist, ermitteln WINS-Server durch einen Vergleich der Versionsnummern der WINS-Datenbanken, die bei jeder Änderung eines NetBIOS-Namens ebenfalls aktualisiert werden. Pull WINS-Server kontaktieren ihre Replikationspartner und bitten sie um die Überprüfung, ob Aktualisierungen erforderlich sind. Ist dies der Fall, fordert der Pull-Replikationspartner die aktuellen Einträge vom Remote-WINS-Server an. In Replikationspartnerschaften wird die Push/Pull-Replikation standardmäßig kombiniert, Sie sollten diese Einstellung normalerweise beibehalten. Sie brauchen nur dann eine dieser Replikationsmethoden zu deaktivieren, wenn Ihnen die verfügbare Bandbreite keine andere Wahl lässt und Sie den Replikationsdatenverkehr sorgfältig planen müssen. Eine Replikation ist eine inkrementelle Aktualisierung. Anders gesagt, WINS-Server übertragen nur Einträge, die seit der letzten Replikation geändert wurden. Administratoren können eine Replikation 200 Kapitel 8: Windows Internet Name Service manuell einleiten, um zum Beispiel sicherzustellen, dass die Datenbanken für die anstehenden Wartungsarbeiten auf dem neusten Stand sind. Bei der Planung des WINS-Replikationsschemas sollten Sie darauf achten, dass die Konvergenzzeit möglichst klein ist (mit diesem Begriff ist die Zeit gemeint, die erforderlich ist, bis alle WINS-Server nach einer Aktualisierung wieder synchron sind). Ist die Konvergenzzeit zu groß, können Clients aus einem bestimmten Teil des Netzwerks zum Beispiel nicht auf neu angeschlossene Netzwerkressourcen zugreifen, die für andere Clients, die einen anderen WINS-Server verwenden, bereits zugänglich sind. Dadurch wird auch die Problembehandlung komplizierter. Wenn Ihr Netzwerk nur über zwei oder drei WINS-Server verfügt, konfigurieren Sie die WINS-Server so, dass jeder mit jedem als Replikationspartner verbunden ist (Abbildung 8.2). Abbildung 8.2 Die WINS-Replikation erfolgt in diesem Beispiel mit jedem WINS-Server direkt Wenn Sie mehr als drei WINS-Server einsetzen, verwenden Sie eine Hub-Architektur. Wie Abbildung 8.3 zeigt, können Sie auch in diesem Fall für Redundanz sorgen, indem Sie zwei WINS-Server als Hubs einsetzen. Bei der Einrichtung der Replikation konfigurieren Sie jeden WINS-Server einfach so, dass die Replikation mit einem Hub erfolgt. Abbildung 8.3 Die WINS-Replikation erfolgt hier über Hubs Bereitstellungsschritte 201 Bereitstellungsschritte Die Konfiguration von WINS ist ziemlich einfach und die vorgeschlagenen Standardeinstellungen sind für die meisten Organisationen die richtige Wahl. Dieser Abschnitt beschreibt folgende Punkte: Hinzufügen der WINS-Serverfunktion zu einem Computer, auf dem Windows Server 2008 ausgeführt wird Einrichten der WINS-Replikation Konfigurieren von WINS-Clients Konfigurieren eines WINS-Servers Bevor Sie die WINS-Serverfunktion zu einem Computer hinzufügen, auf dem Windows Server 2008 ausgeführt wird, sollten Sie dem Server eine statische IP-Adresse geben. Da Clients den Namen eines Namensauflösungsservers nicht nachschlagen können, müssen Sie die Clients mit der IP-Adresse des Servers konfigurieren. Verfügt der Server nur über eine dynamische IP-Adresse, könnte sich diese Adresse ändern. Dann müssten alle Clientcomputer neu konfiguriert werden. So konfigurieren Sie einen WINS-Server 1. Nachdem Sie dem Server eine statische IP-Adresse gegeben haben, klicken Sie auf Start und dann auf Server-Manager. 2. Klicken Sie mit der rechten Maustaste auf Features und klicken Sie dann auf Features hinzufügen. Der Assistent zum Hinzufügen von Features öffnet sich. 3. Wählen Sie auf der Seite Features auswählen die Option WINS-Server und klicken Sie dann auf Weiter. 4. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. 5. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. Konfigurieren der WINS-Replikation Um die WINS-Serverkonfiguration abzuschließen, konfigurieren Sie erst die WINS-Replikation und konfigurieren anschließend die WINS-Clients (einschließlich des WINS-Servers) mit der IP-Adresse des WINS-Servers. So konfigurieren Sie einen WINS-Replikationspartner 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. Abbildung 8.4 Die WINS-Konsole 202 Kapitel 8: Windows Internet Name Service 2. Die WINS-Konsole öffnet sich (Abbildung 8.4). 3. Erweitern Sie den Namen Ihres WINS-Servers. Klicken Sie Replikationspartner mit der rechten Maustaste an und klicken Sie dann auf Neuer Replikationspartner. 4. Geben Sie im Dialogfeld Neuer Replikationspartner die IP-Adresse des Replikationspartners ein und klicken Sie dann auf OK. Wiederholen Sie diese Schritte nun auf dem Replikationspartner, damit beide Partner über eine Push/ Pull-Beziehung zum Remote-WINS-Server verfügen. WINS-Clientkonfiguration Um sich registrieren, die Registrierung erneuern und NetBIOS-Namen auflösen zu können, müssen WINS-Clients die IP-Adresse von mindestens einem WINS-Server kennen. Die folgenden Abschnitte beschreiben, wie man einen DHCP-Server so einstellt, dass er Clients mit den WINS-Einstellungen versorgen kann, wie man auf einem Clientcomputer die WINS-Einstellungen manuell vornimmt und wie sich die WINS-Einstellungen mit einem Skript durchführen lassen. Hinweis Wenn Sie noch ältere Windows-Clients wie beispielsweise Windows 3.1 einsetzen, die keine Abfragen an WINS-Server senden können, dann richten Sie in dem betreffenden Subnetz einen WINSProxy ein, der Broadcastabfragen annimmt und als direkte Abfrage an den WINS-Server sendet. Wenn Sie eine Windows-Version entsprechend konfigurieren möchten, die den Versand von WINS-Abfragen durch einen WINS-Proxy unterstützt, stellen Sie den Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Netbt\Parameters\EnableProxy auf 1. Einstellen eines DHCP-Servers auf die Zuweisung von WINS-Serverdaten Heutzutage konfigurieren die meisten Netzwerke Clientcomputer mit DHCP. Wenn Sie die DHCPServerrolle zu einem Computer hinzufügen, auf dem Windows Server 2008 ausgeführt wird, können Sie die IP-Adresse des WINS-Servers auf der Seite IPv4-WINS-Einstellungen eingeben. So fügen Sie nachträglich eine WINS-Serveradresse hinzu, nachdem Sie einen DHCP-Server ohne einen WINS-Server konfiguriert haben 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie erst den Servernamen und dann IPv4 oder IPv6. 3. Klicken Sie Serveroptionen mit der rechten Maustaste an und klicken Sie dann auf Optionen konfigurieren. 4. Wählen Sie das Kontrollkästchen 044 WINS/NBNS-Server, geben Sie die IP-Adresse Ihres WINSServers ein und klicken Sie dann auf OK. So aktualisieren Sie die WINS-Serveradresse nach der Konfiguration der DHCP-Serverrolle 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP. 2. Erweitern Sie erst den Servernamen und dann IPv4. 3. Klicken Sie auf Serveroptionen. 4. Klicken Sie im rechten Bereich die Option WINS/NBNS-Server mit einem Doppelklick an. Konfigurieren Sie die IP-Adressen Ihrer WINS-Server im Dialogfeld Serveroptionen (Abbildung 8.5) und klicken Sie dann auf OK. Bereitstellungsschritte 203 Abbildung 8.5 Das Dialogfeld Serveroptionen Manuelles Konfigurieren eines Computers, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird Wenn die Computer auf die Verwendung von DHCP eingestellt sind, brauchen Sie nur die DHCPServer mit den IP-Adressen der WINS-Server zu versorgen. Wenn Clients dann eine DHCP-Lease erhalten, erhalten sie automatisch auch die IP-Adressen Ihrer WINS-Server. So konfigurieren Sie einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird und dem manuell eine IP-Adresse zugewiesen wurde 1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie auf Eigenschaften. 2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten. 3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. Wenn sich die Benutzerkontensteuerung meldet, nehmen Sie die erforderlichen Eingaben vor. 4. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften. 5. Klicken Sie auf Erweitert. 6. Klicken Sie auf die Registerkarte WINS und dann auf Hinzufügen. Geben Sie die IP-Adresse Ihres WINS-Servers ein und klicken Sie auf Hinzufügen. Wiederholen Sie diese Schritte nach Bedarf, um mehrere redundante WINS-Server hinzuzufügen. 7. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK und klicken Sie dann auf Schließen. Hinweis Konfigurieren Sie WINS-Server als ihre eigenen WINS-Clients. 204 Kapitel 8: Windows Internet Name Service Konfigurieren eines Computers, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, mit einem Skript Mit dem Programm Netsh können Sie einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, mit der IP-Adresse eines WINS-Servers versorgen, wie das folgende Beispiel zeigt: netsh interface ipv4 add winsserver "LAN-Verbindung" 192.168.1.213 Wartung WINS-Server erfordern einige Wartungsarbeiten. Insbesondere sollten Sie regelmäßig die WINSServerdatenbank sichern (das geschieht vermutlich im Rahmen der regelmäßigen Sicherung des Servers automatisch). Um die Leistung zu optimieren, sollten Sie regelmäßig die WINS-Datenbank komprimieren und ihren Zustand überprüfen. Zur Überwachung eines WINS-Servers können Sie die WINSKonsole oder die Systemmonitor-Konsole verwenden. Außerdem müssen Sie im Rahmen der Wartung vielleicht WINS-Einträge hinzufügen oder löschen. Die folgenden Abschnitte beschreiben diese Arbeiten ausführlicher. Sichern der WINS-Serverdatenbank Die Standardsicherungsprogramme von Windows Server 2008 sichern die WINS-Serverdatenbank, die im Ordner %SystemRoot%\System32\Wins\ zu finden ist, bei einer Sicherung automatisch mit. In der WINS-Konsole können Sie die WINS-Serverdatenbank auch manuell sichern. So konfigurieren Sie den Sicherungsort für die WINS-Serverdatenbank 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein auf Durchsuchen. Wählen Sie einen Ordner aus, in dem die Sicherung gespeichert werden soll. 4. Wählen Sie bei Bedarf das Kontrollkästchen Datenbank beim Herunterfahren des Servers sichern. 5. Klicken Sie auf OK. So führen Sie eine Sicherung durch 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Datenbank sichern. 3. Wählen Sie den Ordner aus, in dem die Sicherung gespeichert werden soll, und klicken Sie dann auf OK. Windows erstellt in dem von Ihnen gewählten Ordner einen Unterordner namens wins_bak. Klicken Sie auf OK, wenn die Sicherung bestätig wird. Beachten Sie bitte, dass Sie Ihre WINS-Datenbank nicht zwangsläufig sichern oder wiederherstellen müssen. Wenn Sie WINS-Replikationspartner haben, die im Netzwerk verfügbar sind, können Sie den Schritten folgen, die in diesem Kapitel unter der Überschrift »Beheben von WINS-Datenbankproblemen« beschrieben werden, um die Datenbank mit den Daten von einem Replikationspartner wiederherzustellen. Gewöhnlich verfügen Replikationspartner über eine aktuellere WINS-Datenbank, als in einer herkömmlichen Datensicherung verfügbar ist. Wartung 205 Komprimieren der WINS-Datenbank In Abständen von 6 bis 12 Monaten sollten Sie die WINS-Datenbank komprimieren, damit sie möglichst wenig Speicherplatz belegt. Geben Sie zur Komprimierung der WINS-Datenbank in einer Eingabeaufforderung folgende Befehle (oder erstellen Sie eine entsprechende Batchdatei, um den Vorgang außerhalb der üblichen Bürozeiten durchzuführen): net stop wins compact %systemroot%\system32\wins\wins.mdb net start wins Durchführen einer Datenbanküberprüfung Gelegentlich kann es durch Beschädigungen der WINS-Datenbank zu unterschiedlichen Datenbeständen bei den WINS-Replikationspartnern kommen. Solche Probleme sind zwar eher selten, aber die Menge der ungültigen Einträge kann mit der Zeit einen beträchtlichen Umfang erreichen. Mit der WINS-Datenbanküberprüfung können Sie Ihre WINS-Server so einstellen, dass sie in regelmäßigen Abständen jeden Eintrag bei dem WINS-Server überprüfen, dem der Eintrag gehört. Falls Sie über eine große Zahl an WINS-Einträgen verfügen, kann die Datenbanküberprüfung eine beträchtliche Belastung für das Netzwerk und die Prozessoren bedeuten. Daher sollten Sie Einstellungen so vornehmen, dass die Datenbanküberprüfung in Zeiten stattfindet, in denen die Server und das Netzwerk nicht so stark belastet sind. So stellen Sie Ihre WINS-Server auf eine automatische Datenbanküberprüfung ein 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf Datenbanküberprüfung. Wählen Sie das Kontrollkästchen Datenbankkonsistenz alle. Abbildung 8.6 Einstellen der WINS-Datenbanküberprüfung 206 Kapitel 8: Windows Internet Name Service 4. Wie Abbildung 8.6 zeigt, können Sie ein Überprüfungsintervall zwischen 6 und 24 Stunden einstellen. Legen Sie dann fest, wie lange das System bis zur ersten Prüfung warten soll. Anders gesagt, wenn die Überprüfung um 2 Uhr nachts stattfinden soll und es ist 17 Uhr, stellen Sie eine Verzögerung von 9 Stunden ein. 5. Legen Sie fest, wie viele Einträge bei jeder Überprüfung höchstens überprüft werden sollen. Der vorgegebene Standardwert 30.000 reicht gewöhnlich aus. 6. Legen Sie fest, ob die Einträge mit den Besitzerservern geprüft werden sollen (damit ist jeweils der Server gemeint, der eine NetBIOS-Namensregistrierung vom Client angenommen hat) oder ein nach dem Zufallsprinzip ausgewählter Partner. Im Normalfall ist Besitzerserver die beste Wahl. Ist allerdings ein einzelner WINS-Server Besitzer des Großteils Ihrer WINS-Einträge und Sie stellen fest, dass die Datenbanküberprüfung diesen Server zu stark belastet, sollten Sie stattdessen Zufällig gewählte Partner wählen. 7. Klicken Sie auf OK. Überwachen eines WINS-Servers Windows Server 2008 enthält zwei Tools zur Überwachung eines WINS-Servers in Echtzeit, nämlich die WINS-Konsole und das Systemmonitor-Snap-In. Außerdem können Sie WINS-Server mit dem Microsoft System Center Operations Manager 2007 überwachen. Anzeigen der aktiven Registrierungen Sie können die WINS-Konsole verwenden, um eine Liste der aktiven Registrierungen einzusehen. So zeigen Sie in der WINS-Konsole die aktiven WINS-Registrierungen an 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Erweitern Sie den Namen Ihres WINS-Servers, klicken Sie Aktive Registrierungen mit der rechten Maustaste an und klicken Sie dann auf Datensätze anzeigen. 3. Im Dialogfeld Einträge anzeigen richten Sie die gewünschten Filteroptionen ein. Falls Sie alle Datensätze anzeigen möchten, übernehmen Sie einfach die Standardeinstellungen der Filteroptionen. Klicken Sie dann auf Suche starten. Die WINS-Konsole zeigt die aktiven WINS-Registrierungen an, die den von Ihnen festgelegten Kriterien entsprechen. Überwachen der WINS-Serverleistung Mit der Systemmonitor-Konsole können Sie die Aktivität Ihres WINS-Servers überwachen. So überwachen Sie die WINS-Serveraktivität in Echtzeit 1. Klicken Sie auf Start und dann auf Server-Manager. 2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools und klicken Sie dann auf Systemmonitor. 3. Klicken Sie im Systemmonitor-Snap-In auf Hinzufügen (die Schaltfläche mit dem grünen Pluszeichen auf der Symbolleiste). Das Dialogfeld Leistungsindikatoren hinzufügen öffnet sich. 4. Erweitern Sie in der Liste Verfügbare Leistungsindikatoren den Eintrag WINS-Server. Klicken Sie jeweils den Leistungsindikator an, den Sie hinzufügen möchten, und klicken Sie dann auf Hinzufügen. Wartung 207 5. Klicken Sie auf OK, um zum Systemmonitor-Snap-In zurückzukehren. Folgende Leistungsindikatoren für WINS können Sie überwachen: Abfragen/s, Erfolgreiche Abfragen/s und Fehlgeschlagene Abfragen/s Diese Leistungsindikatoren geben die aktuelle Rate der WINS-Abfragen an. Einzelregistrierungen/s, Gruppenregistrierungen/s und Registrierungen insgesamt/s Diese Leistungsindikatoren geben die aktuelle Rate der WINS-Clientregistrierungen an. Einzelerneuerungen/s, Gruppenerneuerungen/s und Erneuerungen insgesamt/s Diese Leistungsindikatoren geben die aktuelle Rate der WINS-Clienterneuerungen an. Standardmäßig erfolgen die Erneuerungen alle 2 Tage. Einzelkonflikte/s, Gruppenkonflikte/s und Konflikte insgesamt/s Diese Leistungsindikatoren geben die Rate der Konflikte an, die sich bei den Versuchen von Clients ergeben, ihre WINS-Datensätze zu registrieren oder zu erneuern. Freigaben/s, Erfolgreiche Freigaben/s und Fehlgeschlagene Freigaben/s Diese Leistungsindikatoren geben die aktuelle Löschrate der WINS-Clientdatensätze an (Clients löschen ihre Einträge, wenn sie ordnungsgemäß heruntergefahren werden). Hinzufügen eines statischen WINS-Datensatzes Im Normalfall werden alle WINS-Datensätze, die Sie brauchen, beim Hochfahren der Clientcomputer automatisch hinzugefügt. Allerdings können Sie für Server, die nicht automatisch registriert werden, auch statische WINS-Einträge vornehmen. So fügen Sie für Server, die nicht automatisch registriert werden, statische WINS-Datensätze hinzu 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Erweitern Sie in der WINS-Konsole den Namen Ihres Servers, klicken Sie mit der rechten Maustaste auf Aktive Registrierungen und klicken Sie dann auf Neue statische Zuordnung. 3. Geben Sie im Dialogfeld Statische Zuordnung den Computernamen und die IP-Adresse ein. Wählen Sie in der Dropdownliste Typ einen der folgenden Typen: Eindeutig Identifiziert Arbeitsstations-, Nachrichten- und Dateiserverdienst auf einem einzelnen Computer. Verwenden Sie diesen Typ zur Identifizierung eines Client- oder Servercomputers. Mehrfach vernetzt Dieser Typ bietet dieselbe statische Zuordnung wie Eindeutig, lässt sich aber auf mehrere IP-Adressen anwenden. Verwenden Sie diesen statischen Zuordnungstyp für Computer, die mit mehreren Netzwerkkarten ausgerüstet sind. Es ist üblich, in einem Server mehrere Netzwerkkarten zu verwenden und einen Mehrfach vernetzt-Datensatz zu konfigurieren, damit verschiedene Clients Verbindungen zu unterschiedlichen Netzwerkadaptern herstellen können. Auf diese Weise wird die Last auf die Netzwerkadapter verteilt und die Skalierbarkeit verbessert. Internetgruppe Identifiziert den Serverdienst auf einem oder mehreren Dateiservern. Sie können diese statische Zuordnung verwenden, um eine DFS-Freigabe (Distributed File System) zu identifizieren, die zwischen mehreren Dateiservern repliziert wird. Gruppe Identifiziert eine Arbeitsgruppe Domänenname Identifiziert einen oder mehrere Domänencontroller 4. Klicken Sie auf OK. 208 Kapitel 8: Windows Internet Name Service Der statische Eintrag wird auf alle Partner repliziert, wie jeder andere WINS-Datensatz. Sie können einen statischen Eintrag auch mit Netsh zu einem WINS-Server hinzufügen. Verwenden Sie folgende Syntax: netsh wins server add name name=NetBIOS_Name ip={IP_Adresse} Der folgende Befehl fügt zum Beispiel einen WINS-Datensatz mit dem NetBIOS-Namen »SERVER« und der IP-Adresse 192.168.1.10 hinzu: netsh wins server add name name=SERVER ip={192.168.1.10} Wenn Sie einen Dienstcode angeben möchten, wie in Tabelle 8.1 beschrieben, geben Sie den Befehl mit dem Parameter endchar und geben das sechzehnte Zeichen hexadezimal an. Das folgende Beispiel zeigt, wie ein NetBIOS-Name für den Hauptsuchdienst der Domäne (er verwendet Code 1B) hinzugefügt wird: netsh wins server add name name=DOMAIN ip={192.168.1.10} endchar=1B Wenn Sie den Gruppentyp eines Datensatzes angeben möchten, verwenden Sie den Parameter group mit einem Wert von 0 bis 4, mit dem der Gruppentyp des Eintrags angegeben wird. Wenn Sie den Parameter group nicht angeben, geht WINS davon aus, dass der Datensatz vom Typ Eindeutig (unique) ist. Zulässige Werte sind: 0 Eindeutig 1 Gruppe 2 Internetgruppe 3 Mehrfach vernetzt 4 Domänenname Der folgende Befehl gibt zum Beispiel für den Gruppennamen des Domänencontrollers mehrere IP-Adressen an (Domänencontroller haben den Dienstcode 1C): netsh wins server add name name=DC ip={192.168.1.10, 192.168.1.11} endchar=1C group=1 Ausführlichere Hinweise über die verfügbaren Parameter erhalten Sie, wenn Sie in einer Eingabeaufforderung folgenden Befehl geben: netsh wins server add name ? Löschen eines WINS-Eintrags Unter normalen Umständen entfernt WINS veraltete Datensätze automatisch. Wenn Sie einen Datensatz manuell von allen WINS-Servern Ihrer Organisation entfernen müssen, sollten Sie ihn als veraltet kennzeichnen. Müssen Sie nur von einem einzigen WINS-Server einen Eintrag entfernen, ohne diese Änderung auf andere WINS-Server zu replizieren, sollten Sie den Eintrag löschen. So löschen Sie einen WINS-Eintrag oder kennzeichnen ihn als veraltet 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Erweitern Sie in der WINS-Konsole den Namen Ihres Servers und klicken Sie dann auf Aktive Registrierungen. 3. Folgen Sie der Beschreibung im Abschnitt »Anzeigen der aktiven Registrierungen« dieses Kapitels, um den Eintrag zu suchen, den Sie löschen oder als veraltet kennzeichnen möchten. Klicken Sie den Eintrag dann mit der rechten Maustaste an und wählen Sie Löschen. Problembehandlung 209 4. Wählen Sie im Dialogfeld Löschen des Eintrags auf anderen Servern replizieren (veraltet), um den Eintrag als veraltet zu kennzeichnen. Wenn Sie den Eintrag einfach von diesem speziellen Server löschen möchten, wählen Sie Eintrag nur von diesem Server löschen. Wenn Sie den Eintrag einfach löschen, ohne ihn als veraltet zu kennzeichnen, kann es durchaus geschehen, dass es ihn auf anderen WINS-Servern noch gibt. 5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Ja. 6. Klicken Sie auf OK. Problembehandlung Die frühen WINS-Implementierungen hatten zwar in gewissem Umfang mit beschädigten Datenbanken und Replikationsproblemen zu kämpfen, aber der WINS-Server von Windows Server 2008 ist wesentlich zuverlässiger. Trotzdem kann es während der Clientregistrierungen oder WINS-Replikationen zu Problemen kommen. Die folgenden Abschnitte beschreiben, wie Sie Probleme mit WINSServern (beispielsweise nicht korrekt gelöschte Datensätze, Replikationsprobleme und beschädigte Datenbanken) und mit WINS-Clients (fehlgeschlagene WINS-Abfragen und Registrierungen) beheben können. Beheben von WINS-Serverproblemen Die folgenden Abschnitte beschreiben die Behebung von Problemen mit WINS-Servern und WINSServerdatenbanken mit folgenden Mitteln: Aktivieren einer detaillierten Ereignisprotokollierung Löschen der WINS-Serverdatenbank Wiederherstellen der WINS-Serverdatenbank mit Replikationspartnern Wiederherstellen der WINS-Serverdatenbank aus einer Sicherung Verwenden von Ereignisprotokollen Standardmäßig trägt WINS WINS-Server-Ereignisse mit der Quellenangabe WINS ins Systemereignisprotokoll ein. Wenn sich mit einem WINS-Server Probleme ergeben, sollten Sie zuerst auf diesem WINS-Server das Systemereignisprotokoll überprüfen. Ausführliche Informationen über jedes Ereignis finden Sie unter http://support.microsoft.com. Wenn der WINS-Server detailliertere Informationen über ein Problem aufzeichnen soll, können Sie eine ausführliche Ereignisprotokollierung aktivieren. So aktivieren Sie eine ausführliche Ereignisprotokollierung 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Namen Ihres WINS-Servers mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Erweitert. Wählen Sie das Kontrollkästchen Detaillierte Ereignisse im Windows-Ereignisprotokoll eintragen und klicken Sie dann auf OK. WINS-Clients tragen keine Ereignisse ins Ereignisprotokoll ein, wenn sich ein Name nicht auflösen lässt. 210 Kapitel 8: Windows Internet Name Service Beheben von WINS-Datenbankproblemen In seltenen Fällen kann eine WINS-Serverdatenbank beschädigt werden. Beschädigte Datenbanken können veraltete oder ungültige Einträge enthalten, sich nicht korrekt aktualisieren lassen, und es können Einträge fehlen. Wenn für den WINS-Server keine Replikationspartnerschaften bestehen, sollten Sie die WINS-Serverdatenbank aus einer Sicherung wiederherstellen. Verfügt der WINS-Server über mindestens einen Replikationspartner, sollten Sie die beschädigte Datenbank des Servers löschen und die WINS-Datenbank über die Replikationspartnerschaft per Replikation wiederherstellen. So löschen Sie die WINS-Serverdatenbank und stellen sie mit einem Replikationspartner wieder her 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Namen Ihres WINS-Servers mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Beenden. 3. Löschen Sie die WINS-Serverdatenbank, indem Sie im Ordner %SystemRoot%\System32\Wins\ alle Dateien löschen. 4. Klicken Sie in der WINS-Konsole den Namen Ihres WINS-Servers mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Start. 5. Klicken Sie mit der rechten Maustaste auf Replikationspartner und klicken Sie dann auf Jetzt replizieren. Innerhalb weniger Minuten erhält der WINS-Server von seinen Replikationspartnern eine Kopie der WINS-Datenbank. Diese Kopie enthält alle Datensätze, die dem beschädigten WINS-Server gehörten. Wenn Sie feststellen, dass ein WINS-Server beschädigte Datensätze repliziert, versuchen Sie mit folgenden allgemeinen Schritten, das Problem zu beheben: 1. Beenden Sie den beschädigten WINS-Server. 2. Öffnen Sie auf einem Replikationspartner die WINS-Konsole, klicken Sie Aktive Registrierungen mit der rechten Maustaste an und klicken Sie dann auf Besitzer löschen (Delete Owner). 3. Im Dialogfeld Besitzer löschen wählen Sie den beschädigten WINS-Server, klicken auf Löschen auf anderen Servern replizieren (veraltet) und klicken Sie dann auf OK. 4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja. 5. Leiten Sie die Replikation ein, indem Sie mit der rechten Maustaste auf Replikationspartner klicken und dann auf Jetzt replizieren klicken. Warten Sie einige Minuten, damit die Replikation abgeschlossen werden kann. 6. Löschen Sie die WINS-Serverdatenbank vom beschädigten WINS-Server. Starten Sie dann den beschädigten WINS-Server wieder und ermöglichen Sie es ihm, die Daten von seinen Replikationspartnern zu replizieren. Wiederherstellen der WINS-Serverdatenbank aus einer Sicherung Wenn möglich, sollten Sie eine WINS-Serverdatenbank mit einem Replikationspartner wiederherstellen. Falls das nicht möglich ist und Sie kürzlich eine Sicherungskopie Ihrer WINS-Serverdatenbank angefertigt haben, können Sie die Datenbank mit folgenden Schritten wiederherstellen. So stellen Sie eine WINS-Serverdatenbank aus einer Sicherung wieder her 1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS. 2. Klicken Sie den Servernamen mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Beenden. Problembehandlung 211 3. Nach dem Beenden des WINS-Serverdienstes klicken Sie den Servernamen mit der rechten Maustaste an und klicken dann auf Datenbank wiederherstellen. 4. Wählen Sie den Ordner aus, in dem die Sicherung der WINS-Datenbank liegt, und klicken Sie dann auf OK. 5. Die WINS-Konsole stellt die Datenbank wieder her und startet den WINS-Server automatisch. 6. Klicken Sie auf OK, wenn Sie zur Bestätigung aufgefordert werden. Beheben von WINS-Clientproblemen Die folgenden Abschnitte beschreiben die Behebung von Problemen, die sich mit WINS-Clients und bei WINS-Abfragen ergeben können. Anzeigen der Konfiguration eines WINS-Clients Wenn Sie die Konfiguration eines WINS-Clients schnell überprüfen möchten, geben Sie in einer Eingabeaufforderung den Befehl Ipconfig /allein. Überprüfen Sie die Angaben über den primären und den sekundären WINS-Server, die in der folgenden Beispielausgabe fett gedruckt sind: Windows-IP-Configuration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert DNS-Suffixsuchliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : : : : : : WS08 Hybrid Nein Nein hsd1.nh.contoso.com. Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Autokonfiguration aktiviert . . . : IPv4-Adresse . . . . . . . . . . : Subnetzmaske . . . . . . . . . . : Lease erhalten. . . . . . . . . . : Lease läuft ab. . . . . . . . . . : Standardgateway . . . . . . . . . : DHCP-Server . . . . . . . . . . . : DNS-Server . . . . . . . . . . . : Primärer WINS-Server. . . . . . . : Sekundärer WINS-Server. . . . . . : NetBIOS über TCP/IP . . . . . . . : hsd1.nh.contoso.com. Gigabit Controller 00-15-C5-08-82-F3 Ja Ja 192.168.1.161(Bevorzugt) 255.255.255.0 Mittwoch, 15. August 2007 7:04:56 Donnerstag, 16. August 2007 7:05:01 192.168.1.1 192.168.1.1 192.168.1.2 192.168.1.2 192.168.1.3 Aktiviert Verwenden von NBTStat Mit dem Tool NBTStat können Sie bei der Behebung von NetBIOS-Namensauflösungsproblemen verschiedene Aufgaben ausführen, wie die folgenden Beispiele demonstrieren: Anzeigen der auf dem aktuellen Computer registrierten NetBIOS-Namen zur Überprüfung der Registrierungsergebnisse: 212 Kapitel 8: Windows Internet Name Service nbtstat -n Drahtlosnetzwerkverbindung: Knoten-IP-Adresse: [192.168.1.142] Bereichskennung: [] Lokale NetBIOS-Namentabelle Name Typ Status --------------------------------------------WS08 <00> EINDEUTIG Registriert MSHOME <00> GRUPPE Registriert MSHOME <1E> GRUPPE Registriert WS08 <20> EINDEUTIG Registriert MSHOME <1D> EINDEUTIG Registriert ..__MSBROWSE__.<01> GRUPPE Registriert Anzeigen kürzlich aufgelöster NetBIOS-Namen zur Überprüfung der Abfrageergebnisse: nbtstat -r Statistik zur NetBIOS-Namensauflösung und -Registrierung ---------------------------------------------------Durch Broadcast aufgelöst = 16 Durch Namenserver aufgelöst = 0 Durch Broadcast registriert = 35 Durch Namenserver registriert = 0 Durch Broadcast aufgelöste NetBIOS-Namen --------------------------------------------LAPTOP <00> 2003-SERVER <00> LAPTOP <00> 2003-SERVER <00> LAPTOP <00> 2003-SERVER <00> 2003-SERVER <00> LAPTOP2 <00> Anzeigen zwischengespeicherter NetBIOS-Namen: nbtstat -c Drahtlosnetzwerkverbindung: Knoten-IP-Adresse: [192.168.1.142] Bereichskennung: [] Keine Namen im Cache Löschen des NetBIOS-Namenscaches (der Befehl muss in einer Eingabeaufforderung mit administrativen Rechten gegeben werden), damit keine veralteten Einträge zwischengespeichert werden: nbtstat -R NBT-Remotecache-Namentabelle wurde erfolgreich geräumt und geladen. Löschen und erneutes Registrieren lokaler NetBIOS-Namen, falls die NetBIOS-Namen eines Computers nicht auf einem WINS-Server registriert sind: nbtstat -RR Die für diesen Computer registrierten NetBIOS-Namen wurden aktualisiert. Problembehandlung 213 Auflisten der NetBIOS-Namen eines Remotecomputers unter Angabe des Namens oder der IP-Adresse des Remotecomputers: nbtstat -a Computername Drahtlosnetzwerkverbindung: Knoten-IP-Adresse: [192.168.1.158] Bereichskennung: [] NetBIOS-Namentabelle des Remotecomputers Name Typ Status --------------------------------------------SERVERNAME <00> EINDEUTIG Registriert SERVERNAME <20> EINDEUTIG Registriert WORKGROUP <00> GRUPPE Registriert WORKGROUP <1E> GRUPPE Registriert WORKGROUP <1D> EINDEUTIG Registriert ..__MSBROWSE__.<01> GRUPPE Registriert MAC-Adresse = 00-13-D3-3B-50-8F Isolieren fehlgeschlagener WINS-Abfragen Wenn ein Client einen NetBIOS-Namen nicht auflösen kann, gehen Sie zur Behebung des Problems folgendermaßen vor: So ermitteln Sie die Ursache für eine gescheiterte WINS-Abfrage 1. Löschen Sie den NetBIOS-Namenscache, indem Sie in einer Eingabeaufforderung mit administrativen Rechten den Befehl nbtstat -R eingeben. 2. Sorgen Sie dafür, dass auf dem Client der richtige WINS-Server eingestellt ist. Zur Überprüfung, welcher WINS-Server aktuell eingestellt ist, geben Sie in einer Eingabeaufforderung den Befehl Ipconfig /all ein. 3. Überprüfen Sie mit dem Programm Ping, ob der WINS-Server im Netzwerk erreichbar ist (rufen Sie in einer Eingabeaufforderung Ping mit der IP-Adresse des WINS-Servers als Parameter auf). 4. Lassen Sie sich auf dem WINS-Server die aktiven Registrierungen anzeigen und überprüfen Sie, ob der von Ihnen abgefragte Name registriert ist. Isolieren falscher Ergebnisse von NetBIOS-Abfragen Falls ein Client einen NetBIOS-Namen falsch auflöst und z.B. statt der IP-Adresse 192.168.1.10 die Adresse 192.168.1.11 liefert, gehen Sie zur Behebung des Problems folgendermaßen vor: So ermitteln Sie die Ursache für eine ungültige Antwort auf eine NetBIOS-Abfrage 1. Sorgen Sie dafür, dass die Datei %SystemRoot%\system32\drivers\etc\lmhosts, sofern Sie vorhanden ist, keinen Eintrag für den fraglichen NetBIOS-Namen enthält. 2. Löschen Sie den NetBIOS-Namenscache auf dem Clientcomputer, indem Sie in einer Eingabeaufforderung mit administrativen Rechten den Befehl nbtstat -R eingeben. 3. Geben Sie in einer Eingabeaufforderung den Befehl nbtstat -a Computername ein. Dieser Befehl sendet eine WINS-Abfrage, ohne zuerst DNS oder LLMNR abzufragen. 214 Kapitel 8: Windows Internet Name Service 4. Geben Sie den Befehl nbtstat -c ein, um den NetBIOS-Namenscache anzuzeigen und das Ergebnis der Abfrage zu überprüfen, die Sie im vorigen Schritt durchgeführt haben: Ist die IP-Adresse korrekt, stammen die falschen Ergebnisse bei den bisherigen Abfragen von DNS- oder LLMNR-Abfragen, und nicht von WINS-Abfragen. Überprüfen Sie mit Nslookup, ob der fragliche DNS-Eintrag korrekt ist, wie in Kapitel 7 beschrieben. Ist die IP-Adresse falsch, dann ist entweder der Eintrag im WINS-Server falsch oder ein Computer aus dem lokalen Netzwerk antwortet falsch auf eine NetBIOS-Namensauflösungsabfrage. Überprüfen Sie die aktiven Registrierungen auf dem WINS-Server und korrigieren oder löschen Sie alle ungültigen Datensätze. Falls Sie die Ursache des Namesauflösungsproblems mit den bisher beschriebenen Methoden nicht ermitteln können, fangen Sie den Namensauflösungsdatenverkehr zur genaueren Untersuchung mit dem Network Monitor ab. Verwenden des Network Monitors Der Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten aufzeichnen und im Detail untersuchen, zum Beispiel auch WINS-Abfragen und die Antwort des WINS-Servers. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann. Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor auch über einen Link, den Sie auf der Begleit-CD dieses Buchs finden. Zusammenfassung des Kapitels Viele Organisationen würden WINS zwar gerne außer Dienst stellen, müssen es aber derzeit noch für ältere Windows-Versionen anbieten, die eine zentrale NetBIOS-Namensauflösung erfordern. Um diese Namensauflösung zu ermöglichen, enthält Windows Server 2008 wie die früheren Versionen von Windows Server einen WINS-Serverdienst. Halten Sie die Anzahl der WINS-Server bei der Planung einer WINS-Bereitstellung möglichst gering. Wenn Sie zwei oder drei WINS-Server verwenden, richten Sie die Replikation zwischen ihnen so ein, dass sie sich gegenseitig und direkt auf den neusten Stand bringen können. Wenn Sie mehr als drei WINS-Server verwenden, richten Sie zwischen Ihnen eine Push/Pull-Replikation über einen Hub ein. Zur Bereitstellung von WINS fügen Sie zuerst die WINS-Serverfunktion zu den vorgesehenen Windows Server 2008-Computern hinzu, richten bei Bedarf die Replikationspartnerschaften ein und konfigurieren dann Ihre Clientcomputer. Für WINS fallen nur geringe Wartungsarbeiten an. Sie können die WINS-Serverdatenbank sichern und bei Bedarf wiederherstellen, die Datenbank überprüfen und komprimieren, die WINS-Server überwachen und WINS-Einträge erstellen oder löschen. Sollten Probleme auftreten, zeichnet der WINSServer entsprechende Informationen im Systemereignisprotokoll auf. Außerdem können Sie zur Behebung von NetBIOS-Namensauflösungsproblemen auf Clientcomputern das Programm NBTStat verwenden. Weitere Informationen 215 Weitere Informationen Weitere Informationen über NetBIOS und NBNS (NetBIOS Name Servers) erhalten Sie in folgenden Dokumenten: RFC 1001 unter http://www.ietf.org/rfc/rfc1001.txt RFC 1002 unter http://www.ietf.org/rfc/rfc1002.txt Informationen darüber, wie Windows-Clients einteilige Namen mit DNS auflösen, erhalten Sie in »Configuring DNS Client Settings« unter http://technet2.microsoft.com/windowsserver/en/library/ 5fe46cef-db12-4b78-94d2-2a0b62a282711033.mspx. Informationen über LLMNR erhalten Sie in folgenden Dokumenten und Artikeln: RFC 4795 unter http://www.ietf.org/rfc/rfc4795.txt »The Cable Guy – November 2006, Link Local Multicast Name Resolution« unter http://www.microsoft.com/technet/community/columns/cableguy/cg1106.mspx. T E I L I I I Netzwerkzugriffsinfrastruktur In diesem Teil: Kapitel 9: Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 12: Remotezugriff-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel 13: Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 281 349 393 467 219 K A P I T E L 9 Authentifizierungsinfrastruktur In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 236 247 274 276 279 279 Um Netzwerkzugriffe zu authentifizieren oder zu schützen, müssen Sie zuerst die Elemente einer Authentifizierungsinfrastruktur auf der Basis von Microsoft Windows bereitstellen. Die wichtigsten Elemente sind Active Directory, Gruppenrichtlinien, RADIUS (Remote Authentication Dial-In User Service) und eine Public-Key-Infrastruktur (PKI). Welche Elemente Sie bereitstellen müssen, hängt von der Art der Netzwerkzugriffe und von den Entscheidungen ab, die Sie beim Entwurf des Netzwerks über Sicherheitsfragen, die zentrale Verwaltung und andere Dinge treffen. Dieses Kapitel bietet Ihnen Informationen über die Planung und Bereitstellung dieser Elemente einer Authentifizierungsinfrastruktur, die sich für herkömmliche, drahtlose und Standort-zu-Standort-Verbindungen sowie Remoteverbindungen verwenden lässt. Nach der Bereitstellung lassen sich Elemente dieser Infrastruktur auch für NAP (Network Access Protection) verwenden. Konzepte Die folgenden Abschnitte beschreiben den technischen Hintergrund der folgenden Technologien, die in einer auf der Basis von Windows erstellten Authentifizierungsinfrastruktur verwendet werden: Active Directory-Domänendienste Gruppenrichtlinien PKI RADIUS Active Directory-Domänendienste Die Active Directory-Domänendienste des Betriebssystems Windows Server 2008 speichern Informationen über Objekte des Netzwerks und sorgen dafür, dass diese Informationen für Administratoren und Benutzer leicht zu finden und zu verwenden sind. Active Directory verwendet als Basis für eine hierarchische logische Organisation der Verzeichnisinformationen einen strukturierten Datenspeicher. Die Active Directory-Domänendienste lassen sich auf Servern installieren, auf denen Windows Server 2008 ausgeführt wird. 220 Kapitel 9: Authentifizierungsinfrastruktur Dieser Datenspeicher, der auch Verzeichnis genannt wird, enthält Active Directory-Objekte. Diese Objekte beschreiben zum Beispiel die Konten der Netzwerkcomputer und Benutzer und auch gemeinsam verwendete Ressourcen wie Server, Volumes und Drucker. Sicherheit ist ein wichtiger Aspekt von Active Directory. Daher werden Benutzer zum Beispiel bei der Anmeldung authentifiziert und der Zugriff auf die Objekte des Verzeichnisses wird kontrolliert. Nach einer einzigen Netzwerkanmeldung können Administratoren die Verzeichnisdaten in ihrem gesamten Netzwerk verwalten und organisieren. Autorisierte Benutzer können auf Ressourcen zugreifen, die irgendwo in ihrem Netzwerk zu finden sind. Richtlinien erleichtern die Verwaltung selbst des kompliziertesten Netzwerks. Active Directory umfasst auch Folgendes: Einen Regelsatz (oder Schema), der die Klassen der Objekte und Attribute definiert, die im Verzeichnis enthalten sind, sowie die Beschränkungen und Obergrenzen, die für Instanzen dieser Objekte gelten, und das Format ihrer Namen. Einen globalen Katalog mit Informationen über jedes Objekt im Verzeichnis. Dieser Katalog ermöglicht es Benutzern und Administratoren, im Verzeichnis enthaltene Informationen schnell zu finden, und zwar unabhängig davon, welche Domäne aus der Gesamtstruktur die Daten enthält. Einen Abfrage- und Indizierungsmechanismus, der es ermöglicht, dass Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern oder Anwendungen gefunden werden. Einen Replikationsdienst, der Verzeichnisdaten über das Netzwerk verteilen kann. Alle Domänencontroller aus einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisinformationen, die es für die Domäne gibt. Jede Änderung an den Verzeichnisdaten wird auf alle Domänencontroller der Domäne repliziert. Benutzerkonten Die Benutzer- und Computerkonten von Active Directory stellen real existierende Menschen, Computer und Geräte dar. Benutzerkonten können von einigen Anwendungen auch als Dienstkonten verwendet werden. Benutzerkonten und Computerkonten (und Gruppen) werden auch Sicherheitsprinzipale genannt. Sicherheitsprinzipale sind Verzeichnisobjekte, denen automatisch Sicherheitskennungen (Security Identifiers, SIDs) zugewiesen werden, die für den Zugriff auf Domänenressourcen dienen. Ein Benutzer- und Computerkonto wird zum Beispiel für folgende Aufgaben verwendet: Authentifizieren der Identität eines Benutzers oder Computers Ein Benutzerkonto von Active Directory ermöglicht es einem Benutzer, sich mit einer Identität auf Computern und bei Domänen anzumelden, die von der Domäne überprüft werden kann. Jeder Benutzer, der sich am Netzwerk anmeldet, sollte über sein eigenes eindeutiges Benutzerkonto samt Kennwort verfügen. Um eine möglichst hohe Sicherheit zu gewährleisten, sollten Sie es vermeiden, mehreren Benutzern dasselbe Konto zu geben. Gestatten oder Verweigern von Zugriffen auf Domänenressourcen Wenn der Benutzer authentifiziert ist, wird ihm auf der Basis der expliziten Rechte an den Ressourcen, die ihm zugewiesen wurden, der Zugriff auf eine Domänenressource gestattet oder verweigert. Verwalten anderer Sicherheitsprinzipale Active Directory erstellt für Sicherheitsprinzipale aus einer vertrauenswürdigen externen Domäne ein fremdes Sicherheitsprinzipalobjekt. Überwachen der Aktivitäten, die mit dem Benutzer- oder Computerkonto erfolgen Die Überwachung kann Ihnen helfen, die Sicherheit der Konten zu verbessern. Konzepte 221 Mit dem Snap-In Active Directory-Benutzer und -Computer können Sie Benutzer- oder Computerkonten verwalten. Jeder Computer, auf dem eines der Betriebssysteme Windows Vista, Windows XP, Windows Server 2008 oder Windows Server 2003 ausgeführt wird und der Mitglied einer Domäne ist, verfügt in der Domäne über ein Computerkonto. Ähnlich den Benutzerkonten ermöglichen Computerkonten die Authentifizierung und Überwachung von Computerzugriffen auf das Netzwerk und auf Domänenressourcen. Benutzer- und Computerkonten können im Snap-In Active Directory-Benutzer und -Computer hinzugefügt, deaktiviert, zurückgesetzt und gelöscht werden. Außerdem kann ein Computerkonto erstellt werden, wenn Sie einen Computer in eine Domäne aufnehmen. Einwähleigenschaften eines Kontos Benutzer- und Computerkonten in Active Directory enthalten eine Reihe von Einwähleigenschaften, die bei der Entscheidung eine Rolle spielen, ob eine Verbindung zugelassen oder verweigert wird. In einer Active Directory-Domäne können Sie die Einwähleigenschaften im Snap-In Active DirectoryBenutzer und -Computer auf der Registerkarte Einwählen des Eigenschaftendialogfelds eines Benutzer- oder Computerkontos festlegen. Abbildung 9.1 zeigt die Registerkarte Einwählen eines Benutzerkontos aus einer Domäne mit der Domänenfunktionsebene Windows Server 2008. Abbildung 9.1 Die Registerkarte Einwählen des Eigenschaftendialogfelds eines Benutzerkontos aus einer Domäne mit der Domänenfunktionsebene Windows Server 2008 Auf der Registerkarte Einwählen können Sie folgende Eigenschaften überprüfen und einstellen: Netzwerkzugriffsberechtigung Mit dieser Eigenschaft können Sie die Netzwerkzugriffsberechtigung explizit gestatten, verweigern oder angeben, dass die Berechtigungen mit NPS-Netzwerkrichtlinien festgelegt werden (NPS bedeutet Network Policy Server, Netzwerkrichtlinienserver). NPS-Netzwerkrichtlinien werden auch zur Autorisierung von Verbindungsversuchen verwendet. 222 Kapitel 9: Authentifizierungsinfrastruktur Auch wenn der Zugriff explizit gestattet wird, können die NPS-Netzwerkrichtlinien und Einstellungen sowie die Kontoeigenschaften immer noch dazu führen, dass der Verbindungsversuch abgelehnt wird. Die Option Zugriff über NPS-Netzwerkrichtlinien steuern ist im Eigenschaftendialogfeld von Benutzer- und Computerkonten einer Domäne auf der Domänenfunktionsebene Windows Server 2008 verfügbar. Die Standardeinstellung für neue Konten, die auf der Domänenfunktionsebene Windows Server 2008 erstellt werden, ist Zugriff über NPS-Netzwerkrichtlinien steuern. Anruferkennung verifizieren Wenn diese Eigenschaft aktiviert ist, überprüft der Zugriffsserver die Telefonnummer des Anrufers. Stimmt die Telefonnummer des Anrufers nicht mit der konfigurierten Telefonnummer überein, wird der Verbindungsversuch abgelehnt. Diese Einstellung ist für Einwählverbindungen vorgesehen. Rückrufoptionen Wenn diese Eigenschaft aktiviert ist, ruft der Zugriffsserver den Anrufer beim Verbindungsvorgang zurück. Entweder der Anrufer oder der Netzwerkadministrator legt die Telefonnummer fest, die vom Server verwendet wird. Diese Einstellung ist für Einwählverbindungen vorgesehen. Statische IP-Adressen zuweisen Mit dieser Eigenschaft können Sie einem Benutzer eine bestimmte IP-Adresse zuweisen, wenn eine Verbindung hergestellt wird. Diese Einstellung ist für Einwählverbindungen vorgesehen. Statische Routen anwenden Mit dieser Eigenschaft können Sie eine Reihe von statischen IP-Routen definieren, die beim Herstellen einer Verbindung zur Routingtabelle des Servers hinzugefügt werden, auf dem der Routing und RAS-Dienst ausgeführt wird. Diese Einstellung ist für das Routen beim Wählen-bei-Bedarf vorgesehen. Gruppen Eine Gruppe ist eine Zusammenstellung von Benutzer- und Computerkonten und anderen Gruppen, die auf diese Weise eine Einheit bilden und als Einheit verwaltet werden können. Benutzer und Computer, die zu einer bestimmten Gruppe gehören, werden Gruppenmitglieder genannt. Die Verwendung von Gruppen erleichtert die Verwaltung, weil man nicht mehr jedem einzelnen Konto Berechtigungen und Rechte zuweisen muss, sondern die gewünschten Berechtigungen und Rechte allen Gruppenmitgliedern auf einmal zuweisen kann. Gruppen können entweder im Verzeichnis oder lokal auf einem Computer definiert werden. Active Directory richtet bei der Installation eine Reihe von Standardgruppen ein und ermöglicht auch die Definition neuer Gruppen. Mit Gruppen können Sie in Active Directory Folgendes tun: Vereinfachen der Verwaltung durch die Zuweisung von Berechtigungen für die Verwendung freigegebener Ressourcen an eine Gruppe statt an einzelne Benutzer. Dadurch erhalten alle Mitglieder dieser Gruppe dieselben Berechtigungen. Übertragen von Verwaltungsaufgaben durch die einmalige Zuweisung von Benutzerrechten mit Gruppenrichtlinien an eine Gruppe und das Hinzufügen neuer Mitglieder, die diese Rechte brauchen, zur Gruppe. Gruppen haben einen Gültigkeitsbereich und einen Typ. Der Gültigkeitsbereich bestimmt, in welchen Grenzen eine Gruppe in einer Domäne oder einer Gesamtstruktur wirksam wird. Active Directory definiert für Gruppen die Bereiche universell, global und lokal (in Domäne). Der Typ einer Gruppe entscheidet darüber, ob sich eine Gruppe zur Zuweisung von Zugriffsrechten an einer freigegebenen Konzepte 223 Ressource eignet (Sicherheitsgruppen). Er bestimmt auch, ob sich eine Gruppe nur für E-Mail-Verteilerlisten eignet (Verteilergruppen). Schachtelung bedeutet, eine Gruppe als Mitglied in eine andere Gruppe aufzunehmen. Man schachtelt Gruppen bei Bedarf, um Mitgliedskonten zusammenzufassen und den Replikationsdatenverkehr zu verringern. Welche Schachtelungen möglich sind, hängt von der Domänenfunktionsebene ab. Gewöhnlich stehen mehrere Domänenfunktionsebenen zur Verfügung, damit sich eine Umgebung bei Bedarf in mehreren kleineren Schritten umstellen lässt, wobei auf jeder höheren Stufe zusätzliche Domänenfunktionen verfügbar werden. Wenn Sie auf der Basis Ihrer Domänenfunktionsebene überprüft haben, wie Sie bestimmte Gruppen ineinander schachteln können, fassen Sie die Benutzer- und Computerkonten in geeigneter Weise zu logischen Gruppen zusammen. In einer Domäne auf der Domänenfunktionsebene Windows Server 2008 können Sie universelle und geschachtelte globale Gruppen verwenden. Sie können beispielsweise eine universelle Gruppe namens DrahtlosBenutzer einrichten, die globale Gruppen mit den Konten für Benutzer und Computer enthält, die über drahtlosen Intranetzugriff verfügen. Wenn Sie dann Ihre NPS-Netzwerkrichtlinien für den drahtlosen Zugriff konfigurieren, brauchen Sie nur den Namen der Gruppe DrahtlosBenutzer anzugeben. Weitere Informationen Weitere Informationen über Gruppentypen, Gruppenbereiche und Domänenfunktionsebenen finden Sie im Windows Server 2008 Active Directory – Die technische Referenz (Microsoft Press, 2008), das in der Technischen Referenz zu Windows Server 2008 enthalten ist, sowie im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/ad. Public-Key-Infrastruktur Eine Public-Key-Infrastruktur (PKI) ist ein System aus Zertifizierungsstellen (Certification Authorities, CAs) und digitalen Zertifikaten, mit dem sich die Identität oder Echtheit eines Teilnehmers an einer sicheren Kommunikation überprüfen lässt, beispielsweise also die Identität eines Benutzers, eines Computers oder eines Windows-Dienstes. Dabei wird eine Verschlüsselungsmethode verwendet, die mit öffentlichen Schlüsseln arbeitet. Zertifizierungsstellen Wenn jemandem mit der Absicht ein Zertifikat vorgelegt wird, den Inhaber des Zertifikats zu identifizieren (den Antragsteller des Zertifikats), ist dies nur sinnvoll, wenn derjenige, dem das Zertifikat vorgelegt wird, dem Aussteller des Zertifikats vertraut (also der ausstellenden Zertifizierungsstelle). Sofern Sie einer ausstellenden Zertifizierungsstelle vertrauen, bedeutet dies, dass Sie darauf vertrauen, dass die Zertifizierungsstelle bei der Prüfung des Zertifikatantrags hinreichend sorgfältig vorgeht und alle Anträge ablehnt, die nicht den vereinbarten Richtlinien entsprechen. Außerdem vertrauen Sie darauf, dass die ausstellende Zertifizierungsstelle Zertifikate sperrt, die nicht länger als gültig angesehen werden sollten, und eine aktuelle Zertifikatsperrliste (Certificate Revocation List, CRL) veröffentlicht. Weitere Informationen über CRLs finden Sie im Abschnitt »Zertifikatsperrung« dieses Kapitels. Für Windows-Benutzer, Computer und Dienste wird das Vertrauen in eine Zertifizierungsstelle dadurch hergestellt, dass man ein selbstsigniertes Zertifikat der Stammzertifizierungsstelle der ausstellenden Zertifizierungsstelle lokal installiert und es einen gültigen Zertifizierungspfad zur ausstellenden Zertifizierungsstelle gibt. Ein Zertifizierungspfad ist nur dann gültig, wenn keine gesperrten oder abgelaufenen Zertifikate in diesem Pfad liegen. Der Zertifizierungspfad umfasst jedes Zertifikat, das in der Zertifizierungshierarchie von der untergeordneten Zertifizierungsstelle bis hinauf zur Stamm- 224 Kapitel 9: Authentifizierungsinfrastruktur zertifizierungsstelle ausgestellt wurde. Für eine Stammzertifizierungsstelle besteht der Zertifizierungspfad zum Beispiel nur aus einem einzigen Zertifikat, nämlich dem selbstsignierten Zertifikat der Stammzertifizierungsstelle. Für eine untergeordnete Zertifizierungsstelle, die in der Hierarchie direkt unter der Stammzertifizierungsstelle steht, besteht der Zertifizierungspfad aus zwei Zertifikaten, nämlich dem Zertifikat der ausstellenden Zertifizierungsstelle und dem Stammzertifizierungsstellenzertifikat. Wenn Ihre Organisation Active Directory verwendet, wird das Vertrauen in die Zertifizierungsstellen der Organisation gewöhnlich automatisch durch die Entscheidungen und Einstellungen ausgedrückt, die während der PKI-Bereitstellung vorgenommen werden. Tritt zum Beispiel ein Computer einer Domäne bei, erhält er über die Gruppenrichtlinieneinstellungen automatisch das Stammzertifizierungsstellenzertifikat der Organisation. Zertifizierungshierarchien Eine Zertifizierungshierarchie sorgt für eine gute Skalierbarkeit und eine relativ einfache Verwaltung. Daher verwenden auch eine wachsende Zahl kommerzieller und anderer Zertifizierungsstellenprodukte Hierarchien. In ihrer einfachsten Form besteht eine Zertifizierungshierarchie aus einer einzigen Zertifizierungsstelle. Gewöhnlich setzt sich eine Hierarchie aber aus mehreren Zertifizierungsstellen mit eindeutig definierten Beziehungen zwischen übergeordneten und untergeordneten Zertifizierungsstellen zusammen. In diesem Modell wird eine untergeordnete Zertifizierungsstelle durch Zertifikate zertifiziert, die von ihrer übergeordneten Zertifizierungsstelle herausgegeben werden. Diese Zertifikate verknüpfen den öffentlichen Schlüssel der Zertifizierungsstelle mit ihrer Identität. Die an der Spitze der Hierarchie befindliche Zertifizierungsstelle wird Stammzertifizierungsstelle (root authority oder root CA) genannt. Die untergeordneten Zertifizierungsstellen (subordinate CAs) der Stammzertifizierungsstelle sind eben dies, nämlich untergeordnete Zertifizierungsstellen. Wenn Sie unter Windows Server 2008 und Windows Vista einer Stammzertifizierungsstelle vertrauen (anders gesagt, Sie haben das Zertifikat der Stammzertifizierungsstelle im Ihrem Speicher vertrauenswürdiger Stammzertifizierungsstellen gespeichert), vertrauen Sie auch jeder untergeordneten Zertifizierungsstelle aus der Hierarchie, sofern das Zertifikat keiner der untergeordneten Zertifizierungsstellen gesperrt wurde oder abgelaufen ist. Daher ist jede Stammzertifizierungsstelle, was das Vertrauen betrifft, in jeder Organisation etwas sehr Wichtiges und sollte entsprechend gesichert und gepflegt werden. Die Überprüfung von Zertifikaten setzt daher eigentlich nur das Vertrauen in eine relativ kleine Zahl von Stammzertifizierungsstellen voraus. Gleichzeitig ermöglicht die Hierarchie eine große Flexibilität in der Anzahl der Zertifikate ausstellenden untergeordneten Zertifizierungsstellen. Es gibt eine Reihe von praktischen Gründen, die für die Unterstützung mehrerer untergeordneter Zertifizierungsstellen sprechen, wie zum Beispiel folgende: Verwendungszweck Zertifikate können für unterschiedliche Zwecke ausgestellt werden, beispielsweise für die Sicherung von E-Mail und zur Netzwerkauthentifizierung. Die Richtlinien für die Ausstellung solcher Zertifikate können sehr unterschiedlich sein und eine Trennung der Verwendungszwecke ist die Grundlage für die Verwaltung der Richtlinien. Organisatorische Gründe Vielleicht bestehen viele verschiedene Richtlinien für die Ausstellung von Zertifikaten, die zum Beispiel von der Aufgabe der betreffenden Person oder des Geräts in der Organisation abhängen. Sie können untergeordnete Zertifizierungsstellen einrichten, um diese Richtlinien leichter voneinander zu trennen und separat verwalten zu können. Geografische Gründe Vielleicht verfügt eine Organisation über mehrere weit voneinander entfernte Standorte. Die (schlechten) Netzwerkverbindungen zwischen diesen Standorten führen viel- Konzepte 225 leicht dazu, dass mehrere untergeordnete Zertifizierungsstellen eingerichtet werden müssen, um die Arbeitsfähigkeit der Standorte zu stärken. Lastausgleich Wenn Ihre PKI eine große Zahl von Zertifikaten ausstellen soll, kann es eine große Belastung für eine einzelne Zertifizierungsstelle bedeuten, all diese Zertifikate alleine ausstellen und verwalten zu müssen. Zudem ist damit eine starke lokale Belastung des Netzwerks verbunden. Die Einrichtung von mehreren untergeordneten Zertifizierungsstellen zur Ausstellung derselben Zertifikateart bewirkt, dass die Arbeit und die Netzwerkbelastung auf mehrere Zertifizierungsstellen verteilt werden. Sicherung und Fehlertoleranz Die Einrichtung mehrerer Zertifizierungsstellen erhöht die Wahrscheinlichkeit, dass es in Ihrem Netzwerk immer genügend verfügbare Zertifizierungsstellen für die Benutzer gibt. Solch eine Zertifizierungshierarchie bietet auch für die Verwaltung Vorteile, wie folgt: Flexible Konfiguration der Sicherheitsvorkehrungen, um den besten Kompromiss zwischen Sicherheit und praktischer Verwendbarkeit zu finden. Sie können zum Beispiel für die Stammzertifizierungsstelle eine spezielle Kryptografiehardware vorsehen, die Stammzertifizierungsstelle in einem überwachten Raum betreiben oder sie ganz vom Netz nehmen. Solche Sicherheitsmaßnahmen können für untergeordnete Zertifizierungsstellen zu teuer sein oder dazu führen, dass die Zertifizierungsstellen nicht mehr im erforderlichen Umfang verfügbar sind. Bestimmte Teile der Zertifizierungsstellenhierarchie lassen sich ohne Auswirkungen auf die Vertrauensbeziehungen deaktivieren. Sie können zum Beispiel ohne Beeinträchtigung anderer Teile der Organisation die Zertifizierungsstelle von einem bestimmten Standort schließen und ihr Zertifikat sperren. Im Zertifikate-Snap-In können Sie sich auf der Registerkarte Zertifizierungspfad des Eigenschaftendialogfelds eines Zertifikats den Zertifizierungspfad ansehen. Für eine kleine Firma reicht eine Zertifizierungshierarchie aus, die aus einer Stammzertifizierungsstelle besteht, die gleichzeitig die ausstellende Zertifizierungsstelle ist. Für mittlere Firmen reicht eine Hierarchie aus, die aus einer Stammzertifizierungsstelle und einer Ebene mit ausstellenden Zertifizierungsstellen besteht. In großen Unternehmen können Sie eine dreischichtige Zertifizierungsstellenhierarchie nach folgendem Muster einrichten: Eine Stammzertifizierungsstelle, die nicht im Netzwerk verfügbar ist Eine mittlere Schicht mit Zertifizierungsstellen, die ebenfalls nicht im Netzwerk verfügbar sind Eine Schicht mit ausstellenden Zertifizierungsstellen, die im Netzwerk verfügbar sind Diese Zertifizierungsstellenhierarchie weist eine hohe Flexibilität auf und schützt die Stammzertifizierungsstelle vor Netzwerkangriffen durch Benutzer, die den geheimen Schlüssel in Erfahrung bringen wollen. Die Stammzertifizierungsstelle und die Zertifizierungsstellen der mittleren Schicht, die alle nicht im Netzwerk verfügbar sind, brauchen nicht zwangsläufig auf Windows Server 2008 oder Windows Server 2003 ausgeführt zu werden. Die ausstellenden Zertifizierungsstellen können untergeordnete Zertifizierungsstellen einer Zertifizierungsstelle sein, deren Software von einem anderen Hersteller stammt. Abbildung 9.2 stellt eine dreischichtige Zertifizierungshierarchie für ein größeres Unternehmen dar. 226 Kapitel 9: Authentifizierungsinfrastruktur Abbildung 9.2 Eine dreischichtige Zertifizierungshierarchie für Unternehmensnetzwerke Zertifikatsperrung Durch eine Sperrung wird ein Zertifikat vor dem Ablauf der vorgesehenen Gültigkeitsdauer ungültig. Ein Zertifikat kann aus verschiedenen Gründen vorzeitig ungültig werden: Der geheime Schlüssel des Antragstellers eines Zertifikats wurde geknackt (oder man vermutet, dass er geknackt wurde). Der geheime Schlüssel einer Zertifizierungsstelle wurde geknackt (oder man vermutet, dass er geknackt wurde). Es wurde entdeckt, dass ein Zertifikat auf betrügerische Weise erlangt wurde. Änderungen im Status des Antragstellers als vertrauenswürdiger Partner Änderungen im Namen des Antragstellers Eine PKI hängt von einer verteilten Überprüfung der Anmeldeinformationen ab, bei der es keinen Bedarf an einer Kommunikation mit der vertrauenswürdigen zentralen Stelle gibt, die für die Anmeldeinformationen bürgt. Dadurch entsteht für Benutzer, Computer und Anwendungen, die versuchen, die Gültigkeit von Zertifikaten zu überprüfen, der Bedarf an Informationen über Zertifikatsperrungen. Der Bedarf an Informationen über Zertifikatsperrungen und ihren Bedingungen hängt von den Anwendungen und von der Implementierung der Überprüfung der Zertifikatsperrung ab. Damit eine Anwendung auf Zertifikatsperrungen reagieren kann, muss sie natürlich überprüfen, ob das Zertifikat noch gilt oder ob es gesperrt wurde. Zertifikatsperrlisten sind digital signierte Listen, in denen Zertifikate verzeichnet sind, die zwar noch nicht abgelaufen sind, aber gesperrt wurden. Clients rufen diese Listen ab und speichern sie (auf der Basis der angegebenen Gültigkeitsdauer der Zertifikatsperrliste) und verwenden sie dann, um die vorgelegten Zertifikate zu überprüfen. Da Zertifikatsperrlisten umfangreich werden können, werden je nach der Größe der Zertifizierungsstelle auch Deltasperrlisten veröffentlicht. Deltasperrlisten listen nur die Zertifikate auf, die seit der letzten Veröffentlichung der Basissperrliste gesperrt wurden. Dadurch wird es Clients möglich, die kleineren Deltasperrlisten abzurufen und schnell eine vollständige Liste der gesperrten Zertifikate zusammenzustellen. Die Verwendung von Deltasperrlisten ermöglicht auch eine häufigere Veröffentlichung von Änderungen, weil Deltasperrlisten gewöhnlich kleiner sind als vollständige Zertifikatsperrlisten. Konzepte 227 Windows Server 2008 unterstützt die branchenüblichen Methoden der Zertifikatsperrung. Dazu gehört die Veröffentlichung von Zertifikatsperrlisten und Deltasperrlisten an mehreren Orten in Active Directory, auf Webservern und in freigegebenen Verzeichnissen, damit die Listen für Clients verfügbar werden. Zertifikatsperrungen können auch mit OCSP (Online Certificate Status Protocol) überprüft werden, das mit HTTP (Hypertext Transfer Protocol) eine digital signierte Antwort liefert, aus der der Sperrungsstatus eines Zertifikats hervorgeht. Zertifikatüberprüfung Die Zertifikate, die bei der Aushandlung einer sicheren Verbindung vorgelegt werden, müssen überprüft werden, bevor eine sichere Kommunikation beginnen kann. Wenn zum Beispiel eine Authentifizierung mit EAP-TLS erfolgt (Extensible Authentication Protocol-Transport Layer Security), muss der Authentifizierungsserver (der RADIUS-Server) das Zertifikat überprüfen, das vom IEEE 802.1Xoder PPP-Client (Point-to-Point Protocol) vorgelegt wird. Wenn die Authentifizierung mit EAP-TLS oder PEAP (Protected EAP) erfolgen soll, kann der 802.1X- oder PPP-Client so konfiguriert werden, dass er das vom Authentifizierungsserver vorgelegte Zertifikat überprüft. Zertifikatunterstützung von Windows Windows unterstützt in folgender Weise die Verwendung von Zertifikaten: Jeder Computer, auf dem Windows Vista, Windows Server 2008, Windows XP oder Windows Server 2003 ausgeführt wird, kann je nach den Einstellungen der Windows-Sicherheit und der Berechtigungen Computer- und Benutzerzertifikate speichern. Mit dem Zertifikate-Snap-In lassen sich Zertifikate verwalten. Windows Server 2008 enthält die Active Directory-Zertifikatdienste und Windows Server 2003 enthält die Zertifikatdienste. Beide ermöglichen die Verwendung eines Windows-Servers als Zertifizierungsstelle. Die Zertifikatdienste lassen sich zur Ausstellung und Verwaltung von Zertifikaten verwenden, wie sie in Softwaresicherheitssystemen eingesetzt werden, die mit öffentlichen Schlüsseln arbeiten. Sie können die Zertifikatdienste von Windows Server 2008 und Windows Server 2003 verwenden, um eine Zertifizierungsstelle einzurichten, die Zertifikatanträge erhält, Informationen aus dem Antrag und die Identität des Antragstellers überprüft, Zertifikate ausstellt, Zertifikate sperrt und Zertifikatsperrlisten veröffentlicht. Außerdem können Sie die Zertifikatdienste verwenden, um Folgendes zu tun: Registrieren von Benutzern für die Ausstellung von Zertifikaten von der Zertifizierungsstelle, und zwar über eine spezielle Webseite (der Vorgang wird Webregistrierung genannt) oder das Zertifikate-Snap-In oder durch eine automatische Registrierung. Verwenden von Zertifikatvorlagen, um es dem Antragsteller zu erleichtern, die für den Antrag erforderlichen Angaben zu machen. Verwenden von Active Directory für die Veröffentlichung von vertrauenswürdigen Stammzertifikaten für Domänenmitgliedscomputer, für die Veröffentlichung von ausgestellten Zertifikaten und von Zertifikatsperrlisten. Schaffen der Möglichkeit, sich mit einer Smartcard bei einer Windows-Domäne anzumelden. Sofern Ihre Organisation die Zertifikatdienste verwendet, gehört die Zertifizierungsstelle zu einem der beiden folgenden Typen: Unternehmenszertifizierungsstelle Eine Unternehmenszertifizierungsstelle ist auf Active Directory angewiesen. Eine Unternehmenszertifizierungsstelle kann einem Antragsteller je nach seinen 228 Kapitel 9: Authentifizierungsinfrastruktur Sicherheitsberechtigungen und ihrer Konfiguration unterschiedliche Zertifikattypen anbieten. Eine Unternehmenszertifizierungsstelle verwendet die in Active Directory verfügbaren Informationen, um die Identität des Antragstellers zu überprüfen. Eine Unternehmenszertifizierungsstelle kann ihre Zertifikatsperrliste in Active Directory, auf einer Website oder in einem freigegebenen Verzeichnis veröffentlichen. Um von einer Unternehmenszertifizierungsstelle Zertifikate anzufordern, können Sie den Zertifikatanforderungs-Assistenten aus dem Zertifikate-Snap-In, Webseiten der Zertifizierungsstelle (Webregistrierung) oder eine automatische Registrierung verwenden. Eigenständige Zertifizierungsstelle Aus der Sicht eines Benutzers ist eine eigenständige Zertifizierungsstelle weniger automatisiert als eine Unternehmenszertifizierungsstelle, da sie kein Active Directory voraussetzt. Eigenständige Zertifizierungsstellen, die kein Active Directory verwenden, verlangen vom Antragsteller ausführlichere Identitätsbeweise. Eine eigenständige Zertifizierungsstelle macht ihre Zertifikatsperrliste in einem freigegebenen Ordner verfügbar oder in Active Directory, sofern im Einsatz. Weitere Informationen Weitere Informationen über die PKI-Unterstützung unter Windows finden Sie in dem Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki. Gruppenrichtlinien Gruppenrichtlinien ermöglichen es Administratoren, Einstellungen für Server und Clients vorzunehmen. Lokale Richtlinieneinstellungen lassen sich auf allen Computern vornehmen, und für Computer, die Mitglieder einer Domäne sind, kann ein Administrator Richtlinien festlegen, die an einem Standort, in einer Domäne, in einer Organisationseinheit von Active Directory oder für eine Sicherheitsgruppe gelten. Die Gruppenrichtlinienunterstützung ist auf Computern verfügbar, auf denen Windows Vista, Windows Server 2008, Windows XP oder Windows Server 2003 ausgeführt wird. Mit einer Active Directory-Infrastruktur und Gruppenrichtlinien stehen Administratoren die Vorteile einer Systemverwaltung auf Richtlinienbasis zur Verfügung, und sie können Folgendes tun: Aktivieren einer Eins-zu-viele-Verwaltung von Benutzern und Computern im gesamten Unternehmen Automatisieren der Durchsetzung von IT-Richtlinien Vereinfachen von Verwaltungsaufgaben wie Systemaktualisierungen und Anwendungsinstallationen Konfigurieren von einheitlichen Sicherheitseinstellungen im gesamten Unternehmen Effizientes Einrichten von Standardcomputerumgebungen für Benutzergruppen Gruppenrichtlinien eignen sich dafür, benutzerspezifische Richtlinien und Sicherheitseinstellungen festzulegen. Außerdem stehen Ihnen Netzwerkeinstellungen und andere Richtlinien zur Verfügung, um zum Beispiel auf der Ebene der Computer Domänencontroller, Mitgliedsserver und Desktopcomputer zu verwalten. Das Snap-In GPMC bietet eine einheitliche grafische Benutzeroberfläche für die Durchführung und Verwaltung von Gruppenrichtlinieneinstellungen. Außerdem ist es möglich, Gruppenrichtlinien auf der Basis von Skripts einzustellen. Sie können auch das Snap-In Gruppenrichtlinienverwaltungs-Editor verwenden. Unter Windows Server 2008 müssen Sie die Gruppenrichtlinienverwaltungsfunktion installieren, um Gruppenrichtlinienverwaltungstools wie das Snap-In GPMC und das Snap-In Gruppenrichtlinienverwaltungs-Editor verwenden zu können. Konzepte 229 Überblick über Gruppenrichtlinien Administratoren können Computer mit Active Directory und Gruppenrichtlinien zentral verwalten. Die Verwendung von Gruppenrichtlinien zur Verwaltung von Netzwerkumgebungen ermöglicht Administratoren eine effizientere Arbeit, weil die Verwaltung zentral erfolgen kann und eine Einstellung für viele Computer gelten kann. Untersucht man die Gesamtkosten, die mit der Verwaltung von verteilten nichtöffentlichen Computernetzwerken verbunden sind, stellen sich Produktivitätseinbrüche der Benutzer als ein wesentlicher Kostenfaktor heraus. Häufig wird die verlorene Produktivität Benutzerfehlern zugeschrieben, weil Benutzer vielleicht Systemkonfigurationsdateien ändern und ihren Computer auf diese Weise unbrauchbar machen, oder der hohen Komplexität solcher Netzwerke, in denen es nicht einfach ist, dafür zu sorgen, dass alle Benutzer die erforderlichen Anwendungen und Funktionen zur Verfügung haben. Da Gruppenrichtlinien die Einstellungen und zulässigen Aktionen für Benutzer und Computer festlegen, lassen sich mit ihnen maßgeschneiderte Desktops definieren, die auf die Aufgaben und auf die Erfahrung eines Benutzers mit Computern zugeschnitten sind. Einstellen von Gruppenrichtlinien Administratoren verwenden Gruppenrichtlinien zur Verwaltung von Benutzer- und Computergruppen, indem sie Gruppenrichtlinieneinstellungen vornehmen. Diese Einstellungen erfolgen im Snap-In GPMC oder im Snap-In Gruppenrichtlinienverwaltungs-Editor und werden an einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) vorgenommen, das wiederum mit einem Active DirectoryContainer verknüpft ist – beispielsweise mit einem Standort, einer Domäne oder einer Organisationseinheit – sowie mit Sicherheitsgruppen. Auf diese Weise werden Gruppenrichtlinieneinstellungen auf die Benutzer und Computer in diesen Active Directory-Containern oder Sicherheitsgruppen angewendet. Administratoren können zum Beispiel die Arbeitsumgebung eines Benutzers einmal definieren und es anschließend dem Computer des Benutzers überlassen, die Richtlinien so umzusetzen, wie sie eingestellt wurden. Gruppenrichtlinien und ihre Möglichkeiten Mit den Gruppenrichtlinien können Administratoren die Richtlinien festlegen, nach denen Anwendungen und Betriebssystem konfiguriert werden sollen, damit die Computer der Benutzer funktionsbereit und sicher sind. Gruppenrichtlinien lassen sich auch für Folgendes verwenden: Richtlinien auf Registrierungsbasis Die gebräuchlichste und einfachste Weise, eine Richtlinie für eine Anwendung oder eine Betriebssystemkomponente festzulegen, ist die Implementierung einer Richtlinie auf Registrierungsbasis. Mit dem Snap-In GPMC oder dem Snap-In Gruppenrichtlinienverwaltungs-Editor können Administratoren auf Registrierungsbasis Richtlinien für Anwendungen, das Betriebssystem und seine Komponenten definieren. Ein Administrator kann zum Beispiel eine Richtlinie aktivieren, die dafür sorgt, dass der Befehl Ausführen aus den Start-Menüs aller betroffenen Computer entfernt wird. Sicherheitseinstellungen Gruppenrichtlinien geben Administratoren die Möglichkeit, Sicherheitsoptionen für alle Computer und Benutzer einzustellen, die sich im Wirkungsbereich eines Gruppenrichtlinienobjekts befinden. Sicherheitseinstellungen lassen sich für lokale Computer, Domänen und Netzwerke vornehmen. Um die Sicherheit noch zu verbessern, können Sie Richtlinien für Softwareeinschränkungen anwenden, die Benutzer daran hindern, Dateien aus einem bestimmten Pfad, einer Netzwerkzone, mit einem bestimmten Hash-Wert oder von einem bestimmten Herausgeber zu starten. Von der allgemeinen Sicherheitseinstellung können Sie Ausnahmen machen, indem Sie für bestimmte Software zusätzliche Regeln erstellen. 230 Kapitel 9: Authentifizierungsinfrastruktur Verwenden von Gruppenrichtlinien Administratoren kombinieren Gruppenrichtlinien und Active Directory, um Richtlinien für Domänen, Standorte und Organisationseinheiten festzulegen. Dabei gilt Folgendes: Gruppenrichtlinienobjekte werden auf Domänenbasis gespeichert. Mit einem Standort, einer Domäne oder Organisationseinheit können mehrere Gruppenrichtlinienobjekte verknüpft sein. Mehrere Standorte, Domänen oder Organisationseinheiten können dasselbe Gruppenrichtlinienobjekt verwenden. Jeder Standort, jede Domäne und jede Organisationseinheit lässt sich mit jedem Gruppenrichtlinienobjekt verknüpfen, selbst über Domänengrenzen hinweg (allerdings leidet die Geschwindigkeit darunter). Die Wirkung eines Gruppenrichtlinienobjekts lässt sich auf der Basis der Zugehörigkeit zu einer Sicherheitsgruppe auf bestimmte Benutzer- oder Computergruppen beschränken. Computer- und Benutzerkonfiguration Administratoren können bestimmte Desktopumgebungen konfigurieren und Richtlinieneinstellungen bei bestimmten Computer- und Benutzergruppen aus dem Netzwerk durchsetzen, wie folgt: Computerkonfiguration Computerrichtlinien legen das Verhalten des Betriebssystems und des Desktops fest und enthalten Einstellungen für Anwendungen, Sicherheitseinstellungen, zugewiesene Anwendungsoptionen und Skripts für den Start und das Herunterfahren von Computern. Computerrichtlinieneinstellungen werden beim Start des Computers und bei der automatischen Aktualisierung der Gruppenrichtlinien angewendet. Benutzerkonfiguration Benutzerrichtlinien legen das Verhalten des Betriebssystems fest und umfassen Desktopeinstellungen, Anwendungseinstellungen, Sicherheitseinstellungen, zugewiesene und veröffentlichte Anwendungsoptionen, Skripts für die An- und Abmeldung von Benutzern und Optionen zur Ordnerumleitung. Benutzerrichtlinien werden bei der An- und Abmeldung eines Benutzers und bei der automatischen Aktualisierung der Gruppenrichtlinien angewendet. Anwenden von Gruppenrichtlinien Gruppenrichtlinien werden in einer vererbbaren und kumulativen Weise angewendet und wirken sich auf alle Computer und Benutzer aus einem Active Directory-Container aus. Gruppenrichtlinien werden beim Start eines Computers und bei der Anmeldung eines Benutzers angewendet. Wenn ein Benutzer den Computer einschaltet, wendet das System Computerrichtlinieneinstellungen an. Wenn sich ein Benutzer interaktiv anmeldet, lädt das Betriebssystem das Benutzerprofil und wendet dann die Benutzerrichtlinieneinstellungen an. Standardmäßig werden Richtlinieneinstellungen alle 90 Minuten erneut angewendet. (Sie können einen Zeitraum zwischen 0 und 45 Tagen einstellen). Außerdem können Sie die Richtlinien lokal bei Bedarf erneut anwenden, indem Sie in einer Eingabeaufforderung von Windows den Befehl gpupdate eingeben. Zur Anwendung der Richtlinien fordert das Betriebssystem beim Verzeichnisdienst eine Liste der Gruppenrichtlinienobjekte an, die zu berücksichtigen sind. Active Directory-Ressourcen, die mit Gruppenrichtlinien gesteuert werden, brauchen Lesezugriff auf die Gruppenrichtlinienobjekte. Hat ein Computer oder Benutzer nicht die Erlaubnis, auf ein Gruppenrichtlinienobjekt zuzugreifen, wendet das Betriebssystem die entsprechenden Richtlinieneinstellungen nicht an. Ist der Lesezugriff erlaubt, wendet das Betriebssystem die Richtlinieneinstellungen an, die im Gruppenrichtlinienobjekt vorgenommen wurden. Konzepte 231 Der Gültigkeitsbereich von Gruppenrichtlinien reicht von einem einzelnen Computer (das lokale Gruppenrichtlinienobjekt, das es auf jedem Computer gibt) bis hin zu Active Directory-Standorten, Domänen und Organisationseinheiten. Ein Gruppenrichtlinienobjekt könnte zum Beispiel mit einem Active Directory-Standort verknüpft werden, um Richtlinieneinstellungen für Proxys und Netzwerkeinstellungen für den Standort festzulegen. Ein Gruppenrichtlinienobjekt ist erst dann wirksam, wenn es mit einem Container verknüpft wurde. Dann gelten die Gruppenrichtlinieneinstellungen des Gruppenrichtlinienobjekts für den Bereich dieses Containers. Gruppenrichtlinienobjekte werden in der Reihenfolge lokal, Standort, Domäne und dann Organisationseinheit ausgewertet. Daher erhält ein Computer oder Benutzer die Richtlinieneinstellungen des zuletzt bearbeiteten Active Directory-Containers. Später angewendete Richtlinien setzen daher die zuvor angewendeten Richtlinien außer Kraft. Weitere Informationen Weitere Informationen über die Gruppenrichtlinien von Windows finden Sie im Microsoft Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft. com/gp. RADIUS Beim Aufbau einer Infrastruktur für die Netzwerkzugriffsauthentifizierung können Sie so vorgehen, dass jeder Netzwerkzugriffsserver die Konten und Anmeldeinformationen speichert, die für eine Authentifizierung erforderlich sind, sowie die Netzwerkzugriffsrichtlinien für die Autorisierung von Verbindungen. Erfolgt ein Verbindungsversuch, kann der Zugriffsserver den Versuch anhand der lokal gespeicherten Konten und Anmeldeinformationen überprüfen und anhand der lokalen Konteneigenschaften und Netzwerkzugriffsrichtlinien feststellen, ob der Verbindungsversuch autorisiert wurde, und für eine spätere Analyse Informationen über den Verbindungsversuch speichern. Allerdings ist diese Methode nur schlecht skalierbar, insbesondere in Unternehmensumgebungen, in denen es viele Zugriffsserver gibt. Eine besser skalierbare und leichter verwaltbare Lösung besteht darin, die Authentifizierung und die Überprüfung der Autorisierung sowie die Protokollierung der Verbindungsversuche auf einen zentralen Server auszulagern, der Zugriff auf die vorhandene Kontendatenbank hat. RADIUS ist ein weit verbreitetes Protokoll, das es ermöglicht, die Authentifizierung, Autorisierung und Buchhaltung für Netzwerkzugriffe auf zentralen RADIUS-Servern zusammenzufassen. Ursprünglich für den Remotezugriff über Einwählverbindungen entwickelt, wird RADIUS nun von drahtlosen Zugriffspunkten, authentifizierenden Ethernetswitches, VPN-Servern (Virtual Private Network), DSL-Zugriffsservern (Digital Subscriber Line) und anderen Arten von Netzwerkzugriffsservern unterstützt. Weitere Informationen RADIUS wird beschrieben im RFC (Request for Comments) 2865, »Remote Authentication Dial-In User Service (RADIUS)«, und im RFC 2866, »RADIUS Accounting«. Die genannten RFCs können Sie unter http://www.ietf.org/rfc.html einsehen. Komponenten einer RADIUS-Infrastruktur Eine RADIUS-Infrastruktur zur Authentifizierung, Autorisierung und Buchhaltung besteht aus folgenden Komponenten: Zugriffsclients Zugriffsserver (RADIUS-Clients) RADIUS-Server 232 Kapitel 9: Authentifizierungsinfrastruktur Benutzerkontodatenbanken RADIUS-Proxys Abbildung 9.3 zeigt die Komponenten einer RADIUS-Infrastruktur. Abbildung 9.3 Die Komponenten einer RADIUS-Infrastruktur Diese Komponenten werden in den folgenden Abschnitten ausführlicher beschrieben. Zugriffsclients Ein Zugriffsclient erwartet den Zugang zu einem Netzwerk oder zu einem anderen Teil des Netzwerks. Beispiele für Zugriffsclients sind RAS-Clients, VPN-Clients, drahtlose Clients oder LANClients, die an einem Authentifizierungsswitch angeschlossen sind. Zugriffsclients sind keine RADIUS-Clients. Zugriffsserver (RADIUS-Clients) Ein Zugriffsserver ermöglicht den Zugang zu einem Netzwerk. Ein Zugriffsserver, der eine RADIUSInfrastruktur verwendet, ist zudem ein RADIUS-Client, der das RADIUS-Protokoll verwendet, um Verbindungsanforderungen und Buchhaltungsnachrichten an einen RADIUS-Server zu senden. Folgende Beispiele sind Zugriffsserver: Drahtlose Zugriffspunkte, die auf der physischen Schicht eine Verbindung mit dem Netzwerk einer Organisation ermöglichen und drahtlose Übertragungs- und Empfangstechnologien verwenden. Switches, die mit herkömmlichen LAN-Technologien wie Ethernet auf der physischen Schicht den Zugang zum Netzwerk einer Organisation ermöglichen. Konzepte 233 Netzwerkzugriffsserver, die eine Remoteverbindung mit dem Netzwerk einer Organisation oder dem Internet ermöglichen. Denken Sie zum Beispiel an einen Computer, auf dem Windows Server 2008 und Routing und RAS ausgeführt werden und der über eine herkömmliche Einwählverbindung oder eine VPN-Verbindung den Remotezugriff auf das Intranet einer Organisation ermöglicht. NAP-Erzwingungspunkte (NAP bedeutet Network Access Protection), die Daten über den Zustand eines NAP-Clients sammeln und zur Bewertung an einen RADIUS-Server auf der Basis von Windows Server 2008 senden. Beispiele wären NAP-fähige DHCP-Server (Dynamic Host Configuration Protocol) und HRAs (Health Registration Authorities). Weitere Informationen über NAPErzwingungspunkte finden Sie in Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes«. RADIUS-Server Ein RADIUS-Server empfängt und bearbeitet Verbindungsanfragen oder Buchhaltungsnachrichten, die von RADIUS-Clients oder RADIUS-Proxys gesendet werden. Während einer Verbindungsanfrage bearbeitet der RADIUS-Server die Liste der RADIUS-Attribute, die mit der Verbindungsanfrage übermittelt wird. Anhand eines Regelsatzes und der Informationen aus der Benutzerkontodatenbank authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine Nachricht mit seiner Zustimmung oder Ablehnung zurück. Stimmt er zu, kann die Nachricht Verbindungsbeschränkungen enthalten, die vom Zugriffsserver für die Dauer der Verbindung durchgesetzt werden. Hinweis Die NPS-Komponente von Windows Server 2008 ist ein mit dem Industriestandard konformer RADIUS-Server. Benutzerkontodatenbanken Eine Benutzerkontodatenbank ist eine Liste mit Benutzerkonten und deren Eigenschaften, die von einem RADIUS-Server verwendet werden kann, um Anmeldeinformationen zu überprüfen und Informationen über die Autorisierung und Verbindungseinstellungen zu erhalten. Bei den beiden Benutzerkontodatenbanken, die NPS verwenden kann, handelt es sich um die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) und um Active Directory. Was Active Directory betrifft, kann NPS die Authentifizierung und Autorisierung mit Benutzer- und Computerkonten aus der Domäne übernehmen, in welcher der NPS-Server Mitglied ist, sowie aus Domänen mit bidirektionaler Vertrauensstellung und aus vertrauenswürdigen Gesamtstrukturen, auf deren Domänencontrollern Windows Server 2008 oder Windows Server 2003 ausgeführt wird. Wenn die Benutzerkonten, die für die Authentifizierung verwendet werden, in einer anderen Art von Datenbank liegen, können Sie einen RADIUS-Proxy einsetzen, um die Authentifizierungsanfrage an einen anderen RADIUS-Server weiterzuleiten, der Zugriff auf diese Benutzerkontodatenbank hat. RADIUS-Proxys Ein RADIUS-Proxy leitet RADIUS-Verbindungsanfragen und Buchhaltungsnachrichten zwischen RADIUS-Clients und RADIUS-Servern weiter. Der RADIUS-Proxy verwendet Informationen aus der RADIUS-Nachricht, um die RADIUS-Nachricht an den entsprechenden RADIUS-Client oder Server weiterzuleiten. Ein RADIUS-Proxy kann als Weiterleitungspunkt für RADIUS-Nachrichten dienen, wenn die Authentifizierung, Autorisierung und Buchhaltung auf mehreren RADIUS-Servern innerhalb einer Organisation oder in anderen Organisationen erfolgen muss. Sobald ein RADIUS-Proxy eingesetzt wird, lassen sich RADIUS-Clients und RADIUS-Server nicht mehr so klar voneinander abgrenzen. Ein RADIUS-Client eines RADIUS-Proxys kann zum Beispiel 234 Kapitel 9: Authentifizierungsinfrastruktur ein Zugriffsserver sein (der die Verbindungsanfragen oder Buchhaltungsnachrichten sendet) oder ein anderer RADIUS-Proxy (sofern es eine Kette mit RADIUS-Proxys gibt). Zwischen dem ursprünglichen RADIUS-Client und dem gewünschten RADIUS-Server können mehrere RADIUS-Proxys angeordnet sein, die auf diese Weise eine Kette bilden. Umgekehrt kann es sich bei einem RADIUSServer für einen RADIUS-Proxy um den Ziel-RADIUS-Server handeln (auf dem die RADIUS-Nachricht zur Authentifizierung und Autorisierung ausgewertet wird) oder um einen anderen RADIUSProxy. Bezeichnet man also aus der Perspektive eines RADIUS-Proxys andere Geräte als RADIUSClients oder RADIUS-Server, ist ein RADIUS-Client das Gerät, das RADIUS-Anfragenachrichten empfängt, und ein RADIUS-Server ist das RADIUS-Gerät, das RADIUS-Anfragenachrichten weiterleitet. Hinweis Die NPS-Komponente von Windows Server 2008 ist ein mit dem Industriestandard konformer RADIUS-Proxy. So funktioniert’s: RADIUS-Nachrichten und die RADIUS-Authentifizierung, Autorisierung und Buchhaltung RADIUS-Nachrichten werden als UDP-Nachrichten gesendet (UDP bedeutet User Datagram Protocol). RADIUS-Authentifizierungsnachrichten werden an den UDP-Zielport 1812 gesendet und RADIUS-Buchhaltungsnachrichten an UDP-Port 1813. Ältere Zugriffsserver verwenden vielleicht noch UDP-Port 1645 für RADIUS-Authentifizierungsnachrichten und UDP-Port 1646 für RADIUS-Buchhaltungsnachrichten. In den UDP-Nutzdaten eines RADIUS-Pakets ist nur eine RADIUSNachricht enthalten. Eine RADIUS-Nachricht besteht aus einem RADIUS-Header und RADIUS-Attributen. Jedes RADIUS-Attribut enthält eine bestimmte Information über die Verbindung. Es gibt zum Beispiel RADIUS-Attribute für den Benutzernamen, das Kennwort und die Art des Dienstes, die der Benutzer anfordert, die Art des Zugriffsservers und die IP-Adresse des Zugriffsservers. RADIUS-Attribute werden benutzt, um Informationen zwischen RADIUS-Clients, RADIUSProxys und RADIUS-Servern auszutauschen. Die Attributliste in der RADIUS-Nachricht AccessRequest enthält zum Beispiel Informationen über die Anmeldeinformationen des Benutzers und die Parameter des Verbindungsversuchs. Im Gegensatz dazu enthält die Attributliste der Access-AcceptNachricht Informationen über die Art der Verbindung, die hergestellt werden kann, Verbindungsbeschränkungen und etwaige herstellerspezifische Attribute (vendor-specific attributes, VSAs). Weitere Informationen RADIUS-Attribute werden in den RFCs 2548, 2865, 2866, 2867, 2868, 2869, 3162 und 3579 beschrieben. RFCs und Internetentwürfe für VSAs definieren weitere RADIUS-Attribute. Die genannten RFCs können Sie unter http://www.ietf.org/rfc.html einsehen. Die RFCs 2865 und 2866 definieren folgende RADIUS-Nachrichtentypen: Access-Request Wird von einem RADIUS-Client zur Anforderung der Authentifizierung und Autorisierung für einen Verbindungsversuch mit dem Netzwerk gesendet. Access-Challenge Wird von einem RADIUS-Server als Antwort auf eine Access-RequestNachricht gesendet. Diese Nachricht ist ein Test für den RADIUS-Client, der einer Antwort bedarf. Die Access-Challenge-Nachricht wird gewöhnlich für Challenge-Response-Authentifizierungsprotokolle verwendet, um die Identität des Zugriffsclients zu überprüfen. Konzepte 235 Access-Accept Wird von einem RADIUS-Server als Antwort auf eine Access-Request-Nachricht gesendet. Diese Nachricht informiert den RADIUS-Client darüber, dass der Verbindungsversuch authentifiziert und autorisiert wurde. Access-Reject Wird von einem RADIUS-Server als Antwort auf eine Access-Request-Nachricht gesendet. Diese Nachricht informiert den RADIUS-Client darüber, dass sein Verbindungsversuch abgelehnt wurde. Ein RADIUS-Server sendet diese Nachricht, wenn die Anmeldeinformationen nicht stimmen oder wenn der Verbindungsversuch nicht autorisiert ist. Accounting-Request Wird von einem RADIUS-Client gesendet, um Buchhaltungsdaten für eine Verbindung zu senden, die akzeptiert wurde. Accounting-Response Wird von einem RADIUS-Server als Antwort auf eine AccountingRequest-Nachricht gesendet. Diese Nachricht bestätigt den Eingang und die Bearbeitung der Accounting-Request-Nachricht. Bei PPP-Authentifizierungsprotokollen wie PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol) und MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) werden die Ergebnisse der Authentifizierungsverhandlungen zwischen Zugriffsserver und Zugriffsclient zur Überprüfung in der Access-Request-Nachricht an den RADIUS-Server weitergeleitet. Bei einer EAP-Authentifizierung erfolgt die Verhandlung zwischen dem RADIUS-Server und dem Zugriffsclient. Der RADIUS-Server verwendet Access-Challenge-Nachrichten, um EAP-Nachrichten an den Zugriffsclient zu senden. Der Zugriffsserver leitet EAP-Nachrichten, die der Zugriffsclient gesendet hat, als Access-Request-Nachrichten an den RADIUS-Server. In den AccessChallenge- und Access-Request-Nachrichten werden EAP-Nachrichten in Form des RADIUS EAPMessage-Attributs gespeichert. Zur Authentifizierung, Autorisierung und Buchführung über Netzwerkzugriffsverbindungen werden RADIUS-Nachrichten gewöhnlich in folgender Weise verwendet (siehe auch Abbildung 9.3): 1. Zugriffsserver wie Einwähl-Netzwerkzugriffsserver, VPN-Server und drahtlose Zugriffspunkte erhalten von einem Zugriffsclient eine Verbindungsanfrage. 2. Der Zugriffsserver, der als Protokoll für die Authentifizierung, Autorisierung und Buchhaltung RADIUS nutzt, erstellt eine Access-Request-Nachricht und sendet sie an den RADIUS-Server. 3. Der RADIUS-Server wertet die Access-Request-Nachricht aus. 4. Bei Bedarf (zum Beispiel beim Authentifizierungsprotokoll EAP) sendet der RADIUS-Server eine Access-Challenge-Nachricht an den Zugriffsserver. Die Antwort auf den Test wird als neue Access-Request-Nachricht an den RADIUS-Server gesendet. Das kann bei der EAP-Verhandlung einige Male geschehen. 5. Der RADIUS-Server überprüft die Anmeldeinformationen des Benutzers und die Autorisierung des Verbindungsversuchs. 6. Sobald der Verbindungsversuch authentifiziert und autorisiert ist, sendet der RADIUS-Server eine Access-Accept-Nachricht an den Zugriffsserver. Wurde der Verbindungsversuch nicht authentifiziert oder autorisiert, sendet der RADIUS-Server eine Access-Reject-Nachricht an den Zugriffsserver. 7. Nach Erhalt der Access-Accept-Nachricht schließt der Zugriffsserver den Verbindungsaufbau mit dem Zugriffsclient ab und sendet dem RADIUS-Server eine Accounting-Request-Nachricht. 8. Nach der Bearbeitung der Accounting-Request-Nachricht sendet der RADIUS-Server eine Accounting-Response-Nachricht. 236 Kapitel 9: Authentifizierungsinfrastruktur Planungs- und Entwurfsaspekte Die folgenden Abschnitte beschreiben wichtige Aspekte, die bei der Planung und dem Entwurf einer Netzwerkzugriffsauthentifizierungsinfrastruktur auf der Basis von Windows für folgende Technologien berücksichtigt werden sollten: Active Directory PKI Gruppenrichtlinien RADIUS Active Directory Die Planung und den Entwurf einer Active Directory-Umgebung für eine Organisation beliebiger Größe zu beschreiben, geht über den Rahmen dieses Buchs hinaus. Ausführlichere Informationen finden Sie in dem Buch Windows Server 2008 Active Directory – Die technische Referenz aus der technischen Referenz zu Windows Server 2008, im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/ad. Die folgenden Abschnitte beschreiben die Aspekte der Planung und des Entwurfs einer Active Directory-Umgebung, die Ihnen bei der Erstellung einer leicht handhabbaren Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff von Nutzen sein können. Konten und Gruppen Je nach Art der Verbindung können bei der Authentifizierung eines Netzwerkszugriffs die Anmeldeinformationen und Eigenschaften von Benutzer- oder Computerkonten verwendet werden. Für jeden Typ müssen Sie dafür sorgen, dass die Netzwerkzugriffsberechtigung auf der Registerkarte Einwählen entweder auf Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern (empfohlen) steht. Standardmäßig wird die Netzwerkzugriffsberechtigung für neue Computer- und Benutzerkonten auf Zugriff über NPS-Netzwerkrichtlinien steuern gestellt. Konten enthalten den Kontonamen und eine verschlüsselte Form des Kontokennworts. Diese Daten können zur Überprüfung der Anmeldeinformationen des Clients verwendet werden. Zusätzliche Kontoeigenschaften geben an, ob das Konto aktiviert, deaktiviert oder gesperrt wurde und ob Anmeldungen mit dem Konto nur zu bestimmten Zeiten zulässig sind. Wurde ein Konto deaktiviert oder gesperrt oder sind Anmeldungen zu dem Zeitpunkt, an dem der Verbindungsversuch erfolgt, nicht zulässig, wird der Verbindungsversuch abgelehnt. Wenn Sie Gruppen für die Zugriffsverwaltung verwenden, können Sie Ihre vorhandenen Gruppen verwenden und in NPS Netzwerkrichtlinien festlegen, die den Zugriff auf der Basis des Gruppennamens entweder gestatten (mit oder ohne Beschränkungen) oder ablehnen. Sie können zum Beispiel eine NPS-Netzwerkrichtlinie für die Gruppe Angestellte einrichten, die für VPN-Verbindungen keine Netzwerkbeschränkungen vorsieht. Außerdem können Sie eine andere Netzwerkrichtlinie festlegen, die besagt, dass Konten aus der Gruppe Auftragnehmer nur während der üblichen Geschäftszeiten VPN-Verbindungen herstellen können. NPS kann Benutzerprinzipalnamen und universelle Active Directory-Gruppen verwenden. In einer großen Domäne mit Tausenden von Benutzern erstellen Sie eine universelle Gruppe für alle Benutzer, denen Sie Zugang gewähren möchten, und richten dann eine Netzwerkrichtlinie ein, die dieser universellen Gruppe den Zugriff ermöglicht. Um den Aufwand für die Bearbeitung der Gruppenmitgliedschaften von Benutzerkonten möglichst gering zu halten, fügen Sie Ihre Benutzerkonten nicht direkt Planungs- und Entwurfsaspekte 237 zur universellen Gruppe hinzu. Das gilt besonders dann, wenn es viele Benutzerkonten gibt. Erstellen Sie stattdessen separat geeignete globale Gruppen, die Mitglieder der universellen Gruppe sind, und fügen Sie die Benutzerkonten zu diesen globalen Gruppen hinzu. Vertrauensstellungen mit Domänen und Gesamtstrukturen Der NPS-Server ist ein Mitglied einer Active Directory-Domäne und kann Anmeldeinformationen für Konten aus der Domäne überprüfen, in der er Mitglied ist, sowie aus allen anderen Domänen, die der Domäne des NPS-Servers vertrauen. Sorgen Sie also dafür, dass alle Domänen in Ihrer Active Directory-Infrastruktur der Domäne des NPS-Servers vertrauen (sofern die Sicherheitsrichtlinien und Beschränkungen Ihrer Organisation das zulassen). Andernfalls müssen Sie den NPS-Server als RADIUSProxy konfigurieren, der Nachrichten mit Verbindungsanfragen an andere NPS-Server weiterleitet, die das Computer- oder Benutzerkonto, mit dem der Verbindungsversuch gemacht wird, überprüfen können. Damit der NPS-Server auf die Einwähleigenschaften von Benutzer- und Computerkonten zugreifen kann, müssen Sie das Computerkonto des NPS-Servers in jeder beteiligten Domäne zur Gruppe RAS- und IAS-Server hinzufügen, also in der Domäne des NPS-Servers und in allen Domänen, die der Domäne des NPS-Servers vertrauen. PKI Es geht über den Rahmen dieses Buchs hinaus, die Planung und den Entwurf einer PKI für eine Organisation beliebiger Größe im Detail zu beschreiben. Ausführlichere Informationen finden Sie in dem Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.micro soft.com/pki. Eine PKI wird in einer Netzwerkzugriffsinfrastruktur auf Windows-Basis für folgende Aufgaben gebraucht: Automatisches Registrieren von Computerzertifikaten auf Mitgliedscomputern der Domäne für den Netzwerkzugriff auf Zertifikatbasis durch Computer Automatisches Registrieren von Benutzerzertifikaten auf Mitgliedscomputern der Domäne für den Netzwerkzugriff auf Zertifikatbasis durch Benutzer Automatisches Bereitstellen von Computerintegritätszertifikaten auf Mitgliedscomputern der Domäne für die Verwendung von IPsec (Internet Protocol Security) bei der Bereitstellung von NAP In späteren Kapiteln dieses Buchs werden weitere Anforderungen beschrieben, die für verschiedene Netzwerkzugriffsarten und für NAP an die PKI gestellt werden. Die folgenden Aspekte, die bei der Planung und dem Entwurf einer PKI zu berücksichtigen sind, gelten für eine Authentifizierungsinfrastruktur auf der Basis von Windows für den Netzwerkzugriff: Wenn Sie für die Authentifizierung von Netzwerkzugriffen auf Computerebene Zertifikate verwenden, konfigurieren Sie die Gruppenrichtlinien für die automatische Registrierung von Computerzertifikaten. Beispiele sind die Verwendung von EAP-TLS oder Protected EAP-TLS (PEAP-TLS) für die Authentifizierung auf Computerebene im drahtlosen Netzwerk. 238 Kapitel 9: Authentifizierungsinfrastruktur Wenn Sie für die Authentifizierung von Netzwerkzugriffen auf Benutzerebene Zertifikate verwenden, konfigurieren Sie eine Zertifikatvorlage für Benutzerzertifikate und konfigurieren die Gruppenrichtlinien für das automatische Registrieren von Benutzerzertifikaten. Beispiele sind die Verwendung von EAP-TLS oder PEAP-TLS für die Authentifizierung auf Benutzerebene im drahtlosen Netzwerk. Wenn Sie für die Netzwerkzugriffsauthentifizierung PEAP-MS-CHAP v2 verwenden, konfigurieren Sie die Gruppenrichtlinien für die automatische Registrierung von Computerzertifikaten, damit auf den NPS-Servern Computerzertifikate installiert werden. Sie können Computerzertifikate verwenden, wenn NPS nicht auf einem Active Directory-Domänencontroller installiert ist. Als Alternative können Sie die Zertifikatvorlage RAS und IAS-Server verwenden und für die Mitglieder der Sicherheitsgruppe RAS- und IAS-Server eine automatische Registrierung konfigurieren. Ein Beispiel ist die Verwendung von PEAP-MS-CHAP v2 für die Authentifizierung auf Benutzerund Computerebene im drahtlosen Netzwerk. Wenn Sie in NAP die IPsec-Erzwingung verwenden, müssen Sie vielleicht eine Zertifikatvorlage für Integritätszertifikate konfigurieren. Wenn Sie für die Netzwerkzugriffsauthentifizierung auf Computer- oder Benutzerebene Zertifikate verwenden, sorgen Sie dafür, dass die Zertifikatsperrlisten am Hauptveröffentlichungsort und an mindestens einem anderen Ort veröffentlicht werden und dass diese Orte für alle Computer zugänglich sind, insbesondere für die RADIUS-Server. Die RADIUS-Server versuchen zuerst, das Zertifikat mit OSCP zu überprüfen. Ist die OSCP-Überprüfung nicht erfolgreich, versucht der RADIUS-Server eine Zertifikatsperrlistenüberprüfung des Benutzer- oder Computerzertifikats. Standardmäßig weisen NPS-RADIUS-Server alle Verbindungsversuche auf Zertifikatbasis ab, wenn sie den Sperrstatus des Zertifikats nicht überprüfen können. Direkt von der Quelle: Ändern der Zertifikatsperrlistenprüfung Aus Sicherheitsgründen ist die Überprüfung der Zertifikatsperrlisten standardmäßig aktiviert. Es ist aber möglich, das Verhalten von NPS bei der Prüfung der Zertifikatsperrung zu ändern. Es gibt spezielle Situationen, in denen Sie vielleicht eine solche Änderung durchführen möchten oder müssen. Drei Beispiele: Die CRL-Verteilungsinfrastruktur Ihrer PKI-Umgebung ist sehr schlecht oder sehr langsam. Sie verwenden Zertifikate von anderen Ausstellern, die keine Zertifikatsperrlisten-Verteilungspunkte mit aktuellen Zertifikatsperrlisten bereitstellen oder bereitstellen können. Sie sind auf einen externen Verteilungspunkt angewiesen und verfügen nicht über redundante externe Verbindungen. Jede dieser Bedingungen würde zu Problemen mit der Überprüfung von Zertifikatsperrungen führen und damit zu Verzögerungen oder gelegentlichen Ablehnungen bei zulässigen Verbindungsversuchen. Falls Sie für Ihre Bereitstellung NPS ändern müssen, sollten Sie Änderungen an den Werten unter folgendem Registrierungsschlüssel in Erwägung ziehen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 Die beiden wichtigsten Werte sind: IgnoreNoRevocationCheck Standardmäßig ist dieser Wert 0. Wenn Sie ihn auf 1 setzen, erlaubt NPS den Clients auch dann eine Verbindung, wenn es keine Prüfung des Sperrstatus durchführen oder abschließen kann. Planungs- und Entwurfsaspekte 239 NoRevocationCheck Standardmäßig ist dieser Wert 0. Wenn Sie ihn auf 1 setzen, führt NPS keine Überprüfung des Sperrstatus durch. Wenn Sie einen oder beide Registrierungsschlüssel auf 1 setzen, lässt sich der Netzwerkzugriff nicht durch eine einfache Sperrung des Zertifikats beenden. Chris Irwin, Premier Field Engineer Premier Field Engineering Group Gruppenrichtlinien Es geht über den Rahmen dieses Buchs hinaus, die Planung und Bereitstellung von Gruppenrichtlinien für eine Organisation beliebiger Größe im Detail zu beschreiben. Ausführlichere Informationen finden Sie im Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und Support-System von Windows Server 2008 oder unter http://www.microsoft.com/gp. Gruppenrichtlinien werden in einer Netzwerkzugriffsauthentifizierungsinfrastruktur auf WindowsBasis für folgende Zwecke verwendet: Um dafür zu sorgen, dass auf den Mitgliedscomputern der Domäne ein Stammzertifikat installiert wird, damit sich die Computerzertifikate von NPS-Servern überprüfen lassen Um dafür zu sorgen, dass auf den Mitgliedscomputern der Domäne automatisch Zertifikate für die Netzwerkzugriffsauthentifizierung auf Computerebene installiert werden Um dafür zu sorgen, dass auf Mitgliedscomputern der Domäne automatisch Zertifikate für die Netzwerkzugriffsauthentifizierung auf Benutzerebene installiert werden Außerdem können Sie mit den Gruppenrichtlinien Konfigurationseinstellungen für folgende Profile, Software und Geräte vornehmen: Profile für Drahtlosnetzwerke nach EEE 802.11 Netzwerkprofile für herkömmliche verkabelte Netzwerke ((Ethernet mit 802.1X-Authentifizierung) Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter Sicherheit zum Schutz des Datenverkehrs NAP-Clientkonfiguration Wenn Sie eine Gruppenrichtlinieninfrastruktur planen, sollten Sie sich an die Empfehlungen für die Konfiguration Ihrer Active Directory-Infrastruktur mit Gruppenrichtlinien halten, wie sie in Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/gp beschrieben ist. Es gibt keine Besonderheiten bei der Planung und der Konzeption von Gruppenrichtlinienobjekten, die speziell für eine Authentifizierungsinfrastruktur auf der Basis von Windows für den Netzwerkzugriff und NAP gelten. Allerdings müssen Sie dafür sorgen, dass die richtigen Gruppenrichtlinienobjekte auf die Container oder Sicherheitsgruppen angewendet werden, die Benutzer- oder Computerkonten für den authentifizierten Zugriff enthalten, oder für die Konfiguration von drahtlosen oder herkömmlich verkabelten Netzwerkprofilen, für Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter Sicherheit oder NAP-Clienteinstellungen. 240 Kapitel 9: Authentifizierungsinfrastruktur RADIUS NPS kann als RADIUS-Server, RADIUS-Proxy oder beides verwendet werden. Die folgenden Abschnitte beschreiben die Planung, den Entwurf und die Sicherheitsüberlegungen bei der Bereitstellung von NPS als RADIUS-Server oder -Proxy. Planung und Entwurf von RADIUS-Servern Wenn Sie auf der Basis von NPS eine RADIUS-Infrastruktur für die Netzwerkzugriffsauthentifizierung oder für NAP planen, berücksichtigen Sie folgende Punkte: Domänenmitgliedschaft der NPS-Server Sie müssen die Domäne bestimmen, deren Mitglied der NPS-Server werden soll. In Umgebungen mit mehreren Domänen kann ein NPS-Server die Anmeldeinformationen für Benutzerkonten aus der Domäne überprüfen, deren Mitglied er ist, und aus allen Domänen, die dieser Domäne vertrauen. Um die Einwähleigenschaften von Benutzerund Computerkonten lesen zu können, müssen Sie das Computerkonto des NPS-Servers allerdings in jeder der beteiligten Domänen zur Gruppe RAS- und IAS-Server hinzufügen. UDP-Ports für RADIUS-Datenverkehr Bei Bedarf können Sie den NPS-Server so einstellen, dass er RADIUS-Nachrichten empfängt, die an andere UDP-Ports als die Standardports 1812 und 1645 (für die RADIUS-Authentifizierung) und die Ports 1813 und 1646 (für die RADIUS-Buchhaltung) gesendet werden. RADIUS-Clients auf dem NPS-Server einstellen Ein RADIUS-Client kann ein Zugriffsserver sein – ein Netzwerkzugriffsserver (beispielsweise ein VPN-Server oder ein Server für Einwählverbindungen, ein drahtloser Zugriffspunkt oder ein Ethernetswitch) oder ein NAP-Erzwingungspunkt – oder ein RADIUS-Proxy. NPS unterstützt alle Zugriffsserver und RADIUS-Proxys, die RFC 2865 entsprechen. Konfigurieren Sie jeden Zugriffsserver oder RADIUS-Proxy, der RADIUS-Anforderungsnachrichten an den NPS-Server sendet, auf dem NPS-Server als RADIUS-Client. Sie können für RADIUS-Clients IP-Adressen oder DNS-Namen angeben. In den meisten Fällen ist es besser, für RADIUS-Clients IPv4- oder IPv6-Adressen anzugeben. Wenn Sie IP-Adressen verwenden, muss NPS die Hostnamen beim Start nicht auflösen und der Startvorgang erfolgt schneller. Das ist besonders dann von Vorteil, wenn Ihr Netzwerk eine große Zahl an RADIUSClients enthält. Verwenden Sie zur Angabe von RADIUS-Clients DNS-Namen, wenn es um etwas anderes als um administrative Flexibilität geht (zum Beispiel um die Möglichkeit, mehrere RADIUS-Clientadressen mit demselben DNS-Namen zu verknüpfen). NPS ermöglicht Ihnen unter Windows Server 2008 die Angabe eines RADIUS-Clients mit einem Adressenbereich. Der Adressenbereich wird für IPv4-RADIUS-Clients in der Netzwerkpräfixlängennotation w.x.y.z/p angegeben, wobei w.x.y.z die punktierte Dezimalschreibweise des Adressenpräfix ist und p die Präfixlänge (die Zahl der höherwertigen Bits, die das Netzwerkpräfix definieren). Diese Schreibweise wird auch CIDR-Notation (Classless Inter-Domain Routing) genannt. Ein Beispiel: 192.168.21.0/24. Bei der Konvertierung der Subnetzmaskenschreibweise in die Präfixlängenschreibweise ist p die Zahl der höherwertigen Bits, die in der Subnetzmaske auf 1 gesetzt werden. Auch der Adressenbereich für IPv6-RADIUS-Clients wird in der Präfixlängenschreibweise angegeben, wie zum Beispiel in 2001:db8:27a1:1c5d::/64. Drahtlose Zugriffspunkte, Switches und Remotezugriffsserver von anderen Herstellern Wenn Sie überprüfen möchten, ob ein Zugriffsserver von anderen Herstellern als ein RADIUS-Server mit NPS zusammenarbeiten kann, überprüfen Sie in der Dokumentation des Zugriffsservers, ob er der RFC 2865 entspricht und wie er die RADIUS-Attribute und die herstellerspezifischen Attribute verwendet. Planungs- und Entwurfsaspekte 241 Konfiguration der Verbindungsanforderungsrichtlinien Verbindungsanforderungsrichtlinien bestimmen, ob der NPS-Server als RADIUS-Server, als RADIUS-Proxy oder beides verwendet wird, je nach den Informationen aus den eingehenden RADIUS-Anforderungsnachrichten. Die StandardVerbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden wird für NPS konfiguriert, wenn der Netzwerkrichtlinienserver als RADIUS-Server verwendet wird. Zusätzliche Verbindungsanforderungsrichtlinien können zur Angabe genauerer Bedingungen, zur Bearbeitung von Attributen und zur Angabe von erweiterten Attributen verwendet werden. Verbindungsanforderungsrichtlinien werden der Reihe nach ausgewertet. Ordnen Sie also die spezifischeren Richtlinien am Anfang der Liste an. Zur Verwaltung neuer Verbindungsanforderungsrichtlinien können Sie das Netzwerkrichtlinienserver-Snap-In verwenden. Bereichsersatz zur Konvertierung von Benutzernamensformaten Der Bereichsname (realm name) ist der Teil des Kontennamens, der den Ort bezeichnet, an dem das Benutzerkonto zu finden ist, beispielsweise der Name einer Active Directory-Domäne. Um die Bereichsnamen aus den Benutzernamen einer Verbindungsanforderung korrekt zu ersetzen oder zu konvertieren, konfigurieren Sie in der entsprechenden Verbindungsanforderungsrichtlinie Bereichsnamensregeln für das RADIUS-Attribut Benutzername. Netzwerkrichtlinienkonfiguration Netzwerkrichtlinien werden verwendet, um den Zugang zum Netzwerk zu gewähren oder zu verweigern, und um bestimmte Bedingungen für den zulässigen Netzwerkzugriff festzulegen, beispielsweise Beschränkungen für Einwählverbindungen, zulässige Authentifizierungsprotokolle und Verschlüsselungsstärken, oder zusätzliche RADIUS-Attribute. Verwenden Sie zur Verwaltung der Netzwerkrichtlinien das Netzwerkrichtlinienserver-Snap-In. Netzwerkrichtlinien und Autorisierung auf der Basis von Benutzern oder Gruppen In kleinen Organisationen können Sie die Autorisierung verwalten, indem Sie für jedes einzelne Benutzerkonto die Netzwerkzugriffsberechtigung festlegen. In einer großen Organisation legen Sie für jedes Benutzerkonto fest, dass die Netzwerkzugriffsberechtigungen durch NPS-Netzwerkrichtlinien kontrolliert werden. Dann richten Sie den Zugriff mit Netzwerkrichtlinien so ein, dass er auf der Basis von Gruppenmitgliedschaften erfolgt. Zusätzliche RADIUS-Attribute und herstellerspezifische Attribute Wenn Sie planen, in den Antworten auf RADIUS-Anfragen zusätzliche RADIUS-Attribute oder herstellerspezifische Attribute (Vendor-Specific Attributes, VSAs) anzugeben, müssen Sie die RADIUS-Attribute oder VSAs zur entsprechenden Netzwerkrichtlinie hinzufügen. Ereignisprotokollierung Die Protokollierung von Authentifizierungsereignissen, die standardmäßig aktiviert ist, kann Sie bei der Behebung von Verbindungsproblemen unterstützen. Zugriffsprotokollierung Zur Protokollierung von Zugriffen werden die Authentifizierungs- und Autorisierungsnachrichten, die von Zugriffsservern eingehen, an einem zentralen Ort gespeichert und gesammelt. Sie können diese Informationen in lokalen Protokolldateien oder in einer Microsoft SQL Server-Datenbank speichern. Interimskontoführung Einige Zugriffsserver senden während einer Verbindung regelmäßig zwischenzeitliche Kontoführungsnachrichten (also nicht nur die Kontoführungsnachrichten, die beim Aufbau einer Verbindung gesendet werden). Um die Interimskontoführung zu verwenden, überprüfen Sie zuerst, ob Ihr Zugriffsserver den Versand von Interimskontoführungsnachrichten unterstützt. Dann fügen Sie auf der Registerkarte Einstellungen der entsprechenden Netzwerkrichtlinie das RADIUS-Attribut Acct-Interim-Interval RADIUS als Standard-RADIUS-Attribut hinzu. Stellen Sie dann mit dem Acct-Interim-Interval-Attribut den Abstand ein (in Minuten), in dem die Interimskontoführungsnachrichten versendet werden sollen. 242 Kapitel 9: Authentifizierungsinfrastruktur Überlegungen zur Sicherheit der RADIUS-Server Wenn Sie NPS als RADIUS-Server verwenden, berücksichtigen Sie die folgenden Punkte zum Schutz der RADIUS-Infrastruktur: Gemeinsame geheime RADIUS-Schlüssel Mit einem gemeinsamen geheimen RADIUS-Schlüssel lässt sich überprüfen, ob die RADIUS-Nachrichten (mit Ausnahme der Access-Request-Nachricht) von einem RADIUS-fähigen Gerät gesendet wurden, das diesen gemeinsamen geheimen Schlüssel kennt. Gemeinsame geheime Schlüssel verbessern auch den Schutz vor einer Änderung der RADIUS-Nachricht auf dem Übertragungsweg (Nachrichtenintegrität). Außerdem wird der gemeinsame geheime Schlüssel zur Verschlüsselung einiger sensibler RADIUS-Attribute verwendet, wie zum Beispiel User-Password und Tunnel-Password. Verwenden Sie möglichst sichere gemeinsame geheime Schlüssel und ändern Sie die Schlüssel häufig, um Wörterbuchangriffe (dictionary attacks) zu erschweren. Sichere gemeinsame geheime Schlüssel sind lange (länger als 22 Zeichen) Folgen von zufällig gewählten Buchstaben, Ziffern und Satzzeichen. Sie können das Netzwerkrichtlinienserver-Snap-In für sichere gemeinsame geheime RADIUS-Schlüssel verwenden. Message-Authenticator-Attribut Um zu überprüfen, ob eine eingehende Access-Request-RADIUSNachricht für Verbindungsanforderungen, die mit den Authentifizierungsprotokollen PAP, CHAP, MS-CHAP oder MS-CHAP v2 erfolgen, von einem RADIUS-Client stammt, der mit demselben gemeinsamen geheimen Schlüssel konfiguriert wurde, können Sie das RADIUS-Attribut MessageAuthenticator verwenden, auch bekannt als digitale Signatur oder Signatur-Attribut. Sie müssen das Message-Authenticator-Attribut auf dem NPS-Server (im Rahmen der Konfiguration des RADIUS-Clients im Netzwerkrichtlinienserver-Snap-In) und auf dem RADIUS-Client (dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie vor der Aktivierung, ob der RADIUS-Client das Message-Authenticator-Attribut unterstützt. Das Message-AuthenticatorAttribut wird immer mit Authentifizierungsmethoden auf EAP-Basis verwendet. Informationen über die Aktivierung des RADIUS-Attributs Message-Authenticator auf Ihrem Zugriffsserver finden Sie in der Dokumentation des Zugriffsservers. Firewalleinstellung für RADIUS-Datenverkehr Wenn sich Ihr NPS-Server in einem Grenznetzwerk befindet, stellen Sie Ihre Internetfirewall (zwischen dem Grenznetzwerk und dem Internet) so ein, dass RADIUS-Datenverkehr zwischen Ihrem NPS-Server und RADIUS-Clients aus dem Internet zugelassen wird. Vielleicht müssen Sie zwischen Ihrem Grenznetzwerk und Ihrem Intranet eine weitere Firewall einrichten und so einstellen, dass ein Datenaustausch zwischen dem NPS-Server im Grenznetzwerk und den Domänencontrollern des Intranets erfolgen kann. Direkt von der Quelle: EAP-MD5 entfernt Mit dem Erscheinen von Windows Vista wurde die Microsoft-Implementierung von EAP-MD5 aus Windows entfernt. Die Entscheidung, die Microsoft-Implementierung von EAP-MD5 zu entfernen, wurde zur Verbesserung der Sicherheit in Windows Vista getroffen. Von der Entfernung der Microsoft-Implementierung von EAP-MD5 sind Remotezugriffsdienste, VPN-Dienste und verkabelte 802.1X-Bereitstellungen direkt betroffen. Standardmäßig können diese Komponenten nicht mehr die Microsoft-Implementierung von EAP-MD5 zur Authentifizierung verwenden. Die Serverimplementierung von EAP-MD5 wird zwar weiterhin mit Windows Server 2008 ausgeliefert, bleibt aber standardmäßig deaktiviert. Microsoft wird EAP-MD5-Verbindungen für alte Netzwerkgeräte zwar weiterhin ermöglichen, sie aber auf den Microsoft-Clientbetriebssystemen nicht einleiten. Tim Quinn, Support Escalation Engineer Enterprise Platform Support Planungs- und Entwurfsaspekte 243 Netzwerkzugriffsauthentifizierungsprotokolle NPS unterstützt verschiedene Authentifizierungsprotokolle. Verfügbar sind, angefangen beim sichersten bis hin zum unsichersten: PEAP-TLS, EAP-TLS, PEAP-MS-CHAP v2, MS-CHAP v2, CHAP und PAP. Microsoft empfiehlt, das sicherste Authentifizierungsprotokoll zu verwenden, das Ihre Konfiguration zulässt. Bei Authentifizierungsprotokollen auf Kennwortbasis müssen Richtlinien für sichere Kennwörter festgelegt werden, um den Schutz vor Wörterbuchangriffen zu erhöhen. Die Verwendung von PAP wird nicht empfohlen, sofern es nicht erforderlich ist. RAS-Kontosperrung Um den Schutz vor Online-Wörterbuchangriffen mit bekannten Benutzernamen auf Zugriffsserver zu verbessern, können Sie die RAS-Kontosperrung aktivieren. Dadurch werden Remotezugriffe mit dem betreffenden Benutzerkonto gesperrt, wenn eine zuvor festgelegte Anzahl von fehlgeschlagenen Verbindungsversuchen erreicht wird. Weitere Informationen finden Sie in Kapitel 12, »Remotezugriff-VPN-Verbindungen«. RAS-Kontosperrung kann auch dazu verwendet werden, um Benutzer daran zu hindern, absichtlich die Sperrung eines Domänenkontos herbeizuführen, indem sie mehrere Einwähl- oder VPNVerbindungen mit dem falschen Kennwort herzustellen versuchen. Sie können die Zahl der Fehlversuche für die RAS-Kontosperrung auf eine Zahl einstellen, die kleiner ist als die zulässige Zahl der Fehlversuche für Domänenanmeldungen. Dann erfolgt die RAS-Kontosperrung vor der Domänenkontosperrung. Auf diese Weise lässt sich verhindern, dass absichtlich über eine Remoteverbindung eine Sperrung eines Domänenkontos herbeigeführt wird. Installieren von Zertifikaten für die Netzwerkzugriffsauthentifizierung auf den NPS-Servern Wenn Sie die Authentifizierungsprotokolle EAP-TLS, PEAP-TLS oder PEAP-MS-CHAP v2 verwenden, müssen Sie auf dem NPS-Server ein Zertifikat mit dem EKU-Feld Serverauthentifizierung installieren (EKU bedeutet Enhanced Key Usage oder erweiterte Schlüsselverwendung). Andere Authentifizierungsprotokolle von anderen Software- oder Hardwareherstellern erfordern vielleicht auch die Installation spezieller Zertifikate auf den NPS-Servern. Verwenden der Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit zum Schutz der NPS-Server Sie können für Windows-Firewall mit erweiterter Sicherheit Verbindungssicherheitsregeln konfigurieren, um den RADIUS-Datenverkehr zwischen RADIUS-Servern und Zugriffsservern sowie zwischen RADIUS-Servern und RADIUS-Proxys mit IPsec zu schützen. Diese Regeln können im Rahmen der Gruppenrichtlinieneinstellungen festgelegt und auf Active Directory-Container angewendet oder für Sicherheitsgruppen gefiltert werden, oder sie werden auf einzelnen Servern erstellt und angewendet. Planung und Entwurf von RADIUS-Proxys Wenn Sie für die Netzwerkzugriffsauthentifizierung oder für NAP eine RADIUS-Infrastruktur bereitstellen möchten, berücksichtigen Sie folgende Aspekte: Verwenden von NPS als RADIUS-Proxy Die folgenden Anwendungen von NPS als RADIUS-Proxy werden in diesem Kapitel noch ausführlicher beschrieben: Es sollen zur Authentifizierung und Autorisierung Benutzerkonten verwendet werden, die nicht zu der Domäne gehören, deren Mitglied der NPS-Server ist, und auch nicht zu einer Domäne, die mit der Domäne des NPS-Servers eine bidirektionale Vertrauensbeziehung eingegangen ist. Das betrifft zum Beispiel Konten in Domänen, die nicht als vertrauenswürdig eingestuft werden, sowie Konten aus Domänen, zu denen nur eine unidirektionale Vertrauensbeziehung besteht, und andere Gesamtstrukturen. Statt Zugriffsserver so einzustellen, dass sie Verbindungsanfragen an NPS-RADIUS-Server senden, können Sie die Zugriffsserver auch so einstellen, dass sie Verbindungsanfragen an einen NPS-RADIUS-Proxy senden. Der NPS- 244 Kapitel 9: Authentifizierungsinfrastruktur RADIUS-Proxy verwendet den Bereichsnamenteil des Benutzernamens, um die Anfrage an einen NPS-Server in der richtigen Domäne oder Gesamtstruktur weiterzuleiten. Verbindungsversuche mit Benutzerkonten aus einer Domäne oder Gesamtstruktur können durch Netzwerkzugriffsserver authentifiziert werden, die Mitglieder einer anderen Domäne oder Gesamtstruktur sind. Es soll eine große Zahl von Verbindungsanforderungen bearbeitet werden. In diesem Fall konfigurieren Sie Ihre RADIUS-Clients nicht so, dass sie ihre Verbindungsanfrage- und Kontoführungsnachrichten gleichmäßig unter mehreren RADIUS-Servern aufteilen, sondern so, dass sie ihre Verbindungsanfrage- und Kontoführungsnachrichten an einen NPS-RADIUS-Proxy senden. Der NPS-RADIUS-PROXY verteilt die Verbindungsanfrage- und Kontoführungsnachrichten gleichmäßig auf mehrere RADIUS-Server und verbessert somit die Gesamtleistung, wenn viele RADIUS-Clients bedient und viele Authentifizierungen pro Sekunde durchgeführt werden müssen. Weitere Informationen Weitere Informationen über diese Konfigurationen finden Sie im Verlauf dieses Kapitels unter den Überschriften »Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung« und »Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen«. Konfigurieren von Verbindungsanforderungsrichtlinien Die Standardverbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden verwendet NPS als RADIUS-Server. Wenn Sie eine Verbindungsanforderungsrichtlinie definieren möchten, die NPS als RADIUS-Proxy verwendet, müssen Sie zuerst eine RADIUS-Remoteservergruppe einrichten, deren Mitglieder die RADIUS-Server sind, an die eine RADIUS-Nachricht weitergeleitet werden soll. Dann definieren Sie eine Verbindungsanforderungsrichtlinie, die Authentifizierungsanfragen an eine RADIUSRemoteservergruppe weiterleitet. Anschließend löschen Sie entweder die Verbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden oder verschieben die neue Verbindungsanforderungsrichtlinie an eine höhere Position in der Liste, damit sie zuerst ausgewertet wird. Bereichsersatz und Attributbearbeitung Wenn Sie Bereichsnamen konvertieren und eine Weiterleitung von RADIUS-Nachrichten auf der Basis des Bereichsnamens konfigurieren möchten, müssen Sie in der entsprechenden Verbindungsanforderungsrichtlinie für das User-Name-Attribut (Benutzername) Bereichsregeln verwenden. Wenn Sie das Authentifizierungsprotokoll MS-CHAP v2 verwenden, können Sie das Benutzername-Attribut nicht bearbeiten, wenn die Verbindungsanforderungsrichtlinie für die Weiterleitung der RADIUS-Nachricht verwendet wird. Die einzige Ausnahme gibt es bei der Verwendung eines umgekehrten Schrägstrichs (Backslash, »\«). Die Bearbeitung wirkt dann nur auf die Informationen links neben diesem Zeichen. Ein umgekehrter Schrägstrich wird gewöhnlich bei der Angabe eines Domänennamens (der Teil links neben dem umgekehrten Schrägstrich) und des Namens eines Benutzerkontos aus dieser Domäne (der Teil rechts neben dem umgekehrten Schrägstrich) verwendet. In diesem Fall sind nur Attributbearbeitungsregeln zulässig, die den Domänennamen ändern oder ersetzen. Verwenden zusätzlicher RADIUS-Attribute und herstellerspezifischer Attribute Falls Sie in RADIUSAnfragen, die weitergeleitet werden, zusätzliche RADIUS-Attribute oder herstellerspezifische Attribute (Vendor-Specific Attributes, VSAs) verwenden möchten, müssen Sie die RADIUSAttribute und VSAs zur entsprechenden Verbindungsanforderungsrichtlinie hinzufügen. Konfigurieren einer RADIUS-Remoteservergruppe Eine RADIUS-Remoteservergruppe enthält die RADIUS-Server, an die RADIUS-Nachrichten weitergeleitet werden, die einer passenden Verbindungsanforderungsrichtlinie entsprechen. Planungs- und Entwurfsaspekte 245 Kopieren von Protokollinformationen auf den NPS-Proxy Der NPS-Proxy kann alle RADIUS-Kontoführungsinformationen, die er erhält, in einer lokalen Protokolldatei aufzeichnen. Dadurch entsteht ein zentraler Ort für die Erfassung aller Authentifizierungs- und Kontoführungsinformationen für alle Zugriffsserver des NPS-Proxys. Authentifizierungs- und Kontoführungsports Wenn Sie einen Server aus einer RADIUS-Remoteservergruppe konfigurieren, können Sie benutzerdefinierte UPD-Ports festlegen, an die RADIUSAuthentifizierungs- und -Kontoführungsnachrichten gesendet werden. Der UPD-Standardport für Authentifizierungsanfragen ist 1812. Der UPD-Standardport für Kontoführungsnachrichten ist 1813. Lastausgleich und Fehlererkennung Wenn Sie in einer RADIUS-Remoteservergruppe mehrere Server einrichten, können Sie auch festlegen, wie der NPS-Proxy die Authentifizierungs- und Autorisierungsnachrichten auf die RADIUS-Server aus der Gruppe aufteilt. Standardmäßig wird der RADIUS-Datenverkehr gleichmäßig auf die Mitglieder der Gruppe aufgeteilt. Mit weiteren Einstellungen können Sie NPS so konfigurieren, dass es den Ausfall eines Mitglieds der RADIUSRemoteservergruppe erkennt und entsprechend reagiert. Direkt von der Quelle: RADIUS-Proxys und Vertrauensstellungen Es ist am besten, die Einrichtung mehr oder weniger »zufälliger« Vertrauensstellungen für eine domänenübergreifende Netzwerkauthentifizierung zu vermeiden. Wenn es Ihr Ziel ist, Domänenbenutzern die Möglichkeit zu geben, sich in verschiedenen Domänen an Netzwerke anzumelden, sollten Sie RADIUS-Proxys verwenden, statt eine transitive Vertrauensstellung einzurichten. Bei der Einrichtung eines RADIUS-Proxys tauschen die beiden beteiligten NPS-Server nur die Daten aus, die wichtig sind, um einem Benutzer oder Computer den Zugriff zu ermöglichen. Außerdem setzt diese Lösung nur voraus, dass zwischen den beiden Domänen zwei UPD-Ports verfügbar sein müssen. Bei einer Vertrauensstellung ist der Datenverkehr wesentlich umfangreicher, weil zum Beispiel auch eine Ressourcenzugriffsüberprüfung vorgenommen wird, und es müssen wesentlich mehr Ports geöffnet werden. Clay Seymour, Support Escalation Engineer Enterprise Platform Support Überlegungen zur Sicherheit von RADIUS-Proxys Wenn Sie NPS als RADIUS-Proxy verwenden, berücksichtigen Sie die folgenden Punkte zum Schutz der RADIUS-Infrastruktur: Gemeinsame geheime Schlüssel Konfigurieren Sie sichere gemeinsame geheime Schlüssel, um Wörterbuchangriffe abzuwehren, und ändern Sie die Schlüssel häufig. Sichere gemeinsame geheime Schlüssel sind lange (länger als 22 Zeichen) Folgen von zufällig gewählten Buchstaben, Ziffern und Satzzeichen. Firewalleinstellung Wenn sich Ihr NPS-Proxy in einem Grenznetzwerk befindet, stellen Sie Ihre Internetfirewall (zwischen dem Grenznetzwerk und dem Internet) so ein, dass RADIUS-Datenverkehr zwischen Ihrem NPS-Proxy und RADIUS-Clients aus dem Internet zugelassen wird. Vielleicht müssen Sie zwischen Ihrem Grenznetzwerk und Ihrem Intranet eine weitere Firewall einrichten und so einstellen, dass ein Datenaustausch zwischen dem NPS-Proxy im Grenznetzwerk und einem NPS-Server des Intranets erfolgen kann. 246 Kapitel 9: Authentifizierungsinfrastruktur Message-Authenticator-Attribut Sie können das RADIUS-Attribut Message-Authenticator (auch bekannt als digitale Signatur oder Signatur-Attribut) für die Überprüfung verwenden, ob eine eingehende Access-Request-RADIUS-Nachricht für Verbindungsanforderungen von einem RADIUSClient stammt, der mit demselben gemeinsamen geheimen Schlüssel konfiguriert wurde. Das Message-Authenticator-Attribut wird immer für EAP verwendet, Sie brauchen es nicht auf dem NPSServer oder Zugriffsserver zu aktivieren. Für die Authentifizierungsprotokolle PAP, CHAP, MSCHAP oder MS-CHAP v2 müssen Sie das Message-Authenticator-Attribut auf dem NPS-Server aktivieren (im Rahmen der Konfiguration des RADIUS-Clients) und auf dem RADIUS-Client (dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie vor der Aktivierung des Attributs, ob der RADIUS-Client das Message-Authenticator-Attribut unterstützt. Verwenden der Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit zum Schutz der NPS-Proxys Sie können für Windows-Firewall mit erweiterter Sicherheit Verbindungssicherheitsregeln konfigurieren, um den RADIUS-Datenverkehr zwischen RADIUS-Proxys und Zugriffsservern sowie zwischen RADIUS-Proxys und RADIUS-Servern mit IPsec zu schützen. PAP (Password Authentication Protocol) Von der Verwendung von PAP wird dringend abgeraten, insbesondere bei der Verwendung von RADIUS-Proxys. Hohe Verfügbarkeit der RADIUS-Authentifizierung Um eine hohe Verfügbarkeit der Authentifizierung und Kontoführung mit RADIUs zu gewährleisten, sollten Sie immer mindestens zwei NPS-Server verwenden. Ein NPS-Server ist der primäre RADIUSServer und der andere ist das Reservegerät. Zugriffserver und andere RADIUS-Proxys werden auf beide NPS-Server eingestellt (einen primären und einen sekundären) und wechseln automatisch auf den sekundären NPS-RADIUS-Server, falls der primäre NPS-RADIUS-Server ausfallen sollte. Wenn Sie mehrere RADIUS-Server verwenden, geschieht der Wechsel im Falle eines Fehlers (Failover) dadurch, dass sich ein RADIUS-Client an den anderen RADIUS-Server wendet und eine neue Authentifizierungstransaktion durchführt. Ein Wechsel im Falle eines Fehlers, der mitten in einer Transaktion auftritt, wird nicht unterstützt. Hohe Skalierbarkeit der RADIUS-Authentifizierung Berücksichtigen Sie bei der Skalierung der RADIUS-Authentifizierung auf eine große Anzahl von Konten oder eine hohe Zahl von Verbindungsversuchen folgende Aspekte: Verwenden Sie universelle Gruppen und Netzwerkrichtlinien auf Gruppenbasis Wenn Sie Netzwerkrichtlinien verwenden, um mit bestimmten Ausnahmen den Netzwerkzugriff für alle Gruppen einzuschränken, erstellen Sie eine universelle Gruppe für alle Benutzer und Computer, denen Sie den Zugriff gestatten wollen, und richten dann eine Netzwerkrichtlinie ein, die dieser universellen Gruppe den Zugriff erlaubt. Fügen Sie nicht alle Benutzer- und Computerkonten direkt zu dieser Gruppe hinzu, insbesondere dann nicht, wenn es sehr viele davon gibt. Erstellen Sie stattdessen separate Gruppen, die Mitglieder der universellen Gruppe sind, und fügen Sie die Benutzer- und Computerkonten zu diesen Gruppen hinzu. Verwenden Sie Benutzerprinzipalnamen Wenn Sie Benutzer angeben müssen, verwenden Sie nach Möglichkeit Benutzerprinzipalnamen (User Principal Names, UPNs), wie zum Beispiel [email protected]. Unabhängig von seiner Domänenmitgliedschaft kann ein Benutzer immer denselben Benutzerprinzipalnamen haben. Auf diese Weise verbessern Sie die Skalierbarkeit in einer Weise, wie sie insbesondere in Organisationen mit einer großen Zahl von Domänen wichtig ist. Installieren Sie NPS auf Domänencontrollern Installieren Sie NPS nach Möglichkeit auf Domänencontrollern, um die bestmögliche Leistung für die Authentifizierung und Autorisierung zu errei- Bereitstellungsschritte 247 chen. Wenn NPS auf einem Domänencontroller ausgeführt wird, fallen die Verzögerungen weg, die sonst auftreten, wenn sich ein NPS-RADIUS-Server über das Netzwerk an einen Domänencontroller wendet, um Anmeldeinformationen zu überprüfen und Konteneigenschaften abzurufen. Wenn sich der NPS-Server auf einem Computer befindet, der kein Domänencontroller ist, und er erhält sehr viele Authentifizierungsanfragen pro Sekunde, können Sie die Leistung verbessern, indem Sie die Anzahl der gleichzeitigen Authentifizierungen zwischen dem NPS-Server und dem Domänencontroller heraufsetzen. Bearbeiten Sie dazu den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Fügen Sie einen neuen Wert vom Typ REG_DWORD namens MaxConcurrentApi hinzu und stellen Sie ihn auf 2 bis 5, auch wenn Werte zwischen 0 und 10 zulässig sind. Dieser Wert gibt die maximale Anzahl gleichzeitiger Anmeldungen an, die zu jedem Zeitpunkt über einen sicheren Kanal an den Domänencontroller übertragen und bearbeitet werden können. Die Standardeinstellung für einen Mitgliedsserver ist 2. Wenn Sie diesen Wert heraufsetzen, steigt die Zahl der Anmeldungen, die gleichzeitig bearbeitet werden können, und damit auch die Leistung des NPS-Servers. Vermeiden Sie es aber, MaxConcurrentApi auf Werte über 5 einzustellen, weil die zusätzliche Belastung auf dem Domänencontroller zu Ressourcenmangel führen könnte. Bereitstellungsschritte Dieser Abschnitt beschreibt, wie Sie die folgenden Komponenten einer Netzwerkzugriffsauthentifizierungsinfrastruktur auf Windows-Basis bereitstellen können: Active Directory PKI Gruppenrichtlinien RADIUS Bereitstellen von Active Directory Es geht über den Rahmen dieses Buchs hinaus, die Bereitstellung von Active Directory für eine Organisation beliebiger Größe zu beschreiben. Informationen über dieses Thema finden Sie in der technischen Referenz zu Windows Server 2008, im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/ad. Die Arbeitsschritte bei der Konfiguration von Active Directory für die beste Unterstützung einer Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind im Prinzip folgende: Sorgen Sie dafür, dass alle Benutzer, die auf Benutzerebene authentifizierte Verbindungen herstellen sollen, über ein entsprechendes aktiviertes Benutzerkonto verfügen. Sorgen Sie dafür, dass alle Computer, die auf Computerebene authentifizierte Verbindungen herstellen sollen, über ein entsprechendes aktiviertes Computerkonto verfügen. Stellen Sie die Netzwerkzugriffsberechtigungen der Benutzer- und Computerkonten entweder auf Zugriff gestatten oder auf Zugriff über NPS-Netzwerkrichtlinien steuern (empfohlen). Im Snap-In Active Directory-Benutzer und -Computer finden Sie die Einstellungen für die Netzwerkzugriffsberechtigung im Eigenschaftendialogfeld eines Benutzer- oder Computerkontos auf der Registerkarte Einwählen. Fassen Sie die Benutzer- und Computerkonten für den Netzwerkzugriff zu passenden Gruppen zusammen. Verwenden Sie die Domänenfunktionsebene Windows 2000, Windows Server 2003 248 Kapitel 9: Authentifizierungsinfrastruktur oder Windows Server 2008 und universelle Gruppen, um Ihre Konten für eine bestimmte Zugriffsart zu einer einzigen Gruppe zusammenzufassen. Erstellen Sie zum Beispiel für den drahtlosen Zugriff eine universelle Gruppe namens DrahtlosBenutzer, die globale Gruppen mit Benutzer- und Computerkonten enthält, mit denen der drahtlose Zugriff auf das Intranet möglich ist. Bereitstellen der Public-Key-Infrastruktur Die Beschreibung einer PKI-Bereitstellung für eine Organisation beliebiger Größe geht über den Rahmen dieses Buchs hinaus. Weitere Informationen erhalten Sie in dem Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki. Die wichtigsten Aspekte bei der Konfiguration einer PKI auf Zertifikatbasis zur Unterstützung einer Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind folgende: Wenn Sie für die Netzwerkzugriffsauthentifizierung auf Benutzerebene Zertifikate verwenden, richten Sie eine Zertifikatvorlage für Benutzerzertifikate ein. Wenn Sie eine Windows-Unternehmenszertifizierungsstelle betreiben, können Sie von der Standardbenutzervorlage eine Kopie anfertigen. Eigenständige Zertifizierungsstellen unterstützen keine Zertifikatvorlagen. Wenn Sie in NAP eine IPsec-Erzwingung verwenden, müssen Sie vielleicht eine Zertifikatvorlage für Integritätszertifikate konfigurieren. Hinweis In den Windows-Zertifikatdiensten ist bereits standardmäßig eine Zertifikatvorlage für ein Computerzertifikat enthalten. Nach der Bereitstellung Ihrer PKI fallen einige Arbeitsgänge für die Bereitstellung von Zertifikaten an, die für drahtlose, herkömmlich verkabelte, Remote-VPN- und standortinterne VPN-Verbindungen gebräuchlich sind. Dazu gehören folgende Aufgaben: Konfigurieren der automatischen Registrierung von Computerzertifikaten für die Computer einer Active Directory-Domäne Anfordern eines Computerzertifikats mit dem Zertifikate-Snap-In Importieren eines Computerzertifikats mit dem Zertifikate-Snap-In Ausführen eines CAPICOM-Skripts, das ein Computer- oder Benutzerzertifikat anfordert Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für Benutzer in einer Active Directory-Domäne Anfordern eines Benutzerzertifikats mit dem Zertifikate-Snap-In Importieren eines Benutzerzertifikats mit dem Zertifikate-Snap-In Einrichten von Zertifikatketten mit Gruppenrichtlinien Anfordern eines Zertifikats über das Web Konfigurieren der automatischen Registrierung von Computerzertifikaten für die Computer einer Active Directory-Domäne Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, kann jeder Computer automatisch von der ausstellenden Zertifizierungsstelle ein Computerzertifikat anfordern, wenn die Gruppenrichtlinien für die Computerkonfiguration entsprechend eingestellt sind. Diese Methode ermöglicht eine zentrale Konfiguration für die gesamte Domäne. Bereitstellungsschritte 249 So konfigurieren Sie eine Active Directory-Domäne für die automatische Registrierung von Computerzertifikaten 1. Öffnen Sie das Snap-In Gruppenrichtlinienverwaltung. 2. Erweitern Sie in der Strukturansicht Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann auf den Namen der Domäne, zu der Ihre Zertifizierungsstelle gehört. 3. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy) und klicken Sie dann auf Bearbeiten. 4. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, dann Richtlinien, dann Windows-Einstellungen, anschließend Sicherheitseinstellungen und schließlich Richtlinien für öffentliche Schlüssel. 5. Klicken Sie Einstellungen der automatischen Zertifikatanforderung mit der rechten Maustaste an, zeigen Sie auf Neu und klicken Sie dann auf Automatische Zertifikatanforderung. 6. Der Assistent für automatische Zertifikatanforderung öffnet sich. Klicken Sie auf Weiter. 7. Klicken Sie auf der Seite Zertifikatvorlage auf Computer und klicken Sie dann auf Weiter. 8. Klicken Sie auf Fertig stellen. Damit die Gruppenrichtlinien für die Computerkonfiguration sofort wirksam werden und für einen Computer, auf dem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP ausgeführt wird, ein Computerzertifikat anfordern, starten Sie den Computer neu oder geben in einer Eingabeaufforderung den Befehl gpupdate /target:computer ein. Anfordern eines Computerzertifikats mit dem Zertifikate-Snap-In Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, kann jeder Computer mit dem Zertifikate-Snap-In separat ein Computerzertifikat von der ausstellenden Zertifizierungsstelle anfordern. So fordern Sie mit dem Zertifikate-Snap-In ein Computerzertifikat an 1. Melden Sie sich mit einem Konto, das über Administratorrechte verfügt, auf dem Computer an. 2. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und drücken Sie die EINGABETASTE . 3. Klicken Sie im Menü der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen. 4. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikate. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und klicken Sie dann auf Weiter. 5. Wählen Sie nun einen der folgenden Punkte: Zur Verwaltung von Zertifikaten auf dem lokalen Computer klicken Sie auf Lokalen Computer. Zur Verwaltung von Zertifikaten auf einem Remotecomputer klicken Sie auf Anderen Computer und geben den Namen des Computers ein oder klicken auf Durchsuchen und suchen den Computernamen heraus. Klicken Sie dann auf OK. 6. Klicken Sie auf Fertig stellen. In der Liste Ausgewählte Snap-Ins erscheint der Eintrag Zertifikate (Lokaler Computer) oder Zertifikate (Computername) für die neue Konsole. Klicken Sie auf OK. 7. Erweitern Sie in der Strukturansicht den Knoten Zertifikate\Eigene Zertifikate. 250 Kapitel 9: Authentifizierungsinfrastruktur 8. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern. Der Zertifikatanforderungs-Assistent führt Sie durch die Schritte, die für die Anforderung eines Zertifikats erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Ein Zertifikat, das auf dem VPN-Server oder dem NPS-Server in den Speicher Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Serverauthentifizierung vorgesehen sein. Importieren eines Computerzertifikats mit dem Zertifikate-Snap-In Wenn Sie über eine Zertifikatdatei verfügen, die ein Computerzertifikat enthält, können Sie dieses Computerzertifikat mit dem Zertifikate-Snap-In importieren. Das ist zum Beispiel erforderlich, wenn Sie von einer externen Zertifizierungsstelle für Ihre VPN- oder RADIUS-Server einzelne Computerzertifikate für die PEAP-MS-CHAP v2-Authentifizierung oder für SSTP-Verbindungen (Secure Socket Tunneling Protocol) kaufen. So importieren Sie ein Computerzertifikat mit dem Zertifikate-Snap-In 1. Erweitern Sie den Knoten Zertifikate (Lokaler Computer)\Eigene Zertifikate. 2. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Importieren. Der Zertifikatimport-Assistent leitet Sie durch die Schritte, die zum Import eines Zertifikats aus einer Zertifikatdatei erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Ein Zertifikat, das auf dem VPN-Server oder dem NPS-Server in den Speicher Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Serverauthentifizierung vorgesehen sein. Hinweis Es ist auch möglich, ein Zertifikat durch einen Doppelklick auf eine Zertifikatdatei zu importieren, die in einem Ordner gespeichert ist oder in einer E-Mail übermittelt wurde. Das funktioniert zwar für Zertifikate, die mit Windows-Zertifizierungsstellen erstellt wurden, aber vielleicht nicht bei Zertifikaten von anderen Anbietern. Die empfohlene Methode für den Import von Zertifikaten ist die Verwendung des ZertifikateSnap-Ins. Ausführen eines CAPICOM-Skripts, das ein Computer- oder Benutzerzertifikat anfordert Bei dieser Methode muss jeder Computer, der von der ausstellenden Zertifizierungsstelle ein Computer- oder Benutzerzertifikat anfordert, ein CAPICOM-Skript ausführen. CAPICOM ist ein COMClient, der mit Microsoft ActiveX und COM-Objekten kryptografische Funktionen bietet (das CryptoAPI). CAPICOM kann mit Microsoft Visual Basic, Visual Basic Scripting Edition und C++ verwendet werden. Weitere Informationen über CAPICOM finden Sie unter http://msdn2.microsoft.com/ en-us/library/ms995332.aspx. Um unternehmensweit Benutzer- und Computerzertifikate bereitzustellen, könnte ein CAPICOMProgramm oder Skript per E-Mail verteilt und von den Benutzern ausgeführt werden, oder die Benutzer werden auf eine Website geführt, die eine Verknüpfung mit einem CAPICOM-Programm oder Skript enthält. Als Alternative bietet es sich an, das CAPICOM-Programm oder Skript im Anmeldeskript des Benutzers zu starten, damit es automatisch ausgeführt wird. Der Speicherort für das Benutzer- oder Computerzertifikat lässt sich mit der CAPICOM-Programmierschnittstelle (Application Programming Interface, API) festlegen. Bereitstellungsschritte 251 Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für Benutzer in einer Active Directory-Domäne Diese Methode ermöglicht eine zentrale Konfiguration der ganzen Domäne. Alle Mitglieder der Domäne fordern wegen der entsprechenden Richtlinieneinstellung zur Benutzerkonfiguration automatisch ein Benutzerzertifikat an. Wenn Sie als ausstellende Zertifizierungsstelle eine Unternehmenszertifizierungsstelle verwenden, die unter Windows Server 2008, Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition ausgeführt wird, können Sie Benutzerzertifikate über eine automatische Registrierung installieren. So konfigurieren Sie die automatische Benutzerzertifikatregistrierung für eine Unternehmenszertifizierungsstelle 1. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und klicken Sie dann auf OK. 2. Klicken Sie im Datei-Menü auf Snap-In hinzufügen/entfernen. 3. Klicken Sie unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikatvorlagen und klicken Sie dann auf OK. 4. Klicken Sie in der Strukturansicht auf Zertifikatvorlagen. Im Detailbereich erscheinen alle Zertifikatvorlagen. 5. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Vorlage Benutzer und klicken Sie dann auf Doppelte Vorlage. Wenn Sie zur Wahl einer Betriebssystemversion aufgefordert werden, auf der sich die Zertifikatvorlage verwenden lässt, klicken Sie auf Windows Server 2003 Enterprise Edition und dann auf OK. 6. Geben Sie im Feld Vorlagenanzeigename einen Namen für die neue Benutzerzertifikatvorlage ein (zum Beispiel VPNZugriff). Sorgen Sie dafür, dass das Kontrollkästchen Zertifikat in Active Directory veröffentlichen markiert ist. 7. Klicken Sie auf die Registerkarte Sicherheit. 8. Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Domänen-Benutzer. 9. Wählen Sie in der Liste Berechtigungen für Domänen-Benutzer die Kontrollkästchen Lesen, Registrieren und Automatisch registrieren und klicken Sie dann auf OK. 10. Öffnen Sie das Snap-In Zertifizierungsstelle. 11. Erweitern Sie in der Strukturansicht den Namen Ihrer Zertifizierungsstelle und klicken Sie dann auf Zertifikatvorlagen. 12. Zeigen Sie im Menü Aktion auf Neu und klicken Sie dann auf Auszustellende Zertifikatvorlage. 13. Klicken Sie auf den Namen der neu erstellten Benutzerzertifikatvorlage (beispielsweise VPNZugriff) und klicken Sie dann auf OK. 14. Öffnen Sie das Snap-In Gruppenrichtlinienverwaltung. 15. Erweitern Sie in der Strukturansicht Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann auf den Namen der Domäne, zu der Ihre Zertifizierungsstelle gehört. 16. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy) und klicken Sie dann auf Bearbeiten. 252 Kapitel 9: Authentifizierungsinfrastruktur 17. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, dann Richtlinien, dann Windows-Einstellungen, anschließend Sicherheitseinstellungen und schließlich Richtlinien für öffentliche Schlüssel. 18. Klicken Sie im Detailbereich mit einem Doppelklick auf Zertifikatdiensteclient – automatische Registrierung. 19. Wählen Sie aus der Dropdownliste Konfigurationsmodell den Eintrag Aktiviert. 20. Wählen Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen. 21. Wählen Sie das Kontrollkästchen Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren und klicken Sie dann auf OK. Führen Sie die Schritte 15–21 nach Bedarf für jeden Domänencontainer aus. Sorgen Sie dafür, dass die entsprechenden Domänencontainer auf das automatische Registrieren von Benutzerzertifikaten eingestellt sind, sei es durch das Erben von Gruppenrichtlinieneinstellungen von einem übergeordneten Container oder durch eine explizite Konfiguration. Damit die Gruppenrichtlinien für die Benutzerkonfiguration sofort wirksam werden und für einen Computer, auf dem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP ausgeführt wird und der Mitglied der Domäne ist, für die eine automatische Registrierung eingestellt wurde, ein Benutzerzertifikat anfordern, starten Sie den Computer neu oder geben in einer Eingabeaufforderung den Befehl gpupdate /target:user ein. Anfordern eines Benutzerzertifikats mit dem Zertifikate-Snap-In Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, können Sie mit dem Zertifikate-Snap-In auf jedem Computer separat von der ausstellenden Zertifizierungsstelle ein Benutzerzertifikat anfordern. So fordern Sie mit dem Zertifikate-Snap-In ein Benutzerzertifikat an 1. Melden Sie sich mit einem Konto, das über Administratorrechte verfügt, auf dem Computer an. 2. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und drücken Sie die EINGABETASTE . 3. Klicken Sie im Menü der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen. 4. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikate. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Eigenes Benutzerkonto, klicken Sie auf Fertig stellen und dann auf OK. 5. Erweitern Sie in der Strukturansicht den Knoten Zertifikate\Eigene Zertifikate. 6. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern. Der Zertifikatanforderungs-Assistent führt Sie durch die Schritte, die für die Anforderung eines Benutzerzertifikats erforderlich sind. Das Zertifikat, das auf einem Windows-Computer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Importieren eines Benutzerzertifikats mit dem Zertifikate-Snap-In Wenn Sie über eine Zertifikatdatei verfügen, die ein Benutzerzertifikat enthält, können Sie das Benutzerzertifikat mit dem Zertifikate-Snap-In importieren. Bereitstellungsschritte 253 So importieren Sie ein Benutzerzertifikat mit dem Zertifikate-Snap-In 1. Erweitern Sie den Knoten Zertifikate – Aktueller Benutzer\Eigene Zertifikate. 2. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Importieren. Der Zertifikatimport-Assistent leitet Sie durch die Schritte, die zum Import eines Zertifikats aus einer Zertifikatdatei erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher Aktueller Benutzer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Einrichten von Zertifikatketten mit Gruppenrichtlinien Wenn Sie für die Computerzertifikate, die auf Zugriffsservern oder RADIUS-Servern installiert werden, eine Zertifizierungsstelle von anderen Herstellern verwenden, müssen Sie vielleicht für das auf dem Zugriffs- oder RADIUS-Server installierte Zertifikat die Zertifikatkette einrichten (vom Stammzertifizierungsstellenzertifikat bis hin zum Zertifikat der ausstellenden Zertifizierungsstelle). Wenn der Zugriffsclient der Zertifikatkette des Zertifikats nicht vertraut, das ihm vom Zugriffs- oder RADIUS-Server vorgelegt wird, kann die Zertifikatüberprüfung fehlschlagen. Eine Zertifikatkette besteht aus dem Stammzertifizierungsstellenzertifikat und dem Zertifikat jeder Zwischenzertifizierungsstelle einschließlich der ausstellenden Zertifizierungsstelle. Die folgenden Schritte beschreiben, wie man mit Gruppenrichtlinien ein Stammzertifizierungsstellenzertifikat und ein Zwischenzertifizierungsstellenzertifikat bereitstellt. So installieren Sie ein Stammzertifizierungsstellenzertifikat mit Gruppenrichtlinien 1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Zugriffsoder RADIUS-Servers den Knoten Zertifikate (Lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie dann auf Zertifikate. 2. Klicken Sie im Detailbereich das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des Authentifizierungsservers mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie auf Exportieren. 3. Klicken Sie auf der Willkommen-Seite des Zertifikatexport-Assistenten auf Weiter. 4. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Syntaxstandard kryptografischer Meldungen – "PKCS #7"-Zertifikate (.P7B). 5. Klicken Sie auf Weiter. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen für das exportierte Zertifikat ein oder klicken Sie auf Durchsuchen, um einen Speicherort und einen Dateinamen anzugeben. 6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 7. Öffnen Sie das Snap-In Gruppenrichtlinienverwaltung. 8. Erweitern Sie in der Strukturansicht Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann auf den Namen der Domäne, zu der Ihre Zertifizierungsstelle gehört. 9. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy) und klicken Sie dann auf Bearbeiten. 10. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und dann Richtlinien für öffentliche Schlüssel. 254 Kapitel 9: Authentifizierungsinfrastruktur 11. Klicken Sie Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maustaste an und klicken Sie dann auf Importieren. 12. Geben Sie im Zertifikatimport-Assistenten die Datei an, die in Schritt 5 gespeichert wurde. Wiederholen Sie die Schritte 8 bis 12 für alle entsprechenden Domänencontainer und deren Gruppenrichtlinienobjekte. Sobald die Zugriffsclientcomputer ihre Computerkonfigurationsgruppenrichtlinien das nächste Mal aktualisieren, werden die Stammzertifizierungsstellenzertifikate der ausstellenden Zertifizierungsstellen der Computerzertifikate von den Authentifizierungsservern in den lokalen Zertifikatespeichern installiert. So installieren Sie ein Zwischenzertifizierungsstellenzertifikat mit Gruppenrichtlinien 1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Zugriffsoder RADIUS-Servers den Knoten Zertifikate (Lokaler Computer), erweitern Sie Zwischenzertifizierungsstellen und klicken Sie dann auf Zertifikate. 2. Klicken Sie im Detailbereich das Zwischenzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des Authentifizierungsservers mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Exportieren. 3. Klicken Sie auf der Willkommen-Seite des Zertifikatexport-Assistenten auf Weiter. 4. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Syntaxstandard kryptografischer Meldungen – "PKCS #7"-Zertifikate (.P7B). 5. Klicken Sie auf Weiter. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen für das exportierte Zertifikat ein oder klicken Sie auf Durchsuchen, um einen Speicherort und einen Dateinamen anzugeben. 6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 7. Öffnen Sie das Snap-In Gruppenrichtlinienverwaltung. 8. Erweitern Sie in der Strukturansicht Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann auf den Namen der Domäne, zu der Ihre Zertifizierungsstelle gehört. 9. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy) und klicken Sie dann auf Bearbeiten. 10. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und dann Richtlinien für öffentliche Schlüssel. 11. Klicken Sie Zwischenzertifizierungsstellen mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Importieren. 12. Geben Sie im Zertifikatimport-Assistenten die Datei an, die in Schritt 5 gespeichert wurde. Wiederholen Sie die Schritte 8 bis 12 für alle entsprechenden Domänencontainer und deren Gruppenrichtlinienobjekte. Wenn Sie keine Gruppenrichtlinien verwenden können, installieren Sie die Stamm- und Zwischenzertifizierungsstellenzertifikate manuell auf den einzelnen Zugriffsclientcomputern. Bereitstellungsschritte 255 So installieren Sie ein Stamm- oder Zwischenzertifizierungsstellenzertifikat manuell auf einem Zugriffsclient 1. Exportieren Sie das Stammzertifizierungsstellenzertifikat des Computerzertifikats des Zugriffsoder RADIUS-Servers in eine .p7b-Datei. 2. Erweitern Sie auf dem Zugriffsclientcomputer in der Strukturdarstellung des Zertifikate-Snap-Ins den Knoten Zertifikate (Lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen (für ein Stammzertifizierungsstellenzertifikat) oder Zwischenzertifizierungsstellen (für ein Zwischenzertifizierungsstellenzertifikat) und klicken Sie dann auf Zertifikate. 3. Klicken Sie Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Importieren. 4. Die Willkommen-Seite des Zertifikatimport-Assistenten erscheint. Klicken Sie auf Weiter. 5. Geben Sie auf der Seite Zu importierende Datei im Textfeld Dateiname den Dateinamen der Zertifikatdatei ein, die Sie im Schritt 1 gespeichert haben, oder klicken Sie auf Durchsuchen und suchen Sie die Datei im Dialogfeld Öffnen heraus. 6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern und geben Sie dann den Zertifikatspeicher an. 7. Klicken Sie auf Weiter. Auf der Seite Fertigstellen des Assistenten klicken Sie auf Fertig stellen. Anfordern eines Zertifikats über das Web Die Anforderung eines Zertifikats über das Web, auch Webregistrierung genannt, erfolgt mit dem Microsoft Windows Internet Explorer. Geben Sie als Adresse http://Servername/certsrv ein, wobei Servername der Name des Computers ist, auf dem nicht nur die Windows Server 2008- oder Windows Server 2003-Zertifizierungsstelle ausgeführt wird, sondern auch die Internetinformationsdienste. Ein Assistent auf Webbasis führt Sie durch die Schritte, die erforderlich sind, um ein Zertifikat anzufordern. An welchem Ort das Zertifikat gespeichert wird (es ist entweder der Speicher Aktueller Benutzer oder der Speicher Lokaler Computer), entscheidet bei einer erweiterten Zertifikatanforderung das Kontrollkästchen Lokalen Speicher verwenden. Standardmäßig ist das Kontrollkästchen gelöscht und Zertifikate werden im Speicher Aktueller Benutzer gespeichert. Sie müssen über die Rechte eines lokalen Administrators verfügen, um ein Zertifikat im Speicher Lokaler Computer speichern zu können. Eine Webregistrierung können Sie mit einer eigenständigen oder mit einer Unternehmenszertifizierungsstelle vornehmen. Direkt von der Quelle: Duplizieren von Standardzertifikatvorlagen Wenn Sie Zertifikatvorlagen verwenden, sollten Sie nach Möglichkeit eine passende Standardvorlage auswählen, diese duplizieren und die erforderlichen Änderungen an der neuen Vorlage durchführen. Wenn Sie zum Beispiel die Sicherheitsgruppen ändern möchten, die automatisch für ein bestimmtes Benutzerzertifikat registriert werden, erstellen Sie ein Duplikat der Benutzerzertifikatvorlage. Dann öffnen Sie das Eigenschaftendialogfeld der neuen Zertifikatvorlage, klicken auf die Registerkarte Sicherheit und fügen die Gruppen hinzu, die Zugriff auf die Vorlage erhalten sollen. Clay Seymour, Support Escalation Engineer Enterprise Platform Support 256 Kapitel 9: Authentifizierungsinfrastruktur Gruppenrichtlinien Es geht über den Rahmen dieses Buchs hinaus, die Einstellungen der Gruppenrichtlinien für eine Organisation beliebiger Größe zu beschreiben. Weitere Informationen finden Sie in Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/gp. Die wichtigsten Aspekte bei der Konfiguration der Gruppenrichtlinien zur Unterstützung einer Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind folgende: Wenn Sie für die Netzwerkauthentifizierung auf Computerebene Zertifikate verwenden, konfigurieren Sie die Gruppenrichtlinien für das automatische Registrieren von Computerzertifikaten. Dazu ist die Bereitstellung einer Windows-Unternehmenszertifizierungsstelle erforderlich. Mit einer eigenständigen Zertifizierungsstelle ist keine automatische Registrierung möglich. Wenn Sie für die Netzwerkauthentifizierung auf Benutzerebene Zertifikate verwenden, bereiten Sie eine Zertifikatvorlage für Benutzerzertifikate vor und konfigurieren die Gruppenrichtlinien für das automatische Registrieren von Benutzerzertifikaten. Wenn Sie PEAP-MS-CHAP v2 für die Netzwerkzugriffsauthentifizierung verwenden, konfigurieren Sie bei Bedarf die Gruppenrichtlinien für das automatische Registrieren von Computerzertifikaten, um auf den NPS-Servern Computerzertifikate zu installieren. Wenn Sie PEAP-MS-CHAP v2 für die Netzwerkzugriffsauthentifizierung verwenden und für die Computerzertifikate, die auf den NPS-RADIUS-Servern installiert werden, eine Zertifizierungsstelle von einem anderen Hersteller einsetzen, überprüfen Sie, ob das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des NPS-RADIUS-Servers auf den Zugriffsclients installiert ist. Ist dies nicht der Fall, konfigurieren Sie Gruppenrichtlinien für die Installation des entsprechenden Stammzertifizierungsstellenzertifikats auf den Mitgliedscomputern der Domäne. Informationen über die Konfiguration der Gruppenrichtlinien für die Bereitstellung von Zertifikatkonfigurationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« dieses Kapitels. Weitere Informationen über die Konfiguration von Gruppenrichtlinien zur Bereitstellung der Konfiguration für bestimmte Arten des Netzwerkzugriffs finden Sie in folgenden Kapiteln: Kapitel 10, »Drahtlose Netzwerke nach IEEE 802.11« Kapitel 11, »Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung« Kapitel 16, »IPsec-Erzwingung« Kapitel 17, »802.1X-Erzwingung« Kapitel 18, »VPN-Erzwingung« Kapitel 19, »DHCP-Erzwingung« RADIUS-Server Die Einrichtung einer fehlertoleranten RADIUS-Infrastruktur erfordert den Aufbau von mindestens zwei NPS-RADIUS-Servern, von denen einer als primärer NPS-RADIUS-Server dient und der andere als sekundärer NPS-RADIUS-Server. Gehen Sie folgendermaßen vor: Konfigurieren Sie den primären NPS-Server. Kopieren Sie die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server. Da die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server kopiert wird, sollten Sie Konfigurationsänderungen immer auf dem primären NPS-Server durchführen. Bereitstellungsschritte 257 Konfigurieren des primären NPS-Servers Die Konfiguration des primären NPS-Servers erfolgt in folgenden Schritten, die in den folgenden Abschnitten ausführlicher beschrieben werden: 1. Beschaffen und Installieren eines Computerzertifikats 2. Installieren von NPS und Konfigurieren der NPS-Servereigenschaften 3. Konfigurieren von NPS mit RADIUS-Clients 4. Schützen des RADIUS-Datenverkehrs mit IPsec 5. Konfigurieren der entsprechenden Richtlinien Beschaffen und Installieren eines Computerzertifikats Wenn Sie die automatische Registrierung von Computerzertifikaten eingestellt haben, können Sie eine Aktualisierung der Gruppenrichtlinien mit der Computerkonfiguration einleiten, indem Sie in einer Eingabeaufforderung den Befehl gpupdate /target:computer eingeben. Wenn Sie eine Unternehmenszertifizierungsstelle von Windows Server 2008 oder Windows Server 2003 verwenden und keine automatische Registrierung von Computerzertifikaten eingestellt haben, können Sie auf folgende Weise ein Computerzertifikat anfordern: So fordern Sie ein Computerzertifikat an 1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein und klicken Sie dann auf OK. 2. Klicken Sie im Datei-Menü auf Snap-In hinzufügen/entfernen. 3. Klicken Sie unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikate, klicken Sie dann auf Computerkonto und schließlich auf Weiter. 4. Wählen Sie nun einen der folgenden Punkte: Zur Verwaltung von Zertifikaten auf dem lokalen Computer klicken Sie auf Lokalen Computer und dann auf Fertig stellen. Zur Verwaltung von Zertifikaten auf einem Remotecomputer klicken Sie auf Anderen Computer und geben den Namen des Computers ein oder klicken auf Durchsuchen und suchen den Computernamen heraus. Klicken Sie auf Fertig stellen. 5. Klicken Sie auf OK. 6. Erweitern Sie in der Strukturansicht Zertifikate (Lokaler Computer oder Computername) und klicken Sie dann auf Eigene Zertifikate. 7. Zeigen Sie im Menü Aktion auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern, um den Zertifikatregistrierungs-Assistenten zu starten. 8. Klicken Sie auf der Seite Vorbereitung auf Weiter. 9. Klicken Sie auf der Seite Zertifikate anfordern auf Computer und dann auf Registrieren. 10. Klicken Sie auf Fertig stellen. Wenn Ihre PKI die automatische Registrierung von Computerzertifikaten nicht unterstützt, beschaffen Sie das Computerzertifikat als Datei und importieren das Computerzertifikat dann mit folgenden Schritten auf dem primären NPS-Server. Hinweis Um ein Computerzertifikat importieren zu können, müssen Sie auf dem lokalen Computer Mitglied der Gruppe Administratoren sein oder die entsprechenden Rechte zugewiesen bekommen haben. 258 Kapitel 9: Authentifizierungsinfrastruktur So importieren Sie das Computerzertifikat auf dem primären NPS-Server 1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins den Knoten Zertifikate (Lokaler Computer oder Computername). 2. Klicken Sie Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie auf Importieren. 3. Klicken Sie auf der Willkommen-Seite des Zertifikatimport-Assistenten auf Weiter. 4. Geben Sie auf der Seite Zu importierende Datei im Feld Dateiname den Namen der Zertifikatdatei ein, die Sie von der kommerziellen Zertifizierungsstelle erhalten haben. Sie können auch auf Durchsuchen klicken und die Datei im Dialogfeld Öffnen heraussuchen. 5. Klicken Sie auf Weiter. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern. Standardmäßig sollte der Knoten Eigene Zertifikate als Zertifikatspeicher erscheinen. Klicken Sie auf Weiter und dann auf Fertig stellen. Konfigurieren der NPS-Servereigenschaften NPS lässt sich auf Computern, auf denen Windows Server 2008 ausgeführt wird, im Server-Manager oder in den Aufgaben der Erstkonfiguration mit der Rolle Netzwerkrichtlinien- und Zugriffsdienste installieren. Allerdings muss der primäre NPS-Server in der Lage sein, in den Domänen, für die er zuständig ist, auf die Konteneigenschaften zuzugreifen. Wird NPS auf einem Domänencontroller installiert, ist keine weitere Konfiguration erforderlich, damit der NPS-Server auf die Eigenschaften der Konten aus der Domäne zugreifen kann, zu der er gehört. Wird NPS nicht auf einem Domänencontroller installiert, müssen Sie den primären NPS-Servercomputer so konfigurieren, dass er die Eigenschaften von Benutzerkonten aus der Domäne lesen kann. Dazu gehen Sie so vor, wie in den folgenden Schritten beschrieben. So konfigurieren Sie den primären NPS-Servercomputer, damit er die Eigenschaften von Benutzerkonten aus der Domäne lesen kann 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS (Lokal) und klicken Sie dann auf Server in Active Directory registrieren. 2. Klicken Sie im Dialogfeld Netzwerkrichtlinienserver einmal auf OK und klicken Sie nach der Anzeige der Erfolgsmeldung noch einmal auf OK. Sie können auch eine der folgenden Alternativen wählen: Verwenden Sie den Befehl netsh nps add registeredserver. Fügen Sie das Computerkonto des NPS-Servers im Snap-In Active Directory-Benutzer und -Computer zur Sicherheitsgruppe RAS- und IAS-Server hinzu. Wenn der NPS-Server Netzwerkzugriffsversuche mit Benutzerkonten aus anderen Domänen authentifiziert und autorisiert, sorgen Sie dafür, dass die anderen Domänen in einer bidirektionalen Vertrauensstellung zu der Domäne stehen, in der der NPS-Servercomputer Mitglied ist. Konfigurieren Sie den NPS-Servercomputer dann so, dass er die Eigenschaften der Benutzerkonten aus den anderen Domänen lesen kann. Verwenden Sie dazu den Befehl netsh nps add registeredserver oder das SnapIn Active Directory-Benutzer und -Computer. Wenn einige Konten in anderen Domänen liegen und keine bidirektionale Vertrauensstellung zu der Domäne besteht, in der der NPS-Servercomputer Mitglied ist, müssen Sie einen RADIUS-Proxyy zwischen den beiden Domänen einrichten, die sich gegenseitig nicht als vertrauenswürdig einstufen. Liegen einige der verwendeten Konten in anderen Active Directory-Gesamtstrukturen, die nicht als vertrauenswürdig eingestuft werden, müssen Sie einen RADIUS-Proxy zwischen den Gesamtstruktu- Bereitstellungsschritte 259 ren einrichten. Weitere Informationen finden Sie im Verlauf dieses Kapitels im Abschnitt »Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung«. Wenn Sie zur späteren Verbindungsanalyse oder aus Sicherheitsgründen Authentifizierungs- und Kontoführungsdaten speichern möchten, aktivieren Sie die Protokollierung von Kontoführungs- und Authentifizierungsereignissen. Windows Server 2008-NPS kann Vorgänge in einer lokalen Datei und in einer SQL Server-Datenbank protokollieren. So aktivieren und konfigurieren Sie die Protokollierung von NPS-Vorgängen in einer lokalen Datei 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf Kontoführung. 2. Klicken Sie im Detailbereich auf Protokollierung für lokale Dateien konfigurieren. 3. Wählen Sie auf der Registerkarte Einstellungen ein oder mehrere Kontrollkästchen für die Aufzeichnung von Authentifizierungs- und Kontoführungsanforderungen in den NPS-Protokolldateien: Um Kontoführungsnachrichten und die Antworten aufzuzeichnen, wählen Sie das Kontrollkästchen Kontoführungsanforderungen. Um Authentifizierungsanfragen, access-accept-Pakete und access-reject-Pakete aufzuzeichnen, wählen Sie das Kontrollkästchen Authentifizierungsanforderungen. Um regelmäßige Statusinformationen aufzuzeichnen, beispielsweise Interimsbuchhaltungspakete, wählen Sie die Kontrollkästchen Status der regelmäßigen Kontoführung oder Status der regelmäßigen Authentifizierung. Diese Protokolloptionen sind standardmäßig alle aktiviert. 4. Geben Sie auf der Registerkarte Protokolldatei ein Verzeichnis für die Protokolldateien an und legen Sie dann das Format und die Häufigkeit fest, mit der neue Protokolldateien angelegt werden. Das vorgegebene Standardverzeichnis für die Protokolldateien ist %SystemRoot%\System32\ LogFiles. So aktivieren und konfigurieren Sie die Protokollierung von NPS-Vorgängen in einer SQL Server-Datenbank 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf Kontoführung. 2. Klicken Sie im Detailbereich auf Protokollierung für SQL-Server konfigurieren. 3. Wählen Sie auf der Registerkarte Einstellungen ein oder mehrere Kontrollkästchen für die Aufzeichnung von Authentifizierungs- und Kontoführungsanforderungen. Diese Protokolloptionen sind alle standardmäßig aktiviert. 4. Geben Sie im Eingabefeld Maximale Anzahl von gleichzeitigen Sitzungen die maximale Anzahl von gleichzeitigen Sitzungen an, die NPS mit SQL Server abhalten kann. 5. Klicken Sie zur Konfiguration einer SQL-Datenquelle auf Konfigurieren. 6. Nehmen Sie im Dialogfeld Datenverknüpfungseigenschaften die erforderlichen Einstellungen für die gewünschte SQL Server-Datenbank vor. Stellen Sie bei Bedarf zusätzliche UDP-Ports für die Authentifizierungs- und Kontoführungsnachrichten ein, die von RADIUS-Clients (den Zugriffsservern) gesendet werden. Standardmäßig verwendet NPS die UPD-Ports 1812 und 1645 für Authentifizierungsnachrichten und die UPD-Ports 1813 und 1646 für Kontoführungsnachrichten. 260 Kapitel 9: Authentifizierungsinfrastruktur So konfigurieren Sie NPS für andere UDP-Ports 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Ports und geben Sie im Eingabefeld Authentifizierung die UDPPortnummern für Ihren RADIUS-Authentifizierungsdatenverkehr an. Geben Sie im Eingabefeld Kontoführung die UPD-Portnummern für Ihren RADIUS-Kontoführungsdatenverkehr an. Wenn Sie für den Authentifizierungs- oder Kontoführungsdatenverkehr mehrere Ports verwenden möchten, trennen Sie die Portnummern jeweils durch ein Komma voneinander ab. Sie können auch eine IP-Adresse angeben, an die RADIUS-Nachrichten gesendet werden sollen, wobei folgende Syntax gilt: IPAdresse:UDPPort. Wenn Sie zum Beispiel mehrere Netzwerkkarten verwenden und nur RADIUS-Authentifizierungsnachrichten erhalten möchten, die an die IP-Adresse 10.0.0.99 und UDP-Port 1812 gesendet werden, geben Sie im Feld Authentifizierung 10.0.0.99:1812 ein. Falls Sie IP-Adressen angeben und die Konfiguration des primären NPS-Servers anschließend auf den sekundären NPS-Server übertragen, müssen Sie auf dem sekundären NPS-Server die Angaben anpassen und entweder die IP-Adresse des primären NPS-Servers löschen oder stattdessen die IP-Adresse des sekundären NPS-Servers verwenden. Konfigurieren von NPS mit RADIUS-Clients Auf dem primären NPS-Server geben Sie die Zugriffsserver oder RADIUS-Proxys als RADIUSClients an. So fügen Sie einen RADIUS-Client für NPS hinzu 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUSClients und Server, klicken Sie RADIUS-Clients mit der rechten Maustaste an und klicken Sie dann auf Neuer RADIUS-Client. 2. Geben Sie im Dialogfeld Neuer RADIUS-Client unter Name und Adresse im Textfeld Anzeigename einen Namen für den RADIUS-Client (der Zugriffsserver oder RADIUS-Proxy) ein. Geben Sie im Textfeld Adresse (IP oder DNS) die IP-Adresse oder den DNS-Domänennamen des RADIUS-Clients ein. Wenn Sie einen DNS-Domänennamen eingeben, klicken Sie auf Überprüfen, um den Namen zur IP-Adresse des Zugriffsservers aufzulösen. 3. Geben Sie unter Gemeinsamer geheimer Schlüssel in den Textfeldern Gemeinsamer geheimer Schlüssel und Bestätigen den gemeinsamen geheimen Schlüssel für diese Kombination von NPSServer und RADIUS-Client ein oder klicken Sie auf Generieren, damit der NPS-Dienst einen sicheren gemeinsamen geheimen RADIUS-Schlüssel generiert. 4. Geben Sie unter Zusätzliche Optionen an, ob dieser RADIUS-Client in RADIUS-Nachrichten immer das Message-Authenticator-Attribut verwendet und ob es sich bei dem RADIUS-Client um einen NAP-Erzwingungspunkt handelt, der unter Windows Server 2008 ausgeführt wird (das Kontrollkästchen RADIUS-Client ist NAP-fähig). Klicken Sie dann auf OK. Wenn Sie im selben Subnetz mehrere drahtlose Zugriffspunkte verwenden, können Sie die Verwaltung der RADIUS-Clients vereinfachen, indem Sie statt der Adresse oder des DNS-Namens eines einzelnen RADIUS-Clients einen IPv4- oder IPv6-Adressenbereich angeben. Alle RADIUS-Clients aus diesem Bereich müssen auf denselben RADIUS-Server und denselben gemeinsamen geheimen Schlüssel eingestellt werden. Wenn Sie keinen Adressenbereich angeben möchten, verwenden Sie für jeden drahtlosen Zugriffspunkt einen anderen gemeinsamen geheimen Schlüssel. Verwenden Sie so viele verschiedene gemeinsame geheime Schlüssel, wie Sie können. Jeder gemeinsame geheime Schlüssel sollte eine nach dem Zufallsprinzip zusammengestellte Folge von Groß- und Bereitstellungsschritte 261 Kleinbuchstaben, Ziffern und Satzzeichen sein und mindestens 22 Zeichen lang sein. Wenn Sie diese Zeichenfolge nicht selbst zusammenstellen möchten, können Sie bei der Konfiguration des gemeinsamen geheimen Schlüssels im Netzwerkrichtlinienserver-Snap-In die Option Generieren verwenden. Schützen des RADIUS-Datenverkehrs mit IPsec Um eine höchstmögliche Sicherheit für RADIUS-Nachrichten zu gewährleisten, empfiehlt es sich, IPsec und ESP (Encapsulating Security Payload) zu verwenden, um die Vertraulichkeit und Unversehrtheit der Daten zu schützen und die Quellen der Daten in dem RADIUS-Datenverkehr zwischen den NPS-Servern und den RADIUS-Clients zu authentifizieren. Computer, auf denen Windows Server 2008 oder Windows Server 2003 ausgeführt wird, unterstützen IPsec. Sie konfigurieren den NPSRADIUS-Server für den IPsec-Schutz des RADIUS-Datenverkehrs über die Verbindungsregeln von Windows-Firewall mit erweiterter Sicherheit. Um den RADIUS-Datenverkehr von Zugriffsservern von anderen Herstellern schützen zu können, müssen auch diese Zugriffsserver IPsec unterstützen. Weitere Informationen über Verbindungssicherheitsregeln finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«. Konfigurieren der entsprechenden Richtlinien Um die Autorisierungs- und Verbindungsbeschränkungen auf eingehende Verbindungsanforderungen anwenden zu können, müssen Sie die entsprechenden Richtlinien konfigurieren, nämlich Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien und für NAP Integritätsrichtlinien. Das Netzwerkrichtlinienserver-Snap-In verfügt über eine Reihe von Assistenten, die diese Richtlinien für die gebräuchlichen Netzwerkzugriffs- und NAP-Szenarios automatisch konfigurieren. Die folgenden Schritte beschreiben, wie man die Netzwerkrichtlinienserver-Assistenten verwendet. So starten Sie die Netzwerkrichtlinienserver-Assistenten 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf NPS (Lokal). 2. Wählen Sie in der Dropdownliste des Detailbereichs einen der folgenden Einträge: Netzwerkzugriffsschutz (NAP) RADIUS-Server für DFÜ- oder VPN-Verbindungen RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen 3. Wenn Sie Netzwerkzugriffsschutz (NAP) gewählt haben, klicken Sie auf NAP konfigurieren und geben auf den Seiten des Assistenten zum Konfigurieren von NAP die Richtlinien für NAP an. 4. Wenn Sie RADIUS-Server für DFÜ- oder VPN-Verbindungen gewählt haben, klicken Sie auf VPN oder DFÜ konfigurieren und verwenden die Seiten des Assistenten zum Konfigurieren von VPN oder DFÜ, um die Richtlinien für den VPN- oder DFÜ-Netzwerkzugriff anzugeben. 5. Wenn Sie RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen gewählt haben, klicken Sie auf 802.1X konfigurieren und verwenden die Seiten des Assistenten zum Konfigurieren von 802.1X, um die Richtlinien für drahtlose oder verkabelte 802.1X-Verbindungen festzulegen. In den folgenden Kapiteln finden Sie Informationen über das Konfigurieren der entsprechenden Richtlinien mit den Netzwerkrichtlinienserver-Assistenten: Kapitel 10, »Drahtlose Netzwerke nach IEEE 802.11« Kapitel 11, »Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung« Kapitel 12, »Remotezugriff-VPN-Verbindungen« Kapitel 13, »Standort-zu-Standort-VPN-Verbindungen« Kapitel 16, »IPsec-Erzwingung« 262 Kapitel 9: Authentifizierungsinfrastruktur Kapitel 17, »802.1X-Erzwingung« Kapitel 18, »VPN-Erzwingung« Kapitel 19, »DHCP-Erzwingung« Sofern die Zugriffsserver herstellerspezifische Attribute (vendor-specific attributes, VSAs) erfordern, müssen Sie diese Attribute zur entsprechenden Netzwerkrichtlinie hinzufügen. So fügen Sie ein herstellerspezifisches Attribut zu einer Netzwerkrichtlinie hinzu 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien und klicken Sie dann auf Netzwerkrichtlinien. 2. Klicken Sie die NPS-Netzwerkrichtlinie, zu der das herstellerspezifische Attribut hinzugefügt werden soll, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Einstellungen, dann auf Herstellerspezifisch und schließlich auf Hinzufügen. Eine Liste der vordefinierten Attribute erscheint im Dialogfeld Herstellerspezifisches Attribut hinzufügen. 4. Überprüfen Sie, ob das herstellerspezifische Attribut bereits in der Liste der verfügbaren RADIUSAttribute vorhanden ist. Ist dies der Fall, klicken Sie es mit einem Doppelklick an und konfigurieren es, wie in der Dokumentation Ihres Zugriffsservers beschrieben. 5. Ist das herstellerspezifische Attribut nicht in der Liste der verfügbaren RADIUS-Attribute vorhanden, klicken Sie mit einem Doppelklick auf Vendor-Specific (oder wählen Sie dieses Attribut aus und klicken Sie auf Hinzufügen). Das Dialogfeld Attributinformationen öffnet sich. 6. Klicken Sie auf Hinzufügen. Das Dialogfeld Herstellerspezifische Attributinformationen öffnet sich. 7. Um den Hersteller des Netzwerkzugriffsservers anzugeben, klicken Sie auf Aus Liste auswählen und wählen dann den Hersteller des Netzwerkzugriffsservers aus, für den Sie das herstellerspezifische Attribut konfigurieren. 8. Wird der Hersteller nicht in der Liste aufgeführt, klicken Sie auf Herstellercode eingeben und geben dann den Herstellercode ein. Weitere Informationen Falls Sie den Herstellercode für den Hersteller Ihres Zugriffsservers nicht kennen, sehen Sie in RFC 1007 nach. Dort finden Sie eine Liste von SMI Network Management Private Enterprise Codes. RFC 1007 ist verfügbar unter http://www.ietf.org/rfc.html. 9. Geben Sie an, ob das Attribut zur VSA-Spezifikation in RFC 2865 konform ist. Wenn Sie nicht sicher sind, sehen Sie in der Dokumentation Ihres Zugriffsservers nach. Sofern das Attribut der Spezifikation entspricht, klicken Sie auf Ja, konform und dann auf Attribut konfigurieren. Das Dialogfeld VSA konfigurieren (RFC-konform) öffnet sich. 10. Geben Sie im Drehfeld Vom Hersteller zugewiesene Attributnummer die Nummer ein, die dem Attribut zugewiesen wurde (die Nummer muss im Bereich von 0 bis 255 liegen). Geben Sie in der Dropdownliste Attributformat das Format des Attributs an und geben Sie im Textfeld Attributwert den Wert ein, den Sie dem Attribut zuweisen. Schließen Sie die geöffneten Dialogfelder jeweils mit einem Klick auf OK. 11. Ist das Attribut nicht konform, klicken Sie auf Nein, nicht konform und dann auf Attribut konfigurieren. Das Dialogfeld VSA konfigurieren (nicht RFC-konform) öffnet sich. 12. Geben Sie im Textfeld Hexadezimaler Attributwert den Wert für das Attribut ein. Schließen Sie die geöffneten Dialogfelder jeweils mit einem Klick auf OK. Bereitstellungsschritte 263 Konfigurieren des sekundären NPS-Servers Um den sekundären NPS-Server auf einem Computer einzurichten, gehen Sie folgendermaßen vor: 1. Beschaffen und installieren Sie ein Computerzertifikat. 2. Konfigurieren Sie den sekundären NPS-Servercomputer so, dass er die Eigenschaften von Benutzerkonten aus der Domäne lesen kann. 3. Kopieren Sie die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server. Kopieren der Konfiguration des primären NPS-Servers auf den sekundären NPS-Server Um die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server zu übertragen, gehen Sie folgendermaßen vor: 1. Geben Sie auf dem primären NPS-Servercomputer in einer Eingabeaufforderung den Befehl netsh nps export Pfad\Datei exportpsk=yes. Dadurch werden die Konfigurationseinstellungen einschließlich der gemeinsamen geheimen RADIUS-Schlüssel in der Textdatei Pfad\Datei gespeichert. Als Pfad kann ein relativer oder absoluter Pfad oder ein Netzwerkpfad angegeben werden. 2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-Server. 3. Geben Sie auf dem sekundären NPS-Servercomputer in einer Eingabeaufforderung den Befehl netsh nps import Pfad\Datei. Dadurch werden alle Einstellungen, die auf dem primären NPSServer vorgenommen wurden, vom sekundären NPS-Server übernommen. Falls Sie die NPS-Serverkonfiguration anschließend ändern müssen, tun Sie dies im Netzwerkrichtlinienserver-Snap-In auf dem primären Server und synchronisieren den sekundären NPS-Server anschließend mit der obigen Methode. Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung Da NPS zur Überprüfung der Anmeldeinformationen und zur Beschaffung der Benutzer- und Computerkontoeigenschaften Active Directory verwendet, muss zwischen den Zugriffsservern und den NPSServercomputern ein RADIUS-Proxy eingerichtet werden, wenn die Benutzer- und Computerkonten für Zugriffsclientcomputer und Benutzer in folgenden Authentifizierungsdatenbanken liegen: Zwei verschiedene Active Directory-Gesamtstrukturen, die sich gegenseitig nicht vertrauen Zwei verschiedene Domänen, die sich nicht vertrauen Zwei verschiedene Domänen, zwischen denen nur unidirektional Vertrauen besteht Direkt von der Quelle: RADIUS-Proxys und EAP-TLS Die Verwendung eines RADIUS-Proxys ist für EAP-TLS erforderlich, weil bei diesem Vorgang ein Dienstprinzipalname (Service Principal Name, SPN) in Active Directory gesucht werden muss. Das funktioniert nicht über Vertrauensstellungen hinweg. Wenn der NPS-Server die Computeridentität erfährt, hat diese Angabe die Form eines SPN (Host/ComputerName.DNSDomänenName). Der NPS-Server gibt den SPN an den globalen Katalog weiter. Findet der globale Katalog kein zum SPN passendes lokales Domänenkonto, schlägt die Abfrage mit der Fehlerbedingung Kein gültiges Konto gefunden fehl. SPN-Abfragen werden nicht an andere Domänen weitergeleitet. Clay Seymour, Support Escalation Engineer Enterprise Platform Support 264 Kapitel 9: Authentifizierungsinfrastruktur Hinweis Sie brauchen keinen RADIUS-Proxy zu verwenden, wenn Sie PEAP-MS-CHAP v2 und Benutzernamen verwenden, wie sie vor Windows 2000 üblich waren (beispielsweise microsoft\benutzer1). Wenn ein Zugriffsclient die Anmeldeinformationen eines Benutzers übermittelt, ist darunter meistens ein Benutzername vorhanden, der aus zwei Elementen besteht: Identifikation des Benutzerkontonamens Identifikation des Benutzerkonto-Speicherorts Im Benutzernamen [email protected] ist benutzer1 der Name des Benutzerkontos und contoso.com ist der Ort, an dem das Benutzerkonto gespeichert ist. Die Identifikation des Speicherorts des Benutzerkontos wird auch Bereich (realm) genannt und kann zwei verschiedene Formen annehmen: Der Bereichsname kann ein Präfix sein. In contoso\benutzer1 ist contoso der Name einer Domäne. So wurden Domänen vor Windows 2000 angegeben. Der Bereichsname kann ein Suffix sein. In [email protected] ist contoso.com entweder ein DNS-Domänenname oder der Name einer Active Directory-Domäne. Der Benutzername wird vom Zugriffsclient in der Authentifizierungsphase des Verbindungsversuchs an den Zugriffsserver übergeben. Der Benutzername wird in der Access-Request-Nachricht, die der Zugriffsserver an seinen konfigurierten RADIUS-Server sendet, bei dem es sich in dieser Konfiguration um einen RADIUS-Proxy handelt, zum RADIUS-Attribut User-Name. Wenn ein RADIUS-Proxy die Access-Request-Nachricht erhält, entscheiden Verbindungsanforderungsrichtlinien auf dem RADIUS-Proxy anhand des Bereichsnamens, an welchen RADIUS-Server die Access-RequestNachricht weitergeleitet wird. Abbildung 9.4 zeigt NPS-RADIUS-Proxys, die RADIUS-Nachrichten zwischen Zugriffsservern und mehreren NPS-RADIUS-Servern aus zwei verschiedenen Active Directory-Gesamtstrukturen weiterleiten. Die folgende Konfiguration ist für eine Organisation vorgesehen, die Folgendes verwendet: Active Directory-Domänen Active Directory-Domänen enthalten die Benutzerkonten, Kennwörter und Einwähleigenschaften, die jeder NPS-RADIUS-Server zur Authentifizierung der Anmeldeinformationen eines Benutzers und zur Überprüfung der Autorisierung braucht. Mindestens zwei NPS-RADIUS-Server in jeder Gesamtstruktur Zwei NPS-RADIUS-Server (ein primärer und ein sekundärer) in jeder Gesamtstruktur bieten eine höhere Fehlertoleranz für eine Authentifizierung, Autorisierung und Kontoführung auf RADIUS-Basis als ein einzelner NPSRADIUS-Server. Wenn Sie nur einen NPS-RADIUS-Server vorsehen und dieser Server ausfällt, können für die betreffende Gesamtstruktur keine Zugriffsclients mehr authentifiziert werden. Wenn Sie mindestens zwei NPS-RADIUS-Server verwenden und die NPS-RADIUS-Proxys auf beide NPS-RADIUS-Server (auf den primären und auf den sekundären) einstellen, erkennen es die NPSRADIUS-Proxys, wenn der primäre NPS-RADIUS-Server ausfällt, und können dann auf den sekundären NPS-RADIUS-Server wechseln. Eine Netzwerkrichtlinie für den Netzwerkzugriff Eine Netzwerkrichtlinie wird auf dem NPSRADIUS-Server konfiguriert, um Netzwerkverbindungen auf der Basis der Gruppenmitgliedschaft zu autorisieren. Mindestens zwei NPS-RADIUS-Proxys Zwei NPS-RADIUS-Proxys können eine höhere Fehlertoleranz als ein einzelner Proxy bieten, was die Bearbeitung der RADIUS-Anfragen von den Zugriffsservern betrifft. Bereitstellungsschritte 265 Abbildung 9.4 Verwenden von NPS-RADIUS-Proxys zur gesamtstrukturübergreifenden Authentifizierung Zur Bereitstellung der gerade beschriebenen Konfiguration tun Sie Folgendes: 1. Konfigurieren Sie die Zertifikatinfrastruktur. 2. Konfigurieren Sie die Active Directory-Gesamtstrukturen für Konten und Gruppen. 3. Konfigurieren Sie den primären NPS-RADIUS-Server auf einem Computer in der ersten Gesamtstruktur. 4. Konfigurieren Sie den sekundären NPS-RADIUS-Server auf einem anderen Computer in der ersten Gesamtstruktur. 5. Konfigurieren Sie den primären NPS-RADIUS-Server auf einem Computer in der zweiten Gesamtstruktur. 6. Konfigurieren Sie den sekundären NPS-RADIUS-Server auf einem anderen Computer in der zweiten Gesamtstruktur. 7. Konfigurieren Sie den primären NPS-RADIUS-Proxy. 8. Konfigurieren Sie den sekundären NPS-RADIUS-Proxy. 9. Konfigurieren Sie die RADIUS-Authentifizierung und Kontoführung auf den Zugriffsservern. 266 Kapitel 9: Authentifizierungsinfrastruktur Konfigurieren der Zertifikatinfrastruktur Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen der Public-Key-Infrastruktur« des Abschnitts »Bereitstellungsschritte« dieses Kapitels. Konfigurieren der Active Directory-Gesamtstrukturen für Konten und Gruppen Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen von Active Directory« des Abschnitts »Bereitstellungsschritte« dieses Kapitels. Konfigurieren des primären NPS-RADIUS-Servers auf einem Computer in der ersten Gesamtstruktur Befolgen Sie zur Konfiguration des primären NPS-RADIUS-Servers auf einem Computer in der ersten Gesamtstruktur die Schritte, die in den folgenden Unterabschnitten des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels beschrieben wurden: »Beschaffen und Installieren eines Computerzertifikats« »Konfigurieren der NPS-Servereigenschaften« »Konfigurieren der entsprechenden Richtlinien« Konfigurieren Sie dann den primären NPS-RADIUS-Server in der ersten Gesamtstruktur mit den primären und sekundären NPS-RADIUS-Proxys als RADIUS-Clients. Befolgen Sie dazu die Schritte aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels. (Statt der Zugriffsserver fügen Sie den primären und den sekundären NPS-RADIUS-Proxy als RADIUS-Clients hinzu.) Konfigurieren des sekundären NPS-RADIUS-Servers auf einem anderen Computer in der ersten Gesamtstruktur Zur Konfiguration des sekundären NPS-RADIUS-Servers auf einem anderen Computer der ersten Gesamtstruktur folgen Sie der Anleitung aus dem Abschnitt »Konfigurieren des sekundären NPSServers« dieses Kapitels. Konfigurieren des primären NPS-RADIUS-Servers auf einem Computer in der zweiten Gesamtstruktur Um den primären NPS-RADIUS-Server auf einem Computer aus der zweiten Gesamtstruktur einzurichten, befolgen Sie die Schritte aus den folgenden Unterabschnitten des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels und führen die Konfiguration auf einem Computer aus der zweiten Gesamtstruktur durch: »Beschaffen und Installieren eines Computerzertifikats« »Konfigurieren der NPS-Servereigenschaften« »Konfigurieren der entsprechenden Richtlinien« Dann konfigurieren Sie den primären NPS-RADIUS-Server in der zweiten Gesamtstruktur mit den primären und sekundären NPS-RADIUS-Proxys als RADIUS-Clients. Befolgen Sie dazu die Schritte aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels (statt der Zugriffsserver fügen Sie den primären und den sekundären NPS-RADIUS-Proxy als RADIUS-Clients hinzu). Bereitstellungsschritte 267 Konfigurieren des sekundären NPS-RADIUS-Servers auf einem anderen Computer in der zweiten Gesamtstruktur Zur Konfiguration des sekundären NPS-RADIUS-Servers auf einem anderen Computer der zweiten Gesamtstruktur folgen Sie der Anleitung aus dem Abschnitt »Konfigurieren des sekundären NPSServers« dieses Kapitels. Konfigurieren des primären NPS-RADIUS-Proxys Der Computer, der als primärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem Dateiserver installieren. Da der primäre NPS-RADIUS-Proxycomputer keine Authentifizierung oder Autorisierung von Netzwerkzugriffsverbindungen durchführt, kann er in einer beliebigen der beiden Gesamtstrukturen Mitglied einer Domäne sein. So konfigurieren Sie auf dem primären NPS-RADIUS-Proxy RADIUS-Ports und Clients 1. Konfigurieren Sie im Netzwerkrichtlinienserver-Snap-In für den primären NPS-RADIUS-Proxy nach Bedarf zusätzliche UDP-Ports für RADIUS-Nachrichten, die von den Zugriffsservern gesendet werden. Standardmäßig verwendet NPS die UDP-Ports 1812 und 1645 zur Authentifizierung und die UPD-Port 1813 und 1646 zur Kontoführung. 2. Fügen Sie Zugriffsserver als RADIUS-Clients hinzu. Orientieren Sie sich dabei an der Anleitung aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels. So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer RADIUS-Remoteservergruppe, die den NPS-RADIUS-Servern in der ersten Gesamtstruktur entspricht 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUS-Clients und Server. 2. Klicken Sie RADIUS-Remoteservergruppen mit der rechten Maustaste an und klicken Sie auf Neu. 3. Geben Sie im Textfeld Gruppenname des Dialogfelds Neue RADIUS-Remoteservergruppe den Gruppennamen für die NPS-RADIUS-Server aus der ersten Gesamtstruktur ein (zum Beispiel RADIUS-Server in Gesamtstruktur 1). Klicken Sie auf Hinzufügen. 4. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse des primären NPS-RADIUS-Servers aus der ersten Gesamtstruktur ein. Wenn Sie einen Namen eingeben, klicken Sie auf Überprüfen, um den Namen in eine IP-Adresse aufzulösen. 5. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den primären NPS-Server aus der ersten Gesamtstruktur ein. 6. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen. 7. Klicken Sie im Dialogfeld Neue RADIUS-Remoteservergruppe auf Hinzufügen. 8. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse des sekundären NPS-RADIUS-Servers aus der ersten Gesamtstruktur ein. 9. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den sekundären NPSServer aus der ersten Gesamtstruktur ein. 268 Kapitel 9: Authentifizierungsinfrastruktur 10. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen, und klicken Sie dann erneut auf OK. So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer RADIUS-Remoteservergruppe, die den NPS-RADIUS-Servern in der zweiten Gesamtstruktur entspricht 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUS-Clients und Server. 2. Klicken Sie RADIUS-Remoteservergruppen mit der rechten Maustaste an und klicken Sie auf Neu. 3. Geben Sie im Textfeld Gruppenname des Dialogfelds Neue RADIUS-Remoteservergruppe den Gruppennamen für die NPS-RADIUS-Server aus der zweiten Gesamtstruktur ein (zum Beispiel RADIUS-Server in Gesamtstruktur 2). Klicken Sie auf Hinzufügen. 4. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse des primären NPS-RADIUS-Servers aus der zweiten Gesamtstruktur ein. Wenn Sie einen Namen eingeben, klicken Sie auf Überprüfen, um den Namen in eine IP-Adresse aufzulösen. 5. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den primären NPS-Server aus der zweiten Gesamtstruktur ein. 6. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen. 7. Klicken Sie im Dialogfeld Neue RADIUS-Remoteservergruppe auf Hinzufügen. 8. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse des sekundären NPS-RADIUS-Servers aus der zweiten Gesamtstruktur ein. 9. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den sekundären NPSServer aus der zweiten Gesamtstruktur ein. 10. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen, und klicken Sie dann erneut auf OK. So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer Verbindungsanforderungsrichtlinie zur Weiterleitung von RADIUS-Anforderungsnachrichten an die NPS-RADIUS-Server aus der ersten Gesamtstruktur 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten Richtlinien, klicken Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken Sie auf Neu. 2. Geben Sie auf der Seite Namen der Verbindungsanforderungsrichtlinie und Verbindungstyp angeben im Textfeld Richtlinienname einen Namen für die Verbindungsanforderungsrichtlinie ein (zum Beispiel: Anfragen an die RADIUS-Server aus Gesamtstruktur 1 weiterleiten). Klicken Sie auf Weiter. 3. Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen. 4. Klicken Sie im Dialogfeld Bedingung auswählen mit einem Doppelklick auf Benutzername. 5. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der ersten Gesamtstruktur ein (zum Beispiel: forest1.example.com), klicken Sie auf OK und dann auf Weiter. 6. Wählen Sie auf der Seite Verbindungsanforderungsweiterleitung angeben die Option Anforderungen an folgende RADIUS-Remoteservergruppe zur Authentifizierung weiterleiten und wählen Sie dann in der Dropdownliste die RADIUS-Remoteservergruppe mit den NPS-RADIUS-Servern aus Bereitstellungsschritte 269 der ersten Gesamtstruktur aus (zum Beispiel: RADIUS-Server in Gesamtstruktur 1). Klicken Sie auf Weiter. 7. Klicken Sie auf der Seite Einstellungen konfigurieren auf Weiter. 8. Klicken Sie auf der Seite Assistent zum Abschließen einer Verbindungsanforderungsrichtlinie auf Fertig stellen. So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer Verbindungsanforderungsrichtlinie zur Weiterleitung von RADIUS-Anforderungsnachrichten an die NPS-RADIUS-Server aus der zweiten Gesamtstruktur 1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien, klicken Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken Sie auf Neu. 2. Geben Sie auf der Seite Namen der Verbindungsanforderungsrichtlinie und Verbindungstyp angeben im Textfeld Richtlinienname einen Namen für die Verbindungsanforderungsrichtlinie ein (zum Beispiel: Anfragen an die RADIUS-Server aus Gesamtstruktur 2 weiterleiten). Klicken Sie auf Weiter. 3. Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen. 4. Klicken Sie im Dialogfeld Bedingung auswählen mit einem Doppelklick auf Benutzername. 5. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der zweiten Gesamtstruktur ein (zum Beispiel: forest2.example.com), klicken Sie auf OK und dann auf Weiter. 6. Wählen Sie auf der Seite Verbindungsanforderungsweiterleitung angeben die Option Anforderungen an folgende RADIUS-Remoteservergruppe zur Authentifizierung weiterleiten und wählen Sie dann in der Dropdownliste die RADIUS-Remoteservergruppe mit den NPS-RADIUS-Servern aus der zweiten Gesamtstruktur aus (zum Beispiel: RADIUS-Server in Gesamtstruktur 2). Klicken Sie auf Weiter. 7. Klicken Sie auf der Seite Einstellungen konfigurieren auf Weiter. 8. Klicken Sie auf der Seite Assistent zum Abschließen einer Verbindungsanforderungsrichtlinie auf Fertig stellen. Konfigurieren des sekundären NPS-RADIUS-Proxys Der Computer, der als sekundärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem Dateiserver installieren. Wie der primäre NPS-RADIUS-Proxy kann auch der sekundäre NPSRADIUS-Proxycomputer in einer der beiden Gesamtstrukturen Mitglied einer Domäne sein, da er keine Authentifizierung oder Autorisierung von Netzwerkzugriffsverbindungen durchführt. So konfigurieren Sie den sekundären NPS-RADIUS-Proxy auf einem anderen Computer 1. Geben Sie auf dem primären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den Befehl netsh nps export Pfad\Datei exportpsk=yes. Dieser Befehl speichert die Konfigurationseinstellungen einschließlich der gemeinsamen geheimen RADIUS-Schlüssel in einer Textdatei. Als Pfad kann ein relativer oder absoluter Pfad oder ein Netzwerkpfad angegeben werden. 2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-RADIUS-Proxy. 3. Geben Sie auf dem sekundären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den Befehl netsh nps import Pfad\Datei. 270 Kapitel 9: Authentifizierungsinfrastruktur Dieser Befehl importiert alle Einstellungen, die auf dem primären NPS-RADIUS-Proxy vorgenommen wurden, auf den sekundären NPS-RADIUS-Proxy. Wegen der Standardeinstellungen für den Lastausgleich unter den RADIUS-Servern aus den beiden RADIUS-Remoteservergruppen verteilt jeder NPS-RADIUS-Proxy die Authentifizierungsanfragen gleichmäßig auf die beiden NPS-Server in jeder Gesamtstruktur. Konfigurieren der RADIUS-Authentifizierung auf den Zugriffsservern Konfigurieren Sie den RADIUS-Client auf Ihren Zugriffsservern mit folgenden Einstellungen: Die IP-Adresse oder den Namen eines primären RADIUS-Servers, den gemeinsamen geheimen Schlüssel, die UDP-Ports für die Authentifizierung und Kontoführung und die Fehlererkennungseinstellungen Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, den gemeinsamen geheimen Schlüssel, die UDP-Ports für die Authentifizierung und Kontoführung und die Fehlererkennungseinstellungen Um den RADIUS-Datenverkehr gleichmäßig zwischen den primären und sekundären NPS-RADIUSProxys aufzuteilen, konfigurieren Sie die Hälfte der Zugriffsserver mit dem primären NPS-RADIUSProxy als primären RADIUS-Server und mit dem sekundären NPS-RADIUS-Proxy als sekundären RADIUS-Server. Konfigurieren Sie die andere Hälfte der Zugriffsserver mit dem sekundären NPSRADIUS-Proxy als primären RADIUS-Server und mit dem primären NPS-RADIUS-Proxy als sekundären RADIUS-Server. Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen Wenn Sie für eine große Zahl von Zugriffsservern eine Authentifizierung auf der Basis von Zertifikaten durchführen oder für eine große NAP-Bereitstellung eine Authentifizierung durchführen, kann der RADIUS-Authentifizierungsdatenverkehr, der erforderlich ist, um den Zugriffsclients die Verbindung zu ermöglichen, einen beträchtlichen Umfang annehmen. In einer großen Bereitstellung ist es am besten, den Authentifizierungsdatenverkehr auf mehrere NPS-Servercomputer aufzuteilen. Da Sie sich nicht darauf verlassen können, dass die Zugriffsserver ihren Authentifizierungsdatenverkehr von sich aus gleichmäßig auf mehrere RADIUS-Server verteilen, können zwischengeschaltete NPS-RADIUSProxys diese Aufgabe übernehmen. Ohne die RADIUS-Proxys sendet jeder Zugriffsserver seine RADIUS-Anfragen an einen oder mehrere RADIUS-Server und erkennt selbst, welche RADIUS-Server nicht erreichbar sind. Vielleicht verteilt der Zugriffsserver von sich aus den RADIUS-Datenverkehr gleichmäßig auf mehrere RADIUSServer, vielleicht auch nicht. Durch den Einsatz von NPS-RADIUS-Proxys lässt sich erreichen, dass alle NPS-Server der Organisation gleichmäßig mit dem Datenverkehr für Authentifizierung, Autorisierung und Kontoführung belastet werden. Außerdem gibt es eine einheitliche Methode zur Fehlererkennung und zum Failover und Failback der RADIUS-Server. Mit Failover ist gemeint, dass es erkannt wird, wenn ein RADIUS-Server nicht erreichbar ist. Seine Verwendung wird anschließend vermieden. Failback bedeutet, dass ein zuvor nicht erreichbarer RADIUS-Server wieder verfügbar ist und verwendet wird. Die folgende Konfiguration ist für eine Organisation vorgesehen, die Folgendes einsetzt: Active Directory-Domänen Active Directory-Domänen enthalten die Benutzerkonten, Kennwörter und Einwähleigenschaften, die jeder NPS-RADIUS-Server zur Authentifizierung der Anmeldeinformationen eines Benutzers und zur Überprüfung der Autorisierung braucht. Bereitstellungsschritte 271 Mehrere NPS-Server Um eine große Belastung durch den Datenverkehr für die RADIUS-Authentifizierung, Autorisierung und Kontoführung bewältigen zu können, werden mehrere NPS-Server eingesetzt. Netzwerkrichtlinien Netzwerkrichtlinien werden verwendet, um den Netzwerkzugriff auf der Basis von Gruppenmitgliedschaften zu authentifizieren und zu autorisieren. Zwei NPS-RADIUS-Proxys Zwei NPS-RADIUS-Proxys können eine höhere Fehlertoleranz als ein einzelner Proxy bieten, was die Bearbeitung der RADIUS-Anfragen von den Zugriffsservern betrifft. Abbildung 9.5 zeigt, wie der RADIUS-Datenverkehr von Zugriffsservern mit zwei NPS-RADIUSProxys auf mehrere NPS-Server verteilt wird. Abbildung 9.5 Verwenden von NPS-RADIUS-Proxys zur gleichmäßigen Verteilung des RADIUS-Datenverkehrs auf mehrere NPS-RADIUS-Server Um diese Konfiguration bereitzustellen, gehen Sie folgendermaßen vor: 1. Konfigurieren Sie die Zertifikatinfrastruktur. 2. Konfigurieren Sie Active Directory für Konten und Gruppen. 3. Konfigurieren Sie NPS auf mehreren Computern als RADIUS-Server. 4. Konfigurieren Sie den primären NPS-RADIUS-Proxy. 5. Konfigurieren Sie den sekundären NPS-RADIUS-Proxy. 6. Konfigurieren Sie die RADIUS-Authentifizierung und Kontoführung auf den Zugriffsservern. Konfigurieren der Zertifikatinfrastruktur Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen der Public-Key-Infrastruktur« des Abschnitts »Bereitstellungsschritte« dieses Kapitels. 272 Kapitel 9: Authentifizierungsinfrastruktur Konfigurieren von Active Directory für Konten und Gruppen Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen von Active Directory« des Abschnitts »Bereitstellungsschritte« dieses Kapitels. Konfigurieren von NPS auf mehreren Computern als RADIUS-Server Um auf den vorgesehenen NPS-Servercomputern NPS zu konfigurieren, führen Sie auf jedem NPSServercomputer die Schritte aus, die in folgenden Unterabschnitten des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels beschrieben werden: »Beschaffen und Installieren eines Computerzertifikats« »Konfigurieren der NPS-Servereigenschaften« »Konfigurieren der entsprechenden Richtlinien« Konfigurieren Sie dann jeden NPS-Servercomputer mit den primären und sekundären NPS-RADIUSProxys als RADIUS-Clients. Führen Sie dazu die Schritte aus, die im Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels beschrieben werden. (Fügen Sie statt der Zugriffsserver den primären und den sekundären NPS-RADIUS-Proxy als RADIUS-Clients hinzu.) Hinweis Sie können jeden NPS-RADIUS-Server auch separat konfigurieren, statt einen ersten NPSRADIUS-Server zu konfigurieren und dessen Konfiguration auf die anderen NPS-RADIUS-Server zu kopieren. Auf diese Weise erreichen Sie, dass sich zwischen den NPS-RADIUS-Proxys und NPS-RADIUSServern verschiedene gemeinsame geheime RADIUS-Schlüssel verwenden lassen. Konfigurieren des primären NPS-RADIUS-Proxys Der Computer, der als primärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem Dateiserver installieren. So konfigurieren Sie den primären NPS-RADIUS-Proxy 1. Konfigurieren Sie im Netzwerkrichtlinienserver-Snap-In bei Bedarf zusätzliche UDP-Ports für die RADIUS-Nachrichten, die von den Zugriffsservern gesendet werden. Standardmäßig verwendet NPS die UDP-Ports 1812 und 1645 zur Authentifizierung und die UPDPorts 1813 und 1646 zur Kontoführung. 2. Fügen Sie Zugriffsserver als RADIUS-Clients hinzu. Orientieren Sie sich dabei an der Anleitung aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels. 3. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUSClients und Server. 4. Klicken Sie RADIUS-Remoteservergruppen mit der rechten Maustaste an und klicken Sie auf Neu. 5. Geben Sie im Dialogfeld Neue RADIUS-Remoteservergruppe den Gruppennamen für alle NPSRADIUS-Server ein (zum Beispiel: RADIUS-Server in der Domäne contoso.com). 6. Klicken Sie auf Hinzufügen. 7. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse eines NPS-RADIUS-Servers ein. Wenn Sie einen Namen eingeben, klicken Sie auf Überprüfen, um den Namen in eine IP-Adresse aufzulösen. Bereitstellungsschritte 273 8. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen Schlüssel für den primären und den sekundären NPS-RADIUS-Proxy und den NPS-RADIUSServer ein. 9. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen. 10. Wiederholen Sie die Schritte 6 bis 9 für jeden NPS-RADIUS-Server und klicken Sie dann auf OK. 11. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien, klicken Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken Sie dann auf Neu. 12. Geben Sie auf der Seite Namen der Verbindungsanforderungsrichtlinie und Verbindungstyp angeben im Textfeld Richtlinienname einen Namen für die Verbindungsanforderungsrichtlinie ein (zum Beispiel: Anfragen an RADIUS-Server der Domäne contoso.com weiterleiten). Klicken Sie auf Weiter. 13. Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen. 14. Klicken Sie im Dialogfeld Bedingung auswählen mit einem Doppelklick auf Benutzername. 15. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der zweiten Gesamtstruktur ein (zum Beispiel: forest2.example.com), klicken Sie auf OK und dann auf Weiter. 16. Wählen Sie auf der Seite Verbindungsanforderungsweiterleitung angeben die Option Anforderungen an folgende RADIUS-Remoteservergruppe zur Authentifizierung weiterleiten und wählen Sie dann in der Dropdownliste die Remote-RADIUS-Servergruppe für alle NPS-RADIUS-Server in der Domäne. Klicken Sie auf Weiter. 17. Klicken Sie auf der Seite Einstellungen konfigurieren auf Weiter. 18. Klicken Sie auf der Seite Assistent zum Abschließen einer Verbindungsanforderungsrichtlinie auf Fertig stellen. Konfigurieren des sekundären NPS-RADIUS-Proxys Der Computer, der als sekundärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem Dateiserver installieren. So konfigurieren Sie den sekundären NPS-RADIUS-Proxy auf einem anderen Computer 1. Geben Sie auf dem primären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den Befehl netsh nps export Pfad\Datei exportpsk=yes. Dieser Befehl speichert die Konfigurationseinstellungen, einschließlich der gemeinsamen geheimen RADIUS-Schlüssel, in einer Textdatei. Als Pfad kann ein relativer oder absoluter Pfad oder ein Netzwerkpfad angegeben werden. 2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-RADIUS-Proxycomputer. 3. Geben Sie auf dem sekundären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den Befehl netsh nps import Pfad\Datei. Dieser Befehl importiert alle Einstellungen, die auf dem primären NPS-RADIUS-Proxy vorgenommen wurden, auf den sekundären NPS-RADIUS-Proxy. Wegen der Standardeinstellungen für den Lastausgleich unter den RADIUS-Servern in der RADIUSRemoteservergruppe verteilt jeder NPS-RADIUS-Proxy die Authentifizierungsanfragen gleichmäßig auf alle NPS-RADIUS-Server. 274 Kapitel 9: Authentifizierungsinfrastruktur Konfigurieren der RADIUS-Authentifizierung auf den Zugriffsservern Konfigurieren Sie den RADIUS-Client auf Ihren Zugriffsservern mit folgenden Einstellungen: Die IP-Adresse oder den Namen eines primären RADIUS-Servers, den gemeinsamen geheimen Schlüssel, die UDP-Ports für die Authentifizierung und Kontoführung und die Fehlererkennungseinstellungen Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, den gemeinsamen geheimen Schlüssel, die UDP-Ports für die Authentifizierung und Kontoführung und die Fehlererkennungseinstellungen Um den RADIUS-Datenverkehr gleichmäßig zwischen den primären und sekundären NPS-RADIUSProxys aufzuteilen, konfigurieren Sie die Hälfte der Zugriffsserver mit dem primären NPS-RADIUSProxy als primären RADIUS-Server und mit dem sekundären NPS-RADIUS-Proxy als sekundären RADIUS-Server. Konfigurieren Sie die andere Hälfte der Zugriffsserver mit dem sekundären NPSRADIUS-Proxy als primären RADIUS-Server und mit dem primären NPS-RADIUS-Proxy als sekundären RADIUS-Server. Wartung Dieser Abschnitt beschreibt die Wartungsarbeiten für die folgenden Komponenten einer WindowsAuthentifizierungsinfrastruktur für den Netzwerkzugriff: Active Directory PKI Gruppenrichtlinien RADIUS Active Directory Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten für eine Active Directory-Infrastruktur einer Organisation beliebiger Größe zu beschreiben. Ausführliche Informationen finden Sie in Windows Server 2008 Active Directory – Die technische Referenz aus der technischen Referenz zu Windows Server 2008, im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/ad. Die wichtigsten Aspekte bei der Wartung von Active Directory für eine Windows-basierte Authentifizierungsinfrastruktur für Netzwerkzugriffe sind folgende: Wenn Sie Benutzer- oder Computerkonten hinzufügen, sorgen Sie dafür, dass die neuen Konten über die entsprechenden Mitgliedschaften in den richtigen Sicherheitsgruppen für Netzwerkzugriffe verfügen. Wird der drahtlose Zugriff zum Beispiel durch eine Mitgliedschaft in der Gruppe DrahtlosBenutzer möglich, fügen Sie neue Benutzer- oder Computerkonten zu dieser Gruppe oder zu einer Gruppe hinzu, die Mitglied dieser Gruppe ist. Wenn Sie neue Domänen oder Gesamtstrukturen hinzufügen, sorgen Sie dafür, dass die Vertrauensstellungen eingerichtet werden, die erforderlich sind, damit NPS-RADIUS-Server Anmeldeinformationen für Konten überprüfen können. Fügen Sie außerdem die Computerkonten der NPSRADIUS-Server in den neuen Domänen zur Sicherheitsgruppe RAS- und IAS-Server hinzu. Wenn keine Vertrauensstellungen mit den neuen Domänen oder Gesamtstrukturen eingerichtet werden sollen, verwenden Sie für die domänen- oder gesamtstrukturübergreifende Authentifizierung NPSRADIUS-Proxys. Weitere Informationen finden Sie im Abschnitt »Verwenden von RADIUSProxys für eine gesamtstrukturübergreifende Authentifizierung« dieses Kapitels. Wartung 275 PKI Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten an einem PKI-System für eine Organisation beliebiger Größe zu beschreiben. Informationen finden Sie im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki. Gruppenrichtlinien Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten an den Gruppenrichtlinien für eine Organisation beliebiger Größe zu beschreiben. Ausführliche Informationen finden Sie in Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und SupportSystem von Windows Server 2008 und unter http://www.microsoft.com/gp. Der wichtigste Aspekt bei der Wartung der Gruppenrichtlinien für eine Windows-basierte Authentifizierungsinfrastruktur für Netzwerkzugriffe ist: Wenn Sie neue Domänen oder Gesamtstrukturen hinzufügen, sorgen Sie dafür, dass die richtigen Gruppenrichtlinienobjekte mit den entsprechenden Active Directory-Containern verknüpft werden, damit in diesen Containern die gewünschten Konfigurationseinstellungen und die Richtlinien für die automatische Registrierung von Zertifikaten wirksam werden. RADIUS Die folgenden Abschnitte beschreiben die Wartung der RADIUS-Komponente der Netzwerkzugriffsinfrastruktur. Hinzufügen eines neuen NPS-RADIUS-Servers zur RADIUS-Infrastruktur Wenn Sie einen neuen NPS-RADIUS-Server zur RADIUS-Infrastruktur hinzufügen, gehen Sie folgendermaßen vor: 1. Registrieren Sie den neuen NPS-Server in seiner Standarddomäne. 2. Registrieren Sie den neuen NPS-Server nach Bedarf in anderen Domänen. 3. Wenn der neue NPS-Server als sekundärer RADIUS-Server eingesetzt wird, beschaffen und installieren Sie bei Bedarf ein Computerzertifikat und kopieren die Konfiguration des primären RADIUS-Servers auf den neuen NPS-Server. 4. Handelt es sich bei dem neuen NPS-Server um einen primären RADIUS-Server, gehen Sie folgendermaßen vor: Beschaffen und installieren Sie ein Computerzertifikat. Konfigurieren Sie die NPS-Servereigenschaften. Konfigurieren Sie NPS mit den RADIUS-Clients. Konfigurieren Sie NPS mit den entsprechenden Netzwerkrichtlinien. 5. Konfigurieren Sie die Zugriffsserver (RADIUS-Clients) so, dass sie den neuen NPS-Server verwenden. 6. Falls der RADIUS-Datenverkehr mit IPsec geschützt wird, aktualisieren Sie die Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter Sicherheit so, dass der RADIUS-Datenverkehr zu und von dem neuen NPS-Server ebenfalls geschützt wird. Anleitungen für diese Vorgänge finden Sie im Unterabschnitt »RADIUS-Server« des Abschnitts »Bereitstellungsschritte« dieses Kapitels. 276 Kapitel 9: Authentifizierungsinfrastruktur Entfernen eines NPS-RADIUS-Servers aus der RADIUS-Infrastruktur Zur Entfernung eines NPS-RADIUS-Servers aus der RADIUS-Infrastruktur gehen Sie folgendermaßen vor: 1. Ändern Sie die Konfiguration Ihrer Zugriffsserver so ab, dass die Verweise auf den zu entfernenden NPS-Server entfernt werden. 2. Entfernen Sie das Computerkonto des zu entfernenden NPS-Servers in der Domäne, zu der der Server gehört, aus der Sicherheitsgruppe RAS- und IAS-Server. 3. Entfernen Sie das Computerkonto des zu entfernenden NPS-Servers in den anderen Domänen aus der Sicherheitsgruppe RAS- und IAS-Server. 4. Wird für den Schutz des Datenverkehrs mit dem zu entfernenden NPS-Server IPsec verwendet, akutalisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit so, dass der Schutz für den NPS-Server aufgehoben wird. Warten der RADIUS-Clients Wenn Sie einen neuen Zugriffsserver bereitstellen, beispielsweise einen neuen drahtlosen Zugriffspunkt für Ihr Drahtlosnetzwerk, gehen Sie folgendermaßen vor: 1. Fügen Sie den Zugriffsserver als RADIUS-Client zu Ihren NPS-RADIUS-Servern oder zu Ihren NPS-RADIUS-Proxys hinzu. 2. Stellen Sie den Zugriffsserver so ein, dass er Ihre NPS-RADIUS-Server oder Ihre NPS-RADIUSProxys verwendet. 3. Wird der Datenverkehr zwischen dem Zugriffsserver und den RADIUS-Servern oder -Proxys mit IPsec geschützt, aktualisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit so, dass der RADIUS-Datenverkehr mit dem neuen Zugriffsserver ebenfalls geschützt wird. Wenn Sie einen Zugriffsserver entfernen, gehen Sie folgendermaßen vor: 1. Löschen Sie den Zugriffsserver als RADIUS-Client auf Ihren NPS-RADIUS-Servern oder Ihren NPS-RADIUS-Proxys. 2. Wird der Datenverkehr zwischen dem Zugriffsserver und den RADIUS-Servern oder -Proxys mit IPsec geschützt, aktualisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit so, dass der Schutz des RADIUS-Datenverkehrs mit dem zu entfernenden Zugriffsserver aufgehoben wird. Problembehandlungstools Dieser Abschnitt beschreibt die Problembehandlungstools für die folgenden Komponenten einer Windows-Authentifizierungsinfrastruktur für den Netzwerkzugriff oder nennt Informationsquellen, in denen diese Tools beschrieben werden: Active Directory PKI Gruppenrichtlinien RADIUS Problembehandlungstools 277 Active Directory Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für Active Directory ausführlich zu beschreiben. Informationen finden Sie in Windows Server 2008 Active Directory – Die technische Referenz aus der technischen Referenz zu Windows Server 2008, im Hilfe und SupportSystem von Windows Server 2008 und unter http://www.microsoft.com/ad. Die Behebung von Active Directory-spezifischen Problemen wird nach Bedarf in den weiteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder mit NAP beschrieben. PKI Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für eine PKI auf Windows-Basis ausführlich zu beschreiben. Informationen finden Sie in dem Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki. Die Behebung von Problemen, die sich mit der PKI und digitalen Zertifikaten ergeben können, wird nach Bedarf in den späteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder mit NAP beschrieben. Gruppenrichtlinien Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für Gruppenrichtlinien ausführlich zu beschreiben. Informationen finden Sie in dem Buch Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista von Derek Melber, Group Policy MVP un dem Windows Group Policy Team (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/gp. Die Behebung von gruppenrichtlinienspezifischen Problemen wird nach Bedarf in den späteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder mit NAP beschrieben. RADIUS Damit Sie zur Behebung von Problemen mit NPS weitere Informationen sammeln können, stellt Microsoft folgende Problembehandlungstools zur Verfügung: NPS-Ereignisprotokollierung und die Windows-Ereignisanzeige Network Monitor 3.1 Leistungsindikatoren SNMP-Dienst NPS-Ereignisprotokollierung und die Windows-Ereignisanzeige Mit der Ereignisanzeige aus der Programmgruppe Verwaltung können Sie Informationen über Hardware- und Softwareprobleme überprüfen und alle Sicherheitsereignisse überwachen, einschließlich der Informationsmeldungen, Warnungen und Fehlermeldungen. Bei der Behebung von Fehlern, die bei NPS-Authentifizierungsversuchen auftreten, erhalten Sie von den Einträgen über die NPS-Ereignisse unter Windows-Protokolle\Sicherheit nützliche Informationen. Die Durchsicht der Einträge über Authentifizierungsversuche in diesem Protokoll ist sinnvoll, wenn es Probleme mit Netzwerkrichtlinien gibt. Wenn Sie mehrere Netzwerkrichtlinien konfiguriert haben, können Sie das Sicherheitsereignisprotokoll verwenden, um den Namen der Netzwerkrichtlinie zu 278 Kapitel 9: Authentifizierungsinfrastruktur ermitteln, die den Verbindungsversuch angenommen oder abgewiesen hat. Die Aktivierung der NPSEreignisprotokollierung und die Durchsicht der NPS-Authentifizierungsereigniseinträge im Sicherheitsprotokoll ist das nützlichste Hilfsmittel zur Behebung von Problemen mit fehlgeschlagenen NPSAuthentifizierungen. Zur Anzeige der NPS-Ereignisse stellen Sie einen Filter auf die Ereignisquelle Microsoft Windows security auditing und auf die Aufgabenkategorie Netzwerkrichtlinienserver ein. Standardmäßig werden beide Eintragsarten (abgelehnte Authentifizierungsanforderungen und erfolgreiche Authentifizierungsanforderungen) aktiviert. So konfigurieren Sie NPS für die Ereignisprotokollierung 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS und klicken Sie dann auf Eigenschaften. 2. Wählen Sie auf der Registerkarte Allgemein jedes gewünschte Kontrollkästchen und klicken Sie dann auf OK. Network Monitor 3.1 Sie können den Network Monitor 3.1 (oder höher) oder einen kommerziellen Paketanalysator (solche Programme werden auch Netzwerk-Sniffer genannt) verwenden, um RADIUS-Authentifizierungsund -Kontoführungsnachrichten aufzufangen und zu untersuchen, die zum NPS-Server gesendet werden oder von ihm stammen. Im Network Monitor 3.1 gibt es einen RADIUS-Parser, mit dessen Hilfe Sie die Attribute von RADIUS-Nachrichten anzeigen und Probleme mit dem Netzwerkzugriff oder mit NAP beheben können. Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor über einen Link, den Sie auf der Begleit-CD dieses Buchs finden. Zuverlässigkeits- und Leistungsindikatoren Sie können das Zuverlässigkeits- und Leistungsüberwachungs-Snap-In verwenden, um die Ressourcenverwendung bestimmter Komponenten und Prozesse zu überprüfen. Im Systemmonitor, der im Zuverlässigkeits- und Leistungsüberwachungs-Snap-In zu finden ist, können Sie Leistungsdaten als Diagramme darstellen und Berichte zusammenstellen, mit denen sich überprüfen lässt, wie effizient Ihre NPS-Server sind. Außerdem lassen sich potenzielle Leistungsprobleme erkennen. Im Systemmonitor können Sie zum Beispiel folgende NPS-Leistungsobjekte überwachen: NPS-Kontoführungsclients NPS-Kontoführungsserver NPS-Authentifizierungsclients NPS-Authentifizierungsserver SNMP-Dienst Sie können den SNMP-Dienst (Simple Network Management Protocol) verwenden, um den Zustand Ihrer NPS-Server zu überwachen. NPS unterstützt die RADIUS Authentication Server Management Information Base (MIB), wie in RFC 2619 beschrieben, und die RADIUS Accounting Server MIB, wie in RFC 2621 beschrieben. Weitere Informationen 279 Zusammenfassung des Kapitels Eine Windows-basierte Netzwerkzugriffsinfrastruktur besteht aus den Komponenten Active Directory, PKI, Gruppenrichtlinien und RADIUS. Active Directory speichert Benutzer- und Computerkonten mit ihren Eigenschaften und Anmeldeinformationen und bietet eine Infrastruktur für die zentrale Verwaltung von Gruppenrichtlinien für Computer und Benutzer. Eine Public-Key-Infrastruktur gibt digitale Zertifikate heraus, die in verschiedenen Netzwerkzugriffsszenarios oder NAP-Erzwingungsmethoden verwendet werden, und überprüft diese Zertifikate. Gruppenrichtlinieneinstellungen können zum Beispiel Computer anweisen, bestimmte Zertifikate automatisch anzufordern oder Einstellungen für Netzwerkzugriffe und für den Systemschutz vornehmen. RADIUS bietet ein Standardprotokoll und eine zentrale Verwaltung für die Authentifizierung und Autorisierung von Netzwerkzugriffen und für die damit verbundene Buchhaltung. Die Kombination von Active Directory, PKI, Gruppenrichtlinien und RADIUS führt zu einer Infrastruktur auf Basis von Windows, die eine zentrale Authentifizierung von 802.11-Drahtloszugriffen, 802.1X-Kabelnetzwerkzugriffen, DFÜ- oder VPN-Remotezugriffen sowie von Standort-zu-StandortDFÜ- oder -VPN-Verbindungen ermöglicht. Durch die Kombination von PKI, Gruppenrichtlinien und RADIUS entsteht eine Infrastruktur auf der Basis von Windows, die eine zentrale Konfiguration und Integritätsprüfung für NAP ermöglicht. Weitere Informationen Weitere Informationen über Active Directory finden Sie hier: Windows Server 2008 Active Directory – Die technische Referenz in der technischen Referenz zu Windows Server 2008 (Microsoft Press, 2008) Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Microsoft Windows Server Active Directory (http://www.microsoft.com/ad) Weitere Informationen über PKI finden Sie hier: Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 »Public Key Infrastructure for Windows Server« (http://www.microsoft.com/pki) Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008) Weitere Informationen über Gruppenrichtlinien erhalten Sie hier: Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft Press, 2008) Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Microsoft Windows Server Group Policy (http://www.microsoft.com/gp) Weitere Informationen über RADIUS und NPS finden Sie hier: Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Network Policy Server (http://www.microsoft.com/nps) 280 Kapitel 9: Authentifizierungsinfrastruktur RFC 2548, »Microsoft Vendor-Specific RADIUS Attributes« RFC 2619, »RADIUS Authentication Server MIB« RFC 2621, »RADIUS Accounting Server MIB« RFC 2865, »Remote Authentication Dial-In User Service (RADIUS)« RFC 2866, »RADIUS Accounting« RFC 2867, »RADIUS Accounting Modifications for Tunnel Protocol Support« RFC 2868, »RADIUS Attributes for Tunnel Protocol Support« RFC 2869, »RADIUS Extensions« RFC 3162, »RADIUS and IPv6« RFC 3579, »RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)« Weitere Informationen über den Netzwerkzugriff auf Windows-Basis finden Sie hier: Kapitel 10, »Drahtlose Netzwerke nach IEEE 802.11« Kapitel 11, »Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung« Kapitel 12, »Remotezugriff-VPN-Verbindungen« Kapitel 13, »Standort-zu-Standort-VPN-Verbindungen« Weitere Informationen über NAP erhalten Sie hier: Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes« Kapitel 15, »Vorbereiten des Netzwerkzugriffsschutzes« Kapitel 16, »IPsec-Erzwingung« Kapitel 17, »802.1X-Erzwingung« Kapitel 18, »VPN-Erzwingung« Kapitel 19, »DHCP-Erzwingung« Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Microsoft Network Access Protection (http://www.microsoft.com/nap) 281 K A P I T E L 1 0 Drahtlose Netzwerke nach IEEE 802.11 In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen von geschütztem Drahtloszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 288 314 326 327 347 347 Dieses Kapitel beschreibt, wie man drahtlose lokale LAN-Netzwerke nach IEEE 802.11 plant, bereitstellt und wartet und wie man auftretende Probleme beheben kann (IEEE steht für das Institute of Electrical and Electronic Engineers, LAN bedeutet Local Area Network). Nach der Bereitstellung kann ein geschütztes Drahtlosnetzwerk noch auf die 802.1X-Erzwingungsmethoden für den Netzwerkzugriffsschutz (NAP) umgestellt werden, wie in Kapitel 17, »802.1X-Erzwingung«, beschrieben. In diesem Kapitel wird vorausgesetzt, dass Sie über ein Grundwissen über die Bedeutung der Komponenten Active Directory, Public-Key-Infrastruktur (PKI), Gruppenrichtlinien und RADIUS (Remote Authentication Dial-In User Service) in einer Authentifizierungsinfrastruktur auf der Basis von Microsoft Windows für den Netzwerkzugriff verfügen. Weitere Informationen finden Sie in Kapitel 9, »Authentifizierungsinfrastruktur«. Konzepte Drahtlose lokale LAN-Netzwerke nach IEEE 802.11 haben folgende Vorteile: Drahtlose Netzwerke können ein herkömmlich verkabeltes Netzwerk erweitern oder ersetzen, wenn es zum Beispiel zu teuer, zu umständlich oder unmöglich ist, Kabel zu verlegen. Dazu können zum Beispiel folgende Anwendungsbereiche gehören: Zur Verbindung von zwei Netzwerken, die sich in zwei verschiedenen Gebäuden befinden, die durch räumliche, rechtliche oder finanzielle Hindernisse voneinander getrennt sind, können Sie entweder eine Leitung von einer Telefongesellschaft mieten (dabei treten nicht nur die Installationskosten auf, sondern auch laufende Kosten), oder Sie erstellen eine Punkt-zuPunkt-Funkverbindung mit der gebräuchlichen Technologie für drahtlose Netzwerke (auch dabei ergeben sich Installationskosten, aber keine nennenswerten laufenden Kosten). Die Kostenersparnis kann erheblich sein. Mit der Technik für drahtlose Netzwerke lassen sich sehr schnell Netzwerke einrichten, die nur für relativ kurze Zeit gebraucht werden. Sie können zum Beispiel für eine Konferenz oder für eine Messe ein drahtloses Netzwerk einrichten, ohne die Kabel verlegen zu müssen, die für herkömmliche Ethernetnetzwerke erforderlich sind. 282 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Für manche Gebäude gelten vielleicht bestimmte Gesetze oder Vorschriften, die das Verlegen von Netzwerkkabeln verbieten, beispielsweise in Gebäuden, die unter Denkmalschutz stehen. Dann ist ein drahtloses Netzwerk eine wichtige Alternative. Das Verzichten auf Kabel ist auch für Privatleute interessant, die in ihrer Wohnung oder in ihrem Haus mehrere Computer miteinander vernetzen möchten, ohne Löcher zu bohren und Kabel durch Wände und Decken zu verlegen. Höhere Produktivität für den mobilen Mitarbeiter, beispielsweise in folgenden Szenarios: Der mobile Benutzer, der hauptsächlich mit einem Laptop oder Notebook arbeitet, kann seinen Standort wechseln und trotzdem mit dem Netzwerk verbunden bleiben. Dadurch kann der mobile Benutzer verschiedene Räume aufsuchen – Konferenzräume, Eingangshallen, Lobbys, Kantinen, Schulungsräume und so weiter – und weiterhin Zugriff auf Daten aus dem Netzwerk haben. Ohne drahtlosen Zugriff muss der Benutzer ein Kabel hinter sich her ziehen oder mit sich herumtragen und bleibt damit auf die engere Umgebung einer Netzanschlussdose beschränkt. Drahtlose Netzwerke sind für Umgebungen gut geeignet, in denen Bewegung erforderlich ist. Im Einzelhandel ist es zum Beispiel von Vorteil, wenn ein Mitarbeiter Bestandsdaten direkt im Verkaufsraum mit einem drahtlos vernetzten Laptop oder Palmtop ins Warenwirtschaftssystem eingeben kann. Selbst wenn keine Infrastruktur für Drahtlosnetzwerke vorhanden ist, können Laptops mit entsprechenden Drahtlosnetzwerkadaptern eigene Ad-hoc-Netzwerke bilden, um miteinander zu kommunizieren und Daten auszutauschen. Einfacher Zugriff auf das Internet an öffentlichen Plätzen über Hotspots. Außerhalb typischer Firmengelände ist über öffentlich zugängliche drahtlose Netzwerke ein Zugriff auf das Internet und sogar auf Firmennetzwerke möglich. Flughäfen, Restaurants, Bahnhöfe und andere öffentlich zugängliche Bereiche in den Städten können so ausgerüstet werden, dass sie diesen Dienst bieten. Wenn ein Vertreter sein Ziel erreicht und sich vielleicht im Büro eines Kunden mit dem Kunden trifft, könnte der Vertreter über ein lokales Drahtlosnetzwerk beschränkten Netzwerkzugriff erhalten. Das Netzwerk kann erkennen, dass der Benutzer ein Besucher ist, der nicht zur Firma gehört, und eine Verbindung herstellen, die zwar vom lokalen Firmennetzwerk isoliert ist, aber dem Besucher trotzdem den Internetzugang ermöglicht. Die Anbieter der drahtlosen Infrastruktur ermöglichen rund um die Welt drahtlose Verbindungen an öffentlich zugänglichen Orten. Viele Flughäfen, Konferenzzentren und Hotels bieten ihren Besuchern den drahtlosen Zugang zum Internet. Unterstützung der IEEE 802.11-Standards Die Betriebssysteme Windows Server 2008, Windows Vista, Windows XP und Windows Server 2003 bieten integrierte Unterstützung für drahtlose 802.11-LAN-Netzwerke. Ein installierter 802.11-Drahtlosnetzwerkadapter erscheint im Ordner Netzwerkverbindungen als eine Drahtlosnetzwerkverbindung. Auch wenn es eine integrierte Unterstützung für 802.11-Drahtlosnetzwerke gibt, hängen die Komponenten von Windows für Drahtlosnetzwerke von folgenden Aspekten ab: Die Leistungsfähigkeit des Drahtlosnetzwerkadapters Der installierte Drahtlosnetzwerkadapter muss die Standards für die drahtlosen Netzwerke oder Drahtlossicherheitsstandards unterstützen, die Sie brauchen. Windows Vista bietet zum Beispiel Konfigurationsoptionen für den Sicherheitsstandard Wi-Fi Protected Access (WPA). Unterstützt der Drahtlosnetzwerkadapter jedoch WPA nicht, können Sie WPA weder aktivieren noch die WPA-Sicherheitsoptionen einstellen. Konzepte 283 Die Leistungsfähigkeit des Drahtlosnetzwerkadaptertreibers Damit Sie Einstellungen für ein Drahtlosnetzwerk vornehmen können, muss der Treiber des Drahtlosnetzwerkadapters in der Lage sein, Windows über seine Fähigkeiten zu informieren. Überprüfen Sie, ob der Treiber Ihres Drahtlosnetzwerkadapters für die Fähigkeiten von Windows Vista oder Windows XP entwickelt wurde, und überprüfen Sie mit Microsoft Update oder auf der Website des Herstellers des Drahtlosnetzwerkadapters, ob es sich um die neuste Version handelt. Tabelle 10.1 listet die IEEE-Standards für drahtlose Netzwerke auf, die von Windows und von Drahtlosnetzwerkadaptern unterstützt werden, und nennt die maximale Bitrate, die Frequenzbereiche und den typischen Verwendungszweck. Tabelle 10.1 802.11-Standards Standard Maximale Bitrate Frequenzbereiche Verwendung 802.11 2 MBit/s S-Band ISM (Industrial, Scientific, and Medical), 2,4 bis 2,5 GHz Veraltet, nicht weit verbreitet 802.11b 11 MBit/s S-Band ISM Weit verbreitet 802.11a 54 MBit/s C-Band ISM (5,725 bis 5,875 GHz) Wegen der Kosten und beschränkten Reichweite nicht weit verbreitet 802.11g 54 MBit/s S-Band ISM Weit verbreitet. 802.11g-Geräte sind abwärtskompatibel zu 802.11b-Geräten. 802.11n (noch in der Entwicklung) 250 MBit/s C-Band und S-Band ISM Erste Geräte sind seit August 2007 verfügbar (vor Verabschiedung des Standards). 802.11n-Geräte können zu Geräten nach den Standards 802.11a, b und g abwärtskompatibel sein. Hinweis Das S-Band ISM liegt in einem Frequenzbereich, in dem auch Mikrowellenherde, schnurlose Telephone, Babymonitore, drahtlose Videokameras und Bluetooth-Geräte arbeiten. Das C-Band ISM verwendet denselben Frequenzbereich, in dem auch neuere schnurlose Telefone und andere Geräte arbeiten. Daher kann es zu Störungen kommen, wenn mehrere Geräte innerhalb ihrer Reichweiten gleichzeitig dieselben Frequenzen benutzen. 802.11-Betriebsarten Für drahtlose LAN-Netzwerke sind nach den IEEE 802.11-Standards zwei Betriebsarten möglich: Infrastrukturmodus Das drahtlose Netzwerk enthält mindestens einen drahtlosen Zugriffspunkt (Access Point, AP). Dabei handelt es sich um ein Gerät, das drahtlos vernetzte Computer miteinander und mit einem herkömmlich verkabelten Netzwerk wie dem Internet oder einem Intranet verbinden kann. Ad-hoc-Modus Das drahtlose Netzwerk enthält keine drahtlosen Zugriffspunkte. Computer, die mit Drahtlosnetzwerkadaptern ausgerüstet sind, stellen untereinander direkte Verbindungen her und kommunizieren direkt miteinander. Drahtlosnetzwerke im Ad-hoc-Modus werden in diesem Kapitel aber nicht näher besprochen. Unabhängig von der Betriebsart wird ein drahtloses Netzwerk aber durch eine SSID (Service Set Identifier) identifiziert, auch als Name des Drahtlosnetzwerks bekannt. Sie können die SSID eines drahtlosen Zugriffspunkts für den Infrastrukturmodus oder den noch nicht konfigurierten drahtlosen Client für den Ad-hoc-Modus konfigurieren. Der drahtlose Zugriffspunkt und der drahtlose Client senden 284 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 regelmäßig ihre SSID aus, damit andere Geräte das drahtlose Netzwerk entdecken und eine Verbindung herstellen können. Drahtlossicherheit Die Technologie für drahtlose Netzwerke nach IEEE 802.11 bietet zwar die beschriebenen Vorteile, aber sie bringt auch Sicherheitsrisiken mit sich, die es in verkabelten Netzwerken nicht gibt. Im Gegensatz zum geschlossenen Kabelsystem eines Ethernetnetzwerks, das sich physisch sichern lässt, werden Datenpakete im drahtlosen Netzwerk per Funk versendet und erreichen daher auch Bereiche außerhalb Ihres Büros. Jeder Computer in Reichweite eines drahtlosen (Funk)-Netzwerks kann die ausgestrahlten Pakete empfangen und eigene Pakete ausstrahlen. Ohne entsprechende Schutzmaßnahmen können Angreifer Ihr drahtloses Netzwerk verwenden, um sich Zugang zu Ihren vertraulichen Daten zu verschaffen oder um Angriffe auf Ihre Computer oder via Internet auf andere Computer durchzuführen. Zum Schutz Ihres Drahtlosnetzwerks müssen Sie Authentifizierungen durchführen und Daten verschlüsseln: Zur Authentifizierung ist es erforderlich, dass Computer entweder gültige Anmeldeinformationen übermitteln (beispielsweise einen Benutzernamen und ein Kennwort) oder dass sie beweisen können, dass sie mit einem bestimmten Authentifizierungsschlüssel konfiguriert wurden. Nur dann wird ihnen erlaubt, Pakete ins Drahtlosnetzwerk zu übermitteln. Die Authentifizierung erschwert es also unbefugten Benutzern, sich Zugang zu Ihrem Netzwerk zu verschaffen. Verschlüsselung bedeutet, dass die Inhalte aller drahtlos übermittelten Pakete verschlüsselt werden, sodass nur der vorgesehene Empfänger den Inhalt der Pakete interpretieren kann. Die Verschlüsselung erschwert es Angreifern, die per Funk übermittelten Pakete zu lesen und zu verstehen. Sie erschwert es Angreifern auch, als gültig eingestufte Pakete zu senden und auf Ihre privaten Ressourcen oder auf das Internet zuzugreifen. Drahtlose IEEE 802.11-LAN-Netzwerke unterstützen folgende Sicherheitsstandards: IEEE 802.11 IEEE 802.1X Wi-Fi Protected Access (WPA) Wi-Fi Protected Access 2 (WPA2) IEEE 802.11 Der erste IEEE 802.11-Standard sah die Authentifizierungsmethoden Keine Authentifizierung (offen) und Gemeinsam verwendet sowie die WEP-Verschlüsselung (Wired Equivalent Privacy) vor. Zur Verschlüsselung verwendet WEP Schlüssel, die entweder 40 oder 104 Bit lang sind. Wie sich aber herausgestellt hat, war der ursprüngliche IEEE 802.11-Sicherheitsstandard relativ schwach. Da auch die Verwaltung der WEP-Verschlüsselungsschlüssel nicht genau festgelegt wurde, war auch die öffentliche und nichtöffentliche Bereitstellung relativ umständlich. Wegen ihrer Anfälligkeit für Angriffe und der raschen Verbreitung besserer Sicherheitsstandards wie WPA und WPA2 wird von der Verwendung dieser alten Methoden dringend abgeraten. IEEE 802.1X IEEE 802.1X war ein Standard, den es bereits für Ethernetswitches gab. Er wurde auf drahtlose 802.11-LANs angepasst, um eine bessere Authentifizierung zu ermöglichen, als mit den ursprünglichen 802.11-Standard möglich war. Die IEEE 802.1X-Authentifizierung wurde für mittlere und Konzepte 285 große drahtlose LANs mit einer Authentifizierungsinfrastruktur entwickelt, die aus RADIUS-Servern (Remote Authentication Dial-In User Service) und Kontendatenbanken bestand, wie sie zum Beispiel in den Active Directory-Domänendiensten vorhanden sind. IEEE 802.1X verhindert, dass ein drahtloser Knoten einem drahtlosen Netzwerk beitreten kann, bis der Knoten erfolgreich authentifiziert und autorisiert wurde. Bei der Authentifizierung wird überprüft, ob Drahtlosclients über gültige Anmeldeinformationen verfügen. Benutzer ohne Anmeldeinformationen können dem drahtlosen Netzwerk nicht beitreten. Bei der Autorisierung wird überprüft, ob der Drahtlosclient eine Verbindung mit dem drahtlosen Zugriffspunkt herstellen darf. IEEE 802.1X verwendet für den Austausch von Anmeldeinformationen EAP (Extensible Authentication Protocol). Die Authentifizierung nach IEEE 802.1X kann mit verschiedenen EAP-Authentifizierungsmethoden erfolgen, beispielsweise mit Benutzerkonten und Kennwörtern oder mit digitalen Zertifikaten. Zur Behebung der Schlüsselverwaltungsprobleme des ursprünglichen 802.11-Standards kann die 802.1X-Authentifizierung mit dynamisch erstellten WEP-Schlüsseln erfolgen, die zwischen dem Drahtlosclient und einem RADIUS-Server ausgehandelt werden. Der RADIUS-Server sendet den WEP-Schlüssel an den drahtlosen Zugriffspunkt, nachdem die Authentifizierung abgeschlossen ist. Die Kombination von WEP-Verschlüsselung und dynamischen Schlüsseln, die bei jeder 802.1XAuthentifizierung neu bestimmt werden, wird dynamisches WEP genannt. WPA 802.1X behebt zwar die Probleme des ursprünglichen 802.11-Standards mit der schwachen Authentifizierung und der fehlenden Schlüsselverwaltung, bietet aber keine Lösung für die Schwächen der WEP-Verschlüsselungsalgorithmen. Während der Entwicklung des Standards IEEE 802.11i für die Sicherheit im drahtlosen LAN, der im Abschnitt »WAP2« dieses Kapitels beschrieben wird, fanden sich Hersteller von Geräten für drahtlose Netzwerke zu einer Organisation namens Wi-Fi Alliance zusammen und entwickelten einen Interimsstandard, der Wi-Fi Protected Access (WPA) genannt wird. WPA ersetzte WEP mit einer wesentlich besseren Verschlüsselungsmethode namens TKIP (Temporal Key Integrity Protocol). Außerdem erlaubt WPA optional die Verwendung von AES (Advanced Encryption Standard) zur Verschlüsselung. WPA ist in zwei verschiedenen Varianten verfügbar: WPA-Enterprise Verwendet die 802.1X-Authentifizierung und wurde für mittlere bis große Infrastrukturmodusnetzwerke entwickelt. WPA-Personal Verwendet zur Authentifizierung einen vorinstallierten Schlüssel (Preshared Key, PSK) und wurde für Infrastrukturmodusnetzwerke in kleinen Firmen und für Heimnetzwerke entwickelt. WPA2 Der IEEE 802.11i-Standard ersetzt formal WEP und die anderen Sicherheitsfunktionen des ursprünglichen IEEE 802.11-Standards. Wi-Fi Protected Access 2 (WPA2) ist eine Zertifizierung, die von der Wi-Fi Alliance vorgenommen werden kann und die Kompatibilität zum IEEE 802.11i-Standard beschreibt. Das Ziel der WPA2-Zertifizierung ist, zusätzliche Sicherheitsfunktionen des IEEE 802.11iStandards zu unterstützen, die von Produkten, die nur WPA unterstützen, nicht geboten werden. WPA2 erfordert zum Beispiel die Unterstützung der TKIP- und AES-Verschlüsselung. WPA umfasst auch Methoden für den schnellen Wechsel des Zugriffspunkts (fast roaming), wie zum Beispiel das PMKCaching (Pairwise Master Key) und eine Vorauthentifizierung (pre-authentication). 286 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 So funktioniert’s: Schneller Wechsel des Zugriffspunkts mit WPA2 Wenn ein Drahtlosclient eine Authentifizierung nach 802.1X durchführt, werden zwischen dem Drahtlosclient und dem drahtlosen Zugriffspunkt eine Reihe von Nachrichten ausgetauscht, um die Anmeldeinformationen zu übermitteln (802.1X-Authentifizierung) und um die paarigen transienten Schlüssel zu bestimmen (der 4-Wege-Handshake). Die paarigen transienten Schlüssel werden zur Verschlüsselung und zur Sicherung der Datenintegrität der WPA2-geschützten, drahtlos übermittelten Datenrahmen verwendet. Dieser Nachrichtenaustausch bringt aber eine Verzögerung des Verbindungsvorgangs mit sich. Wechselt ein Drahtlosclient von einem drahtlosen Zugriffspunkt zum nächsten, kann die für die 802.1X-Authentifizierung erforderliche Zeit zu spürbaren Unterbrechungen des Datenflusses führen, insbesondere bei zeitkritischen Übertragungen wie Gesprächen oder Videokonferenzen. Um die Verzögerungen zu minimieren, die beim Wechsel zu einem anderen drahtlosen Zugriffspunkt auftreten, können WPA2-fähige Geräte bei Bedarf eine PMK-Zwischenspeicherung und eine Vorauthentifizierung durchführen. PMK-Caching Wenn ein Drahtlosclient von einem drahtlosen Zugriffspunkt zum nächsten wechselt, muss er bei jedem neuen drahtlosen Zugriffspunkt eine vollständige 802.1X-Authentifizierung durchführen. WPA2 erlaubt dem Drahtlosclient und dem drahtlosen Zugriffspunkt, die Ergebnisse einer vollständigen 802.1X-Authentifizierung zwischenzuspeichern. Kehrt ein Client also zu einem drahtlosen Zugriffspunkt zurück, bei dem er sich zuvor bereits authentifiziert hat, braucht der Drahtlosclient nur das 4-Wege-Handshake durchzuführen und neue paarige transiente Schlüssel zu bestimmen. Im Association Request-Datenpaket gibt der Drahtlosclient eine PMK-Kennung an, die bei der ursprünglichen Authentifizierung festgelegt wurde und vom Drahtlosclient sowie vom drahtlosen Zugriffspunkt als PMK-Cacheeintrag zwischengespeichert wurde. PMK-Cacheeinträge werden nur für eine gewisse Zeit gespeichert, wobei sich die Speicherdauer auf dem Drahtlosclient und dem drahtlosen Zugriffspunkt einstellen lässt. Um Wechsel der Zugangspunkte in Netzwerkinfrastrukturen zu erleichtern, in denen ein Switch als 802.1X-Authentifizierer verwendet wird, berechnen Windows Server 2008 und Windows Vista die PMK-Kennung so, dass der PMK, der bei der 802.1X-Authentifizierung beim Switch bestimmt wurde, beim Wechsel auf andere drahtlose Zugriffspunkte, die mit demselben Switch verbunden sind, weiter verwendet werden kann. Diese Technik wird Opportunistisches PMK-Caching genannt. Vorauthentifizierung Bei der Vorauthentifizierung kann ein drahtloser WPA2-Client bei Bedarf eine 802.1X-Authentifizierungen mit anderen drahtlosen Zugriffspunkten innerhalb seiner Reichweite durchführen, wenn er eine Verbindung mit dem aktuellen drahtlosen Zugriffspunkt herstellt. Der Drahtlosclient sendet den für die Vorauthentifizierung erforderlichen Datenverkehr über die vorhandene drahtlose Netzwerkverbindung an die weiteren drahtlosen Zugriffspunkte. Nach der Vorauthentifizierung bei einem drahtlosen Zugriffspunkt und der Speicherung der PMK und der dazugehörigen Daten im PMK-Zwischenspeicher braucht ein drahtloser Client bei einer Verbindung mit einem drahtlosen Zugriffspunkt, mit dem er eine Vorauthentifizierung durchgeführt hat, nur das 4-Wege-Handshake durchzuführen. WPA2-Clients, die die Vorauthentifizierung unterstützen, können nur mit solchen drahtlosen Zugriffspunkten eine Vorauthentifizierung durchführen, die ihre Fähigkeit zur Vorauthentifizierung in den Beacon- und Probe Response-Datenpaketen bekannt geben. Konzepte 287 WPA2 ist in zwei verschiedenen Varianten verfügbar: WPA2-Enterprise Verwendet die 802.1X-Authentifizierung und wurde für mittlere bis große Infrastrukturmodusnetzwerke entwickelt. WPA2-Personal Verwendet zur Authentifizierung einen vorinstallierten Schlüssel (Preshared Key, PSK) und wurde für Infrastrukturmodusnetzwerke in kleinen Firmen und für Heimnetzwerke entwickelt. Tabelle 10.2 fasst die Sicherheitsstandards für drahtlose 802.11-LANs zusammen. Tabelle 10.2 802.11-LAN-Drahtlossicherheitsstandards Sicherheitsstandard Authentifizierungsmethoden Verschlüsselungsmethoden Größe des Schlüssels Kommentar IEEE 802.11 Offen und gemeinsame Schlüssel WEP 40 und 104 Bit Schwache Authentifizierung und Verschlüsselung. Von der Verwendung wird dringend abgeraten. IEEE 802.1X EAP-Authentifizierungsmethoden – – Sichere EAP-Methoden bieten eine sichere Authentifizierung. WPAEnterprise 802.1X TKIP und AES (optional) 128 Bit Sichere Authentifizierung (mit sicherer EAP-Methode) sowie sichere (TKIP) und sehr sichere (AES)Verschlüsselung. WPAPersonal PSK (Preshared Key) TKIP und AES (optional) 128 Bit Sichere Authentifizierung (mit sicherem PSK) sowie sichere (TKIP) und sehr sichere (AES) Verschlüsselung. WPA2Enterprise 802.1X TKIP und AES 128 Bit Sichere Authentifizierung (mit sicherer EAP-Methode) sowie sichere (TKIP) und sehr sichere (AES) Verschlüsselung. WPA2Personal PSK TKIP und AES 128 Bit Sichere Authentifizierung (mit sicherem PSK) sowie sichere (TKIP) und sehr sichere (AES) Verschlüsselung. Windows Server 2008 und Windows Vista unterstützen die folgenden Sicherheitsstandards für drahtlose 802.11-LANs (außerdem müssen der Drahtlosnetzwerkadapter und sein Treiber den Standard unterstützen): 802.11 mit WEP 802.1X WPA-Enterprise WPA-Personal WPA2-Enterprise WPA2-Personal Hinweis Sofern nicht anders beschrieben, ist im folgenden Text mit WPA2 der Standard WPA2-Enterprise gemeint und mit WPA WPA-Enterprise. 288 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Komponenten von 802.11-Drahtlosnetzwerken Abbildung 10.1 zeigt die Komponenten von 802.11-Drahtlosnetzwerken auf der Basis von Windows:. Abbildung 10.1 Komponenten eines nach 802.11 geschützten drahtlosen Netzwerks auf der Basis von Windows Bei den Komponenten handelt es sich um: Drahtlosclients Leiten drahtlose Verbindungen mit drahtlosen Zugriffspunkten ein und kommunizieren nach der Herstellung der Verbindung mit Intranetressourcen und anderen Drahtlosclients Drahtlose Zugriffspunkte Warten auf Verbindungsversuche, führen die Authentifizierung durch, sorgen für die Einhaltung der Verbindungsanforderungen und leiten Datenpakete zwischen Drahtlosclients und Intranetressourcen weiter RADIUS-Server Führen die zentrale Authentifizierung, Autorisierung und Kontoführung für Verbindungsversuche von drahtlosen Zugriffspunkten und andere Arten von Zugriffsservern durch Active Directory-Domänencontroller Überprüfen Anmeldeinformationen von Benutzern für die Authentifizierung und senden Kontendaten für die Überprüfung der Autorisierung an die RADIUSServer Zertifizierungsstellen Komponenten der Public-Key-Infrastruktur (PKI), die für Drahtlosclients Computer- und Benutzerzertifikate ausstellen, sowie Computerzertifikate für RADIUS-Server Planungs- und Entwurfsaspekte Bei der Planung und dem Entwurf eines geschützten 802.11-Drahtlosnetzwerks sollten Sie folgende Aspekte berücksichtigen: Drahtlossicherheitstechnologien Authentifizierungsmodi im drahtlosen Netzwerk Intranetinfrastruktur Planungs- und Entwurfsaspekte 289 Anordnung der drahtlosen Zugriffspunkte Authentifizierungsinfrastruktur Drahtlosclients PKI 802.1X-Erzwingung mit NAP Drahtlossicherheitstechnologien Drahtlossicherheitstechnologien sind eine Kombination von Drahtlossicherheitsstandard (WPA2 oder WPA) und EAP-Authentifizierungsmethode. Zur Authentifizierung eines Computers oder des Benutzers, der versucht, eine geschützte drahtlose Verbindung herzustellen, unterstützen Windows Server 2008 und Windows Vista folgende EAP-Authentifizierungsmethoden: EAP-TLS PEAP-TLS (Protected EAP-TLS) PEAP-MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol Version 2) EAP-TLS und PEAP-TLS werden zusammen mit einer PKI und Computerzertifikaten, Benutzerzertifikaten oder Smartcards verwendet. Bei EAP-TLS sendet der Drahtlosclient sein Computer-, Benutzer- oder Smartcardzertifikat zur Authentifizierung und der RADIUS-Server sendet sein Computerzertifikat zur Authentifizierung. Standardmäßig überprüft der Drahtlosclient das Zertifikat des RADIUS-Servers. Bei PEAP-TLS beginnen der Drahtlosclient und der RADIUS-Server eine verschlüsselte TLS-Sitzung und dann tauschen der Drahtlosclient und der RADIUS-Server Zertifikate aus. PEAP-TLS ist die sicherste Authentifizierungsmethode, weil der Zertifikataustausch zwischen dem Drahtlosclient und dem RADIUS-Server verschlüsselt wird. Falls keine Computerzertifikate, Benutzerzertifikate oder Smartcards einsetzbar sind, verwenden Sie PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 ist eine Authentifizierungsmethode auf Kennwortbasis, bei der der Austausch der Authentifizierungsnachrichten in einer verschlüsselten TLS-Sitzung erfolgt. Dadurch ist es für einen Angreifer wesentlich schwieriger, das Kennwort des aufgezeichneten Authentifizierungsdatenverkehrs mit einem Offline-Wörterbuchangriff zu bestimmen. Trotz der verschlüsselten TLS-Sitzung sind EAP-TLS und PEAP-TLS beide wesentlich sicherer als PEAP-MS-CHAP v2, weil sie nicht auf Kennwörtern basieren. Auswahl der Drahtlossicherheitstechnologien Microsoft empfiehlt, eine der folgenden Kombinationen der Drahtlossicherheitstechnologien zu verwenden (sie werden hier in der Reihenfolge von der sichersten zur unsichersten Methode aufgelistet): WPA2 mit AES-Verschlüsselung, PEAP-TLS- oder EAP-TLS-Authentifizierung, Benutzer- und Computerzertifikaten WPA2 mit AES-Verschlüsselung, PEAP-MS-CHAP v2-Authentifizierung und der Anforderung an die Benutzer, sichere Benutzerkennwörter zu verwenden WPA mit EAP-TLS- oder PEAP-TLS-Authentifizierung und Benutzer- und Computerzertifikate WPA mit PEAP-MS-CHAP v2-Authentifizierung und der Anforderung an die Benutzer, sichere Benutzerkennwörter zu verwenden 290 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Voraussetzungen für Drahtlossicherheitstechnologien Folgende Voraussetzungen gelten für Drahtlossicherheitstechnologien: Um ein drahtloses Netzwerk zu schützen, müssen Sie entweder WPA oder WPA2 verwenden. Falls Sie WEP verwenden, ist Ihr Drahtlosnetzwerk nicht sicher. Das gilt auch für dynamisches WEP. Verwenden Sie also dynamisches WEP nicht, außer vielleicht in der Übergangsphase bei der Umstellung des Netzwerks auf WPA oder WPA2. EAP-TLS oder PEAP-TLS erfordert die Installation eines Computerzertifikats auf dem RADIUSServer und eines Computerzertifikats, eines Benutzerzertifikats oder die Verwendung einer Smartcard auf allen drahtlosen Clientcomputern. Damit sich die Computerzertifikate der RADIUSServer überprüfen lassen, muss auf allen Drahtlosclientcomputern das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle der Computerzertifikate der RADIUS-Server installiert werden. Damit sich die Computer- oder Benutzerzertifikate der Drahtlosclientcomputer überprüfen lassen, muss auf allen RADIUS-Servern das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle der Drahtlosclientzertifikate installiert werden. PEAP-MS-CHAP v2 erfordert auf jedem RADIUS-Server die Installation eines Computerzertifikats. Außerdem ist es erforderlich, auf den drahtlosen Clientcomputern die Stammzertifizierungsstellenzertifikate der Computerzertifikate der RADIUS-Server zu installieren. Für WPA2 muss vielleicht ein Teil der Netzwerkausrüstung ersetzt werden. Ältere Geräte für drahtlose Netzwerke, die nur 802.11 unterstützen, können gewöhnlich auf WPA, nicht aber auf WPA2 nachgerüstet werden. Wenn Sie planen, irgendwann die 802.1X-Erzwingung von NAP einzuführen, sollten Sie eine Authentifizierungsmethode auf der Basis von PEAP verwenden, wie PEAP-MS-CHAP v2 oder PEAP-TLS. Empfehlungen für Drahtlossicherheitstechnologien Für die Drahtlossicherheitstechnologien gelten folgende Empfehlungen: Stellen Sie die drahtlosen Zugriffspunkte nicht auf SSID-Unterdrückung ein. Die SSID (der Name des Drahtlosnetzwerks) ist standardmäßig in den Ankündigungsdatenpaketen enthalten, die von den drahtlosen Zugriffspunkten ausgestrahlt werden. Wenn Sie ihre drahtlosen Zugriffspunkte so einstellen, dass die Bekanntgabe der SSID in den Ankündigungsdatenpaketen unterdrückt wird, kann der Gelegenheitsanwender Ihr Netzwerk wahrscheinlich nicht mehr erkennen. Ein Angreifer, der sich mit der Technik auskennt, wird dadurch aber nicht davon abgehalten, andere Datenpakete aufzuzeichnen, die von Ihrem drahtlosen Zugriffspunkt zur Verwaltung ausgestrahlt werden, und Ihre SSID zu bestimmen. Drahtlosnetzwerke mit aktivierter SSID-Unterdrückung werden als versteckte oder Non-broadcast-Netzwerke bezeichnet. Der Versuch, Drahtlosnetzwerke zu verstecken, bietet nicht nur einen äußerst schwachen Schutz, sondern stellt auch für autorisierte Drahtlosclients ein Problem dar, die automatisch eine Verbindung mit dem versteckten Drahtlosnetzwerk herstellen sollen. Da der Name des Drahtlosnetzwerks nicht ausgestrahlt wird, muss der Drahtlosclient Probe-Request-Nachrichten aussenden, in denen der Name des Drahtlosnetzwerks enthalten ist, um einen drahtlosen Zugriffspunkt für das Netzwerk zu finden. Diese Nachrichten geben also den Namen des Drahtlosnetzwerks bekannt und schwächen auf diese Weise den angestrebten Schutz. Verwenden Sie keine MAC-Adressenfilter (Media Access Control). MAC-Adressenfilterung bedeutet, dass Sie Ihre drahtlosen Zugriffspunkte mit den MAC-Adressen der zugelassenen Drahtlosclients konfigurieren können. Allerdings ist mit der MAC-Adressenfilterung auch der Verwal- Planungs- und Entwurfsaspekte 291 tungsaufwand verbunden, der erforderlich ist, um die Liste der zulässigen MAC-Adressen auf dem aktuellen Stand zu halten. Angreifer werden dadurch nicht davon abgehalten, zulässige MAC-Adressen auszuspionieren. Falls Sie PEAP-MS-CHAP v2 verwenden müssen, schreiben Sie unbedingt sichere Kennwörter für Ihr Netzwerk vor. Sichere Kennwörter sind lang (länger als 8 Zeichen) und enthalten eine Kombination von Groß- und Kleinbuchstaben, Ziffern und Satzzeichen. In einer Active DirectoryUmgebung können Sie mit den Gruppenrichtlinieneinstellungen unter Computerkonfiguration\ Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien dafür sorgen, dass die Benutzer sichere Kennwörter verwenden müssen. Authentifizierungsmodi im drahtlosen Netzwerk Drahtlosclients auf Windows-Basis können in folgenden Modi Authentifizierungen durchführen: Nur Computer Windows führt mit den Anmeldeinformationen des Computers eine 802.1XAuthentifizierung durch, bevor der Anmeldebildschirm von Windows angezeigt wird. Auf diese Weise erhält der Drahtlosclient Zugriff auf Netzwerkressourcen, beispielsweise auf Active Directory-Domänencontroller, bevor sich ein Benutzer anmeldet. Windows versucht nach der Anmeldung des Benutzers keine Authentifizierung mit den Anmeldeinformationen des Benutzers. Nur Benutzer Standardmäßig führt Windows eine 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem seine Anmeldung abgeschlossen ist. Windows versucht keine Authentifizierung mit den Anmeldeinformationen des Computers, bevor sich der Benutzer anmeldet. Computer oder Benutzer Windows führt mit den Anmeldeinformationen des Computers eine 802.1X-Authentifizierung durch, bevor es den Windows-Anmeldebildschirm anzeigt. Windows führt eine weitere 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem sich der Benutzer angemeldet hat oder wenn der Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt wechselt. Mit dem Standardverhalten der Nur-Benutzer-Authentifizierung können sich folgende Probleme ergeben: Ein Benutzer kann auf dem Computer keine Domänenanmeldung durchführen, weil die lokal zwischengespeicherten Anmeldeinformationen für das Konto des Benutzers nicht verfügbar sind, keine Verbindung mit dem Domänencontroller besteht und sich die neuen Anmeldeinformationen nicht überprüfen lassen. Anmeldevorgänge bei Domänen sind nicht erfolgreich, weil während der Anmeldung des Benutzers keine Verbindung mit den Domänencontrollern der Active Directory-Domäne besteht. Anmeldeskripts sowie Aktualisierungen der Gruppenrichtlinien und Benutzerprofildaten schlagen ebenfalls fehl, was zu einer Reihe von Einträgen im Windows-Ereignisprotokoll führt. Einige Netzwerkinfrastrukturen verwenden verschiedene virtuelle LANs (VLANs), um Drahtlosclients, die sich mit Computeranmeldeinformationen authentifiziert haben, von Drahtlosclients zu trennen, die sich mit Benutzeranmeldeinformationen authentifiziert haben. Wenn die Benutzerauthentifizierung beim Drahtlosnetzwerk und die Umschaltung auf das benutzerauthentifizierte VLAN nach der Anmeldung des Benutzers erfolgt, hat ein drahtloser Windows-Client während der Benutzeranmeldung keinen Zugriff auf Ressourcen aus dem benutzerauthentifizierten VLAN, beispielsweise auf Active Directory-Domänencontroller. Das kann zu erfolglosen Erstanmeldungen und zu erfolglosen Vorgängen bei Domänenanmeldungen führen, was beispielsweise die Ausführung von Anmeldeskripts und die Aktualisierungen von Gruppenrichtlinien und Benutzerprofildaten betrifft. 292 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Um die Probleme mit der Verfügbarkeit der Netzwerkverbindungen bei Benutzeranmeldungen im Nur-Benutzer-Authentifizierungsmodus und im Benutzer-oder-Computer-Authentifizierungsmodus bei der Verwendung separater VLANs zu lösen, unterstützen Drahtlosclients unter Windows Server 2008 und Windows Vista das einmalige Anmelden (Single Sign-On). Beim einmaligen Anmelden können Sie festlegen, dass die Drahtlosnetzwerkauthentifizierung mit Benutzeranmeldeinformationen vor der Anmeldung des Benutzers erfolgt. Zur Aktivierung und Einstellung der einmaligen Anmeldung können Sie die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) verwenden, um eine Windows Vista-Richtlinie zu konfigurieren, oder Sie geben den Befehl netsh wlan mit den entsprechenden Parametern ein. Weitere Informationen finden Sie im Verlauf dieses Kapitels im Abschnitt »Konfigurieren von Drahtlosclients«. Voraussetzungen für Authentifizierungsmodi im drahtlosen Netzwerk Nur Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, unterstützen die einmalige Anmeldung (Single Sign-On). Empfehlungen für die Authentifizierung im drahtlosen Netzwerk Für die Authentifizierung im drahtlosen Netzwerk wird Folgendes empfohlen: Verwenden Sie den Modus Benutzer-oder-Computer-Authentifizierung. Die Benutzerauthentifizierung erfolgt nach der Benutzeranmeldung. Das ist der Standardauthentifizierungsmodus. Wenn Sie den Authentifizierungsmodus Nur-Benutzer verwenden, konfigurieren Sie Ihr Drahtlosprofil so, dass es die einmalige Anmeldung unterstützt und die Drahtlosauthentifizierung mit den Benutzeranmeldeinformationen vor der Benutzeranmeldung durchführt, um Probleme bei der ersten Anmeldung und der Domänenanmeldung zu vermeiden. Wenn Sie für computerauthentifizierte und benutzerauthentifizierte Drahtlosclients verschiedene VLANs verwenden und den Authentifizierungsmodus Computer oder Benutzer einsetzen, konfigurieren Sie Ihre Drahtlosprofile so, dass sie die einmalige Anmeldung unterstützen und die Drahtlosauthentifizierung mit den Benutzeranmeldeinformationen vor der Benutzeranmeldung durchführen, um Probleme bei der ersten Anmeldung und der Domänenanmeldung zu vermeiden. Intranetinfrastruktur Drahtlosclients brauchen im Prinzip dieselben TCP/IP-Einstellungen (Transmission Control Protocol/Internet Protocol) wie verkabelte Clients, wobei Sie Drahtlosclients allerdings wegen ihrer Mobilität etwas anders einstellen sollten. Bringen Sie Ihre Drahtlosclients daher in separaten Subnetzen unter, damit es im selben Subnetz keine Mischung von verkabelten Clients und Drahtlosclients gibt. Subnetzdesign für Drahtlosclients Für Drahtlosclients separate Subnetze einzurichten, hat folgende Vorteile: Verkabelte Netzwerkkomponenten brauchen nicht mit den Drahtlosclients um den Vorrat an IPv4Adressen zu konkurrieren. Drahtlosclients sind anhand ihrer IPv4- und IPv6-Adresspräfixe leichter zu identifizieren. Das erleichtert die Verwaltung und die Problembehandlung. Separate IPv4-Subnetze geben Ihnen eine bessere Kontrolle über DHCP-Leasezeiten. Sie können jedes physische Subnetz (verkabelt oder drahtlos) in Active Directory mit bestimmten Standorten verknüpfen. Auf diese Weise können Sie für die Subnetze Gruppenrichtlinieneinstellungen vornehmen. Planungs- und Entwurfsaspekte 293 Wenn sich Ihre drahtlosen Zugriffspunkte alle im selben Subnetz befinden, können Ihre Drahtlosclients reibungslos von einem Zugriffspunkt zum nächsten wechseln. Wenn ein Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt desselben Drahtlosnetzwerks wechselt, der sich im selben Subnetz befindet, nennt man diesen Vorgang auch Network-layer roaming. Bei diesem Zugriffspunktwechsel im selben Subnetz erneuert der Drahtlosclient seine aktuelle DHCPKonfiguration. Wechselt ein Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt, der sich in einem anderen Subnetz befindet, erhält der Drahtlosclient eine neue DHCP-Konfiguration, die im neuen Subnetz gilt. Allerdings können manche Anwendungen versagen, wenn sich die IPv4- oder IPv6-Adressen ändern, wie zum Beispiel manche E-Mail-Anwendungen. Berücksichtigen Sie bei der Bestimmung eines IPv4-Subnetzpräfixes für Ihre Drahtlosclients, dass Sie für folgende Geräte jeweils mindestens eine IPv4-Adresse brauchen: Jede LAN-Schnittstelle eines drahtlosen Zugriffspunkts, der mit dem Drahtlossubnetz verbunden ist Jede Routerschnittstelle, die mit dem Drahtlossubnetz verbunden ist Jeder andere TCP/IP-fähige Host oder jedes TCP/IP-fähige Gerät, das mit dem Drahtlossubnetz verbunden ist Jeder Drahtlosclient, der mit dem Drahtlosnetzwerk verbunden ist. Wenn Sie zu wenige Adressen einplanen, erhalten alle Windows-Drahtlosclients, die eine Verbindung herzustellen versuchen, nachdem die verfügbaren IPv4-Adressen alle von DHCP an verbundene Drahtlosclients vergeben wurden, automatisch eine APIPA-Adresse ohne Standardgateway (APIPA bedeutet Automatic Private IP Addressing). Diese Konfiguration erlaubt keine Verbindung ins Intranet. Drahtlosclients mit APIPA-Konfigurationen versuchen in regelmäßigen Abständen, eine DHCP-Konfiguration zu erhalten Da jedes IPv6-Subnetz eine sehr große Zahl von Hosts enthalten kann, brauchen Sie gewöhnlich nicht die Zahl der IPv6-Adressen zu berechnen, die für ein IPv6-Subnetzpräfix verfügbar sind. DHCP-Planung für Drahtlosclients Wenn Drahtlosclients und verkabelte Clients zu verschiedenen Subnetzen gehören, müssen Sie separate DHCP-Bereiche einrichten. Da Drahtlosclients leicht von einem Drahtlossubnetz zum nächsten wechseln können, sollten Sie die DHCP-Bereiche so konfigurieren, dass eine Lease in Drahtlossubnetzen nicht so lange gilt wie in verkabelten Subnetzen. Für einen DHCP-Bereich eines verkabelten Netzwerks beträgt die Leasedauer gewöhnlich einige Tage. Da Drahtlosclients ihre Adressen nicht an den DHCP-Server zurückgeben, wenn sie in ein anderes Subnetz wechseln, sollten Sie die Leasedauer für DHCP-Bereiche, die für Drahtlossubnetze vorgesehen sind, auf einige Stunden beschränken. Wenn Sie die Leasedauer für Drahtlossubnetze verkürzen, kann sich der DHCP-Server die nicht länger von Drahtlosclients verwendeten, aber nicht zurückgegebenen IPv4-Adressen bereits im Lauf des Tages zurückholen und neu vergeben. Solche Adressen bleiben also nicht für Tage blockiert. Vergessen Sie bei der Bestimmung der optimalen Leasedauer für die Drahtlosclients in Ihrer Umgebung aber nicht, dass kürzere Leasezeiten eine höhere Belastung für den DHCP-Server bedeuten. Weitere Informationen über die Konfiguration von DHCP-Bereichen finden Sie in Kapitel 3, »Dynamic Host Configuration Protocol«. 294 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Anordnung der drahtlosen Zugriffspunkte Eine sehr wichtige und zeitaufwendige Aufgabe beim Aufbau eines drahtlosen LANs ist die Bestimmung der Orte, an denen drahtlosen Zugriffspunkte aufgestellt werden müssen. Die drahtlosen Zugriffspunkte müssen so angeordnet werden, dass sie eine Etage, ein Gebäude oder das ganze Firmengelände nahtlos abdecken. Wird diese nahtlose Abdeckung erreicht, können sich Drahtlosbenutzer von einem Ort zum andern bewegen, ohne dabei eine deutliche Unterbrechung in der Netzwerkverbindung zu bemerken. Alles, was ihnen bei der Bewegung auffallen sollte, ist ein Wechsel der IPv4- und IPv6Adressen, wenn sie von einem Subnetz ins nächste wechseln. Bei der Bestimmung der Aufstellungsorte der drahtlosen Zugriffspunkte ist es nicht damit getan, die Geräte zu installieren und einzuschalten. Drahtlose LANs sind Funknetze. Sie basieren auf Radiowellen. Radiowellen können gedämpft, reflektiert, abgeschirmt und gestört werden, beispielsweise durch Interferenzen. Bei der Planung der Aufstellungsorte der drahtlosen Zugriffspunkte in einer Organisation sollten Sie folgende Aspekte berücksichtigen, die in den nächsten Abschnitten näher beschrieben werden: Anforderungen an die drahtlosen Zugriffspunkte Kanaltrennung Störungen in der Signalausbreitung Störungsquellen Anzahl der drahtlosen Zugriffspunkte Hinweis Weitere Angaben und Empfehlungen für die Anordnung von drahtlosen Zugriffspunkten finden Sie in der Dokumentation der drahtlosen Zugriffspunkte und der verwendeten Antennen. Anforderungen an die drahtlosen Zugriffspunkte Stellen Sie eine Liste mit den Anforderungen auf, die an die drahtlosen Zugriffspunkts gestellt werden. Dazu gehören zum Beispiel folgende Punkte: WPA WPA2 802.1X und RADIUS 802.11a, b, g und n Je nach Budget und der zu übertragenden Datenmenge brauchen Sie vielleicht drahtlose Zugriffspunkte, die 802.11b, 802.11a, 802.11g, 802.11n oder eine Kombination der Technologien bieten. Gebäude- und Feuerschutzvorschriften Für die Verwendung des Raums über abgehängten Decken gibt es Vorschriften. Wenn Sie in diesem Bereich drahtlose Zugriffspunkte aufstellen und verkabeln, müssen Sie darauf achten, dass die verwendeten Zugriffspunkte den Brandschutz- und Gebäudevorschriften entsprechen. Bei der Unterbringung von drahtlosen Zugriffspunkten über der abgehängten Decke müssen Sie sich zudem überlegen, wie Sie die Geräte am besten mit Strom versorgen. Erkundigen Sie sich beim Hersteller der Geräte, wie Sie die drahtlosen Zugriffspunkts am besten mit Strom versorgen können. Manche drahtlose Zugriffspunkte lassen sich über das Ethernetkabel mit Strom versorgen, mit dem sie ans verkabelte Netzwerk angeschlossen sind. Vorkonfiguration und Remotekonfiguration Die Vorkonfiguration der drahtlosen Zugriffspunkte vor der Aufstellung am Einsatzort kann den Aufbau des Netzwerks beschleunigen und die Arbeitskosten verringern, weil die rein mechanische Installation von weniger erfahrenen Mitarbeitern erledigt werden kann. Je nach Bauart können Sie drahtlose Zugriffspunkte über einen Konsolenan- Planungs- und Entwurfsaspekte 295 schluss (einen seriellen Anschluss), über Telnet oder über einen Webserver vorkonfigurieren, der im drahtlosen Zugriffspunkt integriert ist. Unabhängig davon, ob Sie eine Vorkonfigurierung durchführen oder nicht, sollten Sie darauf achten, dass eine Remoteverwaltung der drahtlosen Zugriffspunkte möglich ist, beispielsweise durch ein spezielles Konfigurationsprogramm des Herstellers, über einen integrierten Webserver oder mit Skripts. Antennenarten Überprüfen Sie, ob die drahtlosen Zugriffspunkte mit unterschiedlichen Antennenarten kombiniert werden können. In einem Gebäude mit mehreren Etagen könnte zum Beispiel eine Ringantenne am besten funktionieren, die das Signal gleichmäßig in alle Richtungen ausstrahlt, mit Ausnahme der vertikalen. Hinweis Informationen darüber, welche Antennenart sich am besten für Ihr Drahtlosnetzwerk eignet, finden Sie in der Dokumentation Ihrer drahtlosen Zugriffspunkte. IPsec-Unterstützung Es ist zwar nicht zwingend erforderlich, aber nach Möglichkeit sollten Sie drahtlose Zugriffspunkte wählen, die IPsec (Internet Protocol security) und ESP (Encapsulating Security Payload) mit Verschlüsselung verwenden, damit der RADIUS-Datenverkehr zwischen den drahtlosen Zugriffspunkten und den RADIUS-Servern vertraulich bleibt. Verwenden Sie die 3DES-Verschlüsselung (Triple Data Encryption Standard) und für die IKE-Hauptmodusauthentifizierung (Internet Key Exchange) nach Möglichkeit Zertifikate. Kanaltrennung Die direkte Kommunikation zwischen einem 802.11b- oder 802.11g-Drahtlosnetzwerkadapter und einem drahtlosen Zugriffspunkt erfolgt über einen gemeinsamen Übertragungskanal, der einem bestimmten Frequenzbereich im S-Band ISM entspricht. Sie können den drahtlosen Zugriffspunkt auf einen bestimmten Kanal einstellen und der Drahtlosnetzwerkadapter stellt sich automatisch auf den Kanal des drahtlosen Zugriffspunkts mit dem stärksten Signal ein. Um gegenseitige Störungen zwischen den 802.11b-Drahtloszugriffspunkten zu verringern, sollten Sie dafür sorgen, dass drahtlose Zugriffspunkte, deren Sendebereiche sich überschneiden, auf verschiedenen Kanälen senden. Die Standards 802.11b und 802.11g sehen für drahtlose Zugriffspunkte 14 Kanäle vor. In den USA lässt die FCC (Federal Communications Commission) die Kanäle 1 bis 11 zu. Im größten Teil Europas können Sie die Kanäle 1 bis 13 verwenden. In Japan haben Sie nur eine Wahl: Kanal 14. Abbildung 10.2 stellt die Kanalüberschneidungen für drahtlose Zugriffspunkte nach 802.11b und 802.11g in den USA dar. Abbildung 10.2 Kanalüberschneidungen von drahtlosen Zugriffspunkten nach 802.11b und 802.11g in den USA 296 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Damit sich die Funksignale benachbarter Zugriffspunkte nicht gegenseitig stören, sollten Sie die Übertragungskanäle so einstellen, dass sie mindestens fünf Kanäle voneinander entfernt sind. Um in den USA die größtmögliche Anzahl verwendbarer Kanäle zu erreichen, können Sie Ihre drahtlosen Zugriffspunkte auf einen von drei Kanälen einstellen: 1, 6 oder 11. Auch wenn Sie weniger als drei praktisch verwendbare Kanäle brauchen, sollten Sie darauf achten, dass die von Ihnen gewählten Kanäle fünf Kanäle auseinander liegen. Abbildung 10.3 zeigt ein Beispiel für die Anordnung von mehreren drahtlosen Zugriffspunkten auf verschiedenen Etagen eines Gebäudes. Die Kanäle wurden so gewählt, dass Zugriffspunkte, deren Sendebereiche sich überschneiden, auf hinreichend weit auseinanderliegenden Kanälen senden. Abbildung 10.3 Ein Beispiel für die Verteilung von 802.11b-Kanalnummern Störungen in der Signalausbreitung Ein drahtloser Zugriffspunkt ist eine Kombination aus Funksender und -empfänger, wobei der Sender nur eine relativ geringe Reichweite hat. Der Raum um den drahtlosen Zugriffspunkt herum, in dem Sie Daten in den unterstützten Bitraten senden und empfangen können, wird in der englischsprachigen Dokumentation häufig coverage volume genannt (manchmal auch coverage area, wobei sich Funkwellen natürlich in drei Dimensionen ausbreiten). Im folgenden Text wird dieser Bereich einfach Sendebereich genannt. Welche Größe und Form der Bereich hat, in dem die einwandfreie Datenübertragung möglich ist, hängt von der Leistung des Senders, von der Bauweise der Antenne, von etwaigen Störungen in der Signalausbreitung und von anderen Störstrahlungsquellen ab. Eine ideale Rundstrahlantenne strahlt die Radiowellen gleichmäßig in alle Richtungen ab. Je weiter der Empfänger vom Sender entfernt ist, desto schwächer ist das eingehende Signal und desto geringer die unterstützte Übertragungsrate. Abbildung 10.4 zeigt ein Beispiel für den Sendebereich eines drahtlosen Zugriffspunkts nach 802.11b und einer Rundstrahlantenne. Störungen in der Signalausbreitung ändern die Form des Sendebereichs zum Beispiel durch eine unerwünschte Signalabschwächung, -abschirmung oder -reflektion. Solche Effekte wirken sich auf die optimale Aufstellung der drahtlosen Zugriffspunkte aus. Metallische Objekte innerhalb eines Gebäudes, in den Wänden oder Decken können die Ausbreitung der Radiowellen verändern. Einige Beispiele: Stahlträger Aufzugschächte Stahlarmierung im Beton Rohre von Heizungen und Klimaanlagen Drahtgitter in den Gipsplatten, die zur Verkleidung verwendet wurden Planungs- und Entwurfsaspekte 297 Wände, die Metall, Löschbeton oder Beton enthalten Schränke, Tische oder andere größere Einrichtungsgegenstände aus Metall Abbildung 10.4 Ein idealisiertes Beispiel eines Sendebereichs Störungsquellen Jedes Gerät, das im selben Frequenzbereich wie Ihre Drahtlosnetzwerkgeräte sendet (im S-Band ISM mit dem Frequenzbereich von 2,4 GHz bis 2,5 GHz oder im C-Band ISM mit dem Frequenzbereich von 5,725 GHz bis 5,875 GHz), kann ein drahtloses Netzwerk stören. Solche Störungsquellen ändern auch die Form des Bereichs, der sich mit einem drahtlosen Zugriffspunkt abdecken lässt. Zu den Geräten, die im S-Band ISM arbeiten, gehören folgende: Bluetooth-fähige Geräte Mikrowellenherde Schnurlose Telefone im 2,4-GHz-Bereich Kabellose Videokameras Medizinische Geräte Aufzugmotoren Zu den Geräten, die im C-Band ISM arbeiten, gehören folgende: Schnurlose Telefone im 5-GHz-Bereich Kabellose Videokameras Medizinische Geräte Anzahl der drahtlosen Zugriffspunkte Wenn Sie abschätzen möchten, wie viele drahtlose Zugriffspunkte Sie aufstellen müssen, berücksichtigen Sie folgende Aspekte: Bauen Sie genügend drahtlose Zugriffspunkte auf, damit für alle Benutzer im vorgesehenen Sendebereich eine hinreichende Signalstärke zur Verfügung steht. Die üblichen drahtlosen Zugriffspunkte verwenden Antennen, die das Signal hauptsächlich horizontal abstrahlen, also auf die anderen Räume derselben Etage zu. Gewöhnlich deckt ein drahtloser Zugriffspunkt innerhalb eines Gebäudes eine kreisförmige Fläche mit einem Radius von 298 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 etwa 60 Metern ab. Stellen Sie so viele drahtlose Zugriffspunkte auf, dass sich die Sendebereiche der einzelnen Geräte hinreichend überlappen. Schätzen Sie ab, wie viele Benutzer höchstens gleichzeitig im Sendebereich eines Zugriffspunkts arbeiten. Schätzen Sie die Übertragungsrate ab, die jeder Benutzer im Durchschnitt braucht. Fügen Sie bei Bedarf weitere drahtlose Zugriffspunkte hinzu. Damit erreichen Sie Folgendes: Die Bandbreite, die einem einzelnen Client im drahtlosen Netzwerk zur Verfügung steht, steigt. Im selben Sendebereich können mehr Drahtlosbenutzer bedient werden. Sie bestimmen auf der Grundlage des erforderlichen Datendurchsatzes, wie viele Benutzer eine Verbindung mit einem drahtlosen Zugriffspunkt herstellen können. Verschaffen Sie sich ein klares Bild vom Datendurchsatz, bevor Sie das Netzwerk errichten oder Änderungen vornehmen. Einige Hersteller bieten 802.11-Simulationsprogramme an, mit denen Sie den Datenverkehr im Netzwerk simulieren und den Datendurchsatz unter verschiedenen Bedingungen überprüfen können. Es sind Reservegeräte verfügbar, falls ein drahtloser Zugriffspunkt ausfällt. Wenn Sie die Anordnung der drahtlosen Zugriffspunkte so optimieren möchten, dass Sie eine möglichst hohe Leistung erhalten, berücksichtigen Sie folgende Aspekte: Überlasten Sie keinen drahtlosen Zugriffspunkt mit zu vielen Drahtlosclients. Auch wenn die meisten drahtlosen Zugriffspunkte Hunderte von Verbindungen unterstützen, liegt die praktische Grenze bei etwa 20 bis 25 verbundenen Clients. Eine durchschnittliche Belastung durch 2 bis 4 Benutzer pro drahtlosem Zugriffspunkt ist ein guter Durchschnittswert, um den Benutzern eine möglichst hohe Leistung zu bieten und das Drahtlosnetzwerk effektiv zu nutzen. Wenn viele Menschen auf relativ engem Raum arbeiten müssen, verringern Sie die Sendeleistung der drahtlosen Zugriffspunkte. Dadurch verkleinert sich der Sendebereich und Sie können auf derselben Fläche mehr drahtlose Zugriffspunkte aufstellen, um einer größeren Zahl von Drahtlosclients eine höhere Bandbreite zur Verfügung zu stellen. Authentifizierungsinfrastruktur Die Authentifizierungsinfrastruktur hat folgende Aufgaben: Authentifizieren der Anmeldeinformationen der Drahtlosclients Autorisieren der Drahtlosverbindung Informieren der drahtlosen Zugriffspunkte über Verbindungsbeschränkungen Erfassen von Beginn und Ende der Drahtlosverbindung zu Buchhaltungszwecken Die Authentifizierungsinfrastruktur für geschützte Drahtlosverbindungen besteht aus folgenden Komponenten: Drahtlose Zugriffspunkte RADIUS-Server Active Directory-Domänencontroller Ausstellende Zertifizierungsstellen einer PKI (optional) Wenn Sie eine Windows-Domäne als Kontodatenbank für die Überprüfung von Benutzer- oder Computeranmeldeinformationen und zum Abrufen der Einwähleigenschaften verwenden, dann verwenden Sie unter Windows Server 2008 den Netzwerkrichtlinienserver (Network Policy Server, NPS). NPS ist ein voll funktionsfähiger und in Active Directory integrierter RADIUS-Server und -Proxy. Infor- Planungs- und Entwurfsaspekte 299 mationen über Entwurf und Planung eines RADIUS-Servers auf der Basis von NPS erhalten Sie in Kapitel 9. NPS kommuniziert bei der Authentifizierung der Drahtlosverbindung über einen geschützten RPCKanal (Remote Procedure Call) mit einem Domänencontroller. Die Autorisierung der Verbindung führt NPS anhand der Einwähleigenschaften des für den Verbindungsversuch verwendeten Computeroder Benutzerkontos und anhand der Netzwerkrichtlinien durch, die auf dem NPS-Server konfiguriert wurden. NPS protokolliert alle RADIUS-Buchhaltungsinformationen in einer lokalen Protokolldatei (standardmäßig im Ordner %SystemRoot%\System32\Logfiles). Diese Einstellung lässt sich im Knoten Kontoführung des Netzwerkrichtlinienserver-Snap-Ins ändern. Empfehlungen für die Authentifizierungsinfrastruktur Für die Authentifizierungsinfrastruktur wird Folgendes empfohlen: Um Autorisierungen für Drahtlosverbindungen besser verwalten zu können, legen Sie in Active Directory eine universelle Gruppe für den Drahtloszugriff an, die globale Gruppen mit den Benutzer- und Computerkonten enthält, die Drahtlosverbindungen herstellen dürfen. Legen Sie zum Beispiel eine universelle Gruppe namens DrahtlosKonten an. Sie nimmt globale Gruppen auf, die Sie nach den Erfordernissen der Zuständigkeitsbereiche oder Abteilungen Ihrer Organisation erstellen. Jede globale Gruppe enthält Benutzer- und Computerkonten, die für den drahtlosen Zugriff zugelassen sind. Wenn Sie Ihre NPS-Richtlinien für die Drahtlosverbindungen konfigurieren, geben Sie den Gruppennamen DrahtlosKonten an. Starten Sie im Knoten NPS des Netzwerkrichtlinienserver-Snap-Ins den 802.1X konfigurierenAssistenten, um Richtlinien für drahtlose, nach 802.1X authentifizierte Verbindungen zu definieren. Erstellen Sie zum Beispiel Richtlinien für Drahtlosclients, die Mitglieder einer bestimmten Gruppe sind und eine bestimmte Authentifizierungsmethode verwenden sollen. Drahtlosclients Ein Windows-basierter Drahtlosclient ist ein Drahtlosclient, auf dem Windows Server 2008, Windows Vista, Windows XP mit Service Pack 2 oder Windows Server 2003 ausgeführt wird. Auf einem Windows-basierten Drahtlosclient können Sie die drahtlosen Verbindungen in folgender Weise konfigurieren: Gruppenrichtlinien Die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) ist Teil des Zweigs Computerkonfiguration eines Gruppenrichtlinienobjekts. Mit ihr können Sie in einer Active Directory-Umgebung Einstellungen für das drahtlose Netzwerk vornehmen. Befehlszeile Mit Netsh.exe können Sie die Einstellungen für das drahtlose Netzwerk vornehmen (geben Sie den Befehl netsh wlan mit den erforderlichen Parametern ein). Allerdings ist diese Art der Einstellung des Drahtlosnetzwerks nur auf Drahtlosclients möglich, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird. Hinweis Um die netsh wlan-Befehle auf einem Windows Server 2008 verwenden zu können, müssen Sie im Server-Manager die Funktion WLAN-Dienst hinzufügen. XML-Drahtlosprofile XML-Drahtlosprofile (Extensible Markup Language) sind XML-Dateien, die Einstellungen für ein drahtloses Netzwerk enthalten. XML-Drahtlosprofile können Sie mit dem Programm Netsh oder mit der Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) exportieren oder importieren. 300 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Manuell Auf einem Drahtlosclient, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, stellen Sie die Verbindung zum drahtlosen Netzwerk her, sobald Sie dazu aufgefordert werden, oder Sie verwenden im Netzwerk- und Freigabecenter den Assistenten für Netzwerkverbindungen. Auf einem Drahtlosclient, auf dem Windows XP mit SP2 oder Windows Server 2003 ausgeführt wird, stellen Sie die Verbindung mit dem Drahtlosnetzwerk her, wenn Sie dazu aufgefordert werden, oder Sie verwenden im Ordner Netzwerkverbindungen den Drahtlosnetzwerkinstallations-Assistenten. Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung Um die Einstellungen von Windows-Clients für drahtlose Netzwerke automatisch vornehmen zu können, unterstützten Windows Server 2008- und Windows Server 2003-Active Directory-Domänen eine Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung. Diese Erweiterung ermöglicht es Ihnen, Einstellungen für drahtlose Netzwerke als Teil der Computerkonfiguration eines Gruppenrichtlinienobjekts durchzuführen. Sie können mit der Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung eine Liste der bevorzugten Netzwerke und deren Einstellungen angeben, um auf Drahtlosclients, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, automatisch die erforderlichen Einstellungen für drahtlose Netzwerke vorzunehmen. Für jedes bevorzugte Netzwerk können Sie Folgendes angeben: Verbindungseinstellungen, beispielsweise den Namen des drahtlosen Netzwerks, und ob das Netzwerk eine Kennung aussendet Sicherheitseinstellungen, beispielsweise die Authentifizierungs- und Verschlüsselungsmethode, den EAP-Typ und den Authentifizierungsmodus Erweiterte 802.1X Sicherheitseinstellungen wie das einmalige Anmelden (Single Sign-On, für Windows Server 2008- und Windows Vista-Drahtlosclients) Diese Einstellungen werden automatisch auf Drahtlosclients durchgeführt, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP2 oder Windows Server 2003 ausgeführt wird und die Mitglieder einer Windows Server 2008- oder Windows Server 2003-Active Directory-Domäne sind. Sie können Drahtlosnetzwerkrichtlinien im Snap-In Gruppenrichtlinienverwaltungs-Editor konfigurieren, und zwar im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien (IEEE 802.11). Hinweis Um auf einem Computer, auf dem Windows Server 2008 ausgeführt wird, die Gruppenrichtlinieneinstellungen ändern zu können, müssen Sie eventuell im Server-Manager die Gruppenrichtlinienverwaltungsfunktion installieren. Standardmäßig gibt es keine Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Richtlinien. Um für eine Windows Server 2008-Active Directory-Domäne eine neue Richtlinie zu definieren, klicken Sie Drahtlosnetzwerkrichtlinien (IEEE 802.11) in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste an und klicken dann auf Eine neue Windows VistaRichtlinie erstellen oder auf Eine neue Windows XP-Richtlinie erstellen. Für jede Richtlinienart können Sie nur eine Richtlinie definieren. Eine Windows-XP-Richtlinie kann Profile mit Einstellungen für mehrere Drahtlosnetzwerke enthalten, von denen jedes Netzwerk über eine eindeutige SSID verfügen muss. Eine Windows Vista-Richtlinie kann auch Profile mit Einstellungen für mehrere Drahtlosnetzwerke enthalten, die über eindeutige SSIDs verfügen. Außerdem können verschiedene Profile mehrere Instanzen derselben SSID enthalten, jede mit anderen Einstellungen. Dadurch wird es möglich, Profile für gemischte Umgebungen zu erstellen, in denen Clients unterschiedliche Sicherheitstechnologien einsetzen, wie zum Beispiel WPA und WPA2. Planungs- und Entwurfsaspekte 301 Die Drahtlosnetzwerkrichtlinie für Windows Vista umfasst spezielle Einstellungen für Windows Server 2008- und Windows Vista-Drahtlosclients. Wenn beide Richtlinienarten konfiguriert werden, verwenden Drahtlosclients, auf denen Windows XP mit SP2 oder Windows Server 2003 ausgeführt wird, nur die Richtlinieneinstellungen für Windows XP, während Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, nur die Windows Vista-Richtlinieneinstellungen verwenden. Sind keine Windows Vista-Richtlinieneinstellungen verfügbar, verwenden Windows Server 2008- und Windows Vista-Drahtlosclients die Windows XP-Richtlinieneinstellungen. Windows Vista-Drahtlosnetzwerkrichtlinie Das Eigenschaftendialogfeld einer Windows Vista-Drahtlosnetzwerkrichtlinie enthält eine Registerkarte Allgemein und eine Registerkarte Netzwerkberechtigungen. Abbildung 10.5 zeigt die Registerkarte Allgemein. Abbildung 10.5 Die Registerkarte Allgemein einer Windows Vista-Drahtlosnetzwerkrichtlinie Auf der Registerkarte Allgemein können Sie der Richtlinie einen Namen geben und eine Beschreibung der Richtlinie eingeben. Außerdem können Sie festlegen, ob der automatische WLAN-Konfigurationsdienst aktiviert werden soll, und Sie können eine Liste mit Drahtlosnetzwerken und ihren Einstellungen (auch Profile genannt) zusammenstellen, in der die Netzwerke in der gewünschten Reihenfolge angegeben werden. Auf der Registerkarte Allgemein können Sie Profile als XML-Dateien exportieren und importieren. Um ein Profil in eine XML-Datei zu exportieren, wählen Sie das Profil aus und klicken auf Exportieren. Um eine XML-Datei als Drahtlosprofil zu importieren, klicken Sie auf Importieren und suchen dann die gewünschte Datei heraus. Abbildung 10.6 zeigt die Registerkarte Netzwerkberechtigungen für eine Windows Vista-Drahtlosnetzwerkrichtlinie. Die Registerkarte Netzwerkberechtigungen ist in Windows Server 2008 und Windows Vista neu und ermöglicht die Festlegung, mit welchen namentlich aufgeführten Netzwerken eine Verbindung hergestellt werden darf und mit welchen nicht. Damit können Sie zum Beispiel eine Zulassungsliste oder eine Verbotsliste aufstellen. 302 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Abbildung 10.6 Die Registerkarte Netzwerkberechtigungen einer Windows Vista-Drahtlosnetzwerkrichtlinie Um eine Zulassungsliste zu erstellen, geben Sie die Namen der Netzwerke an, mit denen ein Windows Server 2008- oder Windows Vista-Drahtlosclient eine Verbindung herstellen darf. Das ist zum Beispiel von Nutzen, wenn Netzwerkadministratoren die Laptops einer Organisation so einstellen müssen, dass sie mit bestimmten Netzwerken Verbindungen herstellen. Dabei kann es sich nicht nur um drahtlose Netzwerke der Organisation handeln, sondern zum Beispiel auch um drahtlose Netzwerke von Internetanbietern. Um eine Verbotsliste zu erstellen, geben Sie die Namen der Drahtlosnetzwerke an, zu denen die Drahtlosclients keine Verbindung aufnehmen dürfen. Damit lässt sich zum Beispiel in einem von mehreren Organisationen genutzten Bürogebäude verhindern, dass die verwalteten Laptops Verbindungen mit anderen Drahtlosnetzwerken herstellen, die sich zwar in Reichweite des Drahtlosnetzwerks einer Organisation befinden, aber zu anderen Organisationen gehören. Außerdem lässt sich auf diese Weise verhindern, dass die verwalteten Laptops Verbindungen mit Netzwerken herstellen, die als unsicher bekannt sind. Auf der Registerkarte Netzwerkberechtigungen sind auch Optionen verfügbar, mit denen sich Verbindungen mit Ad-hoc-Netzwerken oder mit Infrastrukturnetzwerken verhindern lassen, die es dem Benutzer ermöglichen, auch als abgelehnt eingestufte Netzwerke in der Liste der verfügbaren Netzwerke zu sehen, und die es jedem Benutzer erlauben, Profile für alle Benutzer zu erstellen. Ein Profil für alle Benutzer kann von jedem Benutzer, der auf dem Computer über ein Konto verfügt, zur Herstellung einer Verbindung mit einem bestimmten Drahtlosnetzwerk verwendet werden. Ist diese Option deaktiviert, können nur Mitglieder der Gruppen Domänen-Admins oder Netzwerkkonfigurations-Operatoren Drahtlosprofile für alle Benutzer des Computers erstellen. Außerdem gibt es noch eine Option, mit der sich festlegen lässt, dass für die Verbindung mit zugelassenen Netzwerken nur Gruppenrichtlinien verwendet werden, also keine gleichnamigen lokalen Profile. Zur Verwaltung der Drahtlosnetzwerkprofile wählen Sie im Dialogfeld Eigenschaften von Neue VistaDrahtlosrichtlinie auf der Registerkarte Allgemein ein vorhandenes Profil aus und klicken auf Bearbeiten, oder Sie klicken auf Hinzufügen und wählen dann aus, ob das neue Drahtlosprofil für ein Planungs- und Entwurfsaspekte 303 Infrastrukturnetzwerk oder für ein Ad-hoc-Netzwerk vorgesehen ist. Das Dialogfeld Eigenschaften von Neues Profil eines Windows Vista-Drahtlosnetzwerkprofils enthält die beiden Registerkarten Verbindung und Sicherheit. Abbildung 10.7 zeigt die Standardregisterkarte Verbindung für ein Windows Vista-Drahtlosnetzwerkprofil. Abbildung 10.7 Die Registerkarte Verbindung eines Windows Vista-Drahtlosnetzwerkprofils Auf der Registerkarte Verbindung können Sie dem Profil einen Namen geben und eine Liste der Netzwerknamen angeben, für die das Profil gelten soll. Um einen Namen in die Liste einzutragen, geben Sie den Namen im Textfeld Netzwerkname(n) (SSID) ein und klicken dann auf Hinzufügen. Sie können auch festlegen, ob der Drahtlosclient, der dieses Profil verwendet, automatisch versucht, eine Verbindung mit einem der genannten Netzwerke herzustellen, sobald es in Reichweite ist. Dabei erfolgen die Verbindungsversuche in der Reihenfolge, in der die Netzwerkprofile auf der Registerkarte Allgemein der Windows Vista-Drahtlosrichtlinie aufgeführt sind. Außerdem können Sie festlegen, ob die Verbindung mit dem Drahtlosnetzwerk getrennt werden soll, wenn ein höher priorisiertes Drahtlosnetzwerk verfügbar wird, und ob eine Verbindung auch erfolgen soll, wenn ein Netzwerk keine Kennung aussendet, wenn es sich also um ein verstecktes Netzwerk handelt. Abbildung 10.8 zeigt die Registerkarte Sicherheit für ein Windows Vista-Drahtlosnetzwerkprofil. Auf der Registerkarte Sicherheit können Sie die Authentifizierungs- und Verschlüsselungsmethoden für das im Profil beschriebene Drahtlosnetzwerk angeben. Unter den Authentifizierungsmethoden stehen Offen, Gemeinsam verwendet, WPA-Personal (WPA bedeutet Wi-Fi Protected Access), WPAEnterprise, WPA2-Personal, WPA2-Enterprise und Offen bei 802.1X zur Verfügung. Bei den Verschlüsselungsmethoden haben Sie die Wahl unter WEP (Wired Equivalent Privacy), TKIP (Temporal Key Integrity Protocol) und AES (Advanced Encryption Standard). Welche Verschlüsselungsmethoden auswählbar sind, hängt aber von der gewählten Authentifizierungsmethode ab. Wenn Sie als Authentifizierungsmethode Offen bei 802.1X, WPA-Enterprise oder WPA2-Enterprise wählen, können Sie auch die Netzwerkauthentifizierungsmethode (den EAP-Typ), den Authentifizierungsmodus (Wiederholte Benutzerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung), die maximale Anzahl von Authentifizierungsfehlern, bevor die Authentifizierung abgebrochen wird, und die Zwischenspeicherung der Benutzerinformationen für 304 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 spätere Verbindungsversuche einstellen. Falls Sie keine Zwischenspeicherung einstellen, werden die Anmeldeinformationen des Benutzers aus der Registrierung gelöscht, wenn der Benutzer sich abmeldet. Meldet sich der Benutzer das nächste Mal an, wird er dann zur Eingabe der Anmeldeinformationen (wie Benutzername und Kennwort) aufgefordert. Abbildung 10.8 Die Registerkarte Sicherheit eines Windows Vista-Drahtlosnetzwerkprofils Direkt von der Quelle: Speicherorte für zwischengespeicherte Anmeldeinformationen Auf Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, werden Anmeldeinformationen an folgendem Ort gespeichert: HKEY_CURRENT_USER\Software\Microsoft\Wlansvc\UserData\Profiles\ProfilGUID\MSMUserdata Auf Drahtlosclients, auf denen Windows XP oder Windows Server 2003 ausgeführt wird, werden Anmeldeinformationen an folgendem Ort gespeichert: HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo Clay Seymour, Support Escalation Engineer Enterprise Platform Support Um für die Authentifizierungsmethoden WPA-Enterprise, WPA2-Enterprise oder Offen bei 802.1X erweiterte Sicherheitseinstellungen vorzunehmen, klicken Sie im Dialogfeld Eigenschaften von Neues Profil auf der Registerkarte Sicherheit auf Erweitert. Abbildung 10.9 zeigt das Standarddialogfeld Erweiterte Sicherheitseinstellungen. Planungs- und Entwurfsaspekte 305 Abbildung 10.9 Das Dialogfeld Erweiterte Sicherheitseinstellungen Im Abschnitt IEEE 802.1X lässt sich festlegen, wie viele EAPOL-Startnachrichten (EAP over LAN) gesendet werden, wenn auf die erste EAPOL-Startnachricht keine Antwort eintrifft. Außerdem lassen sich noch einige Zeiträume festlegen, nämlich die Wartezeit bis zur erneuten Übertragung von EAPOL-Startnachrichten, wenn keine Antwort auf die zuvor gesandte EAPOL-Startnachricht eintrifft, der Zeitraum, in dem der authentifizierende Client keine 802.1X-Authentifizierungsaktivität entwickelt, nachdem er vom Authentifizierer die Meldung über eine fehlerhafte Authentifizierung erhalten hat, sowie der Zeitraum, den der authentifizierende Client wartet, bevor er eine 802.1X-Anfrage erneut sendet, nachdem eine Endpunkt-zu-Endpunkt-802.1X-Authentifizierung eingeleitet wurde. Mit den Optionen aus dem Abschnitt Einmaliges Anmelden (Single Sign-On) lässt sich festlegen, ob die Authentifizierung unmittelbar vor oder nach der Benutzeranmeldung erfolgt, mit wie vielen Sekunden Verzögerung die Benutzeranmeldung beginnen soll (damit die Authentifizierung vorher abgeschlossen werden kann), ob bei der Benutzeranmeldung zusätzliche Dialogfelder angezeigt werden dürfen und ob die Drahtlosnetzwerke aus dem Profil für die Computer- oder Benutzerauthentifizierung ein anderes virtuelles LAN (VLAN) verwenden und beim Wechsel vom computerauthentifizierten VLAN zum benutzerauthentifizierten VLAN eine DHCP-Erneuerung durchführen. Informationen über die Verwendung des einmaligen Anmeldens finden Sie im Abschnitt »Authentifizierungsmodi im drahtlosen Netzwerk« dieses Kapitels. Im Abschnitt Schnelle Serverspeicherung (Fast Roaming, schneller Wechsel zu einem anderen Zugriffspunkt ) können Sie Einstellungen für die PMK-Zwischenspeicherung (Pairwise Master Key) und die Vorauthentifizierung vornehmen. Der Abschnitt Schnelle Serverspeicherung wird nur angezeigt, wenn Sie auf der Registerkarte Sicherheit als Authentifizierungsmethode WPA2-Enterprise wählen. Bei der PMK-Zwischenspeicherung speichern Drahtlosclients und drahtlose Zugriffspunkte die Ergebnisse der 802.1X-Authentifizierungen in einem PMK-Cache. Wechselt der Client wieder auf 306 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 einen Zugriffspunkt, mit dem bereits eine Authentifizierung erfolgt ist, kann der Zugriff also deutlich schneller erfolgen. Sie können die maximale Speicherdauer und die maximale Anzahl von Einträgen im PMK-Cache festlegen. Bei einer Vorauthentifizierung kann ein Drahtlosclient mit anderen drahtlosen Zugriffspunkten bereits eine 802.1X-Authentifizierung durchführen, während er noch mit seinem aktuellen Zugriffspunkt verbunden ist. Wechselt der Drahtlosclient anschließend zu einem drahtlosen Zugriffspunkt, mit dem bereits eine Vorauthentifizierung erfolgt ist, ist die Zugriffszeit deutlich kürzer. Sie können die maximale Anzahl an Vorauthentifizierungsversuchen mit einem drahtlosen Zugriffspunkt einstellen. Hinweis Der schnelle Wechsel zu einem anderen Zugriffspunkt (fast roaming) mit WPA2 ist etwas anderes als eine schnelle Wiederherstellung der Verbindung (fast reconnect). Bei der schnellen Wiederherstellung von Verbindungen wird in drahtlosen Umgebungen die Verzögerung minimiert, die entsteht, wenn ein Drahtlosclient mit PEAP von einem drahtlosen Zugriffspunkt zu einem anderen wechselt. Bei der schnellen Wiederherstellung von Verbindungen speichert der Netzwerkrichtlinienserver (Network Policy Server, NPS) Informationen über die PEAP-TLS-Sitzung, damit der Drahtlosclient bei einer Wiederherstellung der Verbindung keine PEAP-Authentifizierung durchzuführen braucht, sondern nur eine MS-CHAP v2-Authentifizierung (für PEAP-MS-CHAP v2) oder eine TLS-Authentifizierung (für PEAP-TLS). Die schnelle Wiederherstellung von Verbindungen ist für Windows-Drahtlosclients und NPS-Netzwerkrichtlinien standardmäßig aktiviert. Mit einem letzten Kontrollkästchen können Sie angeben, ob die AES-Verschlüsselung in einem FIPS 104-2-zertifizierten Modus erfolgen soll (FIPS steht für Federal Information Processing Standard). FIPS 140-2 ist ein Sicherheitsstandard der amerikanischen Regierung für Computer, der bestimmte Anforderungen an den Entwurf und die Implementierung von Kryptografiemodule stellt. Windows Server 2008 und Windows Vista sind FIPS 140-2-zertifiziert. Wenn Sie den Modus FIPS 140-2-Zertifizierung aktivieren, führen Windows Server 2008 und Windows Vista die AES-Verschlüsselung mit Software durch, statt sich auf den Drahtlosnetzwerkadapter zu verlassen. Dieses Kontrollkästchen wird nur angezeigt, wenn Sie auf der Registerkarte Sicherheit die Authentifizierungsmethode WPA2Enterprise wählen. Windows XP-Drahtlosnetzwerkrichtlinie Um eine neue Windows XP-Drahtlosnetzwerkrichtlinie zu erstellen, klicken Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste auf Drahtlosnetzwerkrichtlinien (IEEE 802.11) und klicken dann auf Eine neue Windows XP-Richtlinie erstellen. Das Eigenschaftendialogfeld einer Windows XP-Drahtlosrichtlinie weist die beiden Registerkarten Allgemein und Bevorzugte Netzwerke auf. Abbildung 10.10 zeigt die Registerkarte Allgemein einer Windows XP-Drahtlosnetzwerkrichtlinie. Auf der Registerkarte Allgemein können Sie einen Namen und eine Beschreibung für die Richtlinie eingeben und festlegen, ob der automatische Windows-WLAN-Konfigurationsdienst aktiviert ist, welche Netzwerkarten gewünscht sind (alle verfügbaren Netzwerke, nur Infrastrukturnetzwerke oder nur Ad-hoc-Netzwerke) und ob auch zu nicht bevorzugten Netzwerken automatisch eine Verbindung hergestellt werden soll. Abbildung 10.11 zeigt die Registerkarte Bevorzugte Netzwerke einer Windows XP-Drahtlosrichtlinie. Auf der Registerkarte Bevorzugte Netzwerke können Sie eine Liste der bevorzugten Drahtlosnetzwerke verwalten und die einzelnen Netzwerke dabei in der Reihenfolge angeben, in der Verbindungsversuche erfolgen sollen. Um auf der Registerkarte Bevorzugte Netzwerke des Eigenschaftendialogfelds der Windows XP-Drahtlosrichtlinie Netzwerke zu verwalten, können Sie entweder ein vorhandenes Profil auswählen und dann auf Bearbeiten klicken, oder Sie klicken auf Hinzufügen und wählen dann, Planungs- und Entwurfsaspekte 307 ob das neue Drahtlosprofil für ein Infrastruktur- oder für ein Ad-hoc-Netzwerk vorgesehen ist. Das Eigenschaftendialogfeld eines bevorzugten Drahtlosnetzwerks weist die beiden Registerkarten Netzwerkeigenschaften und IEEE 802.1X auf. Abbildung 10.10 Die Registerkarte Allgemein einer Windows XP-Drahtlosnetzwerkrichtlinie Abbildung 10.11 Die Registerkarte Bevorzugte Netzwerke einer Windows XP-Drahtlosrichtlinie Abbildung 10.12 zeigt die Registerkarte Netzwerkeigenschaften für ein bevorzugtes Infrastrukturnetzwerk. Auf der Registerkarte Netzwerkeigenschaften können Sie eine Beschreibung des bevorzugen Netzwerks eingeben und angeben, ob es sich um ein Netzwerk ohne Broadcastausstrahlung (Infrastruktur) handelt. Außerdem können Sie die Authentifizierungs- und Verschlüsselungsmethoden auswählen und 308 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 für WPA2 auch die Einstellungen für die schnelle Serverspeicherung (den schnellen Wechsel der Zugriffspunkte) vornehmen. Abbildung 10.12 Die Registerkarte Netzwerkeigenschaften für ein bevorzugtes Infrastrukturnetzwerk Abbildung 10.13 Die Registerkarte IEEE 802.1X für ein bevorzugtes Infrastrukturnetzwerk Abbildung 10.13 zeigt die Standardregisterkarte IEEE 802.1X für ein bevorzugtes Drahtlosnetzwerk. Auf der Registerkarte IEEE 802.1X können Sie den EAP-Typ angeben und die entsprechenden Einstellungen vornehmen. Außerdem können Sie festlegen, wann die EAPOL-Startmeldung gesendet Planungs- und Entwurfsaspekte 309 werden soll, welcher Authentifizierungsmodus verwendet wird und ob die Anmeldung mit den Anmeldeinformationen des Computers erfolgt oder als Gast. Mit den letzten Optionen auf der Registerkarte nehmen Sie erweiterte 802.1X-Einstellungen vor. Konfiguration auf der Befehlszeile Unter Windows Vista können Sie einige der Einstellungen, die in den Eigenschaftendialogfeldern der drahtlosen Verbindungen aus dem Ordner Netzwerkverbindungen oder in der Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) erfolgen, auch auf einer Befehlszeile vornehmen. Die Konfiguration der Drahtlosnetzwerke auf der Befehlszeile kann in folgenden Situationen die Bereitstellung von drahtlosen Netzwerken erleichtern: Automatisches Einstellen der Drahtlosnetzwerke mit Skripts (ohne Gruppenrichtlinien) Die Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung ist nur in einer Active Directory-Domäne wirksam. In einer Umgebung, in der es keine Gruppenrichtlinieninfrastruktur gibt, kann ein Skript verwendet werden, das die Konfiguration der Drahtlosverbindungen automatisch durchführt. Das Skript lässt sich manuell starten oder automatisch, zum Beispiel im Rahmen eines Skripts bei der Anmeldung. Hinzufügen eines Drahtlosclients zum geschützten drahtlosen Netzwerks einer Organisation Ein Drahtlosclientcomputer, der nicht Mitglied der Domäne ist, kann keine Verbindung mit dem geschützten Drahtlosnetzwerk der Organisation aufnehmen. Der Computer kann aber erst dann ein Mitglied der Domäne werden, wenn er erfolgreich eine Verbindung mit dem geschützten Drahtlosnetzwerk der Organisation hergestellt hat. Ein Befehlszeilenskript bietet eine Methode, um eine Verbindung mit dem geschützten Drahtlosnetzwerk einer Organisation herzustellen und der Domäne beizutreten. Um die Konfiguration von Drahtlosclients durchzuführen, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, geben Sie den Befehl netsh wlan mit den entsprechenden Parametern ein. Weitere Informationen Informationen über die Syntax des Befehls netsh wlan finden Sie in »Netsh Commands for Wireless Local Area Network (WLAN)« unter http://go.microsoft.com/fwlink/?LinkID=81751. XML-Drahtlosnetzwerkprofile Um für Drahtlosclients, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, die Konfiguration auf der Befehlszeile zu erleichtern, können Sie die Konfiguration eines Drahtlosprofils in eine XML-Datei exportieren, die sich anschließend auf anderen Drahtlosclients importieren lässt. Sie können ein Drahtlosprofil auf dem Drahtlosclient mit dem Befehl netsh wlan export profile exportieren oder auf der Registerkarte Allgemein des Eigenschaftendialogfelds der Windows VistaDrahtlosrichtlinie. Für den Import eines Drahtlosprofils verwenden Sie den Befehl netsh wlan add profile. Planungsaspekte für Drahtlosclients Bei der Planung des drahtlosen Netzwerks sollten Sie für die Clients außerdem folgende Aspekte berücksichtigen: Wenn Sie verhindern möchten, dass Ihre Windows Vista- oder Windows Server 2008-Drahtlosclients mit bestimmten drahtlosen Netzwerken Verbindungen herstellen, richten Sie auf der Registerkarte Netzwerkberechtigungen des Eigenschaftendialogfelds der Windows Vista-Drahtlosrichtlinie eine Liste der abgelehnten Drahtlosnetzwerke ein oder verwenden den Befehl netsh wlan add filter. 310 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Wenn Sie Ihre Windows Vista- oder Windows Server 2008-Drahtlosclients so konfigurieren möchten, dass nur zu bestimmten Netzwerken Verbindungen hergestellt werden, stellen Sie auf der Registerkarte Netzwerkberechtigungen des Eigenschaftendialogfelds der Windows VistaDrahtlosrichtlinie eine Liste der zugelassenen Netzwerke zusammen oder verwenden den Befehl netsh wlan add filter. Anforderungen an Drahtlosclients Drahtlosclients müssen bestimmte Voraussetzungen erfüllen: Wenn WPA2 verwendet werden soll, muss auf den Drahtlosclients Windows XP mit SP2 und dem WPA2-Update für Windows XP mit Service Pack 2, Windows Vista oder Windows Server 2008 ausgeführt werden. Die Konfiguration auf der Befehlszeile mit dem Befehl netsh wlan, der Export und Import von XML-Drahtlosprofilen und die einmalige Anmeldung (Single Sign-On) werden nur von Drahtlosclients unterstützt, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird. Um eine 802.1X-Erzwingung mit Netzwerkzugriffsschutz bereitzustellen, müssen Sie Ihre Drahtlosclients auf eine Authentifizierungsmethode auf der Basis von PEAP einstellen. Empfehlungen für Drahtlosclients Für Drahtlosclients gelten folgende Empfehlungen: Wenn nur eine kleine Anzahl von Drahtlosclients eingerichtet werden muss, können Sie die Clients manuell konfigurieren. Für eine unternehmensweite Bereitstellung eines Drahtlosnetzwerks in einer Active DirectoryUmgebung verwenden Sie die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11). Für eine Bereitstellung eines Drahtlosnetzwerks mit Skripts erstellen Sie XML-Drahtlosprofile und konfigurieren die Drahtlosclients mit einem Skript, das den Befehl netsh wlan add profile enthält. PKI Um drahtlose Verbindungen mit PEAP-TLS oder EAP-TLS authentifizieren zu können, muss eine PKI (Public Key Infrastructure) vorhanden sein, die für Drahtlosclients Computer- und Benutzerzertifikate ausstellen kann, und für RADIUS-Server Computerzertifikate. Für eine Authentifizierung auf der Basis von PEAP-MS-CHAP v2 ist keine PKI erforderlich. Es ist auch möglich, von einem anderen Anbieter Zertifikate zu kaufen und auf den NPS-Servern zu installieren. Dann müssen Sie wahrscheinlich auch das Stammzertifizierungsstellenzertifikat der Computerzertifikate dieses Anbieters auf Ihren Drahtlosclientcomputern installieren. PKI für Smartcards Die Verwendung von Smartcards zur Benutzerauthentifizierung stellt unter Windows die sicherste Form der Benutzerauthentifizierung dar. Für drahtlose Verbindungen können Sie bei den Authentifizierungsmethoden EAP-TLS oder PEAP-TLS Smartcards einsetzen. Die einzelnen Smartcards werden an Benutzer ausgegeben, die über einen Computer mit einem Smartcardleser verfügen. Um sich am Computer anzumelden, muss der Benutzer die Smartcard in den Smartcardleser einlegen und die PIN (Personal Identification Number) der Smartcard eingeben. Wenn der Benutzer versucht, eine Planungs- und Entwurfsaspekte 311 drahtlose Verbindung herzustellen, wird im Zuge dieses Vorgangs auch das Smartcardzertifikat übermittelt. PKI für Benutzerzertifikate Statt Smartcards können zur Benutzerauthentifizierung auch Benutzerzertifikate verwendet werden, die in der Windows-Registrierung gespeichert wurden. Allerdings ist diese Art der Authentifizierung nicht so sicher wie eine Smartcard. Wird eine Smartcard verwendet, steht das ausgestellte Benutzerzertifikat nur dann zur Authentifizierung zur Verfügung, wenn der Benutzer im Besitz der Smartcard ist und die PIN kennt, mit der die Anmeldung am Computer erfolgt. Bei der Verwendung von Benutzerzertifikaten steht das Benutzerzertifikat zur Authentifizierung zur Verfügung, wenn sich der Benutzer mit einem Domänenbenutzernamen und dem dazugehörigen Kennwort am Computer anmeldet. Wie Smartcards können Benutzerzertifikate bei der Authentifizierung von Drahtlosnetzwerkverbindungen mit EAP-TLS oder PEAP-TLS verwendet werden. Um Ihre Organisationen mit Benutzerzertifikaten zu versorgen, bauen Sie zuerst eine PKI auf. Dann müssen Sie für jeden Benutzer ein Benutzerzertifikat installieren. Am einfachsten ist dies, wenn die Windows-Zertifikatdienste als Unternehmenszertifizierungsstelle installiert werden. Dann konfigurieren Sie mit Gruppenrichtlinien eine automatische Registrierung für die Ausstellung von Benutzerzertifikaten. Weitere Informationen finden Sie im Abschnitt »Bereitstellen von Zertifikaten« dieses Kapitels. Wenn der Drahtlosclient für eine drahtlose Verbindung eine Benutzerauthentifizierung durchführen möchte, übermittelt der Drahtlosclient im Rahmen dieses Vorgangs das Benutzerzertifikat. PKI für Computerzertifikate Computerzertifikate werden für die Computerauthentifizierung von Drahtloszugriffen mit den Authentifizierungsmethoden EAP-TLS oder PEAP-TLS in der Windows-Registrierung gespeichert. Um Ihre Organisationen mit Computerzertifikaten zu versorgen, bauen Sie zuerst eine PKI auf. Dann müssen Sie auf jedem Computer ein Computerzertifikat installieren. Am einfachsten ist das, wenn die Windows Active Directory-Zertifikatdienste oder die Zertifikatdienste als Unternehmenszertifizierungsstelle installiert werden. Dann konfigurieren Sie mit Gruppenrichtlinien eine automatische Registrierung für die Ausstellung von Computerzertifikaten. Weitere Informationen finden Sie im Abschnitt »Bereitstellen von Zertifikaten« dieses Kapitels. Wenn der Drahtlosclient für eine drahtlose Verbindung eine Computerauthentifizierung durchführen möchte, übermittelt der Drahtlosclient im Rahmen dieses Vorgangs das Computerzertifikat. Anforderungen an eine PKI Eine PKI für ein geschütztes Drahtlosnetzwerk muss einige Anforderungen erfüllen: Für eine Computerauthentifizierung mit EAP-TLS oder PEAP-TLS müssen Sie auf jedem Drahtlosclient ein Computerzertifikat installieren (auch Maschinenzertifikat genannt). Das Computerzertifikat des Drahtlosclients muss gültig sein und sich von NPS-Servern überprüfen lassen. Die NPS-Server müssen über ein Stammzertifizierungsstellenzertifikat für die Zertifizierungsstelle verfügen, die das Computerzertifikat des Drahtlosclients ausgestellt hat. Für eine Benutzerauthentifizierung mit EAP-TLS oder PEAP-TLS müssen Sie eine Smartcard verwenden oder auf jedem Drahtlosclient ein Benutzerzertifikat installieren. Die Smartcard- oder die Benutzerzertifikate der Drahtlosclients müssen gültig sein und sich von den NPS-Servern überprüfen lassen. Die NPS-Server müssen über ein Stammzertifizierungsstel- 312 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 lenzertifikat für die Zertifizierungsstellen verfügen, die die Smartcard- oder Benutzerzertifikate der Drahtlosclients ausgestellt haben. Sie müssen auf jedem Drahtlosclient das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle der Computerzertifikate der NPS-Server installieren. Die Computerzertifikate der NPS-Server müssen gültig und für jeden Drahtlosclient überprüfbar sein. Die Drahtlosclients müssen über das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstellen verfügen, die die Computerzertifikate der NPS-Server ausgestellt haben. Für eine EAP-TLS-Authentifizierung müssen das Benutzer-, Smartcard- oder Computerzertifikat des Drahtlosclients folgende Bedingungen erfüllen: Das Zertifikat muss einen geheimen Schlüssel enthalten. Das Zertifikat muss von einer Unternehmenszertifizierungsstelle ausgestellt oder in Active Directory mit einem Benutzer- oder Computerkonto verknüpft worden sein. Für das Zertifikat muss auf dem NPS-Server eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle bestehen und es muss alle Prüfungen bestehen, die vom CryptoAPI durchgeführt und in den Netzwerkrichtlinien für drahtlose Verbindungen angegeben werden. Das Zertifikat muss für die Clientauthentifizierung vorgesehen sein (es enthält im Feld Erweiterte Schlüsselverwendung den Eintrag Clientauthentifizierung mit der Objektkennung 1.3.6.1.5.5.7.3.2). Das Feld Alternativer Antragstellername muss den Benutzerprinzipalnamen (User Principal Name, UPN) des Benutzer- oder Computerkontos enthalten. Für eine EAP-TLS-Authentifizierung muss das Computerzertifikat des NPS-Servers folgende Bedingungen erfüllen: Das Zertifikat muss einen geheimen Schlüssel enthalten. Das Feld Antragsteller muss einen Wert enthalten. Für das Zertifikat muss auf den Drahtlosclients eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle bestehen und es muss alle Prüfungen bestehen, die vom CryptoAPI durchgeführt und in den Netzwerkrichtlinien für drahtlose Verbindungen angegeben werden. Das Zertifikat muss für die Serverauthentifizierung vorgesehen sein (es enthält im Feld Erweiterte Schlüsselverwendung den Eintrag Serverauthentifizierung mit der Objektkennung 1.3.6.1.5.5.7.3.1). Das Zertifikat muss mit dem erforderlichen CSP-Wert (Cryptographic Service Provider) des Anbieters Microsoft RSA SChannel Cryptographic Provider konfiguriert sein. Wird das Feld Alternativer Antragstellername des Zertifikats benutzt, muss es den DNS-Namen des NPS-Servers enthalten. Empfehlungen für eine PKI Für eine PKI, die den geschützten Drahtloszugriff ermöglichen soll, gelten folgende Empfehlungen: Wenn Sie zur Erstellung von Computerzertifikaten für EAP-TLS oder PEAP-TLS eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, konfigurieren Sie Ihre Active Directory-Domäne mit einer Computerkonfigurationsgruppenrichtlinie für die automatische Registrierung von Computerzertifikaten. Jeder Computer, der Mitglied der Domäne ist, fordert dann nach der nächsten Aktualisierung der Computerkonfigurationsgruppenrichtlinien automatisch ein Computerzertifikat an. Planungs- und Entwurfsaspekte 313 Wenn Sie zur Erstellung von Benutzerzertifikaten für EAP-TLS oder PEAP-TLS, die in der Registrierung gespeichert werden, eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, konfigurieren Sie Ihre Active Directory-Domäne mit einer Benutzerkonfigurationsgruppenrichtlinie für die automatische Registrierung von Benutzerzertifikaten. Jeder Benutzer, der sich erfolgreich bei der Domäne anmeldet, fordert dann nach der nächsten Aktualisierung der Benutzerkonfigurationsgruppenrichtlinien automatisch ein Benutzerzertifikat an. Wenn Sie für Ihre NPS-Server von einem anderen Anbieter Computerzertifikate für die PEAPMS-CHAP v2-Authentifizierung gekauft haben und die Drahtlosclients nicht über das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des NPS-Servers verfügen, sorgen Sie mit einer entsprechenden Gruppenrichtlinie dafür, dass das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des NPS-Servers auf Ihren Drahtlosclients installiert wird. Jeder Computer, der Mitglied der Domäne ist, erhält und installiert dann automatisch das Stammzertifizierungsstellenzertifikat, wenn die Computerkonfigurationsgruppenrichtlinien aktualisiert werden. Für die EAP-TLS-, PEAP-TLS- und PEAP-MS-CHAP v2-Authentifizierung ist es möglich, Drahtlosclients so einzustellen, dass sie das Zertifikat des NPS-Servers nicht überprüfen. In diesem Fall ist es nicht erforderlich, auf den NPS-Servern Computerzertifikate und auf den Drahtlosclients die dazugehörigen Stammzertifizierungsstellenzertifikate zu installieren. Allerdings wird empfohlen, dass Drahtlosclients die Zertifikate des NPS-Servers überprüfen, damit sich Drahtlosclients und NPS-Server gegenseitig überprüfen können. Durch eine gegenseitige Authentifizierung können Sie Ihre Drahtlosclients davor schützen, eine Verbindung mit irgendeinem nichtautorisierten drahtlosen Zugriffspunkt herzustellen, der mit ebenfalls nichtautorisierten Zugriffsservern arbeitet. 802.1X-Erzwingung mit NAP NAP für Windows Server 2008, Windows Vista und Windows XP mit Service Pack 3 bietet Komponenten und Programmierschnittstellen (Application Programming Interfaces, APIs), mit denen Sie die Einhaltung der Integritätsrichtlinien für den Netzwerkzugriff oder die Netzwerkkommunikation erzwingen können. Entwickler und Netzwerkadministratoren können Lösungen für die Überprüfung von Computern entwickeln, die Verbindungen mit ihren Netzwerken herstellen, erforderliche Updates oder den Zugriff auf erforderliche Ressourcen zur Verfügung stellen und den Zugriff durch nicht konforme Computer einschränken. Die 802.1X-Erzwingung ist eine der NAP-Erzwingungsmethoden von Windows Server 2008, Windows Vista und Windows XP. Bei der 802.1X-Erzwingung muss ein mit 802.1X authentifizierter Drahtlosclient beweisen, dass er die Integritätsanforderungen des Systems erfüllt, bevor er Zugang zum Intranet erhält. Hält ein Drahtlosclient die Integritätsanforderungen des Systems nicht ein, verschiebt der drahtlose Zugriffspunkt den Drahtlosclient in ein eingeschränktes Netzwerk, in denen die Server verfügbar sind, die erforderlich sind, um den Drahtlosclient so weit aufzurüsten, dass er die Integritätsregeln einhält. Der drahtlose Zugriffspunkt erreicht diese Einschränkung des Zugriffs durch Paketfilter oder durch eine entsprechende VLAN-Kennung, die der Drahtlosverbindung zugewiesen wird. Nach der Korrektur des Integritätszustands kann der Drahtlosclient seinen Integritätszustand erneut überprüfen lassen. Sofern er konform ist, werden die Beschränkungen aufgehoben, denen er im eingeschränkten Teil des Drahtlosnetzwerks unterliegt. Damit die 802.1X-Erzwingung funktioniert, müssen Sie über ein geschütztes Drahtlosnetzwerk verfügen, das eine Authentifizierungsmethode auf der Basis von PEAP verwendet. Einzelheiten über die 314 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Bereitstellung der 802.1X-Erzwingung nach dem erfolgreichen Aufbau eines geschützten Drahtlosnetzwerks finden Sie in Kapitel 17. Bereitstellen von geschütztem Drahtloszugriff Um mit Windows Server 2008 und Windows Vista ein geschütztes Drahtlosnetzwerk aufzubauen, gehen Sie folgendermaßen vor: 1. Stellen Sie die erforderlichen Zertifikate bereit. 2. Konfigurieren Sie Active Directory für Benutzerkonten und -Gruppen. 3. Konfigurieren Sie NPS-Server. 4. Stellen Sie drahtlose Zugriffspunkte bereit. 5. Konfigurieren Sie die Drahtlosclients. Bereitstellen von Zertifikaten In den folgenden Authentifizierungskonfigurationen braucht jeder Drahtlosclient ein Computerzertifikat: Computerauthentifizierung mit EAP-TLS oder PEAP-TLS und Computerzertifikaten Jeder Drahtlosclient braucht ein Computerzertifikat. Benutzerauthentifizierung mit EAP-TLS oder PEAP-TLS und mit Smartcard oder registrierungsbasierten Benutzerzertifikaten Jeder Drahtlosbenutzer braucht eine Smartcard oder jeder Drahtlosclientcomputer braucht ein Benutzerzertifikat. Benutzer- oder Computerauthentifizierung mit PEAP-MS-CHAP v2 Jeder Drahtlosclient braucht das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des NPS-Servers. Bereitstellen von Computerzertifikaten Zur Installation von Computerzertifikaten für eine EAP-TLS- oder PEAP-TLS-Authentifizierung muss eine PKI vorhanden sein, die diese Zertifikate ausstellen kann. Sobald diese PKI vorhanden ist, können Sie auf folgende unterschiedliche Weisen auf Drahtlosclients und NPS-Servern Computerzertifikate installieren: Durch das Konfigurieren der automatischen Registrierung von Computerzertifikaten auf den Computern einer Active Directory-Domäne (empfohlen) Durch die Anforderung eines Computerzertifikats mit dem Zertifikate-Snap-In Durch den Import eines Computerzertifikats mit dem Zertifikate-Snap-In Durch die Ausführung eines CAPICOM-Skripts, das ein Computerzertifikat anfordert Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« von Kapitel 9. Bereitstellen von Benutzerzertifikaten Auf folgende Arten können Sie auf Drahtlosclients Benutzerzertifikate installieren: Durch das Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für die Benutzer in einer Active Directory-Domäne (empfohlen) Durch die Anforderung eines Benutzerzertifikats mit dem Zertifikate-Snap-In Bereitstellen von geschütztem Drahtloszugriff 315 Durch den Import eines Benutzerzertifikats mit dem Zertifikate-Snap-In Durch das Anfordern eines Zertifikats über das Web Durch die Ausführung eines CAPICOM-Skripts, das ein Benutzerzertifikat anfordert Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« von Kapitel 9. Bereitstellen von Stammzertifizierungsstellenzertifikaten Wenn Sie eine PEAP-MS-CHAP v2-Authentifizierung einsetzen, müssen Sie wahrscheinlich auf Ihren Drahtlosclients die Stammzertifizierungsstellenzertifikate der Computerzertifikate Ihrer NPSServer installieren. Falls das Stammzertifizierungsstellenzertifikat des Ausstellers der Computerzertifikate, die auf den NPS-Servern installiert sind, bereits als Stammzertifizierungsstellenzertifikate auf Ihren Drahtlosclients installiert ist, ist keine weitere Konfiguration erforderlich. Handelt es sich bei Ihrer Stammzertifizierungsstelle zum Beispiel um eine Online-Stammzertifizierungsstelle auf der Basis von Windows Server 2008, wird das Stammzertifizierungsstellenzertifikat über Gruppenrichtlinien automatisch auf jedem Computer installiert, der Mitglied der Domäne ist. Bei der Überprüfung, ob auf Ihren Drahtlosclients das korrekte Stammzertifizierungsstellenzertifikat installiert ist, müssen Sie auf zwei Punkte achten: Wie heißt die Stammzertifizierungsstelle der Computerzertifikate, die auf den NPS-Servern installiert wurden? Wurde auf Ihren Drahtlosclients ein Zertifikat der Stammzertifizierungsstelle installiert? So bestimmen Sie die Stammzertifizierungsstelle der Computerzertifikate der NPS-Server 1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des NPSServers den Knoten Zertifikate (Lokaler Computer oder Computername), erweitern Sie dann den Knoten Eigene Zertifikate und klicken Sie auf Zertifikate. 2. Klicken Sie im Detailbereich mit einem Doppelklick auf das Computerzertifikat, das vom NPSServer für die PEAP-MS-CHAP v2-Authentifizierung verwendet wird. 3. Achten Sie im Eigenschaftendialogfeld Zertifikate auf der Registerkarte Zertifizierungspfad auf den Namen am Anfang des Zertifizierungspfads. Das ist der Name der Stammzertifizierungsstelle. So finden Sie heraus, ob auf Ihrem Drahtlosclient ein Zertifikat von der Stammzertifizierungsstelle installiert ist 1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Drahtlosclients den Knoten Zertifikate (Lokaler Computer oder Computername), erweitern Sie dann den Knoten Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie auf Zertifikate. 2. Überprüfen Sie im Detailbereich, ob in der Liste der Zertifikate der Name der Stammzertifizierungsstelle der Computerzertifikate zu finden ist, die für den NPS-Server ausgestellt wurden. Sie müssen die Stammzertifizierungsstellenzertifikate der Herausgeber der Computerzertifikate der NPS-Server auf jedem Drahtlosclient installieren, auf dem sie noch nicht verfügbar sind. Am einfachsten lassen sich Stammzertifizierungsstellenzertifikate über Gruppenrichtlinien auf allen Drahtlosclients installieren. Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-KeyInfrastruktur« von Kapitel 9. 316 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Konfigurieren von Active Directory für Konten und Gruppen Zur Vorbereitung von Active Directory für den Drahtloszugriff konfigurieren Sie die Benutzer- und Computerkonten, die für die Authentifizierung der drahtlosen Verbindungen verwendet werden, auf folgende Weise: Stellen Sie auf der Registerkarte Einwählen die Netzwerkzugriffsberechtigung auf Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern. Bei dieser Einstellung wird der Zugang zum Netzwerk mit den NPS-Netzwerkrichtlinien gesteuert. Standardmäßig wird die Netzwerkzugriffsberechtigung in neuen Benutzer- und Computerkonten auf Zugriff über NPS-Netzwerkrichtlinien steuern gestellt. Fassen Sie die Computer- und Benutzerkonten zu geeigneten universellen oder globalen Gruppen zusammen, um die Verwaltung des Netzwerkzugriffs zu vereinfachen. Konfigurieren der NPS-Server Konfigurieren Sie Ihre NPS-Server, wie in Kapitel 9 beschrieben. Gehen Sie dazu folgendermaßen vor: 1. Installieren Sie auf jedem NPS-Server ein Computerzertifikat. 2. Installieren Sie auf jedem NPS-Server bei Bedarf die Stammzertifizierungsstellenzertifikate der Computer- oder Benutzerzertifikate der Drahtlosclients. 3. Konfigurieren Sie auf dem primären NPS-Server die Protokollierung. 4. Fügen Sie zum primären NPS-Server die RADIUS-Clients (die drahtlosen Zugriffspunkte) hinzu. 5. Erstellen Sie auf dem primären NPS-Server die Richtlinien, die zusammen mit den Gruppen, zu denen die für Drahtloszugriffe vorgesehenen Konten gehören, die drahtlosen Zugriffe steuern. Einzelheiten zu den Schritten 1 bis 4 finden Sie in Kapitel 9. So erstellen Sie Richtlinien für drahtlose Verbindungen 1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf NPS. 2. Wählen Sie im Detailbereich aus der Dropdownliste unter Standardkonfiguration die Konfiguration RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen aus und klicken Sie dann auf 802.1X konfigurieren. 3. Wählen Sie auf der Seite 802.1X-Verbindungstyp auswählen des Assistenten zum Konfigurieren von 802.1X die Option Sichere Drahtlosverbindungen und geben Sie dann im Textfeld Name einen Namen für die Richtlinie ein (oder verwenden Sie den Namen, den der Assistent vorgibt). Klicken Sie auf Weiter. 4. Fügen Sie auf der Seite 802.1X-Switches angeben nach Bedarf die RADIUS-Clients hinzu (in diesem Fall also Ihre drahtlosen Zugriffspunkte). Klicken Sie auf Weiter. 5. Stellen Sie auf der Seite Authentifizierungsmethode konfigurieren den gewünschten EAP-Typ ein, der für die drahtlosen Verbindungen verwendet werden soll. Zur Konfiguration von EAP-TLS wählen Sie in der Dropdownliste Typ den Eintrag Microsoft: Smartcard- oder anderes Zertifikat und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften das Computerzertifikat aus, das für drahtlose Verbindungen verwendet werden soll, und klicken Sie dann auf OK. Wenn Sie das Zertifikat nicht auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure Bereitstellen von geschütztem Drahtloszugriff 317 Channel) nicht. Die SChannel-Unterstützung ist aber erforderlich, damit NPS das Zertifikat für die EAP-TLS-Authentifizierung verwenden kann. Zur Konfiguration von PEAP-MS-CHAP v2 wählen Sie in der Dropdownliste Typ den Eintrag Microsoft: Geschütztes EAP (PEAP) und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten das Computerzertifikat aus, das für die drahtlosen Verbindungen verwendet werden soll, und klicken Sie dann auf OK. Wenn Sie das Zertifikat nicht auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure Channel) nicht. Die SChannel-Unterstützung ist aber erforderlich, damit NPS das Zertifikat für die PEAP-Authentifizierung verwenden kann. Zur Konfiguration von PEAP-TLS wählen Sie in der Dropdownliste Typ den Eintrag Microsoft: Geschütztes EAP (PEAP) und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten das Computerzertifikat aus, das für die drahtlosen Verbindungen verwendet werden soll. Wenn Sie das Zertifikat nicht auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure Channel) nicht. Klicken Sie unter EAP-Typen auf Gesichertes Kennwort (EAP-MSCHAP v2) und dann auf Entfernen. Klicken Sie auf Hinzufügen. Klicken Sie im Dialogfeld EAP hinzufügen auf Smartcard- oder anderes Zertifikat und dann auf OK. Klicken Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten unter EAP-Typen auf Smartcard- oder anderes Zertifikat und klicken Sie dann auf Bearbeiten. Wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften das Computerzertifikat aus, das für die drahtlosen Verbindungen verwendet werden soll, und klicken Sie dann auf OK. Wenn Sie das Zertifikat nicht auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure Channel) nicht. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. 6. Klicken Sie auf Weiter. Fügen Sie auf der Seite Benutzergruppen angeben die Gruppen mit den Konten für drahtlose Computer und Benutzer hinzu (beispielsweise eine von Ihnen definierte Gruppe DrahtlosKonten). 7. Klicken Sie auf der Seite VLAN (virtuelles LAN) konfigurieren auf Konfigurieren, falls Sie RADIUS-Attribute und deren Werte angeben möchten, mit denen Ihre drahtlosen Zugriffspunkte für das passende VLAN konfiguriert werden. Klicken Sie auf Weiter. 8. Klicken Sie auf der Seite Abschließen neuer sicherer verkabelter und drahtloser IEEE 802.1XVerbindungen und RADIUS-Clients auf Fertig stellen. Nachdem Sie auf dem primären NPS-Server die gewünschte Protokollierung eingestellt, die RADIUSClients hinzugefügt und die Sicherheitseinstellungen vorgenommen haben, kopieren Sie die Konfiguration auf den sekundären und auf alle weiteren vorgesehenen NPS-Server. Weitere Informationen finden Sie in Kapitel 9. Bereitstellen drahtloser Zugriffspunkte Gehen Sie zur Bereitstellung Ihrer drahtlosen Zugriffspunkte folgendermaßen vor: 1. Suchen Sie anhand von Bauplänen nach geeigneten Orten für die Aufstellung von drahtlosen Zugriffspunkten. 2. Bauen Sie die drahtlosen Zugriffspunkte für einen Test auf. 3. Führen Sie eine Standortüberprüfung (site survey) durch und messen Sie die Signalstärke in allen Bereichen. 318 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 4. Suchen Sie bei Bedarf andere Aufstellungsorte für die drahtlosen Zugriffspunkte oder entfernen Sie Störquellen. 5. Überprüfen Sie den Sendebereich. 6. Tragen Sie die Zahl und Anordnung der drahtlosen Zugriffspunkte in die Baupläne ein. 7. Konfigurieren Sie TCP/IP, das Sicherheitssystem und die RADIUS-Server. Diese Schritte werden in den folgenden Abschnitten ausführlicher beschrieben. Hinweis Eine Alternative zur Standortüberprüfung (site survey) besteht darin, einen einzelnen drahtlosen Zugriffspunkt nacheinander an verschiedenen Stellen aufzustellen und zu überprüfen, ob sich Störungen ergeben und welche Aufstellungsorte am besten geeignet sind. Auf diese Weise können Sie auch abschätzen, ob sich der Standort überhaupt für ein drahtloses Netzwerk eignet, bevor Sie zahlreiche drahtlose Zugriffspunkte installieren. Ermitteln der geeigneten Aufstellungsorte für drahtlose Zugriffspunkte Beschaffen oder erstellen Sie Pläne von jedem Gebäude und jeder Etage, auf der ein drahtloses Netzwerk verwendet werden soll. Suchen Sie auf den Plänen die Büros, Konferenzräume, Lobbys und andere Bereiche heraus, in denen ein drahtloser Netzwerkzugriff möglich sein soll. Es kann sinnvoll sein, mit dem Drahtlosnetzwerk das gesamte Gebäude abzudecken, also nicht nur bestimmte Bereiche innerhalb des Gebäudes. Dadurch lassen sich Verbindungsprobleme vermeiden, die sonst zum Beispiel entstehen können, wenn jemand mit einem Laptop sein Büro verlässt und den Laptop in einem anderen Teil des Gebäudes verwenden möchte. Zeichnen Sie auf den Plänen die Störquellen ein, die sich auf das Drahtlosnetzwerk auswirken können, und kennzeichnen Sie Baumaterialien oder Objekte, die Funksignale schwächen, reflektieren oder abschirmen. Verteilen Sie die drahtlosen Zugriffspunkte anschließend so, dass kein drahtloser Zugriffspunkt weiter als etwa 60 bis 65 Meter vom nächsten drahtlosen Zugriffspunkt entfernt ist. Nachdem Sie auf diese Weise die Aufstellungsorte der drahtlosen Zugriffspunkte ermittelt haben, müssen Sie die verwendeten Übertragungskanäle bestimmen und jeden drahtlosen Zugriffspunkt auf seinen vorgesehenen Kanal einstellen. So wählen Sie die Kanäle für die drahtlosen Zugriffspunkte 1. Finden Sie heraus, welche Drahtlosnetzwerke von anderen Organisationen im selben Gebäude betrieben werden. Informieren Sie sich über die Aufstellungsorte der drahtlosen Zugriffspunkte und über die verwendeten Kanäle. Funksignale durchdringen Decken und Wände. Daher müssen auch drahtlose Zugriffspunkte, die im Prinzip dicht beieinander stehen, aber vielleicht nur durch eine Decke oder den Fußboden voneinander getrennt sind, auf Kanäle eingestellt werden, die sich möglichst wenig gegenseitig stören. Wenn eine andere Organisation in der Etage über oder unter Ihnen ein Drahtlosnetzwerk betreibt, können die drahtlosen Zugriffspunkte dieser Organisation durchaus Ihr geplantes Netzwerk stören, und umgekehrt. Informieren Sie daher die benachbarte Organisation über Ihre Pläne und informieren Sie sich über die Anordnung und die Kanaleinstellung der drahtlosen Zugriffspunkte dieser Organisation, damit Sie Ihre eigenen drahtlosen Zugriffspunkte auf eine andere Kanalnummer einstellen können. 2. Finden Sie heraus, wo sich die Funksignale verschiedener drahtloser Netzwerke aus Ihrer eigenen Organisation überlappen. Bereitstellen von geschütztem Drahtloszugriff 319 3. Nachdem Sie die Bereiche ermittelt haben, in denen sich Ihr geplantes Drahtlosnetzwerk mit einem anderen internen oder externen Drahtlosnetzwerk überlappt, weisen Sie Ihren drahtlosen Zugriffspunkten geeignete Kanalnummern zu. So weisen Sie den drahtlosen Zugriffspunkten Kanalnummern zu 1. Weisen Sie dem ersten drahtlosen Zugriffspunkt die Kanalnummer 1 zu. 2. Weisen Sie den drahtlosen Zugriffspunkten, die den Sendebereich des ersten drahtlosen Zugriffspunkts überlappen, die Kanäle 6 und 11 zu, um sicherzustellen, dass diese drahtlosen Zugriffspunkte nicht auch andere drahtlose Zugriffspunkte in ihrer Reichweite stören, die auf demselben Kanal senden. 3. Weisen Sie auch den restlichen drahtlosen Zugriffspunkten nach diesem Muster Kanalnummern zu. Achten Sie dabei darauf, dass zwei drahtlose Zugriffspunkte, deren Sendebereiche sich überlappen, mindestens fünf Kanäle voneinander getrennt sind. Bauen Sie die drahtlosen Zugriffspunkte für einen Test auf Bauen Sie die drahtlosen Zugriffspunkte für einen ersten Test auf. Orientieren Sie sich dabei an den Aufstellungsorten und Kanalnummern, die Sie bisher auf der Grundlage der Baupläne ermittelt haben. Führen Sie eine Standortüberprüfung durch Führen Sie eine Standortüberprüfung (site survey) durch, indem Sie mit einem Laptop, der mit einem 802.11-Drahtlosadapter und einer geeigneten Site-Survey-Software ausgerüstet ist, durch das Gebäude gehen. (Die meisten Drahtlosadapter und drahtlosen Zugriffspunkte werden mit einer Site-SurveySoftware ausgeliefert). Bestimmen Sie die Signalstärken und Bitraten in den Sendebereichen der installierten drahtlosen Zugriffspunkte. Optimieren Sie die drahtlosen Zugriffspunkte und entfernen Sie Störungsquellen In den Bereichen, in denen das Signal zu schwach ist, können Sie folgende Verbesserungen durchführen, damit den Empfängern ein stärkeres Signal zur Verfügung steht: Stellen Sie die für den ersten Test aufgestellten drahtlosen Zugriffspunkte so um, dass die Signalstärke in den betreffenden Bereichen verbessert wird. Entfernen Sie Geräte, die störende Signale aussehenden, oder stellen Sie die Geräte woanders auf (beispielsweise Bluetooth-Geräte oder Mikrowellenherde). Stellen Sie metallische Gegenstände, die sich auf die Signalausbreitung auswirken, anders auf oder entfernen Sie diese Gegenstände (beispielsweise Metallschränke oder andere größere metallische Gegenstände). Fügen Sie weitere drahtlose Zugriffspunkte hinzu, falls die bisherige Anzahl noch nicht ausreicht, um die Signalstärke zu verbessern. Hinweis Wenn Sie weitere drahtlose Zugriffspunkte aufstellen, müssen Sie vielleicht die Kanalnummern benachbarter drahtloser Zugriffspunkte ändern. Kaufen Sie Antennen, die besser zu den Verhältnissen passen, die im Gebäude herrschen. Sie können zum Beispiel die Interferenzen zwischen drahtlosen Zugriffspunkten verringern, die auf verschiedenen Etagen stehen, indem Sie Antennen mit einer flachen Ausstrahlungscharakteristik beschaffen (der Sendebereich hat dann zum Beispiel nicht mehr die Form einer Kugel, sondern eines Donuts). Dadurch schwächt sich die Ausstrahlung in vertikaler Richtung ab. 320 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Überprüfen Sie den Sendebereich Führen Sie eine weitere Standortüberprüfung durch und achten Sie darauf, ob sich die geänderte Konfiguration oder die Umstellung der drahtlosen Zugriffspunkte in der gewünschten Weise auf die Signalstärke auswirkt. Es sollte also keine Bereiche mit zu schwachen Sendesignalen mehr geben. Aktualisieren Sie Ihre Pläne Aktualisieren Sie die Gebäude- und Etagenpläne, damit die richtige Anzahl der drahtlosen Zugriffspunkte und die richtigen Aufstellungsorte erkennbar sind. Zeichnen Sie für jeden Zugriffspunkt den Sendebereich ein und die Abstände, an denen sich die Übertragungsraten ändern. Konfigurieren des Sicherheitssystems, der RADIUS-Server und von TCP/IP Konfigurieren Sie Ihre drahtlosen Zugriffspunkte mit folgenden Werten: Einen Namen für das Drahtlosnetzwerk und ein sicheres Administratorkennwort Eine statische IPv4-Adresse, eine Subnetzmaske und ein Standardgateway für das Drahtlossubnetz, zu dem der Zugriffspunkt gehört WPA2 oder WPA mit 802.1X-Authentifizierung (WPA2-Enterprise oder WPA-Enterprise) Führen Sie folgende RADIUS-Einstellungen durch: Die IP-Adresse oder den Namen eines primären RADIUS-Servers, das gemeinsame geheime RADIUS-Kennwort, die UDP-Ports für die Authentifizierung und Kontoführung, sowie die Einstellungen für die Fehlererkennung Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, das gemeinsame geheime RADIUS-Kennwort, die UDP-Ports für die Authentifizierung und Kontoführung, sowie die Einstellungen für die Fehlererkennung Um den RADIUS-Datenverkehr gleichmäßig zwischen den beiden NPS-Servern aufzuteilen, konfigurieren Sie die Hälfte der drahtlosen Zugriffspunkte mit dem primären NPS-Server als primären RADIUS-Server und mit dem sekundären NPS-Server als sekundären RADIUS-Server. Dann konfigurieren Sie die andere Hälfte der drahtlosen Zugriffspunkte mit dem sekundären NPS-Server als primären RADIUS-Server und dem primären NPS-Server als sekundären RADIUS-Server. Falls die drahtlosen Zugriffspunkte herstellerspezifische Attribute (Vendor-Specific Attributes, VSAs) oder zusätzliche RADIUS-Attribute erfordern, müssen Sie die herstellerspezifischen Attribute oder RADIUS-Attribute zu den Drahtlosnetzwerkrichtlinien der NPS-Server hinzufügen. Wenn Sie die herstellerspezifischen Attribute oder RADIUS-Attribute zu den Drahtlosnetzwerkrichtlinien des primären NPS-Servers hinzugefügt haben, können Sie die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server übertragen. Konfigurieren von Drahtlosclients Die Clients eines drahtlosen Netzwerks können Sie auf folgende drei Arten konfigurieren: Mit Gruppenrichtlinien Durch die Konfiguration und Bereitstellung von XML-Drahtlosprofilen Manuell Bereitstellen von geschütztem Drahtloszugriff 321 Konfigurieren von Drahtlosclients durch Gruppenrichtlinien Zur Einstellung der Gruppenrichtlinien für drahtlose Netzwerke nach IEEE 802.11 gehen Sie folgendermaßen vor: 1. Öffnen Sie auf einem Computer, auf dem Windows Server 2008 ausgeführt wird und der Mitglied Ihrer Active Directory-Domäne ist, das Snap-In Gruppenrichtlinienverwaltung. 2. Erweitern Sie in der Strukturansicht den Knoten Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann auf den Namen der Domäne, zu der Ihre Drahtlosclients gehören. 3. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy) und klicken Sie dann auf Bearbeiten. 4. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten des Gruppenrichtlinienobjekts, dann Computerkonfiguration, dann Richtlinien, dann WindowsEinstellungen, anschließend Sicherheitseinstellungen und schließlich Drahtlosnetzwerkrichtlinien (IEEE 802.11). 5. Klicken Sie Drahtlosnetzwerkrichtlinien (IEEE 802.11) mit der rechten Maustaste an und klicken Sie dann entweder auf Eine neue Windows Vista-Richtlinie erstellen oder auf Eine neue Windows XP-Richtlinie erstellen. Bei einer neuen Windows Vista-Drahtlosrichtlinie fahren Sie folgendermaßen fort: 1. Geben Sie auf der Registerkarte Allgemein des Eigenschaftendialogfelds der neu erstellten Windows Vista-Drahtlosnetzwerkrichtlinie einen Namen und eine Beschreibung für die Richtlinie ein. 2. Fügen Sie auf der Registerkarte Netzwerkberechtigungen nach Bedarf die Namen der zugelassenen und der abgelehnten Netzwerke hinzu. 3. Klicken Sie auf der Registerkarte Allgemein auf Hinzufügen, um ein Drahtlosnetzwerkprofil hinzuzufügen, und klicken Sie dann auf Infrastruktur, um ein Infrastruktur-Drahtlosnetzwerk anzugeben. 4. Geben Sie auf der Registerkarte Verbindung den Namen (die SSID) des Drahtlosnetzwerks und optional eine Beschreibung ein. Nehmen Sie dann nach Bedarf die Verbindungseinstellungen vor. 5. Legen Sie auf der Registerkarte Sicherheit die Authentifizierungs- und Verschlüsselungsmethoden fest. Für WPA2 wählen Sie in der Liste Authentifizierung den Eintrag WPA2-Enterprise und in der Liste Verschlüsselung den Eintrag AES. Für WPA wählen Sie in der Liste Authentifizierung den Eintrag WPA-Enterprise und als Verschlüsselung entweder TKIP oder AES. Wählen Sie aber nur dann AES, wenn Ihre Drahtlosclients und Ihre drahtlosen Zugriffspunkte WPA mit AES-Verschlüsselung unterstützen. 6. Wählen Sie in der Dropdownliste Netzwerkauthentifizierungsmethode auswählen den EAP-Typ aus. Für EAP-TLS: a. Wählen Sie Smartcard- oder anderes Zertifikat und klicken Sie dann auf Eigenschaften. b. Nehmen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften nach Bedarf die EAP-TLS-Einstellungen vor und klicken Sie dann auf OK. Standardmäßig verwendet EAP-TLS ein Zertifikat auf Registrierungsbasis und überprüft das Serverzertifikat. Für PEAP-MS-CHAP v2 ist keine zusätzliche Konfiguration erforderlich. PEAP-MS-CHAP v2 ist die Standardauthentifizierungsmethode. 322 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Legen Sie nach Bedarf den Authentifizierungsmodus und die anderen Einstellungen fest. 7. Um die erweiterten Einstellungen für 802.1X vorzunehmen, einschließlich der einmaligen Anmeldung (Single Sign-On) und der Einstellungen für den schnellen Wechsel der Zugriffspunkte (Fast Roaming), klicken Sie auf Erweitert und nehmen die gewünschten Einstellungen vor. Klicken Sie auf OK, wenn Sie fertig sind. 8. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um die Änderungen zu speichern. Für eine neue Windows XP-Drahtlosrichtlinie gehen Sie folgendermaßen vor: 1. Nehmen Sie im Eigenschaftendialogfeld der neu erstellten Windows XP-Drahtlosnetzwerkrichtlinie auf der Registerkarte Allgemein die erforderlichen Einstellungen vor. 2. Klicken Sie auf der Registerkarte Bevorzugte Netzwerke auf Hinzufügen, um ein bevorzugtes Netzwerk hinzuzufügen, und klicken Sie dann auf Infrastruktur, um ein Infrastruktur-Drahtlosnetzwerk anzugeben. 3. Geben Sie auf der Registerkarte Netzwerkeigenschaften den Namen (die SSID) des Drahtlosnetzwerks und optional eine Beschreibung ein. Legen Sie fest, ob das Netzwerk Broadcasts sendet, und legen Sie dann die Sicherheitsmethoden fest. Für WPA2 wählen Sie in der Dropdownliste Authentifizierung den Eintrag WPA2 und in der Dropdownliste Verschlüsselung den Eintrag AES. Für WPA wählen Sie in der Dropdownliste Authentifizierung den Eintrag WPA und in der Dropdownliste Verschlüsselung den Eintrag TKIP. Wählen Sie aber nur dann AES, wenn Ihre Drahtlosclients und Ihre drahtlosen Zugriffspunkte WPA mit AES-Verschlüsselung unterstützen. 4. Geben Sie auf der Registerkarte IEEE 802.1X den EAP-Typ an. Für EAP-TLS: a. Wählen Sie in der Dropdownliste EAP-Typ den Eintrag Smartcard- oder anderes Zertifikat und klicken Sie dann auf Einstellungen. b. Nehmen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften nach Bedarf die EAP-TLS-Einstellungen vor und klicken Sie dann auf OK. Standardmäßig verwendet EAP-TLS ein Zertifikat auf Registrierungsbasis und überprüft das Serverzertifikat. Für PEAP-MS-CHAP v2 ist keine zusätzliche Konfiguration erforderlich. PEAP-MS-CHAP v2 ist die Standardauthentifizierungsmethode. 5. Geben Sie auf der Registerkarte IEEE 802.1X auch den Authentifizierungsmodus an und nehmen Sie nach Bedarf weitere Einstellungen vor. 6. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um die Änderungen zu speichern. Hinweis Wenn Sie in den Dialogfeldern der Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung Hilfe brauchen, drücken Sie auf die Taste F1 . Wenn Ihre Drahtlosclients mit Windows Server 2008, Windows Vista, Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 das nächste Mal die Computerkonfigurations-Gruppenrichtlinien aktualisieren, werden die Drahtlosnetzwerkeinstellungen aus dem Gruppenrichtlinienobjekt automatisch angewendet. Bereitstellen von geschütztem Drahtloszugriff 323 Konfigurieren und Bereitstellen von Drahtlosprofilen Sie können Drahtlosclients, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, auch für ein Drahtlosnetzwerk konfigurieren, indem Sie mit dem Befehl netsh wlan add profile ein Drahtlosprofil importieren, das im XML-Format vorliegt. Um die XML-Datei mit dem Drahtlosprofil zu erstellen, konfigurieren Sie einen Client, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, mit allen für ein Drahtlosnetzwerk erforderlichen Einstellungen, einschließlich Authentifizierungsmethode, Verschlüsselungsmethoden und EAP-Typ. Dann exportieren Sie diese Konfiguration mit dem Befehl netsh wlan export profile in eine XML-Datei. Sie können ein XML-Profil auch in einer Windows Vista-Drahtlosrichtlinie erstellen, konfigurieren und exportieren. Manuelles Konfigurieren von Drahtlosclients Wenn Sie nur eine kleine Anzahl von Drahtlosclients einrichten müssen, können Sie die Verbindungen auf jedem Computer manuell konfigurieren. Auf Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, verwenden Sie den Assistenten für drahtlose Netzwerke oder den Assistenten für Netzwerkverbindungen. Auf Drahtlosclients, auf denen Windows XP mit SP2 ausgeführt wird, verwenden Sie den Assistenten für neue Verbindungen. Die folgenden Abschnitte beschreiben, wie Sie die Authentifizierungsmethoden EAP-TLS, PEAP-TLS und PEAP-MS-CHAP v2 auf drahtlosen Windows-Clients konfigurieren können. EAP-TLS Um manuell eine EAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor: 1. Klicken Sie im Netzwerk- und Freigabecenter auf die Aufgabe Drahtlosnetzwerke verwalten. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit einem Doppelklick auf den Namen Ihres Drahtlosnetzwerks. 2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. Wählen Sie in der Dropdownliste Wählen Sie eine Methode für die Netzwerkauthentifizierung aus den Eintrag Smartcard- oder anderes Zertifikat und klicken Sie dann auf Einstellungen. 3. Um ein Benutzerzertifikat zu verwenden, das in die Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Für ein Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden. Wenn Sie das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Um manuell eine EAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, gehen Sie folgendermaßen vor: 1. Öffnen Sie im Ordner Netzwerkverbindungen das Eigenschaftendialogfeld der Drahtlosverbindung. Klicken Sie auf der Registerkarte Drahtlosnetzwerke in der Liste Bevorzugte Netzwerke auf den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften. 324 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den EAP-Typ Smartcard- oder anderes Zertifikat. Das ist die Standardeinstellung. 3. Klicken Sie auf Eigenschaften. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Falls Sie ein Benutzerzertifikat verwenden, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden. Wenn Sie das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Falls Sie die Namen der Authentifizierungsserver angeben möchten, die die TLS-Authentifizierung durchführen sollen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. 4. Klicken Sie auf OK, um die Änderungen am EAP-Typ Smartcard- oder anderes Zertifikat zu speichern. PEAP-TLS Um manuell eine PEAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor: 1. Klicken Sie im Netzwerk- und Freigabecenter auf die Aufgabe Drahtlosnetzwerke verwalten. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit einem Doppelklick auf den Namen Ihres Drahtlosnetzwerks. 2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. In Wählen Sie eine Methode für die Netzwerkauthentifizierung aus wählen Sie Geschütztes EAP (PEAP) und klicken dann auf Einstellungen. 3. Wenn Sie das Computerzertifikat des NPS-Servers für die PEAP-Authentifizierung überprüfen möchten, wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPSServer angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben die Namen ein. 4. Klicken Sie in der Dropdownliste Authentifizierungsmethode auswählen auf Smartcard- oder anderes Zertifikat. Klicken Sie auf Konfigurieren. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Für ein Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden. Wenn Sie bei der Benutzerauthentifizierung das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. 5. Klicken Sie auf OK, um die Änderungen am PEAP-Typ Smartcard- oder anderes Zertifikat zu speichern. Klicken Sie auf OK, um die Änderungen am Typ Geschütztes EAP zu speichern. Klicken Sie auf OK, um die Eigenschaften der Drahtlosnetzwerkkonfiguration zu speichern. 6. Schließen Sie alle drei geöffneten Dialogfelder jeweils mit einem Klick auf OK. Bereitstellen von geschütztem Drahtloszugriff 325 Um manuell eine PEAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, gehen Sie folgendermaßen vor: 1. Öffnen Sie im Ordner Netzwerkverbindungen das Eigenschaftendialogfeld der Drahtlosverbindung. Klicken Sie auf der Registerkarte Drahtlosnetzwerke in der Liste Bevorzugte Netzwerke auf den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften. Das Eigenschaftendialogfeld des eingetragenen Drahtlosnetzwerks öffnet sich. 2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den EAP-Typ Geschütztes EAP (PEAP). 3. Klicken Sie auf Eigenschaften. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen, um bei der PEAP-Authentifizierung das Computerzertifikat des NPS-Servers zu überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der Server angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. Klicken Sie in der Dropdownliste Authentifizierungsmethode auswählen auf Smartcard- oder anderes Zertifikat. 4. Klicken Sie auf Konfigurieren. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Verwenden Sie dagegen ein Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden. Wenn Sie bei der Benutzerauthentifizierung das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. 5. Klicken Sie auf OK, um die Änderungen am PEAP-Typ Smartcard- oder anderes Zertifikat zu speichern. Klicken Sie auf OK, um die Änderungen am Typ Geschütztes EAP zu speichern. Klicken Sie auf OK, um die Eigenschaften der Drahtlosnetzwerkkonfiguration zu speichern. 6. Schließen Sie alle geöffneten Dialogfelder jeweils mit einem Klick auf OK. PEAP-MS-CHAP v2 Um manuell eine PEAP-MS-CHAP v2-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor: 1. Klicken Sie im Netzwerk- und Freigabecenter auf die Aufgabe Drahtlosnetzwerke verwalten. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit einem Doppelklick auf den Namen Ihres Drahtlosnetzwerks. 2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. Wählen Sie in der Dropdownliste Wählen Sie eine Methode für die Netzwerkauthentifizierung aus den Eintrag Geschütztes EAP (PEAP) und klicken Sie dann auf Einstellungen. 3. Wenn Sie das Computerzertifikat des NPS-Servers für die PEAP-Authentifizierung überprüfen möchten, wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPSServer angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben die Namen ein. 326 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 4. Wählen Sie in Authentifizierungsmethode auswählen den Eintrag Gesichertes Kennwort (EAPMS-CHAP v2) und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Um manuell eine PEAP-MS-CHAP v2-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, gehen Sie folgendermaßen vor: 1. Öffnen Sie im Ordner Netzwerkverbindungen das Eigenschaftendialogfeld der Drahtlosverbindung. Klicken Sie auf der Registerkarte Drahtlosnetzwerke in der Liste Bevorzugte Netzwerke auf den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften. Das Eigenschaftendialogfeld des eingetragenen Drahtlosnetzwerks öffnet sich. 2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den PEAP-Typ Geschütztes EAP (PEAP). 3. Klicken Sie auf Eigenschaften. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das (standardmäßig aktivierte) Kontrollkästchen Serverzertifikat überprüfen, damit das Computerzertifikat des NPS-Servers überprüft wird. Wenn Sie die Namen der Authentifizierungsserver angeben möchten, die die Authentifizierung durchführen sollen, wählen Sie Verbindung mit diesen Servern herstellen und geben die Namen ein. Klicken Sie unter Authentifizierungsmethode wählen auf Gesichertes Kennwort (EAP-MSCHAP v2) und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK. Wartung Für Drahtlosnetzwerke fallen in folgenden Bereichen Wartungsarbeiten an: Verwalten von Benutzer- und Computerkonten Verwalten von drahtlosen Zugriffspunkten Aktualisieren von Drahtlosprofilen Verwalten der Benutzer- und Computerkonten Wenn in Active Directory ein neues Benutzer- oder Computerkonto eingerichtet wird und diesem Benutzer- oder Computerkonto der Drahtloszugriff erlaubt werden soll, fügen Sie das neue Konto zur entsprechenden, für Drahtlosverbindungen vorgesehenen Gruppe hinzu. Fügen Sie das neue Konto zum Beispiel zur Sicherheitsgruppe DrahtlosKonten hinzu, die Sie zu diesem Zweck definiert und in den Netzwerkrichtlinien für Drahtlosverbindungen angegeben haben. Wenn Benutzer- oder Computerkonten in Active Directory gelöscht werden, sind keine weiteren Maßnahmen mehr erforderlich, um zu verhindern, dass mit diesen Konten Drahtlosverbindungen hergestellt werden können. Bei Bedarf können Sie zusätzliche universelle Gruppen und Netzwerkrichtlinien erstellen, um Drahtloszugriffe für unterschiedliche Benutzergruppen einzurichten. Sie können zum Beispiel eine globale Gruppe AuftragnehmerMitDrahtloszugriff einrichten, die den Mitgliedern der Gruppe AuftragnehmerMitDrahtloszugriff nur während der üblichen Bürozeiten oder für spezielle Intranetressourcen den drahtlosen Zugriff ermöglicht. Problembehandlung 327 Verwalten der drahtlosen Zugriffspunkte Nach ihrer Bereitstellung erfordern drahtlose Zugriffspunkte kaum Wartungsarbeiten. Der größte Teil der Änderungen an der Konfiguration von drahtlosen Zugriffspunkten ist eine Folge von Kapazitätsanpassungen oder Änderungen in der Infrastruktur des Netzwerks. Hinzufügen eines drahtlosen Zugriffspunkts Um einen drahtlosen Zugriffspunkt zum Netzwerk hinzuzufügen, gehen Sie folgendermaßen vor: 1. Befolgen Sie die in diesem Kapitel unter »Bereitstellen drahtloser Zugriffspunkte« beschriebenen Planungs- und Bereitstellungsschritte, um einen neuen drahtlosen Zugriffspunkt zu Ihrem Drahtlosnetzwerk hinzuzufügen. 2. Fügen Sie den drahtlosen Zugriffspunkt als einen RADIUS-Client zu Ihren NPS-Servern hinzu. Entfernen eines drahtlosen Zugriffspunkts Wenn Sie einen drahtlosen Zugriffspunkt entfernen, entfernen Sie den drahtlosen Zugriffspunkt auch als RADIUS-Client aus der Konfiguration Ihres NPS-Servers. Konfiguration von Änderungen in NPS-Servern Wenn sich bei den NPS-Servern Änderungen ergeben, weil zum Beispiel ein NPS-Server aus dem Intranet entfernt oder zum Intranet hinzugefügt wird, tun Sie Folgendes: 1. Sorgen Sie dafür, dass die drahtlosen Zugriffspunkte auf neuen NPS-Servern als RADIUS-Clients eingetragen sind und dass die entsprechenden Netzwerkrichtlinien für den Drahtloszugriff eingestellt sind. 2. Aktualisieren Sie bei Bedarf die Konfiguration der drahtlosen Zugriffspunkte, damit die neue Serverkonfiguration entsprechend berücksichtigt wird. Aktualisieren von XML-Drahtlosprofilen Zur Aktualisierung von XML-Drahtlosprofilen und zur Anwendung der aktualisierten Profile auf Ihre Windows Vista- oder Windows Server 2008-Drahtlosclients gehen Sie folgendermaßen vor: 1. Wenn Sie einen Windows Vista- oder Windows Server 2008-Drahtlosclient verwenden oder eine Windows Vista-Drahtlosrichtlinie erstellt haben, erstellen Sie im GruppenrichtlinienverwaltungsEditor oder mit dem Befehl netsh wlan export profile das aktualisierte XML-Drahtlosprofil. 2. Führen Sie auf Ihren Drahtlosclients in einem Skript den Befehl netsh wlan add profile aus, um das XML-Drahtlosprofil auf Ihren Drahtlosclients zu importieren, oder importieren Sie es mit einer anderen Methode. Problembehandlung Wegen der Vielzahl an Komponenten und Vorgängen kann die Behebung von Problemen mit drahtlosen Verbindungen schwierig werden. Dieser Abschnitt beschreibt folgende Aspekte: Die Tools, die Windows Server 2008 und Windows Vista zur Behebung von Problemen mit drahtlosen Verbindungen bereitstellen Die Behebung von Verbindungsproblemen auf Drahtlosclients Die Behebung von Verbindungsproblemen auf drahtlosen Zugriffspunkten Die Behebung von Problemen mit Drahtlosverbindungen auf NPS-Servern 328 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Direkt von der Quelle: Tipps zur Behebung von Problemen mit drahtlosen Verbindungen Einer der schwierigsten Aspekte bei der Behebung von Problemen in drahtlosen Netzwerken ist es, den richtigen Anfang zu finden. Gewöhnlich zeigen sich die Symptome zwar auf dem Client, aber er ist nur ein Teil in einer Kette von Geräten und Technologien, die versagen können. Wenn ein Drahtlosclient das gewünschte Drahtlosnetzwerk nicht sieht oder keine Verbindung (association oder Zuordnung) mit einem drahtlosen Zugriffspunkt herstellen kann, liegt das Problem irgendwo zwischen Client und Zugriffspunkt. Die meisten dieser Probleme lassen sich durch eine Aktualisierung der Treiber oder Firmware des Drahtlosnetzwerkadapters und des Zugriffspunkts lösen. Die Installation der aktuellsten Treiber und Firmware ist also der unvermeidliche erste Schritt zur Problembehebung. Schlägt die Authentifizierung fehl, liegt dies normalerweise nicht an Hardwareproblemen. Überprüfen Sie zuerst die Systemereignisprotokolle auf der Clientseite. Windows XP und Windows Server 2003 führen zwar keine Protokolle, die speziell für die Diagnose von Problemen vorgesehen sind, aber Windows Server 2008 und Windows Vista zeichnen einige recht nützliche Daten auf, die Ihnen Hinweise auf Konfigurationsprobleme geben können, beispielsweise auf ein fehlendes Zertifikat. Nach der Überprüfung dieser Protokolle sollten Sie auf dem NPS-Server das Protokoll WindowsProtokolle\Sicherheit überprüfen. Wenn eine Authentifizierung fehlgeschlagen ist, wird es einen NPS-Ereigniseintrag mit dem Schlüsselwort Überwachungsfehler (Audit Failure) geben. Wenn Sie aber keine Protokolleinträge vorfinden, die im Zusammenhang mit einer versuchten Authentifizierung im Drahtlosnetzwerk stehen, ist dies ein deutlicher Hinweis darauf, dass der NPS-Server keine Authentifizierungsanfrage erhalten hat oder dass der Vorgang die vorgesehenen Zeitgrenzen überschritten hat. Sehen Sie sich den drahtlosen Zugriffspunkt genau an und überprüfen Sie, ob seine RADIUS-Einstellungen zum NPS-Server passen. Clay Seymour, Support Escalation Engineer Enterprise Platform Support Problembehandlungstools von Windows für Drahtlosnetzwerke Microsoft bietet folgende Programme zur Unterstützung der Problembehandlung bei drahtlosen Netzwerken an: TCP/IP-Problembehandlungstools Den Ordner Netzwerkverbindungen Netsh wlan-Befehle Netzwerkdiagnoseframework-Unterstützung für Drahtlosverbindungen Drahtlos-Diagnose-Ablaufverfolgung NPS-Authentifizierungs- und -Kontoführungsprotokolle NPS-Ereignisprotokollierung SChannel-Protokollierung SNMP-Agent Zuverlässigkeits- und Leistungsüberwachungs-Snap-In Network Monitor 3.1 Problembehandlung 329 TCP/IP-Problembehandlungstools Die Programme Ping, Tracert und Pathping verwenden die ICMP-Nachrichten Echo und Echo Reply sowie die ICMPv6-Nachrichten Echo Request und Echo Reply, um Verbindungen zu überprüfen, den Pfad zu einem Ziel anzuzeigen und die Pfadintegrität zu überprüfen (ICMP bedeutet Internet Control Message Protocol). Mit dem Programm Route lassen sich die IPv4- und IPv6-Routingtabellen anzeigen. Das Programm Nslookup kann bei der Behebung von Problemen mit der DNS-Namensauflösung (Domain Name System) verwendet werden. Der Ordner Netzwerkverbindungen Im Ordner Netzwerkverbindungen können Sie das Eigenschaftendialogfeld einer drahtlosen Verbindung öffnen und ihren Status überprüfen, beispielsweise ihre TCP/IP-Konfiguration. Wurde dem Drahtlosnetzwerkadapter eine APIPA-Adresse (Automatic Private IP Addressing) im Bereich 169.254.0.0/16 oder die konfigurierte alternative Konfiguration zugewiesen, verfügt der Drahtlosclient zwar immer noch über eine Verbindung (eine Zuordnung oder Assoziation) mit dem drahtlosen Zugriffspunkt, aber entweder ist die Authentifizierung fehlgeschlagen oder der DHCP-Server ist nicht verfügbar. Schlägt die Authentifizierung fehl und ist die Zuordnung noch gültig, dann ist der drahtlose Zugriffspunkt aktiviert und TCP/IP führt die normale Konfigurierung durch. Ist kein DHCPServer verfügbar (authentifiziert oder nicht), weist Windows Vista automatisch eine APIPA-Adresse zu, sofern keine alternative Adresse eingestellt wurde. Direkt von der Quelle: APIPA in Windows Vista Vielleicht ist Ihnen schon aufgefallen, dass drahtlose Windows Vista-Clients schneller oder häufiger eine automatische APIPA-Adresse zuweisen als ältere Windows-Versionen. Ein Computer, auf dem Windows Vista ausgeführt wird, wartet nur sechs Sekunden auf die Antwort eines DHCPServers, bevor er eine APIPA-Adresse verwendet, und versucht dann weiterhin, Kontakt zu einem DHCP-Server aufzunehmen. Im Gegensatz dazu wartet ein Windows-XP-Computer eine volle Minute, bevor er auf eine APIPA-Adresse zurückgreift. Diese Verhaltensänderung wurde absichtlich eingeführt und soll Ad-hoc-Verbindungen erleichtern, bei denen gewöhnlich keine DHCPServer verfügbar sind. Tim Quinn, Support Escalation Engineer Enterprise Platform Support Netsh Wlan-Befehle Um Informationen zur Behebung von Problemen mit Drahtlosverbindungen zu sammeln, können Sie folgende netsh wlan-Befehle eingeben: netsh wlan show autoconfig Zeigt an, ob die automatische Konfigurationslogik aktiviert wurde netsh wlan show blockednetworks Zeigt an, ob in der Liste der verfügbaren Netzwerke auch blockierte Netzwerke sichtbar sind netsh wlan show createalluserprofile Zeigt an, ob jeder ein Profil für alle Benutzer erstellen darf netsh wlan show drivers Zeigt die Eigenschaften der Treiber der installierten Drahtlosnetzwerkadapter an netsh wlan show filters Zeigt die Listen mit den zugelassenen und abgelehnten (blockierten) Netzwerken an 330 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 netsh wlan show interfaces Zeigt die Eigenschaften der installierten Drahtlosnetzwerkadapter an netsh wlan show networks Zeigt eine Liste mit den Eigenschaften der verfügbaren Drahtlosnetzwerken an netsh wlan show profiles Zeigt eine Liste der Gruppenrichtlinien und lokalen Drahtlosnetzwerkprofilen an netsh wlan show settings Zeigt die globalen Drahtlosnetzwerkeinstellungen, beispielsweise den Status der automatischen WLAN-Konfiguration, und ob jeder Benutzer ein Profil für alle Benutzer erstellen darf netsh wlan show tracing Zeigt den Status der Drahtlosablaufverfolgung und den Speicherort der Ablaufverfolgungsprotokolle (standardmäßig %SystemRoot%\Tracing\Wireless) netsh wlan show all Zeigt alle verfügbaren Informationen über Drahtlosnetzwerkadapter und über die verfügbaren Drahtlosnetzwerke Netzwerkdiagnoseframework-Unterstützung für Drahtlosverbindungen Um dem Benutzer den Umgang mit Verbindungsproblemen zu erleichtern, enthält Windows Vista ein Netzwerkdiagnoseframework (NDF). Es setzt sich aus verschiedenen Technologien, Richtlinien und Hilfsklassen zusammen, die den Benutzer bei der Diagnose unterstützen und eine automatische Korrektur des Problems durchführen, sofern dies möglich ist. Wenn ein Benutzer unter Windows Vista Probleme mit Netzwerkverbindungen hat, bietet das Netzwerkdiagnoseframework ihm die Möglichkeit, das Problem im aktuellen Kontext zu diagnostizieren und zu reparieren. Das bedeutet, dass die Diagnose- und Lösungsanweisungen dem Benutzer in der Anwendung oder in dem Dialogfeld angezeigt werden, in dem das Problem aufgetreten ist, oder im Zusammenhang mit der fehlgeschlagenen Netzwerkoperation. Windows Vista enthält auch eine Hilfsklasse für die Untersuchung von fehlgeschlagenen Verbindungsversuchen in Drahtlosnetzwerken. Wenn eine Drahtlosverbindung fehlschlägt, zeigt Windows ein Dialogfeld mit Informationen über den Fehler an. Das Dialogfeld weist auch eine DiagnoseSchaltfläche auf, mit der das NDF-Problembehandlungstool für Drahtlosnetzwerke gestartet wird. In der Diagnosesitzung kann der Benutzer bestimmte Verbindungsprobleme beheben, ohne die IT-Abteilung zu bemühen. Das NDF-Problembehandlungstool kann dem Benutzer bei vielen Problemen behilflich sein, die sich in Drahtlosnetzwerken ergeben können, wie zum Beispiel: Das Funksignal des Netzwerkadapters wurde abgeschaltet. Der drahtlose Zugriffspunkt wird nicht mit Strom versorgt. Eine fehlende oder abweichende Einstellung der Sicherheitsoptionen, Verschlüsselungstypen oder Netzwerkschlüssel zwischen dem drahtlosen Zugriffspunkt und den Drahtlosclients Kabelverbindungen wurden getrennt. Zertifikate fehlen. Windows protokolliert alle Verbindungsversuche, die im Drahtlosnetzwerk stattfinden, im Systemereignisprotokoll. Wenn die Windows-Netzwerkdiagnose ausgeführt wird, bewirkt sie im Systemereignisprotokoll zusätzliche Einträge mit folgenden Informationen: Der Name des Drahtlosnetzwerkadapters und die Eignung des Treibers für Windows Vista Eine Liste der sichtbaren Drahtlosnetzwerke mit Signalstärken, Kanälen, Protokollen (wie 802.11b oder 802.11g) und Betriebsmodi (Ad-hoc oder Infrastruktur) Die Liste der bevorzugten Netzwerke und die Konfiguration jedes Netzwerks Problembehandlung 331 Die Diagnoseergebnisse, beispielsweise »Die Drahtlosverbindung auf diesem Computer scheint ordnungsgemäß zu funktionieren«, »Möglicherweise funktioniert die Internetverbindung auf dem Drahtlosrouter oder dem Zugriffspunkt nicht ordnungsgemäß« oder »Dieser Computer hat eine niedrige Signalstärke von ContosoWLAN«. Die Reparaturoption, die dem Benutzer angezeigt wurde, wie zum Beispiel »Bewegen Sie den Computer an eine andere Position, um mögliche Störquellen auszuschalten. Versuchen Sie dann erneut, eine Verbindung mit ContosoWLAN herzustellen«. Die Reparaturoptionen, die der Benutzer gewählt hat, und das Ergebnis des Reparaturversuchs. Sie können diese Ereignisprotokolleinträge im Ereignisanzeige-Snap-In überprüfen, um sich ein genaueres Bild von der Netzwerkumgebung zu dem Zeitpunkt zu machen, an dem das Problem auftrat, ohne diese Situation wieder herbeiführen zu müssen. Außerdem sind Sie nicht mehr so stark darauf angewiesen, aus den Beschreibungen der Benutzer die richtigen Schlüsse zu ziehen. Um zusätzliche Informationen über den Ablauf der Verbindungsversuche und anderer Netzwerkvorgänge übersichtlicher präsentieren zu können, erstellt Windows ein separates Diagnoseprotokoll. So greifen Sie auf das Diagnoseprotoll zu 1. Erweitern Sie in der Strukturansicht des Ereignisanzeige-Snap-Ins den Knoten Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking. 2. Klicken Sie auf Operational. 3. Überprüfen Sie im Detailbereich die Ereigniseinträge für die Drahtlosdiagnosesitzung. Drahtlos-Diagnose-Ablaufverfolgung Von Zeit zu Zeit müssen Sie sich mit einem Drahtlosnetzwerkproblem vielleicht an Microsoft oder an Supportspezialisten aus Ihrem Haus wenden. Für eine genaue Analyse brauchen Microsoft oder Ihre Supportspezialisten ausführliche Informationen über den Zustand des Computers und der Drahtloskomponenten von Windows, sowie über ihre Interaktionen beim Auftreten des Problems. Diese Informationen erhalten Sie unter Windows Vista von der Drahtlos-Diagnose-Ablaufverfolgung. Um die Drahtlos-Diagnose-Ablaufverfolgung zu verwenden, müssen Sie die Ablaufverfolgung aktivieren, das Problem reproduzieren, die Ablaufverfolgung beenden und dann den Ablaufbericht speichern. Die Drahtlos-Diagnose-Ablaufverfolgung können Sie auf eine der folgenden Weisen starten: Geben Sie in einer Eingabeaufforderung den Befehl netsh wlan set tracing mode=yes. Erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung den Knoten Sammlungssätze\System. Klicken Sie mit der rechten Maustaste auf Wireless Diagnostics (Drahtlos-Diagnose) und klicken dann auf Starten. Nachdem Sie das Problem reproduziert haben, können Sie die Drahtlos-Diagnose-Ablaufverfolgung auf eine der folgenden Weisen beenden: Geben Sie in einer Eingabeaufforderung den Befehl netsh wlan set tracing mode=no ein. Erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung den Knoten Sammlungssätze\System. Klicken Sie mit der rechten Maustaste auf Wireless Diagnostics (Drahtlos-Diagnose) und klicken Sie dann auf Anhalten. Hinweis Es ist wichtig, dass Sie die Drahtlos-Diagnose-Ablaufverfolgung anhalten, bevor Sie die Ablaufprotokolle überprüfen oder in ein lesbares Format konvertieren. Wenn Sie den Bericht einsehen möchten, den die Drahtlos-Diagnose-Ablaufverfolgung erstellt hat, 332 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung den Knoten Berichte\System\Wireless Diagnostics. Der Bericht bietet folgende Informationen: Drahtlosnetzwerkkonfiguration einschließlich zugelassender und abgelehnter (blockierter) Drahtlosnetzwerke Die aktuelle TCP/IP-Konfiguration (einschließlich der Informationen, die der Befehl Ipconfig /all liefert) Eine Liste mit allen Verbindungsversuchen und ausführliche Informationen über jeden Schritt des Verbindungsvorgangs Eine ausführliche Liste aller Windows-Netzwerkdiagnoseereignisse Die Zertifikatkonfiguration des Drahtlosclients Drahtlosnetzwerkprofile und ihre Speicherorte Informationen über die Drahtlosnetzwerkadaptertreiber Systemdateien für Drahtlosnetzwerke und Versionsangaben Rohdaten der Netzwerkablaufverfolgung Computerfabrikat und -modell Betriebssystemversion Eine Liste aller Dienste, ihrer aktuellen Zustände und ihrer Prozesskennungen Dieser Bericht und die dazugehörigen Dateien werden standardmäßig im Ordner %SystemRoot%\ Tracing\Wireless gespeichert. Zusätzlich zur Ablaufverfolgung in drahtlosen Netzwerken unterstützen Windows Server 2008 und Windows Vista die Ablaufverfolgung für Komponenten der RAS-Verbindungsverwaltung und der Routing- und RAS-Dienste, die auch für Drahtlosverbindungen verwendet werden. Wie bei Drahtlosnetzwerken liefert eine Ablaufverfolgung für diese Komponenten Informationen, mit denen Sie komplexe Probleme mit bestimmten Komponenten beheben können. Die Informationen aus diesen zusätzlichen Ablaufverfolgungsdateien sind gewöhnlich nur für Microsoft-Supportmitarbeiter von Nutzen, von denen Sie bei der Bearbeitung eines Supportproblems vielleicht darum gebeten werden, Ablaufprotokolldateien für einen Verbindungsversuch zu erstellen. Diese zusätzliche Ablaufverfolgung können Sie mit dem Programm Netsh aktivieren. Der Befehl zur Aktivierung oder Deaktivierung der Ablaufverfolgung für eine bestimmte Komponente der RAS-Verbindungsverwaltung und der Routing- und RAS-Dienste lautet: netsh ras diagnostics set rastracing Komponente enabled|disabled Darin ist Komponente eine Komponente aus der Liste, die in der Registrierung unter HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Tracing zu finden ist. Der Befehl für die Aktivierung der Ablaufverfolgung für alle Komponenten lautet: netsh ras diagnostics set rastracing * enabled Mit folgendem Befehl lässt sich die Ablaufverfolgung für alle Komponenten deaktivieren: netsh ras diagnostics set rastracing * disabled Die Ablaufprotokolldateien werden im Ordner %SystemRoot%\Tracing gespeichert. Für die Drahtlosauthentifizierung sind folgende Protokolldateien am interessantesten: Svchost_rastls.log TLS-Authentifizierungsaktivitäten Svchost_raschap.log MS-CHAP v2-Authentifizierungsaktivitäten Problembehandlung 333 NPS-Authentifizierungs- und -Kontoführungsprotokolle Standardmäßig unterstützt NPS die Protokollierung von Authentifizierungs- und Kontoführungsdaten für Drahtlosverbindungen in lokalen Protokolldateien. Diese Protokollierung erfolgt getrennt von den Ereignissen, die unter Windows-Protokolle/Sicherheit aufgezeichnet werden. Sie können die Informationen aus den Protokollen verwenden, um die Benutzung des Drahtlosnetzwerks und die Authentifizierungsversuche zu überwachen. Eine Authentifizierungs- und Kontoführungsprotokollierung ist besonders zur Behebung von Problemen nützlich, die sich durch Netzwerkrichtlinien ergeben können. Für jeden Authentifizierungsversuch wird der Name der Netzwerkrichtlinie aufgezeichnet, die den Verbindungsversuch zugelassen oder abgelehnt hat. Die Einstellungen für die Authentifizierungs- und Kontoführungsprotokollierung können Sie im Knoten Kontoführung des Snap-Ins Netzwerkrichtlinienserver vornehmen. Die Authentifizierungs- und Kontoführungsdaten werden in einer oder mehreren konfigurierbaren Protokolldateien im Ordner %SystemRoot%\System32\LogFiles gespeichert. Die Protokolldateien werden im IAS-Format (Internet Authentication Service) oder in einem datenbankkompatiblen Format gespeichert. Das bedeutet, dass ein Datenbankprogramm die Protokolldateien direkt zur Analyse einlesen kann. NPS kann die Authentifizierungs- und Kontoführungsinformationen auch an eine SQL Server-Datenbank senden. NPS-Ereignisprotokollierung Überprüfen Sie auf dem NPS-Server das Protokoll Windows-Protokolle\Sicherheit auf abgewiesene (Ereignis-ID 6273) oder zugelassene (Ereignis-ID 6272) Verbindungsversuche. NPS-Ereignisprotokolleinträge enthalten viele Informationen über den Verbindungsversuch. Darunter sind auch der Name der Verbindungsanforderungsrichtlinie, die für den Verbindungsversuch verwendet wurde (der Proxyrichtlinienname in der Beschreibung des Ereignisses), und die Netzwerkrichtlinie, die den Verbindungsversuch zugelassen oder abgelehnt hat (das Feld Netzwerkrichtlinienname in der Beschreibung des Ereignisses). Die NPS-Ereignisprotokollierung für zugelassene oder abgelehnte Verbindungsversuche ist standardmäßig aktiviert. Sie können sie im Netzwerkrichtlinienserver-Snap-In konfigurieren, und zwar auf der Registerkarte Allgemein des Eigenschaftendialogfelds des NPSServers. NPS-Ereignisse lassen sich im Ereignisanzeige-Snap-In anzeigen. Die Überprüfung der NPS-Ereigniseinträge im Protokoll Windows-Protokolle\Sicherheit ist eine der wichtigsten Methoden, um Informationen über fehlgeschlagene Authentifizierungen zu erhalten. SChannel-Protokollierung Eine SChannel-Protokollierung (Secure Channel) bedeutet die Aufzeichnung von Informationen über SChannel-Ereignisse im Systemereignisprotokoll. Standardmäßig werden nur SChannel-Fehlermeldungen aufgezeichnet. Um Informationen über Fehler, Warnungen, Informationen und Erfolgsmeldungen zu erhalten, stellen Sie den Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging auf 4 (es ist ein DWORD-Wert). Wenn die SChannel-Protokollierung alle Ereignisse aufzeichnet, ist es möglich, mehr Informationen über den Zertifikataustausch und den Überprüfungsvorgang auf dem NPS-Server zu erhalten. SNMP-Agent Sie können die SNMP-Agentensoftware (Simple Network Management Protocol) von Windows Server 2008 verwenden, um in einer SNMP-Konsole Statusinformationen über Ihre NPS-Server zu erhalten. NPS unterstützt die RADIUS Authentication Server MIB (RFC 2619, MIB bedeutet Management 334 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Information Base) und die RADIUS Accounting Server MIB (RFC 2621). Installieren Sie den optionalen SNMP-Dienst als Feature mit dem Server-Manager. Der SNMP-Dienst kann in Zusammenarbeit mit Ihrer vorhandenen Netzwerkverwaltungsinfrastruktur auf SNMP-Basis dazu verwendet werden, NPS-RADIUS-Server oder -Proxys zu überwachen. Zuverlässigkeits- und Leistungsüberwachungs-Snap-In Sie können das Zuverlässigkeits- und Leistungsüberwachungs-Snap-In verwenden, um Leistungsindikatoren zu überwachen, Protokolle zu erstellen und für bestimmte NPS-Komponenten und Programmprozesse Schwellenwerte für Warnungen festzulegen. Sie können die Diagramme und Berichte auch zur Identifizierung von potenziellen Problemen, zur Behebung von vorhandenen Problemen und zur Effizienzprüfung der NPS-Server verwenden. Mit dem Zuverlässigkeits- und Leistungsüberwachungs-Snap-In können Sie die Leistungsindikatoren von folgenden NPS-Leistungsobjekten überwachen: NPS-Kontoführungsclients NPS-Kontoführungsproxy NPS-Kontoführungsserver NPS-Authentifizierungsclients NPS-Authentifizierungsproxy NPS-Authentifizierungsserver NPS-Richtlinienmodul NPS-Remotekontoführungsserver NPS-Remoteauthentifizierungsserver Weitere Informationen Weitere Informationen über die Verwendung des Zuverlässigkeits- und Leistungsüberwachungs-Snap-Ins finden Sie im Hilfe- und Supportcenter von Windows Server 2008. Network Monitor 3.1 Sie können den Microsoft Network Monitor 3.1 (oder höher) oder einen kommerziellen Paketanalysator (solche Programme werden auch Netzwerk-Sniffer genannt) verwenden, um die Authentifizierungen und Datenübertragungen zu untersuchen, die im Netzwerk erfolgen. Der Network Monitor 3.1 bietet Parser für RADIUS, 802.1X, EAPOL und EAP. Ein Parser ist eine Komponente des Network Monitors, die die Felder eines Protokollheaders voneinander trennen sowie den Aufbau des Headers und die Werte der Felder anzeigen kann. Ohne einen geeigneten Parser zeigt der Network Monitor 3.1 die im Header enthaltenen Bytes in Hexadezimalform an. Die Interpretation dieser Bytes bleibt dann Ihnen überlassen. Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor auch über einen Link, den Sie auf der Begleit-CD dieses Buchs finden. Bei der Untersuchung der Authentifizierung von Drahtlosclients können Sie den Network Monitor 3.1 verwenden, um die Datenpakete aufzuzeichnen, die während der Authentifizierung zwischen dem Drahtlosclient und dem drahtlosen Zugriffspunkt ausgetauscht werden. Mit dem Network Monitor 3.1 können Sie die einzelnen Datenpakete untersuchen und herauszufinden versuchen, warum die Authentifizierung fehlgeschlagen ist. Der Network Monitor eignet sich auch zur Aufzeichnung der RADIUS- Problembehandlung 335 Nachrichten, die zwischen einem drahtlosen Zugriffspunkt und seinem RADIUS-Server ausgetauscht werden, und zur Überprüfung der RADIUS-Attribute jeder Nachricht. Die korrekte Interpretation der Datenpakete, die mit dem Network Monitor 3.1 aufgezeichnet werden, setzt eine gründliche Kenntnis von EAPOL, RADIUS und anderen Protokollen voraus. Die mit dem Network Monitor 3.1 aufgezeichneten Datenpakete können Sie bei Bedarf auch in Dateien speichern und zur Analyse an den Microsoft-Support senden. Beheben von Problemen mit Drahtlosclients Bei der Behebung von Problemen mit drahtlosen Netzwerkverbindungen sollten Sie zuerst überprüfen, ob sich dieselben Probleme auf mehreren oder allen Ihren Drahtlosclients zeigen. Haben alle Drahtlosclients Schwierigkeiten, könnte die Ursache in Ihrer Authentifizierungsinfrastruktur liegen. Haben nur einige der Drahtlosclients Probleme, könnte die Ursache bei einem oder mehreren drahtlosen Zugriffspunkten oder bei den einzelnen Clients liegen. Die folgenden Beschreibungen sind Beispiele für Probleme, die auf drahtlosen Windows-Clients häufiger auftreten: Das drahtlose Netzwerk ist nicht zu finden. Überprüfen Sie mit den Hilfsprogrammen des Herstellers, ob Sie sich in der Reichweite eines drahtlosen Zugriffspunkts des Netzwerks befinden. Sie können den drahtlosen Zugriffspunkt oder den Client umstellen, die Sendeleistung des drahtlosen Zugriffspunkts erhöhen oder Störquellen und Gegenstände entfernen, die sich negativ auf die Reichweite auswirken. Fehler bei der Authentifizierung. Einige Drahtlosnetzwerkadapter verfügen über eine Verbindungsanzeige (ein Lämpchen in Form einer LED), die auf gesendete oder empfangene Datenpakete hinweist. Da die IEEE 802.1X-Authentifizierung erfolgt, bevor der Drahtlosnetzwerkadapter tatsächlich Nutzdaten überträgt oder empfängt, lässt sich an der Verbindungsanzeige nicht ablesen, ob eine 802.1X-Authentifizierung erfolgt. Weist die Anzeige nicht auf Datenverkehr im Funknetz hin, kann eine fehlgeschlagene 802.1X-Authentifizierung die Ursache sein. Überprüfen Sie, ob das Benutzer- oder Computerkonto für den Drahtlosclient vorhanden ist, ob es aktiviert ist, ob es vielleicht gesperrt ist (über Konteneigenschaften oder eine RAS-Kontosperrung) und ob der Verbindungsversuch zu den zugelassenen Anmeldezeiten erfolgt. Überprüfen Sie, ob es für den Verbindungsversuch mit dem verwendeten Computer- oder Benutzerkonto eine passende Netzwerkrichtlinie gibt. Wenn Sie die Konten zum Beispiel auf Gruppenbasis mit Netzwerkrichtlinien verwalten, überprüfen Sie, ob das Benutzer- oder Computerkonto Mitglied der Gruppe ist, für die die Netzwerkrichtlinie festgelegt wurde. Überprüfen Sie, ob das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstellen der NPS-Serverzertifikate auf den Drahtlosclientcomputern im lokalen Computerspeicher für vertrauenswürdige Stammzertifizierungsstellen vorhanden ist. Überprüfen Sie bei einem Drahtlosclient mit EAP-TLS- oder PEAP-TLS-Authentifizierung, ob das Computer- oder Benutzerzertifikat die Bedingungen erfüllt, die im Abschnitt »Überprüfen des Zertifikats des Drahtlosclients« beschrieben werden. Überprüfen Sie bei einem Drahtlosclient mit PEAP-MS-CHAP v2-Authentifizierung, ob das Kennwort des Drahtlosclients abgelaufen ist. Sorgen Sie dafür, dass auf den NPS-Servern im Dialogfeld EAP-MSCHAPv2-Eigenschaften das Kontrollkästchen Client kann Kennwort ändern, nachdem es abgelaufen ist aktiviert ist. 336 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Es ist keine Authentifizierung mit einem Zertifikat möglich. Die häufigste Ursache für dieses Problem ist, dass noch kein Benutzer- oder Computerzertifikat installiert wurde. Je nach der eingestellten Authentifizierungsmethode müssen alle beide installiert sein. Überprüfen Sie im Zertifikate-SnapIn, ob Sie ein Computerzertifikat, ein Benutzerzertifikat oder beide installiert haben. Eine weitere Ursache für diese Meldung kann darin bestehen, dass sich die installierten Zertifikate nicht für die Drahtlosauthentifizierung eignen oder nicht von allen NPS-Servern überprüft werden können. Weitere Informationen finden Sie im Abschnitt »Beheben von Problemen mit der Überprüfung von Zertifikaten« dieses Kapitels. Beheben von Problemen mit drahtlosen Zugriffspunkten Wenn Sie mehrere drahtlose Zugriffspunkte einsetzen und über einen dieser Zugriffspunkte keine Verbindung herstellen und keine Authentifizierung durchführen können, kann das Problem bei diesem Zugriffspunkt liegen. Dieser Abschnitt beschreibt die gebräuchlichen Hilfsmittel zur Behebung von Problemen mit drahtlosen Zugriffspunkten und die üblichen Probleme, die bei der Verbindungsherstellung und Authentifizierung auf einem Zugriffspunkt auftreten können. Hilfsmittel zur Behebung von Problemen mit drahtlosen Zugriffspunkten Welche Hilfsmittel Ihnen bei der Problembehandlung zur Verfügung stehen, hängt zwar von den Herstellern der Geräte ab, aber die häufiger anzutreffenden sind folgende: LEDs Standortüberprüfungssoftware (Site-Survey-Software) SNMP-Unterstützung Diagnosetools Diese Hilfsmittel werden in den folgenden Abschnitten genauer beschrieben. Informieren Sie sich in der Dokumentation Ihres drahtlosen Zugriffspunkts über die Hilfsmittel, die Ihnen zur Problembehandlung zur Verfügung stehen. LEDs Die meisten drahtlosen Zugriffspunkte verfügen über ein oder mehrere kleine Lämpchen (Leuchtdioden, LEDs), die außen am Gehäuse des Geräts angebracht sind und einen schnellen Überblick über den Betriebszustand des Geräts ermöglichen: Ein Lämpchen zeigt an, ob das Gerät mit Strom versorgt wird. Ein Lämpchen zeigt den allgemeinen Betriebszustand an. Dieses Lämpchen könnte zum Beispiel zeigen, ob eine Assoziation zwischen dem drahtlosen Zugriffspunkt und einem Drahtlosclient besteht. Ein Lämpchen zeigt die Übertragungsaktivität an. Dieses Lämpchen könnte zum Beispiel bei jedem eingehenden Datenpaket blinken. Ein Lämpchen weist auf Datenkollisionen hin. Blinkt es sehr häufig, sollten Sie mit den Methoden, die der Hersteller vorschlägt, die Leistung des Geräts überprüfen. Ein Lämpchen zeigt den Datenverkehr im Kabelnetzwerk an. Dieses Lämpchen könnte zum Beispiel bei jedem eingehenden Datenpaket blinken. Vielleicht verfügt der drahtlose Zugriffspunkt statt der Lämpchen über ein LCD (Liquid Crystal Display), auf der verschiedene Symbole den Zustand des Geräts angeben. Informieren Sie sich in der Dokumentation des Geräts über die Bedeutung der Lämpchen oder der Symbole auf der LCD-Anzeige. Problembehandlung 337 Standortüberprüfungssoftware (Site-Survey-Software) Standortüberprüfungssoftware, die Sie bei der Bereitstellung von drahtlosen Zugriffspunkten zur Bestimmung des optimalen Aufstellungsorts verwenden können, wird gewöhnlich von einer CD-ROM aus dem Lieferumfang des drahtlosen Zugriffspunkts oder des Drahtlosnetzwerkadapters auf einen drahtlosnetzwerkfähigen Laptop installiert. Wie in diesem Kapitel bereits unter der Überschrift »Bereitstellen drahtloser Zugriffspunkte« beschrieben, dient die Standortüberprüfungssoftware zur Ermittlung des Sendebereichs (coverage volume) und der Abstände von einem drahtlosen Zugriffspunkt, an denen sich die Datenübertragungsraten ändern. Wenn Drahtlosclients mit einem bestimmten drahtlosen Zugriffspunkt keine Verbindung herstellen können, überprüfen Sie den Sendebereich dieses drahtlosen Zugriffspunkts mit der Standortüberprüfungssoftware. Vielleicht hat es unter den Geräten eine Änderung gegeben, die zu Interferenzen führt, oder vielleicht wurden seit der letzten Standortüberprüfung neue Objekte aufgestellt, die die Ausbreitung der Funkwellen stören. SNMP-Unterstützung Viele drahtlose Zugriffspunkte sind mit einem SNMP-Agenten (Simple Network Management Protocol) ausgerüstet, der die folgenden SNMP-MIBs (Management Information Bases) unterstützt: IEEE 802.11 MIB IEEE 802.1 PAE (Port Access Entity) MIB SNMP Management MIB (beschrieben in RFC 1157) SNMP MIB II (beschrieben in RFC 1213) Bridge MIB (beschrieben in RFC 1286) Ethernet Interface MIB (beschrieben in RFC 1398) IETF Bridge MIB (beschrieben in RFC 1493) Remote Monitoring (RMON) MIB (beschrieben in RFC 1757) RADIUS Client Authentication MIB (beschrieben in RFC 2618) Der SNMP-Agent auf dem drahtlosen Zugriffspunkt kann zusammen mit Ihrer vorhandenen SNMPNetzwerkverwaltungsinfrastruktur zur Konfiguration der drahtlosen Zugriffspunkte, zur Festlegung von Trapbedingungen und zur Überwachung der Belastung der drahtlosen Zugriffspunkte dienen. Diagnosetools Diagnosetools für drahtlose Zugriffspunkte können folgende Form haben: Diagnoseprogramme, die über das Hauptkonfigurationsprogramm eines drahtlosen Zugriffspunkts gestartet werden, beispielsweise ein Windows-Programm von der Produkt-CD des Herstellers des drahtlosen Zugriffspunkts oder eine Reihe von Webseiten. Diagnosetools, die über ein Befehlszeilenprogramm oder auf eine andere Weise zugänglich sind und zum Beispiel einen Terminalzugriff auf den drahtlosen Zugriffspunkt ermöglichen. Welche Diagnosetools die Hersteller bereitstellen, hängt vom Hersteller und vom drahtlosen Zugriffspunkt ab. Sinn dieser Diagnosetools ist es aber immer, die aktuelle Konfiguration der drahtlosen Zugriffspunkte überprüfen und die ordnungsgemäße Funktion der Geräte (Hardwareebene) sicherstellen zu können. 338 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Häufiger auftretende Probleme mit drahtlosen Zugriffspunkten Die folgenden Probleme treten bei drahtlosen Zugriffspunkten häufiger auf: Der drahtlose Zugriffspunkt ist nicht zu sehen. Es ist keine Authentifizierung beim drahtlosen Zugriffspunkt möglich. Über den drahtlosen Zugriffspunkt hinaus ist keine Kommunikation möglich. Diese Probleme werden in den folgenden Abschnitten näher besprochen. Der drahtlose Zugriffspunkt ist nicht zu sehen Wenn Drahtlosclients einen drahtlosen Zugriffspunkt bei der Suche nach Netzwerken nicht sehen, kann dies eine der folgenden Ursachen haben: Der drahtlose Zugriffspunkt sendet keine Kennung. Alle drahtlosen Zugriffspunkte sollten regelmäßig Beacon-Nachrichten ausstrahlen, die ihre SSID enthalten (sofern das Gerät nicht auf die Unterdrückung der SSID in Beacon-Nachrichten eingestellt wurde) und die Fähigkeiten der Geräte beschreiben (beispielsweise die unterstützten Übertragungsraten und die Sicherheitsoptionen). Um zu prüfen, ob ein Zugriffspunkt seine Kennung ausstrahlt, können Sie die Standortüberprüfungssoftware oder einen Paketanalysator verwenden, der die Beacon-Nachrichten aufzeichnet. Vielleicht enthält bereits die Produkt-CD-ROM vom Hersteller des Zugriffspunkts einen einfachen Paketanalysator, der die Beacon-Nachrichten und andere Verwaltungsnachrichten aufzeichnen kann. Der drahtlose Zugriffspunkt ist nicht auf den richtigen Kanal eingestellt. Wenn der drahtlose Zugriffspunkt denselben Kanal wie ein benachbarter drahtloser Zugriffspunkt verwendet, können die sich überlagernden Funksignale dazu führen, dass Drahtlosclients nur schwer stabile Verbindungen herstellen können. Ändern Sie bei Bedarf die Kanaleinstellung. Der drahtlose Zugriffspunkt beschreibt seine Fähigkeiten falsch. Überprüfen Sie, ob der drahtlose Zugriffspunkt so eingestellt ist, dass er mit der gewünschten Technik arbeitet (wie 802.11b, 802.11a oder 802.11g) und die gewünschten Übertragungsraten und Sicherheitsfunktionen verwendet (WPA oder WPA2). Wenn Sie das Beacon-Datenpaket mit einem Protokollanalysator auffangen, können Sie die eingestellten Werte mit den Werten aus dem Beacon-Datenpaket vergleichen. Der drahtlose Zugriffspunkt sendet im vorgesehenen Sendebereich nicht mit hinreichender Leistung. Überprüfen Sie mit Ihrer Standortüberprüfungssoftware, ob der tatsächliche Sendebereich des drahtlosen Zugriffspunkts mit dem geplanten Sendebereich übereinstimmt. Falls es neue Quellen für Signalabschwächungen, Reflektionen und Interferenzen gibt, ordnen Sie diese neuen Störquellen oder den drahtlosen Zugriffspunkt anders an. Es ist keine Authentifizierung beim drahtlosen Zugriffspunkt möglich Falls Sie mehrere drahtlose Zugriffspunkte verwenden und Ihre Drahtlosclients mit keinem dieser Geräte eine Verbindung herstellen können, gibt es vielleicht ein Problem in Ihrer Authentifizierungsinfrastruktur. Wie man solche Probleme beheben kann, beschreibt der noch folgende Abschnitt »Beheben von Problemen mit der Authentifizierungsinfrastruktur« dieses Kapitels. Falls Sie mehrere drahtlose Zugriffspunkte verwenden und die Drahtlosclients nur mit der Authentifizierung bei einem bestimmten Zugriffspunkt Schwierigkeiten haben, müssen Sie die Authentifizierungseinstellung dieses drahtlosen Zugriffspunkts überprüfen. Überprüfen Sie folgende drei Bereiche der Authentifizierungskonfiguration: 802.1X-Konfiguration RADIUS-Konfiguration WPA-Konfiguration Problembehandlung 339 802.1X-Konfiguration Sorgen Sie dafür, dass die 802.1X-Authentifizierung des drahtlosen Zugriffspunkts aktiviert ist. Bei einigen Zugriffspunkten wird die 802.1X-Authentifizierung als EAP-Authentifizierung bezeichnet. RADIUS-Konfiguration Die RADIUS-Konfiguration umfasst folgende Elemente: RADIUS-Konfiguration der drahtlosen Zugriffspunkte Sorgen Sie dafür, dass der drahtlose Zugriffspunkt korrekt für RADIUS konfiguriert ist. Der drahtlose Zugriffspunkt sollte folgende Einstellungen aufweisen: Die IPv4- oder IPv6-Adresse eines primären RADIUS-Servers (einer Ihrer NPS-Server) Die UDP-Zielports (UDP bedeutet User Datagram Protocol) für den RADIUS-Datenverkehr, der an den primären RADIUS-Server gesendet wird (UDP-Port 1812 für den RADIUS-Authentifizierungsdatenverkehr und UDP-Port 1813 für den RADIUS-Kontoführungsdatenverkehr) Den gemeinsamen geheimen RADIUS-Schlüssel für den primären RADIUS-Server Die IPv4- oder IPv6-Adresse eines sekundären RADIUS-Servers (ein weiterer Ihrer NPSServer) Die UDP-Zielports für den RADIUS-Datenverkehr, der an den sekundären RADIUS-Server gesendet wird Den gemeinsamen geheimen RADIUS-Schlüssel für den sekundären RADIUS-Server Erreichbarkeit der NPS-Server Überprüfen Sie auf folgende Weise, ob der primäre und der sekundäre NPS-Server für den drahtlosen Zugriffspunkt erreichbar sind: Wenn der drahtlose Zugriffspunkt über einen »Ping« verfügt – er kann an ein beliebiges IPv4Ziel eine ICMP-Echo-Nachricht (Internet Control Message Protocol) senden –, versuchen Sie, die IPv4-Adressen des primären und sekundären NPS-Servers mit dem Ping zu erreichen. Kann der drahtlose Zugriffspunkt keinen Ping aussenden, versuchen Sie, die IPv4-Adressen des primären und sekundären NPS-Servers von einem anderen Netzwerkknoten aus mit dem Programm Ping zu erreichen. Dieser Knoten muss sich in dem Subnetz befinden, zu dem auch der drahtlose Zugriffspunkt gehört. Ist der Ping vom Netzwerkknoten erfolgreich und der Ping vom drahtlosen Zugriffspunkt nicht, überprüfen Sie die IPv4-Konfiguration des drahtlosen Zugriffspunkts. Sorgen Sie dafür, dass er mit der korrekten IPv4-Adresse, der richtigen Subnetzmaske und dem richtigen Standardgateway für das dazugehörige Kabelnetzwerk konfiguriert ist. Funktioniert keiner der Pings, beheben Sie die Verbindungsprobleme zwischen dem angeschlossenen Subnetz und den RADIUS-Servern. Hinweis Ein negatives Ergebnis beim Ping-Test bedeutet nicht zwangsläufig, dass keine Verbindung besteht. Es könnte auf dem Weg zwischen dem drahtlosen Zugriffspunkt und den RADIUSServern ein Router vorhanden sein, der ICMP-Nachrichten herausfiltert. Vielleicht wurden auch die NPS-Server mit Paketfiltern ausgestattet, die ICMP-Nachrichten verwerfen. Um sicherzustellen, dass der RADIUS-Datenverkehr den primären und den sekundären NPSServer erreicht, verwenden Sie auf den NPS-Servern einen Netzwerksniffer wie den Network Monitor 3.1. Damit können Sie den RADIUS-Datenverkehr aufzeichnen und untersuchen, der bei einem Authentifizierungsversuch zwischen dem drahtlosen Zugriffspunkt und den RADIUSServern ausgetauscht wird. 340 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Konfiguration der NPS-Server Wenn der RADIUS-Datenverkehr den primären und den sekundären NPS-Server erreicht, überprüfen Sie, ob der primäre und sekundäre NPS-Server mit einem RADIUS-Client konfiguriert sind, der dem drahtlosen Zugriffspunkt entspricht. Dazu gehören folgende Werte: Die IPv4-Adresse der Kabelnetzwerkschnittstelle des drahtlosen Zugriffspunkts Die UDP-Zielports für den RADIUS-Datenverkehr, der vom drahtlosen Zugriffspunkt gesendet wird (UDP-Port 1812 für den RADIUS-Authentifizierungsdatenverkehr und UDP-Port 1813 für den RADIUS-Kontoführungsdatenverkehr) Das gemeinsame geheime RADIUS-Kennwort, das auf dem drahtlosen Zugriffspunkt konfiguriert wurde Überprüfen Sie das Protokoll Windows-Protokolle\Sicherheit auf Authentifizierungsfehlereinträge, die den Verbindungsversuchen mit dem drahtlosen Zugriffspunkt entsprechen. Um die Ereigniseinträge für fehlgeschlagene Authentifizierungen überprüfen zu können, sehen Sie sich in der Ereignisanzeige die Ereigniseinträge aus dem Sicherheitsereignisprotokoll mit der Ereignis-ID 6273 an. IPsec für den RADIUS-Datenverkehr Wenn Sie zur Verschlüsselung des RADIUS-Datenverkehrs zwischen dem drahtlosen Zugriffspunkt und dem NPS-Server IPsec verwenden, überprüfen Sie die IPsec-Einstellungen auf dem drahtlosen Zugriffspunkt und auf dem NPS-Server und sorgen Sie dafür, dass beide erfolgreich Sicherheitszuordnungen aushandeln und sich gegenseitig authentifizieren können. Hinweis Weitere Informationen über die Einstellung der IPsec-Richtlinien unter Windows Server 2008 zum Schutz des RADIUS-Datenverkehrs finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«. Informationen über die Konfiguration von IPsec für einen drahtlosen Zugriffspunkt finden Sie in der Produktdokumentation Ihres drahtlosen Zugriffspunkts. WPA- oder WPA2-Konfiguration Sofern Ihr drahtloser Zugriffspunkt WPA- oder WPA2-fähig ist und Sie zum Schutz des Drahtlosnetzwerks WPA oder WPA2 verwenden möchten, sorgen Sie dafür, dass WPA oder WPA2 aktiviert ist. Über den drahtlosen Zugriffspunkt hinaus ist keine Kommunikation möglich Der drahtlose Zugriffspunkt ist eine unsichtbare Bridge und ein Schicht-2-Switch, der Datenpakete zwischen dem Kabelnetzwerk, mit dem er verbunden ist, und den verbundenen Drahtlosclients weiterleitet. Wenn Drahtlosclients zwar eine Verbindung herstellen und sich authentifizieren können, aber keine Orte jenseits des drahtlosen Zugriffspunkts erreichen, könnte dies einen oder mehrere der folgenden Gründe haben. Der drahtlose Zugriffspunkt leitet die Datenpakete nicht als Bridge weiter. Alle unsichtbaren Bridges unterstützen das Spanning-Tree-Protokoll, das eine Schleifenbildung bei der Überbrückung der Netzwerksegmente verhindern soll. Das Spanning-Tree-Protokoll verwendet eine Reihe von Multicast-Nachrichten, um Informationen über die Brückenkonfiguration zu kommunizieren und die Brückenschnittstellen automatisch so zu konfigurieren, dass Datenpakete weitergeleitet oder die Weiterleitung gesperrt wird, um Schleifen zu verhindern. Während der Spanning-Tree-Algorithmus die Weiterleitung oder Sperrung von Schnittstellen überprüft, leitet die Bridge keine Datenpakete weiter. Überprüfen Sie den Weiterleitungsstatus des drahtlosen Zugriffspunkts und die Bridgekonfiguration. Problembehandlung 341 Der drahtlose Zugriffspunkt wurde nicht mit den korrekten VLAN-IDs konfiguriert. Viele drahtlose Zugriffspunkte unterstützen VLANs. Dabei handelt es sich um Switchanschlüsse, die auf der Verwaltungsebene so zusammengefasst werden, dass sie im selben Subnetz erscheinen. Jede Gruppe erhält eine separate VLAN-ID. Überprüfen Sie, ob die VLAN-IDs für Ihren Drahtlosclient und Ihre verkabelten Schnittstellen korrekt konfiguriert sind. Vielleicht verwenden Sie zum Beispiel eine VLAN-ID für authentifizierte Drahtlosclients (die Verbindung erfolgt mit dem Intranet der Organisation) und eine separate VLAN-ID für Gäste mit drahtlosen Computern (die Verbindung erfolgt mit einem anderen Subnetz oder mit dem Internet). Beheben von Problemen mit der Authentifizierungsinfrastruktur Wenn Sie mehrere drahtlose Zugriffspunkte verwenden und mit keinem dieser Zugriffspunkte eine Authentifizierung durchführen können, liegt vielleicht ein Problem mit der Authentifizierungsinfrastruktur vor, die aus Ihren NPS-Servern, der PKI und den Active Directory-Konten besteht. In diesem Abschnitt beschreiben wir häufiger auftretende Probleme mit der NPS-Authentifizierung und Autorisierung, sowie mit der Überprüfung von Authentifizierungen auf Zertifikat- oder Kennwortbasis. Beheben von Problemen mit der NPS-Authentifizierung und Autorisierung Zur Behebung der häufiger auftretenden Probleme mit der NPS-Authentifizierung und Autorisierung sorgen Sie für Folgendes: Dass der drahtlose Zugriffspunkt die NPS-Server erreichen kann Um dies zu überprüfen, versuchen Sie, von jedem der NPS-Server aus die IP-Adresse des drahtlosen Zugriffspunkts im Kabelnetzwerk anzupingen. Sorgen Sie außerdem dafür, dass keine IPsec-Richtlinien, IP-Paketfilter oder anderen Mechanismen, die den Netzwerkzugriff einschränken können, den Austausch von RADIUS-Nachrichten zwischen dem drahtlosen Zugriffspunkt und seinen konfigurierten NPS-Servern verhindern. Für den RADIUS-Datenverkehr mit den NPS-Servern werden eine IPv4- oder IPv6-Quelladresse des drahtlosen Zugriffspunkts, eine IPv4- oder IPv6-Zieldresse des NPSServers, der UPD-Zielport 1812 für Authentifizierungsnachrichten und der UPD-Zielport 1813 für Kontoführungsnachrichten verwendet. Für den RADIUS-Datenverkehr von den NPS-Servern werden eine IPv4- oder IPv6-Quelladresse des NPS-Servers, eine IPv4- oder IPv6-Zieldresse des drahtlosen Zugriffspunkts, der UPD-Quellport 1812 für Authentifizierungsnachrichten und der UDP-Quellport 1813 für Kontoführungsnachrichten verwendet. Diese Beispiele setzen voraus, dass Sie die RADIUS UDP-Ports verwenden, die in den RFCs 2865 und 2866 für die RADIUSAuthentifizierung und Autorisierung definiert werden. Dass jedes NPS-Server/Drahtloszugriffspunkt-Paar mit einem gemeinsamen geheimen RADIUS-Kennwort konfiguriert ist Es muss zwar nicht jedes NPS-Server/Drahtloszugriffspunkt-Paar über ein eigenes gemeinsames geheimes RADIUS-Kennwort verfügen, aber das verwendete Kennwort muss auf beiden Partnern eines Paares dasselbe sein. Wenn Sie zum Beispiel die NPS-Konfiguration von einem NPS-Server auf einen anderen kopieren, überprüfen Sie alle Kennwortpaare zwischen den NPS-Servern und den drahtlosen Zugriffspunkten. Dass die NPS-Server einen Active Directory-Domänencontroller und einen globalen Katalogserver erreichen können Der NPS-Server verwendet einen globalen Katalogserver, um die Benutzerprinzipalnamen (User Principal Name, UPN) der Computer- oder Benutzerzertifikate oder den MSCHAP v2-Kontonamen zum definierten Namen des entsprechenden Kontos in Active Directory aufzulösen. Der NPS-Server verwendet einen Active Directory-Domänencontroller, um die Anmeldeinformationen des Computer- und Benutzerkontos zu überprüfen und um die Konteneigenschaften abzurufen, die für die Bewertung der Autorisierung erforderlich sind. 342 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Dass die Computerkonten der NPS-Server in den entsprechenden Domänen Mitglieder der Sicherheitsgruppe RAS- und IAS-Server sind Das Hinzufügen der NPS-Servercomputerkonten zur Sicherheitsgruppe RAS- und IAS-Server der entsprechenden Domäne geschieht normalerweise bei der Konfiguration der NPS-Server. Um das NPS-Servercomputerkonto zu den entsprechenden Domänen hinzuzufügen, können Sie den Befehl netsh nps add registeredserver verwenden. Dass keine konfigurierten Beschränkungen ungewollt den Zugriff verhindern Sorgen Sie dafür, dass das Benutzer- oder Computerkonto nicht gesperrt, abgelaufen oder deaktiviert ist und dass die Verbindungsversuche innerhalb der vorgesehenen Anmeldezeiten erfolgen. Dass das Benutzerkonto nicht von der RAS-Kontosperrung gesperrt wurde Die RAS-Kontosperrung zählt Authentifizierungsversuche und sperrt den Zugang nach der vorgesehenen Anzahl von Fehlversuchen, damit das Kennwort des Benutzers nicht so leicht durch Online-Wörterbuchangriffe ermittelt werden kann. Wenn die RAS-Kontosperrung aktiviert ist, können Sie den Sperrungszähler eines Kontos zurücksetzen, indem Sie auf dem NPS-Server den Registrierungswert HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\Domänenname:Kontoname löschen. Dass die Verbindung autorisiert ist Zur Autorisierung müssen die Parameter des Verbindungsversuchs Folgendes erfüllen: Alle Bedingungen von mindestens einer Netzwerkrichtlinie erfüllen. Wenn es keine passende Richtlinie gibt, werden alle Drahtlosauthentifizierungsanforderungen abgelehnt. Durch das Benutzerkonto eine Netzwerkzugriffsberechtigung erhalten (Einstellung auf Zugriff gestatten). Falls für das Benutzerkonto die Option Zugriff über NPS-Netzwerkrichtlinien steuern gewählt wurde, muss die Zugriffsberechtigung der ersten passenden Netzwerkrichtlinie Zugriff gewähren lauten. Mit allen Einstellungen des Profils übereinstimmen. Überprüfen Sie, ob in den Authentifizierungseinstellungen des Profils EAP-TLS oder PEAP-MS-CHAP v2 aktiviert und korrekt eingestellt wurde. Zu den Einstellungen der Einwähleigenschaften des Benutzer- oder Computerkontos passen. Wenn Sie den Namen der Netzwerkrichtlinie ermitteln möchten, die zur Ablehnung des Verbindungsversuchs geführt hat, sorgen Sie dafür, dass die NPS-Ereignisprotokollierung für abgelehnte Authentifizierungsversuche aktiviert ist. Suchen Sie dann in der Ereignisanzeige im Protokoll Windows-Protokolle\Sicherheit nach Ereigniseinträgen mit der Ereignis-ID 6273. Im Text des Ereigniseintrags für den Verbindungsversuch finden Sie den Netzwerkrichtliniennamen im Feld Netzwerkrichtlinienname. Dass Sie den Modus Ihrer Domäne nicht vom gemischten Modus in den einheitlichen Modus geändert haben Falls Sie Ihre Active Directory-Domäne gerade vom gemischten Modus auf den einheitlichen Modus umgestellt haben, können die NPS-Server nicht länger gültige Verbindungsanforderungen authentifizieren. Sie müssen jeden Domänencontroller der Domäne neu starten, damit die Änderung durch Replikation wirksam wird. Beheben von Problemen mit der Überprüfung von Zertifikaten Die Behebung von Problemen, die bei der Überprüfung von Zertifikaten für die EAP-TLS- oder PEAPTLS-Authentifizierung auftreten, umfasst die Überprüfung der Computer- und Benutzerzertifikate des Drahtlosclients und der Computerzertifikate der NPS-Server. Problembehandlung 343 Überprüfen des Zertifikats des Drahtlosclients Damit ein NPS-Server das Zertifikat eines Drahtlosclients überprüfen kann, müssen für jedes Zertifikat aus der Zertifikatkette des Zertifikats, das der Drahtlosclient gesendet hat, folgende Bedingungen erfüllt sein: Das aktuelle Datum liegt im Gültigkeitszeitraum des Zertifikats. Zertifikate werden mit einem Gültigkeitszeitraum ausgestellt, vor dessen Beginn sie noch nicht verwendet werden können. Nach dem Ablauf des Gültigkeitszeitraums sind auch die Zertifikate abgelaufen und können nicht mehr verwendet werden. Das Zertifikat wurde nicht gesperrt. Ausgestellte Zertifikate können jederzeit gesperrt werden. Jede ausstellende Zertifizierungsstelle führt eine Liste der Zertifikate, die nicht mehr als gültig akzeptiert werden sollten, und veröffentlicht diese Liste in Form einer Zertifikatsperrliste (Certificate Revocation List, CRL). Der Server versucht zuerst, das Zertifikat mit dem OSCP-Protokoll zu überprüfen (OSCP bedeutet Online Certificate Status Protocol). Ist die OSCP-Überprüfung erfolgreich, so ist auch die Überprüfung des Zertifikats erfolgreich. Andernfalls versucht er, das Benutzer- oder Computerzertifikat anhand der Zertifikatsperrliste zu überprüfen. Standardmäßig überprüft der NPS-Server alle Zertifikate aus der Zertifikatkette des Drahtlosclients (die Reihe der Zertifikate vom Zertifikat des Drahtlosclients bis hinauf zur Stammzertifizierungsstelle) daraufhin, ob eines dieser Zertifikate gesperrt wurde. Wurde eines dieser Zertifikate gesperrt, schlägt die Zertifikatüberprüfung fehl. Dieses Verhalten kann in der Registrierung geändert werden, wie im weiteren Verlauf des Kapitels beschrieben. Wenn Sie die Zertifikatsperrlisten-Verteilungspunkte für ein Zertifikat anzeigen möchten, klicken Sie das Zertifikat im Detailbereich des Zertifikate-Snap-Ins mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Sperrlisten-Verteilungspunkte. Zur Überprüfung, ob das Zertifikat gesperrt ist, muss der NPS-Server in der Lage sein, die Zertifikatsperrlisten-Verteilungspunkte zu erreichen. Die Überprüfung der Zertifikatsperrung funktioniert nur so gut wie das System, das die Zertifikatsperrlisten veröffentlicht und verteilt. Wird die Zertifikatsperrliste nicht häufig genug aktualisiert, kann ein bereits gesperrtes Zertifikat vielleicht noch verwendet und als gültig eingestuft werden, weil die veröffentlichte Zertifikatsperrliste, die der NPS-Server verwendet, veraltet ist. Überprüfen Sie, ob die den NPS-Servern zugänglichen Zertifikatsperrlisten noch gelten oder bereits veraltet sind. Wenn die den NPS-Servern verfügbaren Zertifikatsperrlisten abgelaufen sind, schlagen EAP-TLS- und PEAP-TLS-Authentifizierungen fehl. Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der NPS-Server überprüft die digitale Signatur jedes Zertifikats aus der Kette (mit Ausnahme des Stammzertifizierungsstellenzertifikats) mit dem öffentlichen Schlüssel der ausstellenden Zertifizierungsstelle. Das Zertifikat des Drahtlosclients muss zudem für den Verwendungszweck Clientauthentifizierung vorgesehen sein (der Verwendungszweck wird auch Erweiterte Schlüsselverwendung, Enhanced Key Usage oder EKU genannt) und im Feld Alternativer Antragstellername entweder den Benutzerprinzipalnamen eines gültigen Benutzerkontos oder den vollständig qualifizierten Domänennamen (FQDN) eines gültigen Computerkontos aufweisen. Wenn Sie sich im Zertifikate-Snap-In die erweiterte Schlüsselverwendung (EKU) eines Zertifikats ansehen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung. 344 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Wenn Sie im Zertifikate-Snap-In das Feld Alternativer Antragstellername anzeigen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Alternativer Antragstellername. Auf dem NPS-Server muss das erforderliche Zertifikat korrekt installiert worden sein. Um der Zertifikatkette vertrauen zu können, die der Drahtlosclient vorlegt, muss der NPS-Server im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Speichers Lokaler Computer über das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des Drahtlosclients verfügen. Hinweis Zusätzlich zur normalen Zertifikatüberprüfung überprüft der NPS-Server auch, ob die ursprüngliche EAP-Response/Identity-Nachricht denselben Namen angibt, der im Feld Alternativer Antragstellername des übermittelten Zertifikats angegeben wird. Das hindert Angreifer daran, sich als einen anderen Benutzer oder Computer auszugeben als den, der in der EAP-Response/IdentityNachricht genannt wird. Welche Voraussetzungen das Zertifikat des Drahtlosclients außerdem erfüllen muss, wurde bereits im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben. Standardmäßig prüft NPS, ob die von den Drahtlosclients vorgelegten Zertifikate gesperrt sind. Wie der NPS-Server die Prüfung durchführt, können Sie auf dem NPS-Server mit den folgenden Registrierungswerten unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\ EAP\13 einstellen: IgnoreNoRevocationCheck Wird dieser Wert auf 1 gestellt, akzeptiert NPS EAP-TLS-Authentifizierungen, selbst wenn es keine Sperrungsüberprüfung der Zertifikatkette des Clients (ausgenommen des Stammzertifizierungsstellenzertifikats) durchführen oder beenden kann. Gewöhnlich schlagen Zertifikatsperrungsüberprüfungen deswegen fehl, weil das Zertifikat keine Angaben über Sperrlisten enthält. IgnoreNoRevocationCheck wird standardmäßig auf 0 gestellt (deaktiviert). NPS lehnt eine EAPTLS- oder PEAP-TLS-Authentifizierung ab, wenn es die Sperrungsüberprüfung der Zertifikatkette des Clients (einschließlich des Stammzertifizierungsstellenzertifikats) nicht beenden und dabei feststellen kann, dass keines der Zertifikate gesperrt wurde. Stellen Sie IgnoreNoRevocationCheck auf 1, um EAP-TLS- oder PEAP-TLS-Authentifizierungen auch dann zu akzeptieren, wenn das Zertifikat keine Angaben über Zertifikatsperrlisten-Verteilungspunkte enthält, wie manche Zertifikate von anderen Zertifizierungsstellen. IgnoreRevocationOffline Wird dieser Wert auf 1 gestellt, akzeptiert NPS EAP-TLS- oder PEAPTLS-Authentifizierungen auch dann, wenn ein Server, auf dem die Zertifikatsperrliste gespeichert ist, nicht im Netzwerk verfügbar ist. IgnoreRevocationOffline wird standardmäßig auf 0 gestellt. NPS lehnt eine EAP-TLS- oder PEAP-TLS-Authentifizierung ab, wenn es nicht auf die Zertifikatsperrlisten zugreifen und daher die Sperrungsüberprüfung der Zertifikatkette des Clients nicht beenden und dabei feststellen kann, dass keines der Zertifikate gesperrt wurde. Kann es keine Verbindung mit einem der Zertifikatsperrlisten-Verteilungspunkte aufnehmen, wird das Zertifikat bei der EAP-TLS- oder PEAP-TLS-Authentifizierung als ungültig angesehen. Stellen Sie IgnoreRevocationOffline auf 1, damit das Zertifikat bei der Sperrungsüberprüfung nicht beispielsweise wegen schlechter Verbindungen, die einen erfolgreichen Abschluss der Sperrungsprüfung verhindern, als ungültig eingestuft wird. NoRevocationCheck Wird dieser Wert auf 1 gestellt, führt NPS keine Sperrungsprüfung mit dem Zertifikat des Drahtlosclients durch. Bei der Sperrungsprüfung wird überprüft, ob das Zertifikat Problembehandlung 345 des Drahtlosclients oder eines der Zertifikate aus dessen Zertifikatkette gesperrt wurde. Standardmäßig wird NoRevocationCheck auf 0 gestellt. NoRootRevocationCheck Wird dieser Wert auf 1 gestellt, führt NPS keine Sperrungsüberprüfung des Stammzertifizierungsstellenzertifikats des Drahtlosclients durch. Dieser Eintrag deaktiviert nur die Sperrungsprüfung des Stammzertifizierungsstellenzertifikats des Clients. Mit den restlichen Zertifikaten aus der Zertifikatkette des Drahtlosclients wird weiterhin eine Sperrungsprüfung durchgeführt. Standardmäßig wird NoRootRevocationCheck auf 0 gestellt. Sie können NoRootRevocationCheck verwenden, wenn Clients authentifiziert werden sollen, in deren Stammzertifizierungsstellenzertifikate keine Zertifikatsperrlisten-Verteilungspunkte angegeben sind, wie in manchen Zertifikaten von anderen Zertifizierungsstellen. Außerdem kann dieser Wert Verzögerungen verhindern, wie sie zum Beispiel eintreten, wenn die Sperrliste eines Zertifikats nicht zugänglich oder abgelaufen ist. Diese Registrierungswerte müssen als DWORD-Typen hinzugefügt werden (ein Registrierungsdatentyp, dessen Wert in Hexadezimalform mit maximal 4 Bytes angegeben wird) und auf 0 oder 1 gestellt werden. Die drahtlosen Windows-Clients verwenden diese Werte nicht. Überprüfen der Zertifikate der NPS-Server Damit der Drahtlosclient das Zertifikat des NPS-Servers überprüfen kann, müssen alle Zertifikate aus der Zertifikatkette des Zertifikats, das vom NPS-Server übermittelt wird, folgende Bedingungen erfüllen: Das aktuelle Datum liegt im Gültigkeitszeitraum des Zertifikats. Zertifikate werden mit einem Gültigkeitszeitraum ausgestellt, vor dessen Beginn sie noch nicht verwendet werden können. Nach dem Ablauf des Gültigkeitszeitraums sind auch die Zertifikate abgelaufen und können nicht mehr verwendet werden. Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der Drahtlosclient überprüft die digitale Signatur jedes Zertifikats aus der Kette mit Ausnahme des Stammzertifizierungsstellenzertifikats mit dem öffentlichen Schlüssel der ausstellenden Zertifizierungsstelle. Außerdem muss das Zertifikat des NPS-Servers für den Verwendungszweck Serverauthentifizierung vorgesehen sein. Die Objektkennung (OID) dieses Eintrags in der erweiterten Schlüsselverwendung ist 1.3.6.1.5.5.7.3.1. Wenn Sie die erweiterte Schlüsselverwendung eines Zertifikats im ZertifikateSnap-In überprüfen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung. Schließlich muss noch das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des NPS-Servers auf dem Drahtlosclient im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Speichers Lokaler Computer verfügbar sein, damit der Drahtlosclient der Zertifikatkette vertrauen kann, die der NPS-Server vorgelegt hat. Welche Voraussetzungen das Computerzertifikat des NPS-Servers außerdem erfüllen muss, wurde bereits im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben. Beachten Sie bitte, dass der Drahtlosclient keine Sperrungsüberprüfung für die Zertifikate aus der Zertifikatkette des Computerzertifikats des NPS-Servers durchführt. Im Normalfall verfügt der Drahtlosclient noch nicht über eine Verbindung mit dem Netzwerk und kann daher weder auf eine Webseite noch auf andere Ressourcen zugreifen, die für eine Sperrungsüberprüfung erforderlich wären. 346 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Beheben von Problemen bei der Authentifizierung mit Kennwörtern Die Behebung von Problemen bei der PEAP-MS-CHAP v2-Authentifizierung mit Kennwörtern umfasst die Überprüfung des Namens und des Kennworts des Drahtlosbenutzers und die Überprüfung des Computerzertifikats des NPS-Servers. Überprüfen der Anmeldeinformationen des Drahtlosclients Wenn Sie zur Authentifizierung PEAP-MS-CHAP v2 verwenden, müssen der Name und das Kennwort, das der Drahtlosclient übermittelt, mit den Anmeldeinformationen für ein gültiges Konto übereinstimmen. Eine erfolgreiche Überprüfung der MS-CHAP v2-Anmeldeinformationen durch die NPS-Server hängt von Folgendem ab: Der Domänenteil des Namens entspricht dem Namen einer Domäne, bei der es sich entweder um die Domäne des NPS-Servers oder um eine Domäne handelt, für die eine bidirektionale Vertrauensstellung mit der Domäne des NPS-Servers besteht. Der Kontoteil des Namens entspricht einem gültigen Konto aus der Domäne. Das Kennwort ist das richtige Kennwort für das Konto. Zur Überprüfung der Anmeldeinformationen für das Benutzerkonto veranlassen Sie den Benutzer dazu, sich auf einem Computer, der bereits über eine herkömmliche (Ethernet-)Kabelverbindung mit dem Netzwerk verbunden ist, bei seiner Domäne anzumelden. Dabei wird deutlich, ob das Problem bei den Anmeldeinformationen oder bei der Konfiguration der Authentifizierungsinfrastruktur liegt. Überprüfen der Zertifikate der NPS-Server Damit der Drahtlosclient das Zertifikat des NPS-Servers bei einer PEAP-MS-CHAP v2-Authentifizierung überprüfen kann, müssen alle Zertifikate aus der Zertifikatkette des Zertifikats, das vom NPSServer übermittelt wird, folgende Bedingungen erfüllen: Das aktuelle Datum liegt im Gültigkeitszeitraum des Zertifikats. Zertifikate werden mit einem Gültigkeitszeitraum ausgestellt, vor dessen Beginn sie noch nicht verwendet werden können. Nach dem Ablauf des Gültigkeitszeitraums sind auch die Zertifikate abgelaufen und können nicht mehr verwendet werden. Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der Drahtlosclient überprüft die digitale Signatur jedes Zertifikats aus der Kette mit Ausnahme des Stammzertifizierungsstellenzertifikats mit dem öffentlichen Schlüssel der ausstellenden Zertifizierungsstelle. Außerdem muss das Zertifikat des NPS-Servers für den Verwendungszweck Serverauthentifizierung vorgesehen sein (Objektkennung 1.3.6.1.5.5.7.3.1). Wenn Sie die erweiterte Schlüsselverwendung eines Zertifikats im Zertifikate-Snap-In überprüfen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung. Schließlich muss noch das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des NPS-Servers auf dem Drahtlosclient im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Speichers Lokaler Computer verfügbar sein, damit der Drahtlosclient der Zertifikatkette vertrauen kann, die der NPS-Server vorgelegt hat. Welche Voraussetzungen das Computerzertifikat des NPS-Servers außerdem erfüllen muss, wurde bereits im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben. Weitere Informationen 347 Zusammenfassung des Kapitels Der Aufbau eines geschützten Drahtlosnetzwerks erfordert die Konfiguration der Active Directory-, PKI-, Gruppenrichtlinien- und RADIUS-Elemente einer Authentifizierungsinfrastruktur auf Basis von Windows sowie die Bereitstellung und Konfiguration von drahtlosen Zugriffspunkten und Drahtlosclients. Die Wartungsarbeiten nach dem Aufbau des drahtlosen Netzwerks umfassen die Verwaltung der drahtlosen Zugriffspunkte, die Änderung ihrer Konfiguration bei Änderungen in der Infrastruktur sowie die Aktualisierung und Bereitstellung von Drahtlosnetzwerkprofilen. Bei drahtlosen Verbindungen tritt häufiger das Probleme auf, dass wegen Fehlern bei der Authentifizierung oder Autorisierung keine Verbindung aufgebaut werden kann oder dass Ressourcen aus dem Intranet für einen Drahtlosclient nicht zugänglich sind. Weitere Informationen Weitere Informationen über die Unterstützung von Drahtlosnetzwerken unter Windows Server 2008 und Windows Vista finden Sie hier: Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Microsoft Wireless Networking (http://www.microsoft.com/wifi) Weitere Informationen über Active Directory finden Sie hier: Kapitel 9, »Authentifizierungsinfrastruktur« Windows Server 2008 Active Directory – Die technische Referenz in der technischen Referenz zu Windows Server 2008 (Microsoft Press, 2008) Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Weitere Informationen über PKI finden Sie hier: Kapitel 9, »Authentifizierungsinfrastruktur« Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 »Public Key Infrastructure for Microsoft Windows Server« (http://www.microsoft.com/pki) Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008) Weitere Informationen über Gruppenrichtlinien finden Sie hier: Kapitel 9, »Authentifizierungsinfrastruktur« Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft Press, 2008) Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Microsoft Windows Server Group Policy (http://www.microsoft.com/gp) Weitere Informationen über RADIUS and NPS finden Sie hier: Kapitel 9, »Authentifizierungsinfrastruktur« Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 348 Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 Das Hilfe und Support-System von Windows Server 2008 Microsoft Network Policy Server (http://www.microsoft.com/nps) Weitere Informationen über NAP und die 802.1X-Erzwingung finden Sie hier: Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes« Kapitel 15, »Vorbereiten des Netzwerkzugriffsschutzes« Kapitel 17, »802.1X-Erzwingung« Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008 Das Hilfe und Support-System von Windows Server 2008 Network Access Protection (http://www.microsoft.com/nap) 349 K A P I T E L 1 1 Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung In diesem Kapitel: Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellen des Kabelnetzwerkzugriffs mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 351 365 374 375 391 391 Dieses Kapitel beschreibt, wie man LAN-Kabelnetzwerke, die die IEEE 802.1X-Authentifizierung verwenden, plant, bereitstellt und wartet und wie man auftretende Probleme beheben kann (IEEE steht für das Institute of Electrical and Electronic Engineers, LAN bedeutet Local Area Network). Nach der Bereitstellung kann ein geschütztes Kabelnetzwerk noch auf die 802.1X-Erzwingungsmethoden für den Netzwerkzugriffsschutz (NAP) umgestellt werden, wie in Kapitel 17, »802.1XErzwingung«, beschrieben. In diesem Kapitel wird vorausgesetzt, dass Sie über ein Grundwissen über die Bedeutung der Komponenten Active Directory, Public-Key-Infrastruktur (PKI), Gruppenrichtlinien und RADIUS (Remote Authentication Dial-In User Service) in einer Authentifizierungsinfrastruktur auf der Basis von Windows für den Netzwerkzugriff verfügen. Weitere Informationen finden Sie in Kapitel 9, »Authentifizierungsinfrastruktur«. Konzepte Viele moderne Ethernetswitches unterstützen eine Netzwerkzugangskontrolle auf Portbasis. Damit lässt sich die Kommunikation über einen Switchport verhindern, bis der Computer, der auf den Port zugreift, authentifiziert und autorisiert wurde. Der Standard, mit dem die Benutzung von Ports authentifiziert wird, ist IEEE 802.1X. Die IEEE 802.1X-Authentifizierung wurde für mittlere bis große verkabelte LANs entwickelt, die über eine Authentifizierungsinfrastruktur mit RADIUS-Servern und Kontendatenbanken wie beispielsweise Active Directory verfügen. IEEE 802.1X hindert einen verkabelten Netzwerkknoten daran, Datenpakete aus dem Netzwerk anzunehmen oder ins Netzwerk zu senden, bis er erfolgreich authentifiziert und autorisiert wurde. Bei der Authentifizierung wird überprüft, ob verkabelte Netzwerkknoten über gültige Anmeldeinformationen verfügen. Benutzer ohne Anmeldeinformationen können Ihrem Kabelnetzwerk nicht beitreten. Bei der Autorisierung wird überprüft, ob der verkabelte Client eine Verbindung mit dem Switch herstellen darf. IEEE 802.1X verwendet für den Austausch von Anmeldeinformationen EAP (Extensible Authentication Protocol). Eine Authentifizierung nach IEEE 802.1X kann mit verschiedenen 350 Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung EAP-Authentifizierungsmethoden erfolgen, beispielsweise mit Benutzerkonten und Kennwörtern oder mit digitalen Zertifikaten. Komponenten von Kabelnetzwerken mit 802.1X-Authentifizierung Abbildung 11.1 zeigt die Komponenten eines verkabelten Netzwerks auf Windows-Basis mit 802.1XAuthentifizierung. Abbildung 11.1 Komponenten von Kabelnetzwerken auf Windows-Basis mit 802.1X-Authentifizierung Bei den Komponenten handelt es sich um: Kabelclients Netzwerkknoten, die die 802.1X-Authentifizierung für LAN-Verbindungen unterstützen und eine Verbindung mit 802.1X-fähigen verkabelten Switches herstellen 802.1X-fähige Switches Switches, die an ihren Anschlüssen die 802.1X-Authentifizierung erzwingen, die dazugehörigen Verbindungsvoraussetzungen überprüfen und Datenpakete zwischen Kabelclients und Intranetressourcen weiterleiten RADIUS-Server Computer, die für 802.1X-fähige Switches und andere Arten von Zugriffsservern die zentrale Authentifizierung, Autorisierung und Kontoführung über Netzwerkzugriffsversuche durchführen Active Directory-Domänencontroller Computer, die Benutzer- und Computeranmeldeinformationen zur Authentifizierung überprüfen und Informationen über die dazugehörigen Konten zu Bewertung der Autorisierung an die RADIUS-Server weiterleiten Zertifizierungsstellen Komponenten der PKI, die Computer- oder Benutzerzertifikate für Kabelclients und Computerzertifikate für RADIUS-Server ausstellen Planungs- und Entwurfsaspekte 351 Planungs- und Entwurfsaspekte Bei der Planung und dem Entwurf eines geschützten Kabelnetzwerks mit 802.1X-Authentifizierung sollten Sie folgende Aspekte berücksichtigen: Authentifizierungsmethoden im Kabelnetzwerk Authentifizierungsmodi im Kabelnetzwerk Authentifizierungsinfrastruktur Kabelclients PKI 802.1X-Erzwingung mit NAP Authentifizierungsmethoden im Kabelnetzwerk Windows Server 2008 und Windows Vista unterstützen die folgenden EAP-Authentifizierungsmethoden für die Authentifizierung im Kabelnetzwerk: EAP-TLS (Transport Layer Security) PEAP-MS-CHAP v2 (Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2) PEAP-TLS EAP-TLS und PEAP-TLS werden zusammen mit einer PKI und Computerzertifikaten, Benutzerzertifikaten oder Smartcards verwendet. Bei EAP-TLS sendet der Kabelclient sein Computer-, Benutzeroder Smartcardzertifikat zur Authentifizierung und der RADIUS-Server sendet ein Computerzertifikat zur Authentifizierung. Standardmäßig überprüft der Kabelclient das Zertifikat des RADIUS-Servers. Falls keine Computer-, Benutzer- oder Smartcardzertifikate einsetzbar sind, verwenden Sie PEAPMS-CHAP v2. PEAP-MS-CHAP v2 ist eine Authentifizierungsmethode auf Kennwortbasis, bei der der Austausch der Authentifizierungsnachrichten in einer verschlüsselten TLS-Sitzung erfolgt. Dadurch wird es für einen Angreifer wesentlich schwieriger, das Kennwort des aufgezeichneten Authentifizierungsdatenverkehrs mit einem Offline-Wörterbuchangriff zu bestimmen. EAP-TLS und PEAP-TLS sind beide wesentlich sicherer als PEAP-MS-CHAP v2, weil sie nicht auf Kennwörtern basieren. So funktioniert’s: PEAP-MS-CHAP v2 MS-CHAP v2 ist ein Challenge-Response-Protokoll zur gegenseitigen Authentifizierung auf Kennwortbasis, das zur Verschlüsselung der Antworten die Standardalgorithmen MD4 (Message Digest) und DES (Data Encryption Standard) verwendet. Der authentifizierende Server stellt den Zugriffsclient auf die Probe und der Zugriffsclient stellt den authentifizierenden Server auf die Probe. Erfolgt auf eine dieser beiden Proben (challenges) keine korrekte Antwort, wird die Verbindung abgelehnt. Ursprünglich hat Microsoft MS-CHAP v2 als ein PPP-Authentifizierungsprotokoll (Point-toPoint Protocol) entwickelt, um DFÜ- und VPN-Verbindungen (Virtuelles Privates Netzwerk) besser zu schützen. Obwohl MS-CHAP v2 einen besseren Schutz als andere Challenge-Response-Authentifizierungsprotokolle auf PPP-Basis bietet, ist es trotzdem für Offline-Wörterbuchangriffe anfällig. Ein Angreifer könnte eine erfolgreiche MS-CHAP v2-Authentifizierung aufzeichnen und systematisch 352 Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung Kennwörter raten, bis das richtige gefunden ist. Kombiniert man PEAP mit MS-CHAP v2, wird der Datenverkehr bei der MS-CHAP v2-Authentifizierung durch eine relativ sichere TLS-Sitzung geschützt. Eine PEAP-MS-CHAP v2-Authentifizierung erfolgt in zwei Teilen. Im ersten Teil wird mit PEAP eine verschlüsselte TLS-Sitzung eingeleitet, im zweiten Teil wird MS-CHAP v2 als EAP-Typ für den Austausch der Anmeldeinformationen zur Authentifizierung des Netzwerkzugriffs verwendet. PEAP Teil 1: Erstellen der TLS-Sitzung 1. Der 802.1X-fähige Switch sendet dem verkabelten Client eine EAP-Request/Identity-Nachricht. 2. Der verkabelte Client antwortet mit einer EAP-Response/Identity-Nachricht, in der die Identität des verkabelten Clients angegeben wird (Benutzer- oder Computername). 3. Der Switch sendet dem RADIUS-Server eine EAP-Response/Identity-Nachricht. Von diesem Punkt an erfolgt die logische Kommunikation zwischen dem RADIUS-Server und dem Kabelclient, wobei der Switch die Nachrichten nur durchreicht. 4. Der RADIUS-Server sendet dem Kabelclient eine EAP-Request/Start PEAP-Nachricht. 5. Der verkabelte Client und der RADIUS-Server tauschen einige TLS-Nachrichten aus, in denen der RADIUS-Server dem Kabelclient sein Computerzertifikat mit der Zertifikatkette zur Überprüfung sendet und der Kabelclient und der RADIUS-Server die Verschlüsselungsschlüssel und die Verschlüsselungsmethode für die TLS-Sitzung bestimmen. Am Ende der PEAP-Verhandlung hat der RADIUS-Server dem Kabelclient seine Identität bewiesen. Beide Knoten haben die gegenseitig verwendeten Verschlüsselungsschlüssel für die TLSSitzung bestimmt, und zwar mit Kryptografiemethoden, die mit öffentlichen Schlüsseln arbeiten, nicht mit Kennwörtern. Alle nachfolgenden EAP-Nachrichten, die zwischen dem Kabelclient und dem RADIUS-Server ausgetauscht werden, werden in der PEAP TLS-Sitzung verschlüsselt. PEAP Teil 2: Authentifizieren mit MS-CHAP v2 1. Der RADIUS-Server sendet eine EAP-Request/Identity-Nachricht. 2. Der Kabelclient antwortet mit einer EAP-Response/Identity-Nachricht, in der die Identität (Benutzer- oder Computername) des Kabelclients angegeben wird. 3. Der RADIUS-Server sendet eine EAP-Request/EAP-MS-CHAP v2-Challenge-Nachricht, die eine Testzeichenfolge (challenge string) enthält. 4. Der verkabelte Client antwortet mit einer EAP-Response/EAP-MS-CHAP v2-Response-Nachricht, die nicht nur die Antwort auf die Testzeichenfolge des RADIUS-Servers enthält, sondern auch eine Testzeichenfolge für den RADIUS-Server. 5. Der RADIUS-Server sendet eine EAP-Request/EAP-MS-CHAP v2-Success-Nachricht, mit der er angibt, dass die Antwort des Clients korrekt war. Außerdem enthält die Nachricht die Antwort auf die Testzeichenfolge des Kabelclients. 6. Der Kabelclient antwortet mit einer EAP-Response/EAP-MS-CHAP v2-Ack-Nachricht, mit der er angibt, dass die Antwort des RADIUS-Servers korrekt ist. 7. Der RADIUS-Server sendet eine EAP-Success-Nachricht. Am Ende dieses Datenaustausches zur gegenseitigen Authentifizierung ist Folgendes geschehen: Der Kabelclient hat seine Kenntnis des korrekten Kennworts bewiesen (die Antwort auf die Testzeichenfolge des RADIUS-Servers). Planungs- und Entwurfsaspekte 353 Der RADIUS-Server hat seine Kenntnis des korrekten Kennworts bewiesen (die Antwort auf die Testzeichenfolge des Kabelclients). Der gesamte Datenverkehr wurde in der TLS-Sitzung verschlüsselt, die im ersten Teil der PEAPAuthentifizierung erstellt wurde. Um nun einen Offline-Wörterbuchangriff durchzuführen, müsste der Angreifer zuerst die TLS-verschlüsselten Nachrichten entschlüsseln – eine entmutigende Aufgabe der Kryptoanalyse. Voraussetzungen für die Authentifizierungsmethoden Für die Authentifizierungsmethoden im Kabelnetzwerk gelten folgende Voraussetzungen: EAP-TLS erfordert die Installation eines Computerzertifikats auf jedem RADIUS-Server und eines Computerzertifikats, eines Benutzerzertifikats oder die Verwendung einer Smartcard auf allen verkabelten Clientcomputern. Damit sich die Computerzertifikate der RADIUS-Server überprüfen lassen, muss auf allen Kabelclientcomputern das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle der Computerzertifikate der RADIUS-Server installiert werden. Damit sich die Computer- oder Benutzerzertifikate der Kabelclients überprüfen lassen, müssen auf allen RADIUS-Servern die Stammzertifizierungsstellenzertifikate der ausstellenden Zertifizierungsstellen der Kabelclientzertifikate installiert werden. PEAP-MS-CHAP v2 erfordert auf jedem RADIUS-Server die Installation eines Computerzertifikats. Außerdem ist es erforderlich, auf den verkabelten Clientcomputern die Stammzertifizierungsstellenzertifikate der Computerzertifikate der RADIUS-Server zu installieren, damit sich die Computerzertifikate der RADIUS-Server überprüfen lassen. Wenn Sie planen, irgendwann die 802.1X-Erzwingung von NAP einzuführen, sollten Sie eine Authentifizierungsmethode auf der Basis von PEAP, wie PEAP-MS-CHAP v2 oder PEAP-TLS, verwenden. Empfehlungen für die Authentifizierungsmethoden im Kabelnetzwerk Für Authentifizierungsmethoden im Kabelnetzwerk gilt folgende Empfehlung: Wenn Sie PEAP-MS-CHAP v2 verwenden müssen, schreiben Sie in Ihrem Netzwerk sichere Kennwörter vor. Sichere Kennwörter sind lang (länger als acht Zeichen) und enthalten eine Mischung aus Groß- und Kleinbuchstaben, Ziffern und Satzzeichen. In einer Active DirectoryUmgebung können Sie die Gruppenrichtlinieneinstellungen unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien einsetzen, um Benutzer dazu zu bringen, sichere Benutzerkennwörter zu verwenden. Authentifizierungsmodi im Kabelnetzwerk Verkabelte Clients auf Windows-Basis können in folgenden Modi Authentifizierungen durchführen: Nur Computer Windows führt mit den Anmeldeinformationen des Computers eine 802.1XAuthentifizierung durch, bevor der Anmeldebildschirm von Windows angezeigt wird. Auf diese Weise erhält der verkabelte Client Zugriff auf Netzwerkressourcen, beispielsweise auf Active Directory-Domänencontrollern, bevor sich ein Benutzer anmeldet. Windows versucht nach der Anmeldung des Benutzers keine Authentifizierung mit den Anmeldeinformationen des Benutzers. Nur Benutzer Standardmäßig führt Windows eine 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem die Anmeldung des Benutzers abgeschlossen wurde. 354 Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung Windows versucht keine Authentifizierung mit den Anmeldeinformationen des Computers, bevor oder nachdem sich der Benutzer angemeldet hat. Computer oder Benutzer Windows führt mit den Anmeldeinformationen des Computers eine 802.1X-Authentifizierung durch, bevor es den Windows-Anmeldebildschirm anzeigt. Windows führt eine weitere 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem sich der Benutzer angemeldet hat. Ein zusätzlicher Vorteil der Authentifizierungsarten Nur Computer oder Computer oder Benutzer besteht darin, dass die Ressourcen des authentifizierten Computers, beispielsweise freigegebene Ordner, anderen Computern zur Verfügung stehen, ohne dass ein Benutzer auf dem Computer angemeldet sein muss. Mit dem Verhalten