Dieser Abschnitt beschreibt wichtige Begriffe im Zusammenhang mit Netzwerken, die man kennen sollte, bevor man sich an die Arbeit macht.

Transkript

1 2 Windows-Netzwerke Mit Windows lassen sich inzwischen Netzwerke beliebiger Größe bauen: Ob im Small Office oder im weltumspannende Superkonzern überall befinden sich Windows-Clients und -Server im Einsatz. Dieses Kapitel zeigt, wie man Netzwerke mit verschiedenen Windows-Versionen aufbaut. Der Schwerpunkt liegt auf Windows XP Professional für Peer-to-Peer-Netze mit kleinen Arbeitsgruppen. Ein eigener Abschnitt widmet sich dem Active Directory, das für sehr große Netzwerke wichtig ist. Nach den Grundlagen, die wichtige Begriffe erklären, geht es um die verschiedenen Arten der TCP/IP-Konfiguration, um das Arbeiten im Netz und um die Fehlersuche. 2.1 Grundlagen Dieser Abschnitt beschreibt wichtige Begriffe im Zusammenhang mit Netzwerken, die man kennen sollte, bevor man sich an die Arbeit macht. Peer-to-Peer versus Server Mit allen Windows-Versionen lassen sich so genannte Peer-to-Peer-Netzwerke aufbauen. In einem solchen Netz kann jeder PC seine Laufwerke oder Drucker anderen zur Verfügung stellen: Er fungiert damit als Server. Alle anderen PCs, die seine Laufwerke oder Drucker benutzen, sind die Clients. Ein Client kann aber seinerseits ebenfalls Laufwerke und Drucker zur Verfügung stellen und wird damit zum Server. Jeder PC kann also Client und Server zugleich sein. Das ist ein Kennzeichen eines Peer-Netzes: Alle PCs sind gleichberechtigt. Jeder PC in einem Peer-Netz verwaltet seine eigenen Benutzerkonten, welche durch einen Benutzernamen und ein Passwort gekennzeichnet sind. Meldet sich ein Anwender an einem PC an, gibt er seinen Benutzernamen und sein Passwort ein und erhält Netzwerkzugang, weil er über ein lokales Benutzerkonto verfügt. Meldet sich der gleiche Anwender an einem anderen PC an, muss er auch dort über ein lokales Benutzerkonto verfügen. Auf jedem PC muss also extra ein Konto eingerichtet sein. Das ist typisch für ein Peer-Netz. [Networking Kompendium] 93

2 Kapitel 2 Windows-Netzwerke Freigabeverwaltung Die Ressourcen eines Peers, wie Ordner, Laufwerke oder Drucker, müssen vom Anwender dieses Peers explizit freigegeben werden, damit sie von anderen über das Netzwerk genutzt werden können. Diese Netzwerkfreigaben lassen sich mit einem Passwort schützen. Zu den Netzwerkfreigaben kommen die lokalen Freigaben hinzu, die bestimmte Zugriffsberechtigungen für eine Ressource auf Basis eines Benutzerkontos gewähren. Lokale Freigaben erfordern NTFS. Widersprechen sich Netzwerkfreigaben und lokale Freigaben, gelten die restriktiveren Einschränkungen. Befinden sich viele passwortgeschützte Freigaben in einem Peer-Netzwerk, muss sich jeder Anwender viele Passwörter merken auf die Dauer wird das lästig bis unmöglich. Ab einer gewissen Netzwerkgröße ist daher ein Anmelde-Server notwendig, der alle Benutzerkonten des Netzwerks zentral verwaltet in Microsoft-Netzwerken Domänencontroller genannt. Der Zugriff auf eine Freigabe hängt dann nicht mehr von einem Passwort ab, sondern vom Benutzerkonto: Das Merken der Freigabe-Passwörter entfällt die Verwaltung des Netzwerks wird deutlich vereinfacht. Benutzerkontendatenbank Vorteil eines Anmelde-Servers ist also die zentrale Verwaltung der Benutzerkonten. Alle Benutzerkonten sei es auf einem Peer oder einem Server werden in der Benutzerkontendatenbank gespeichert in Domänen im Active Directory. Die Benutzerkontendatenbank ist der sensibelste Bereich eines Rechners und entsprechend geschützt. In Active-Directory-Domänen wird diese Datenbank aus Redundanzgründen zwischen mehreren Domänencontrollern verteilt oder repliziert. Fällt ein Domänencontroller aus, übernimmt ein anderer seine Aufgaben. Kommt ein neuer Domänencontroller hinzu, werden alle Konten oder ein Teil davon automatisch auf den neuen Server repliziert. Anmeldescripts Meldet sich ein Rechner an einer Domäne an, kann ein so genanntes Anmeldescript abgearbeitet werden. Es befindet sich auf einem Domänencontroller und enthält Befehle, die bei der Anmeldung am Netzwerk ausgeführt werden. Typische Anwendungen sind Laufwerk-Mappings auf Server-Ordner und -Partitionen oder das Ausführen bestimmter Programme wie Virenscanner Anmeldescripts sind ziemlich flexibel. Durch die zentrale Verwaltung können auch sehr viele Anmeldescripts noch effizient verwaltet werden. 94 [Networking Kompendium]

3 Grundlagen Kapitel 2 Natürlich kann man ein Anmeldescript auch auf seinem lokalen PC speichern und es wird genau so funktionieren, der Vorteil serverbasierter Scripts liegt wie bei den Benutzerkonten in der zentralen Verwaltung. Protokolle, Clients und Dienste Damit ein Windows-PC in einem Netzwerk arbeiten kann, sind verschiedene Komponenten nötig. Dazu gehören Protokolle, Clients und Dienste. Bei einer Standard-Installation von Windows XP befinden sich die folgenden Komponenten in den Eigenschaften einer Netzwerkverbindung: Abbildung 2.1: Die Eigenschaften einer LAN-Verbindung Wichtig ist das Protokoll, das alle Aktionen über das Netzwerk steuert. Protokolle Seit Windows 2000 wird TCP/IP als Standard-Protokoll installiert. Es ist routbar und standardisiert und kann damit auch in sehr großen Netzen eingesetzt ( Internet!) werden, sodass sehr viele verschiedene Betriebssysteme mit diesem Protokoll kommunizieren können. Es hat Novells IPX/SPX, ein ebenfalls routbares Protokoll, großenteils verdrängt und in der Windows- Welt NetBEUI abgelöst ein nicht routbares Protokoll für kleine Netze. NetBEUI wird bei Windows XP nicht mehr installiert, kann aber über die CD nachinstalliert werden. NetBEUI reicht für kleine Netze aus. Sein großer Vorteil besteht darin, dass es nicht konfiguriert werden muss im Gegensatz zu TCP/IP, dessen Konfiguration einige Kenntnisse erfordert. In einem Windows-Netzwerk laufen noch andere Protokolle, wie SMB, die aber nicht über die Oberfläche konfigurierbar sind. SMB ist im Protokollteil beschrieben. [Networking Kompendium] 95

4 Kapitel 2 Windows-Netzwerke Clients Die zweite wichtige Komponente in einem Windows-Netzwerk sind die Clients. Ab Windows XP gibt es nur noch den Client für Microsoft-Netzwerke, der Novell-Client ist verschwunden, kann aber separat nachinstalliert werden. Der Microsoft-Client ermöglicht die Kommunikation im Netzwerk, die nicht auf TCP/IP beruht besonders den Zugriff auf Ressourcen mit SMB. Mithilfe von Clients werden Netzwerk-Ressourcen anhand ihres Namens gefunden. Clients und Protokolle müssen an die Netzwerkkarte gebunden werden, ein Vorgang, der bei Windows XP nicht mehr die Bedeutung wie bei früheren Windows-Versionen hat. SMB läuft über das Internet. Wird also der Microsoft-Client an die Internetschnittstelle ( Netzwerkkarte, Modem) gebunden und entsprechend konfiguriert, können Daten über das Internet ausgetauscht werden. Nicht etwa mit speziellen Programmen, sondern mit dem Explorer! Eigentlich bilden alle Windows-PCs dieser Welt, die mit dem Internet verbunden sind, somit ein großes Netzwerk auf Basis von SMB. In der Praxis wird SMB im Internet aber kaum benutzt, weil es langsam ist und wichtiger weil es zu großen Sicherheitslücken führt. Vor allem die 9xbasierten Windows-Versionen waren per Voreinstellung ( und sind es teilweise immer noch) falsch konfiguriert, sodass ein Zugang über das Internet auf den eigenen PC möglich ist. Diese Sicherheitslücke ist in Windows XP entschärft, aber immer noch vorhanden. Die Moral von der Geschicht : Binde den Microsoft-Client an die Internetschnittstelle nicht! Dienste Die dritte wichtige Komponente sind die Dienste. Dienste sind Prozesse, die ohne Anmeldung eines Anwenders beim Booten des PC gestartet werden. Sie stellen ( spezifische) Funktionen bereit, die der PC für seine Arbeit benötigt. Typisch sind Server-Dienste wie der WWW-Dienst. Vorinstalliert wird der QoS-Paketplaner, der bestimmte Daten priorisiert. Die Datei- und Druckerfreigabe ist ebenfalls ein Dienst. Namen, Arbeitsgruppen und Domänen haben Namen. In Windows-Netzen sind das sie so genannten NetBIOS-Namen, die nach bestimmten Regeln aufgebaut sind: Jeder Net- BIOS-Name darf im Prinzip nur einmal im Netzwerk vorkommen ( es gibt aber Ausnahmen). Er darf maximal 15 Zeichen lang sein. Groß- und Kleinschreibung wird nicht beachtet. Er besteht nur aus Buchstaben und Zahlen sowie den folgenden # $ % ^ & ( ) _ { }. 96 [Networking Kompendium]

5 Grundlagen Kapitel 2 Am einfachsten verwendet man nur Buchstaben und Zahlen sowie den Unterstrich. namen dürfen immer nur einmal im Netzwerk vorkommen. Wenn ein NetBIOS-Name kürzer als 15 Zeichen ist, wird der Rest mit Nullen aufgefüllt. Jeder NetBIOS-Name verfügt noch über ein 16. Zeichen, das den Typ der Ressource angibt, die den Namen registriert hat. Mehr dazu im Kapitel über NetBIOS. Alle Windows-Versionen konvertieren jeden NetBIOS-Namen intern immer in Großbuchstaben, deswegen ist es egal, ob man bei NetBIOS-Namen Groß- oder Kleinschreibung oder eine Mischung verwendet. Wird ICON: DNS Info zur Namensauflösung eingesetzt (in kleineren Netzen eher unüblich), tritt an die Stelle des NetBIOS-Namens der DNS-Name (FQDN), der sich aus dem NetBIOS-Namen ableitet. Für die FQDNs gelten eigene Regeln, die im Protokollteil beschrieben sind. Arbeitsgruppen Arbeitsgruppen sind in Peer-Netzen das Mittel zum Gruppieren von n nach logischen Gesichtspunkten, wie zum Beispiel Buchhaltung, Auslieferung oder Werbung. Arbeitsgruppen tauchen in der Netzwerkumgebung des Explorers als eigenständiges Symbol auf. Darunter werden die einzelnen innerhalb der Arbeitsgruppe angezeigt. Unterhalb eines s befinden sich seine Freigaben. Ein kann immer nur Mitglied in einer Arbeitsgruppe sein. Arbeitsgruppennamen sind ebenfalls NetBIOS-Namen. Diese müssen nicht eindeutig sein. Im Gegenteil: Es sollten sich immer mehrere in einer Arbeitsgruppe befinden, sonst ist die Gruppenbildung überflüssig. Beim Zugriff auf einen Netzwerk- spielt es keine Rolle, in welcher Arbeitsgruppe sich dieser befindet. Jeder PC hat grundsätzlich immer Zugriff auf jede Arbeitsgruppe. Zugriffsbeschränkungen werden immer nur über Netzwerkfreigaben und lokale Freigaben gesteuert, niemals über die Arbeitsgruppe. ICON: Info Jeder kann Arbeitsgruppen aufmachen. Ist die Gruppe nicht vorhanden, wird sie einfach neu erzeugt. Dieser Wildwuchs ist eine der Unzulänglichkeiten eines Peer-Netzwerks. - und Arbeitsgruppenname werden seit Windows XP in den Systemeigenschaften eingestellt und nicht mehr in den Netzwerkeigenschaften: [Networking Kompendium] 97

6 Kapitel 2 Windows-Netzwerke Abbildung 2.2: Ändern von - und Arbeitsgruppenname An die Stelle der Arbeitsgruppe tritt in Server-basierten Windows-Netzwerken die Domäne. Domänen Domänen können nur mit Administratorrechten definiert werden und stehen untereinander über Vertrauensstellungen in Verbindung. Auch Domänen gruppieren nach bestimmten Gesichtspunkten: nach logischen Gesichtspunkten wie bei Arbeitsgruppen nach funktionalen Gesichtpunkten nach geografischen Gesichtspunkten Bei einer Einteilung nach Funktionen können zum Beispiel alle Domänencontroller eine eigene Domäne bilden ( Anmelde-Domäne), alle Mail-Server können die Mailer-Domäne bilden, alle SQL-Server die Datenbank-Domäne usw. Eine geografische Einteilung könnte Niederlassungen in verschiedenen Ländern berücksichtigen. Die Aufteilung in Domänen hängt von den jeweiligen Gegebenheiten und Anforderungen ab. Seit Windows 2000 und Active Directory sind Domänen in hierarchischen Strukturen organisiert mehrere Strukturen bilden die Gesamtstruktur. Der Grund für diese Strukturierung ist die Kompatibilität zum DNS ( vergleiche Protokollteil). 98 [Networking Kompendium]

7 Grundlagen Kapitel 2 Zugriffssteuerung Bei Windows-9x-Systemen spielt die so genannte Zugriffssteuerung eine wichtige Rolle. Unterschieden wird zwischen Zugriffssteuerung auf Freigabeebene für Peer-Netzwerke und Zugriffssteuerung auf Benutzerebene für Server-basierte Netzwerke. Exkurs Mit Freigabeebene sind die freigegebenen Verzeichnisse gemeint, die in der Netzwerkumgebung angezeigt werden. Diese Freigaben können vor unbefugtem Zugriff geschützt sein, etwa durch Angabe eines Passworts für den lesenden sowie eines weiteren Passworts für den schreibenden Zugriff. Jeder, der das Passwort kennt, hat entsprechenden Zugriff auf diese eine Freigabe. Bei der Benutzerebene ist ein Anmelde-Server wie ein Windows Domänencontroller nötig. Der Zugriff auf Freigaben erfolgt bei einem solchen Server-basierten System auf Benutzerbasis. Ein Benutzer hat Berechtigungen, auf Freigaben in einer festgelegten Art und Weise zuzugreifen, und nicht jeder, der das Passwort für die Freigabe kennt. Passwörter für Freigaben gibt es bei Server-basierten Systemen nicht. Das ist ein weiterer wichtiger Grund, warum man überhaupt einen Server einsetzt: die zentrale Verwaltung der Freigaben auf File-Servern. Abbildung 2.3: Zugriffssteuerung auf Freigabeebene ist der Standard in einem Peer-Netz mit Windows-9x- Rechnern. Freigaben können dabei mit Passwörtern geschützt sein. Wird die Zugriffssteuerung auf Benutzerebene gewählt, so ist der Server- Name einzutragen, von dem die Benutzer- und Gruppenliste geladen wird. [Networking Kompendium] 99

8 Kapitel 2 Windows-Netzwerke Benutzerverwaltung Die Benutzerverwaltung erfolgt in größeren Netzwerken immer zentral über das Active Directory, in Peer-Netzen werden Benutzer und Gruppen lokal angelegt und verwaltet. Windows XP-Peer Wird Windows XP in einem Peer-Netz eingesetzt, kann über die Benutzerverwaltung festgelegt werden, wer sich am System anmelden darf und in bestimmten Grenzen wer auf welche Ressourcen wie zugreifen darf. Beide Versionen Home Edition und Professional Edition unterscheiden sich dabei deutlich. Beide Windows-XP-Versionen unterscheiden zwei Typen von Benutzern: den administrator und den eingeschränkten Benutzer. Die folgende Abbildung aus dem Hilfe-System zeigt die Unterschiede: Abbildung 2.4: Die zwei Benutzertypen von Windows XP Das Anlegen eines neuen Benutzers erfolgt einfach über das Applet Benutzerkonten in der Systemsteuerung. Alle Benutzer, die dort angelegt werden, 100 [Networking Kompendium]

9 Grundlagen Kapitel 2 dürfen sich am System anmelden. Insofern unterscheiden sich die beiden Windows-XP-Versionen nicht. Beim Zugriff auf Ressourcen besonders auf das Dateisystem sind die Unterschiede zwischen beiden Systemen jedoch erheblich. Bei der Home Edition erhält jeder Anwender sein eigenes Verzeichnis unterhalb des Ordners DOKUMENTE UND EINSTELLUNGEN. Für den Anwender bm existiert zum Beispiel dort das Verzeichnis BM. Innerhalb dieses Ordners befindet sich das Verzeichnis DATEIEN VON BM. Dieser Ordner kann so konfiguriert werden, dass nur der Anwender bm dort Zugriff hat allen anderen Anwendern ( außer den Administratoren) wird der Zugriff verweigert. Auf diese Art ist ein Schutz der eigenen Dateien vor anderen eingeschränkten Anwendern realisiert. Damit eingeschränkte Anwender auf einen gemeinsamen Datenpool zugreifen können, existiert der Ordner GEMEIN- SAME DOKUMENTE, auf den alle Anwender Zugriff haben, auch schreibend. Eingeschränkte Anwender haben zudem auf die folgenden Ordner keinen Zugriff: %SYSTEMROOT%\PROGRAMME %SYSTEMROOT%\DOKUMENTE UND EINSTELLUNGEN %SYSTEMROOT%\WINDOWS Alle anderen Ordner und Dateien können jedoch beliebig manipuliert werden. Immerhin ist damit ein Schutz der eigenen Ordner und Dateien gewährleistet. Im Unterschied dazu verwendet die Professional-Version ein sehr viel ausgefeilteres Verfahren für Zugriffsbeschränkungen auf das Dateisystem durch volle Unterstützung des Dateisystems NTFS, das bei der Home Edition zwar auch vorhanden ist, aber nur in eingeschränkter Version. NTFS bietet die Vergabe von detaillierten Zugriffsberechtigungen auf Anwender- und Gruppenbasis für Ordner sowie einzelne Dateien und wird später in diesem Kapitel im Abschnitt über Freigaben detaillierter besprochen. NTFS-Berechtigungen spielen auch bei den integrierten Server- Anwendungen ( IIS) eine große Rolle bzw. machen sie überhaupt erst möglich. Das Web-Server-Kapitel enthält mehr Informationen darüber. [Networking Kompendium] 101

10 Kapitel 2 Windows-Netzwerke 2.2 Active Directory Mit Windows 2000 wurde der Verzeichnisdienst Active Directory eingeführt. Dieser Abschnitt gibt einen Überblick über die Vorteile und stellt die Konzepte vor. Was ist ein Verzeichnis? Der Verzeichnisdienst von Windows 2000 heißt Active Directory (AD). Bei einem Verzeichnis ( engl. Directory, data store) handelt es sich um eine Zuordnungsliste, wie zum Beispiel bei einem Telefonbuch: Es ordnet Telefonnummern den jeweiligen Anschlüssen (Besitzern) zu. Das AD ordnet verschiedenen Netzwerkobjekten wie Usern, n u.a., Eigenschaften zu. Abbildung 2.5: Das Active Directory speichert viele interessante Objekte in einem Netzwerk. Es vereinfacht die Verwaltung und die Suche nach Ressourcen (Quelle: Microsoft.Corp). Die Vorteile eines Verzeichnisdienstes sind: Single Sign On und vereinfachte Suche nach Ressourcen Single Sign On bedeutet, dass sich ein User nur einmal am Netz anmelden muss und dann Zugriff auf alle im Netz befindlichen Ressourcen hat egal wo sich diese befinden. Benutzername und Passwort werden kein zweites Mal abgefragt. Wird in einem Netzwerk ohne Verzeichnisdienst nach einer Ressource gesucht, zum Beispiel nach einem freigegebenen Ordner, so muss man wissen, auf welchem Server sich diese Freigabe befindet. Mit dem AD können 102 [Networking Kompendium]

11 Active Directory Kapitel 2 dagegen alle Server automatisch durchsucht werden. Das Suchen nach Ressourcen ist eine der Hauptfunktionen des AD. Komponenten des AD Das AD besteht aus einer Datenbank, die Informationen über das Netzwerk wie User, Gruppen und enthält. Die Datensätze heißen im AD- Jargon»Objekte«und die Eigenschaften»Attribute«. Ein User ist zum Beispiel ein Objekt im AD, der Name»Meier«ein Attribut dieses Objekts. Welche Objekttypen im AD verfügbar sind, lässt sich beeinflussen, indem man neue Typen definiert. Das Muster, nach dem man dabei vorzugehen hat, ist das Schema: Es definiert die Objekte und ihre Attribute. Domänen Das Konzept der Domänen bleibt in Windows 2000/XP erhalten. Eine Domäne ist eine logische Verwaltungseinheit, die der Strukturierung des Netzwerks dient. NT-4-Domänen enthalten einen so genannten primären Domänencontroller (Primary Domain Controller, PDC), der die Benutzerkontendatenbank ( SAM) verwaltet und diese auf beliebig viele sekundäre Domänencontroller ( Backup Domain Controller, BDC) repliziert. Bei diesem Masterreplikation genannten Verfahren wird die Benutzerkontendatenbank immer vom PDC auf die BDCs repliziert. Die BDCs können zwar eine Replikation veranlassen, jedoch immer nur in einer Richtung. Änderungen an der SAM müssen immer am PDC erfolgen. Die Rolle des PDC und der BDCs wird seit Windows 2000 zugunsten eines Peer-Modells aufgegeben. Alle Domänencontroller eines Windows Forests sind gleichberechtigt. Die Replikation erfolgt nach dem Multimastermodell, bei dem jeder Domänencontroller mit jedem anderen eine Replikation ausführen darf, wobei bestimmte Replikationsmechanismen dafür Sorge tragen, dass die Replikation korrekt durchgeführt wird ( was passiert zum Beispiel, wenn ein Attribut gleichzeitig auf zwei Domänencontrollern geändert wird?). Für kleinere Netze reicht eine Domäne aus. Sie enthält die Anmelde- sowie die Ressourcen-Server und alle Workstations. Bei größeren Netzen bietet sich die Abbildung der Ressourcen durch Domänen an: Anmeldedomäne, File-Service-Domäne, Print-Service-Domäne usw. Möglich, aber in den meisten Fällen nicht empfehlenswert ist die Abbildung der Firmenstruktur mit Domänen. Zum Beispiel könnten einzelne Abteilungen eigene Domänen bilden. Eine größere Hierarchie lässt sich aber aufgrund des flachen Domänenmodells von NT4 nicht abbilden. Die verschiedenen Domänenmodelle von NT4 verschwinden bei Windows 2000/XP völlig. Das bedeutet: Es wird nicht mehr zwischen Anmelde- und Ressourcendomänen unterschieden. [Networking Kompendium] 103

12 Kapitel 2 Windows-Netzwerke Abbildung 2.6: Domänen fassen PCs zu Verwaltungseinheiten zusammen. Die beiden unteren Domänen (Ovale) sind Ressourcendomänen, die der Kontendomäne (Rechteck) vertrauen. Mixed Mode-Domänen Mixed Mode-Domänen enthalten sowohl NT4-Domänencontroller als auch Windows-2000/XP-Domänencontroller. Bei der Verwendung von Mixed Mode-Domänen muss man auf die Vorteile von Windows 2000/XP verzichten, zum Beispiel auf die Verwendung der neuen Gruppentypen, da die Abwärtskompatibilität zu NT 4 gewahrt bleiben muss. Mixed Mode- Domänen entstehen häufig bei der Migration bestehender NT-4-Systeme auf Windows 2000/XP. Eine Mixed Mode-Domäne kann auch nur aus Windows-2000-Domänencontrollern bestehen und trotzdem eine Mixed Mode-Domäne sein. Die Promotion einer Native Mode- zu einer Mixed Mode-Domäne muss explizit von Hand durchgeführt werden. So lange das nicht der Fall ist, bleibt die Domäne im Mixed Mode. Die Promotion einer Domäne vom Mixed Mode in den Native Mode ist irreversibel. Native Mode-Domänen Native Mode-Domänen enthalten ausschließlich Windows-2000/XP-Domänencontroller. 104 [Networking Kompendium]

13 Active Directory Kapitel 2 Logische Struktur Die logische Organisation des Active Directory besteht aus Strukturen (Trees) und Gesamtstrukturen ( Forests), die aus Strukturen gebildet werden. Strukturen bestehen aus Domänen. Strukturen und Gesamtstrukturen erlauben den Aufbau einer nahezu beliebig großen Hierarchie aus Domänen mit beliebigen Namespaces, die jedoch alle Verbindungen untereinander haben, sodass Ressourcenzugriffe und Suchaktionen im gesamten Domänenverbund möglich sind (im Gegensatz zu eigenständigen nicht untereinander verbundenen Domänen). Durch diese logische Struktur lassen sich Netzwerke beliebiger Größe aufbauen. Strukturen Domänen werden in einer Hierarchie aus übergeordneten und untergeordneten Domänen angeordnet. So ist zum Beispiel die Domäne mut.de die übergeordnete Domäne von sales.mut.de und diese wiederum die übergeordnete Domäne von books.sales.mut.de. Andersherum ausgedrückt ist books.sales.mut.de eine untergeordnete Domäne von sales.mut.de und diese wiederum eine untergeordnete Domäne von mut.de. Eine solche Domänenstruktur heißt Struktur ( oder im Englischen Tree). Domänen einer Struktur verwenden einen einheitlichen Namespace, d.h. der Name einer Domäne wird aus dem Namen der übergeordneten Domäne gebildet, dem der eigene Name vorangestellt wird. mut.de sales.mut.de Domäne Abbildung 2.7: Strukturen bestehen aus hierarchisch angeordneten Domänen, die automatisch durch Vertrauensstellungen verbunden sind. Domäne books.sales.mut.de Domäne Domänen einer Struktur werden automatisch mit transitiven beidseitigen (Kerberos-) Vertrauensstellungen miteinander verbunden. Dadurch ist eine strukturweite (und sogar gesamtstrukturweite) Replikation möglich. Durch [Networking Kompendium] 105

14 Kapitel 2 Windows-Netzwerke diese Kerberos-Vertrauensstellungen ist gewährleistet, dass Benutzer in jeder Domäne Zugriff auf Ressourcen jeder anderen Domäne der Struktur haben. An der Spitze der Hierarchie steht die Struktur-Stammdomäne. Der erste Domänencontroller in der Struktur wird automatisch der Strukturstamm. Bei der Installation des AD entscheidet man, ob eine Domäne einem bestehenden Stamm zugeordnet werden soll oder eine neue Struktur erstellt wird. Gesamtstrukturen Strukturen mit unterschiedlichen Namespaces können zu einer so genannten Gesamtstruktur verbunden werden. Unterschiedliche Namespaces können zum Beispiel entstehen, wenn durch Zukauf oder Übernahme eine Firma in eine andere integriert wird oder wenn aus bestimmten Gründen (Sicherheit) ein zweiter DNS-Name verwendet werden soll. Gesamtstrukturen verbinden Strukturen mit unterschiedlichen Namespaces. An der Spitze jeder Struktur steht der Strukturstamm. Auch die Gesamtstruktur besitzt einen Stamm, den Gesamtstrukturstamm. Dieser wird automatisch dem ersten Domänencontroller in der Struktur zugewiesen. Abbildung 2.8: Gesamtstrukturen verbinden Strukturen mit unterschiedlichen Namensräumen. mut.de Domäne Vertrauensstellung germany.de Domäne sales.germany.de Domäne Domäne Domäne books.sales.mut.de books.sales.germany.de Domäne Domäne Alle Strukturstämme unterhalten eine beidseitige transitive Vertrauensstellung zum Gesamtstrukturstamm. Dadurch wird wiederum einerseits die gesamtstrukturweite Replikation wie auch der gesamtstrukturweite Ressourcenzugriff möglich. Innerhalb einer Gesamtstruktur werden ein einziges Schema und ein einziger globaler Katalog verwendet. Die entsprechenden Verzeichnispartitionen des Active Directory werden dementsprechend gesamtstrukturweit repliziert. 106 [Networking Kompendium]

15 Active Directory Kapitel 2 Vertrauensstellungen Domänen werden miteinander mithilfe von so genannten Vertrauensstellungen verbunden. Das ist nötig, da Domänen eine Sicherheitsbarriere darstellen. Damit Konten aus einer Domäne Ressourcenzugriff in einer anderen Domäne gewährt werden kann, ist eine Verbindung beider Domänen notwendig. Dies geschieht mithilfe von Vertrauensstellungen. Vertrauensstellungen gibt es seit Windows NT. Dort werden sie mit dem Server-Manager manuell für jeden Partner eingetragen. NT-Vertrauensstellungen sind einseitig nichttransitiv. Einseitig bedeutet, dass das Vertrauen gerichtet ist. Ist Domäne A die Kontendomäne und Domäne B die Ressourcendomäne und vertraut B A, dann schreibt man dafür B->A (B vertraut A). Das bedeutet, dass Benutzer mit Konten in Domäne A jetzt auf Ressourcen in Domäne B zugreifen dürfen, vorausgesetzt natürlich, sie verfügen über die nötigen Berechtigungen. Drucker Server Ressourcen-Domäne vertrauende Domäne Vertrauensrichtung Zugriffsrichtung Konten-Domäne vertraute Domäne NT-Vertrauensstellungen sind nicht transitiv. Vertraut B A und vertraut C B, heißt das noch nicht, dass C auch A vertraut. Das Vertrauen wird also nicht durchgereicht, sondern jede Vertrauensstellung muss explizit ( und manuell) eingerichtet werden. Bei vielen beidseitigen Vertrauensstellungen entsteht so ein hoher Verwaltungsaufwand. Abbildung 2.9: Sicherheit mit Vertrauensstellungen: Die Ressourcendomäne (links) vertraut der Kontendomäne dadurch können User aus der Kontendomäne auf Ressourcen in der Ressourcendomäne zugreifen (aber nicht andersherum!). Das AD verringert diesen Aufwand, da alle Vertrauensstellungen per Voreinstellung beidseitig und transitiv sind. Sie werden automatisch zwischen den Domänen einer Struktur und allen Struktur-Root-Domänen einer Gesamtstruktur eingerichtet und können nicht unterbunden werden. Damit ist sichergestellt, dass User in allen Domänen auf alle Ressourcen in allen anderen Domänen zugreifen können, immer vorausgesetzt, sie verfügen über die nötigen Berechtigungen. [Networking Kompendium] 107

16 Kapitel 2 Windows-Netzwerke Im AD gibt es zwei weitere Typen von Vertrauensstellungen: Shortcut Trust ( einseitig, transitiv) External Trust ( einseitig, nicht transitiv) Shortcut Trusts werden manuell zwischen nicht benachbarten Domänen eingerichtet. Sie stellen eine Abkürzung für den Fall dar, dass der Vertrauenspfad zwischen den beiden Domänen zu lang sein sollte. Ressourcenzugriffe erfolgen damit schneller. Abbildung 2.10: Shortcut Trusts zwischen B und C sowie zwischen D und 3 (Pfeile) sind hier beidseitig eingerichtet. A 1 B C 2 D 3 External Trusts sind die aus NT4 bekannten Vertrauensstellungen. Sie werden benutzt, um zwischen Strukturen und NT4-Domänen Vertrauensstellungen einzurichten. Organisationseinheiten Ein neues Element zur logischen Gliederung im AD stellen die Organisationseinheiten ( Organizational Units, OUs) dar. OUs fassen Ressourcen innerhalb einer Domäne zusammen, damit Sie zum Beispiel von einem Administrator verwaltet werden können, der nur für diese eine OU zuständig sein soll. Eine OU könnte zum Beispiel User einer bestimmten Abteilung mit ihren n und den Freigaben, die sie verwenden, enthalten. Mit OUs lässt sich die Verwaltung also feiner aufteilen. Geeignet sind OUs auch zur Verwaltung von Ressourcendomänen. Unter NT4 wurden dafür in der Regel eigene Domänen gebildet, die der Kontendomäne vertrauten. Dazu war das Einrichten von Vertrauensstellungen nötig. Ressourcen-OUs lassen sich dagegen viel leichter verwalten. OUs stellen die kleinste Einheit dar, die von einem Administrator verwaltet werden kann. 108 [Networking Kompendium]

17 Active Directory Kapitel 2 Server Abbildung 2.11: Mit OUs in einer W2K-Domäne lassen sich einzelne Verwaltungseinheiten einrichten. Server OU Server OU Domäne OU Server Standorte Im AD ist die logische Struktur streng von der physikalischen Struktur getrennt. Die logische Struktur besteht aus Strukturen, Gesamtstrukturen, OUs und Domänen. Die physikalische Struktur besteht aus Standorten (Sites) und Domänencontrollern. Ein Standort besteht aus einem oder mehreren Subnetzen, die über»schnelle«leitungen miteinander verbunden sind. Microsoft gibt dazu an, dass ISDN-Geschwindigkeit ( 128 Kbit/s) ausreicht. Normalerweise stellt ein LAN die Grenzen eines Standorts dar. Ein Standort wird immer dann benötigt, wenn Anmeldevorgang oder Replikation beeinflusst werden sollen oder müssen ( diese Vorgänge erfolgen normalerweise automatisch). Meldet sich ein Client an einem Domänencontroller an, sucht er zunächst in der eigenen Site. Findet er dort keinen, sucht er in weiteren Sites. Bei der Replikation versucht AD automatisch die Verzögerung innerhalb eines Standorts zu minimieren, sodass der Datenabgleich möglichst schnell zwischen allen Domänencontrollern erfolgt. Bei Replikation zwischen verschiedenen Standorten minimiert das AD den Bandbreitenverbrauch, außerdem lässt sich ein Zeitplan dafür aufstellen. [Networking Kompendium] 109

18 Kapitel 2 Windows-Netzwerke Schema Das AD bedient sich einer Datenbank, der ESE (Extensible Storage Engine), die eine Weiterentwicklung der Jet-Engine darstellt, die zum Beispiel von Access und Exchange verwendet wird. Die Objekttypen in dieser Datenbank werden durch das so genannte Schema definiert. Diese Definitionen bestehen aus Attributen und Klassen, beide zusammen heißen auch Schemaobjekte oder Metadaten. Attribute und Klassen Ein Attribut legt eine Eigenschaft eines Objekts fest. Zum Beispiel könnte ein User-Objekt für das Attribut VORNAMEN den Wert PETER enthalten. Als Werte können auch Arrays vorkommen, wie zum Beispiel bei der Mitgliedschaft von Usern in einer Gruppe: Die Gruppe stellt ein einziges Attribut dar, dieses hat aber viele Werte, nämlich alle User. Ein Attribut muss nur einmal im Schema definiert werden und kann dann in beliebig vielen Klassendefinitionen verwendet werden. Bei der Replikation werden nur Attribute repliziert, die auch einen Wert haben, im Gegensatz zu NT4, bei der das ganze Objekt mit allen (auch) leeren Attributen verteilt wird. Eine Klasse ist eine Zusammenstellung von Attributen. Aus Klassen werden die Objekte hergestellt ( abgeleitet). Windows 2000 enthält bereits viele vordefinierte Klassen und Attribute, die man mit dem Tool ADSI EDIT anzeigen und ändern kann (von der Server- CD in \SUPPORT\TOOLS installieren). Abbildung 2.12: Das Tool ADSI Edit zeigt alle Klassen und Attribute im Schema an. Damit kann man das Schema auch editieren! 110 [Networking Kompendium]

19 Active Directory Kapitel 2 Aber Vorsicht: Änderungen am Schema sollten nur von erfahrenen Administratoren durchgeführt werden. Das Schema wird nämlich gesamtstrukturweit repliziert. Globaler Katalog In einer Gesamtstruktur übernimmt immer wenigstens ein DC die Rolle des so genannten globalen Katalog-Servers ( Global Catalog Server, GC). Dieser ist ein normaler DC und verwaltet damit das Verzeichnis ( auch Partition genannt) seiner eigenen Domäne. Zusätzlich verwaltet er aber noch ausgewählte Attribute von Objekten aller anderen Domänen der Gesamtstruktur. Diese Attribute sind in der Regel häufig verwendete Attribute wie etwa Vorund Nachnamen in Suchanfragen. Welche Attribute genau gespeichert sind, legt der Administrator fest. Die Aufgabe des GC besteht darin, gesamtstrukturweite Suchvorgänge durchzuführen und die Anmeldung am Netzwerk zu ermöglichen. Daraus ergeben sich zwei Konsequenzen: Jeder Standort sollte seinen eigenen GC besitzen an diesem melden sich die Clients an. Und es muss Redundanz vorhanden sein: Mindestens ein zweiter GC sollte installiert werden für den Fall, dass der erste ausfällt. Bei einem Ausfall des GC kann sich bis auf die Domänenadministratoren niemand mehr anmelden (außer natürlich lokal). Dies gilt allerdings nur bei Native Mode-Domänen. Bei der Installation des ersten DC in der Forest Root Domain ist dieser automatisch der GC. Über das SnapIn AD STANDORTE UND -DIENSTE können weitere GC hinzugefügt werden (siehe Abbildung 2.13). Je mehr globale GC in einer Gesamtstruktur vorhanden sind, desto schneller erfolgen die Abfragen, jedoch erhöht sich auch die Netzwerklast durch den Replikationsverkehr zwischen den GC. Der GC ist der einzige DC, der Informationen über die universellen Gruppen in Windows 2000 speichert auch deshalb ist er unverzichtbar. Spezielle Serverrollen: FISMOs In einer Windows-2000-Domäne sind alle Domänencontroller gleichberechtigt, sie fungieren als Peers. Im Unterschied zu NT4 kann bei Windows 2000 eine Verzeichnisänderung auf jedem DC durchgeführt werden. Die Multimasterreplikation sorgt dann dafür, dass diese Änderungen auf alle DCs der Domäne kopiert werden. [Networking Kompendium] 111

20 Kapitel 2 Windows-Netzwerke Abbildung 2.13: Das Hinzufügen weiterer globaler Katalog-Server mithilfe des SnapIns AD Standorte und -Dienste ist aus Redundanzgründen mehr als ratsam. Es gibt jedoch einige DCs, die allein für bestimmte Änderungen zuständig sind. Diese speziellen Server-Rollen werden unter dem Begriff Betriebsmaster (Operation Masters) zusammengefasst, manchmal liest man auch FSMO (Flexible Single Operation Master, gesprochen»fismo«). Es gibt zwei gesamtstrukturweite FSMOs, d.h. die Replikation dieser FSMOs untereinander erfolgt gesamtstrukturweit: Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank. Der Domänennamen-Master kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Zusätzlich gibt es drei domänenweite FSMOs: Der RID-Master stellt den DCs seiner Domäne so genannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder -Objekte. Zusammen mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID. Der PDC-Emulator übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere Nicht-W2k-Clients oder BDCs enthält und überwacht Anmeldungen und Passwortänderungen. Der Infrastruktur-Master löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden und zwar solange, bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden. 112 [Networking Kompendium]

21 Active Directory Kapitel 2 Abbildung 2.14: Mit dem SnapIn AD Benutzer und - können die FSMO-Rollen geändert werden. Das SnapIn AD BENUTZER UND -COMPUTER ändert domänenweite FSMO- Rollen, während der Domänenmaster mit dem SnapIn AD DOMÄNEN UND VERTRAUENSSTELLUNGEN und der Schemamaster mit dem SCHEMA-SnapIn geändert werden. Active Directory und DNS Die Benennung der Domänen im AD folgt dem DNS (im Gegensatz zu NT). Damit können Windows-2000/XP-Domänennamen genau auf Internet- Domänennamen abgebildet werden, d.h. sie heißen einfach genau so. DNS ist ein hierarchisch aufgebauter Namensraum, also ein Gültigkeitsbereich für Namen. Innerhalb eines solchen Bereichs ( Zone genannt) werden FQDNs (Fully Qualified Domain Names, z.b. in IP-Adressen aufgelöst. DNS ist im Protokollteil beschrieben. Der Unterschied zwischen AD und DNS besteht darin, dass sie zwar die gleichen Domänennamen verwenden, aber unterschiedliche Namensräume. DNS speichert Zonen und Ressource Records, AD speichert Domänen und -objekte. Zur Ausführung des AD muss DNS installiert sein. WINS kann jedoch weiterhin zur Namensauflösung eingesetzt werden (auch aus Gründen der Abwärtskompatibilität). DNS kann im AD verwaltet werden, wodurch die Zonendateien repliziert werden und somit eine höhere Ausfallsicherheit erreicht wird. [Networking Kompendium] 113

22 Kapitel 2 Windows-Netzwerke Zwei Besonderheiten gibt es beim neuen DNS-Server: Clients registrieren sich dynamisch (dynamic DNS). Falls sie von einem DHCP-Server eine neue IP-Adresse erhalten, zeigt auch diese auf den korrekten FQDN. Weiterhin ist zum Betrieb von DNS im AD die Unterstützung der Service Location Resource Records (SRV) zwingend notwendig. Diese mappen den Namen eines Dienstes auf den des Servers, der den Dienst anbietet. Benennungskonventionen Objekte im AD müssen einen Namen haben. Es gibt nicht weniger als fünf Möglichkeiten, Namen zu bilden, bei Verwendung von LDAP-Namen sogar noch mehr. Der Name ist einfach ein Pfad im Verzeichnis, mit dessen Hilfe das Objekt sicher gefunden werden kann. Es gibt folgende Benennungskonventionen: Security Principal-Objekte SID LDAP-Namen GUIDS Logon-Namen (UPNs und SAMs) Security Principal-Objekte (auf Deutsch etwa»wichtige Sicherheitseinheiten«) sind alle diejenigen Objekte, denen das OS eine SID zuordnet, also User, Gruppen und. Innerhalb der Domäne müssen SIDs eindeutig sein. Die SID erlaubt das Anmelden an der Domäne sowie den Zugriff auf Ressourcen. NetBIOS-Namen sind zum Beispiel Security Principals. Die SID identifiziert User, Gruppen und. LDAP ist das Standard-Protokoll für den Verzeichniszugriff. Eine Möglichkeit, ein Objekt im AD zu adressieren, ist die Verwendung einer LDAP- URL: LDAP://ldapsvr/CN=Topkapi,DC=DEV,DC=MSFT,DC=COM Die Bezeichner/Wert-Paare haben folgende Bedeutung: Tabelle 2.1: Bezeichner in LDAP-Namen Attribut OU CN Bedeutung Organisatorische Einheit. Unterteilt einen Namespace logisch basierend auf der OU-Struktur. Canonical Name. Der kanonische Name bezeichnet das Objekt innerhalb des Verzeichnisdienstes. 114 [Networking Kompendium]

23 Active Directory Kapitel 2 Attribut DC O C Bedeutung Domain Component. Domänenkomponenten entsprechen den einzelnen Teilen eines Domänennamens. Der Name mut.de besteht zum Beispiel aus den LDAP-Namen DC=mut und DC=de. Organisation. Legt den Firmennamen fest. Country, das Land. Tabelle 2.1: Bezeichner in LDAP-Namen (Forts.) GUIDs sind 128 Bit breite, weltweit eindeutige Werte, die ein Objekt identifizieren. Sie werden statt der SID verwendet, die ja nur domänenweit gültig ist. Ein User Principal Name (UPN) hat einfach die Form einer - Adresse, wie zum Beispiel user@mut.de. Ein SAM-Name ist ein Anmeldename bei einer NT4-Domäne, also ein Benutzername. Replikation Domänencontroller verwalten die Benutzerkontendatenbank. Damit unter Windows 2000/XP Server ein DC laufen kann, muss das AD installiert sein. Aus Redundanzgründen werden meist mehrere DCs eingesetzt, wodurch das Problem der Verteilung der Benutzerkontendatenbank auf die verschiedenen DCs entsteht. Dies wird durch die Replikation gelöst ein Vorgang, der die Datenbank auf alle DCs in der eigenen Domäne kopiert. Multimaster-Replikation In NT-4-Domänen übernimmt der PDC die Rolle des Master-Servers. Alle Änderungen am Verzeichnis (SAM) können nur auf dem PDC vorgenommen werden. Das Verzeichnis auf dem PDC ist also beschreibbar. Anders dagegen die Kopien, die der PDC auf den BDCs repliziert: Diese sind nur lesbar. Windows 2000/XP macht keinen Unterschied mehr zwischen PDC und BDCs. Alle Domänencontroller sind gleichberechtigt (Multimaster). Findet eine Änderung des Verzeichnisses an einem Domänencontroller statt, so wird diese auf alle Domänencontroller der Domäne repliziert. Es gibt jedoch Unterschiede dabei, was repliziert wird. Bei der Replikation des Active Directory werden drei verschiedene Datentypen ( auch Verzeichnispartitionen genannt) unterschieden: Domänendaten: Hier sind Informationen über alle Objekte in der Domäne enthalten, wie zum Beispiel Attribute von User- und -Konten, -Adressen, Share und andere Informationen. [Networking Kompendium] 115

24 Kapitel 2 Windows-Netzwerke Konfigurationsdaten: Diese Daten beschreiben die Topologie des Verzeichnisses: Wie viele Gesamtstrukturen, Strukturen, Domänen und globale Kataloge gibt es und wo befinden sich diese? Schemadaten: Objekttypen und Attribute. Ausnahme: Wenn der Domänencontroller den globalen Katalog hostet, wird noch ein vierter Datentyp repliziert: ein Teil der Domänendaten anderer Domänen der Gesamtstruktur. 2.3 Namensauflösung Um einen in einem Netzwerk zu finden, gibt man seinen Namen an und kann sich dann zum Beispiel mit ihm verbinden. Dahinter stecken verschiedene Mechanismen zur Adressierung von n in Netzwerken wie NetBIOS oder das DNS. Adressen und Namen In jedem Netzwerk werden Adressen eingesetzt, um zu identifizieren. In TCP/IP-Netzwerken werden dazu IP-Adressen verwendet. Im Internet sind IP-Adressen weltweit eindeutig, in einem LAN können spezielle private Adressen benutzt werden (mehr zu IP-Adressen im Protokollteil). Die IP-Adresse gehört zum Beispiel zum Namen Beide müssen also irgendwie in Zusammenhang stehen. IP-Adressen müssen eingesetzt werden, da nur mit Zahlen (genauer gesagt nur mit Binärzahlen) umgehen können. Namen wie gibt es nur deswegen, weil sie für Menschen leichter zu merken sind benötigen sie nicht. Wenn man zum Beispiel die Homepage des Markt+Technik-Verlags aufrufen möchte, gibt man in den Browser ein, und die Seite wird angezeigt. Intern wird jedoch der Name in die IP-Adresse umgerechnet und anhand der IP-Adresse der Rechner gefunden, der für diese Homepage zuständig ist. Dieser Prozess des Zuordnens einer IP-Adresse zu einem Namen heißt Namensauflösung. IP-Adressen sind logische Adressen auf Ebene 3 des OSI-Modells. Daten, die für einen IP-Host bestimmt sind, werden durch verschiedene Netzwerke bis zum Zielnetz geroutet. Dort wird die logische IP-Adresse in eine physische Adresse die MAC-Adresse umgerechnet. Anhand der MAC-Adresse wird schließlich das Zielgerät gefunden. Je nach Größe des Netzwerks kommen verschiedene Verfahren der Namensauflösung zur Anwendung: 116 [Networking Kompendium]

25 Namensauflösung Kapitel 2 NetBIOS-Broadcasts NetBIOS-Namens-Cache hosts lmhosts DNS WINS DNS und WINS kommen in großen und sehr großen Netzwerken zum Einsatz. WINS ist ein Microsoft-spezifischer Ersatz für DNS und seit Windows 2000 nicht mehr notwendig, ältere Netzwerke setzen WINS jedoch noch ein. Die Dateien hosts und lmhosts können auch in großen Netzwerken verwendet werden, sind jedoch zu unflexibel und werden daher nur noch selten eingesetzt. NetBIOS-Broadcasts sind schließlich auf ein Segment beschränkt. Das flexibelste System ist das DNS, das inzwischen in Netzwerken aller Größen eingesetzt wird. Die Wahl der Methode zur Namensauflösung hängt von den (historischen) Gegebenheiten eines Netzwerks und vor allem von seiner Größe ab. Nur in kleinen SOHO-Netzwerken mit einem Segment braucht man sich darum keine Gedanken zu machen: hier reicht NetBIOS. NetBIOS-Broadcasts Eine einfache Methode, Namen in einem nicht segmentierten Netzwerk bekannt zu machen, stellen die Broadcasts (Rundrufe) dar. Meldet sich ein zum Beispiel am Netzwerk an, sendet er ein spezielles Datenpaket an alle anderen Stationen, um sich bekannt zu machen. Ebenso bei der Abmeldung oder der Auflösung von NetBIOS-Namen in IP-Adressen. NetBIOS-Broadcasting ist eine Methode der Namensauflösung in Windows-Netzen. Sie hat den Nachteil, relativ viel Bandbreite zu verbrauchen und nicht über Router geleitet zu werden. Diese betrachten Broadcasts als Verunreinigungen. NetBIOS-Cache Ist ein Name einmal erfolgreich aufgelöst worden, wird er eine bestimmte Zeit lang im NetBIOS-Namens-Cache zwischengespeichert. Bei einer Namensauflösung wird zuerst dieser Cache durchsucht, bevor eine andere Methode verwendet wird. Die Einträge im Cache altern nach Ablauf einer bestimmten Zeitspanne werden sie gelöscht. [Networking Kompendium] 117

26 Kapitel 2 Windows-Netzwerke hosts Eine einfache Art der Zuordnung einer IP-Adresse zu einem Namen besteht darin, beide in einer Datei zu speichern und bei einer Abfrage des Namens die zugehörige IP-Adresse aus dieser Datei zu suchen. Diese Datei heißt hosts, mehr dazu im Protokollteil. lmhosts Der hosts-datei in beliebigen Netzwerken entspricht die lmhosts-datei in Windows-Netzwerken. Sie funktioniert wie die hosts, ist Microsoft-spezifisch und enthält einige Erweiterungen, zum Beispiel um ausgewählte Namen/IP-Adressen beim Rechnerstart zu cachen. DNS DNS ist seit Windows 2000 das bevorzugte System zur Namensauflösung in großen Netzwerken. DNS muss konfiguriert werden, wenn Active Directory-Domänen vorhanden sind Clients auf das Internet zugreifen oder das Netzwerk DNS verwendet. Zusätzlich können weitere Verfahren eingesetzt werden. DNS ist im Protokollteil ausführlich beschrieben. WINS In reinen Windows-Netzwerken kann die Namensauflösung über WINS ( Windows Internet Name Service) erfolgen. Dabei wird eine IP-Adresse zu einem NetBIOS-Namen gesucht. WINS ist dem DNS recht ähnlich, aber Microsoft-spezifisch. Zudem wird es seit Windows 2000 vollständig durch DNS ersetzt und ist nur noch aus Gründen der Abwärtskompatibilität vorhanden. In reinen Windows-2000-Netzwerken kann WINS vollständig durch DNS ersetzt werden. WINS besteht aus den WINS-Servern ( die NetBIOS-Namens-Server sind), für die Windows-Server nötig sind, und der WINS-Client-Software NBT (NetBIOS over TCP/IP). Die WINS-Datenbank enthält NetBIOS-Namen sowie die dazugehörigen IP-Adressen. Die WINS-Clients registrieren ihre Namen automatisch in dieser Datenbank und verwenden sie für die Namensauflösung. Wird DHCP eingesetzt und ändert sich dadurch die IP-Adresse eines Hosts, wird die neue IP-Adresse automatisch im WINS-System registriert. Adressen von WINS-Servern werden entweder per DHCP verteilt oder manuell in den Clients eingetragen. 118 [Networking Kompendium]

27 Namensauflösung Kapitel 2 WINS kann in segmentierten Netzen verwendet werden, sofern sich in jedem Segment ein WINS-Server befindet. Häufig werden WINS und DNS parallel betrieben, weil noch ältere Clients als Windows 2000 im Einsatz sind und der Übergang zum DNS schrittweise erfolgt. In einer Microsoft-Umgebung können WINS und DNS zusammenarbeiten: Ist der DNS-Server für WINS-Lookup konfiguriert, kann er Anfragen an die WINS-Server weiterleiten und somit unbekannte A-Records (Host-Namen) für WINS-Clients auflösen. Reihenfolge der Namensauflösung Die genannten Verfahren zur Namensauflösung werden kombiniert und in einer bestimmten Reihenfolge eingesetzt. Welches Verfahren zuerst verwendet wird, hängt von den so genannten NetBIOS-Knotentypen ab, die in RFC 1001 und 1002 definiert sind: B-Knoten (Broadcast-Knoten) verwenden Broadcasts P-Knoten ( Peer- oder Punkt-zu-Punkt-Knoten) verwenden NetBIOS- Name-Server (WINS-Server) M-Knoten (Mixed Knoten) verwenden zuerst Broadcasts und dann WINS-Server H-Knoten ( Hybrid-Knoten) verwenden zuerst WINS-Server, dann Broadcasts Windows-Implementierungen verwenden einen weiteren fünften Knotentyp: den erweiterten Microsoft-Knoten. Diese Knoten werten sowohl die lmhosts als auch die hosts aus und fragen DNS-Server ab. Sind WINS-Server anwesend, ist der P-Knoten die Voreinstellung, sonst der B-Knoten. Welcher NetBIOS-Knotentyp auf einem Client eingestellt ist, lässt sich mit IPCONFIG /ALL in Erfahrung bringen. Alle Knotentypen verwenden zuerst DNS, falls DNS konfiguriert ist. Bevor DNS-Server ICON: Tippgefragt werden, sieht der Client im DNS-Cache nach. Im Cache werden positive und negative Antworten des DNS-Servers zwischengespeichert. Die TTL für positive Antworten beträgt einen Tag ( Sekunden), für negative Antworten 300 Sekunden. Ist kein DNS konfiguriert, werden entweder WINS-Server oder Broadcasts verwendet. In jedem Fall ist NBT installiert. Zuerst wird der NetBIOS- Cache durchsucht, dann werden in Abhängigkeit vom Knotentyp WINS- [Networking Kompendium] 119

28 Kapitel 2 Windows-Netzwerke Server oder Broadcasts verwendet. Die folgende Tabelle fasst die Reihenfolge für die vier Knotentypen zusammen: Tabelle 2.2: Reihenfolge der Namensauflösung der verschiedenen Knotentypen H-Knoten P-Knoten M-Knoten B-Knoten DNS DNS DNS DNS NetBIOS-Cache NetBIOS-Cache NetBIOS-Cache NetBIOS-Cache WINS WINS Broadcast Broadcast Broadcast lmhosts WINS lmhosts lmhosts hosts lmhosts hosts hosts - hosts Der Browser-Dienst In allen Windows-Netzen gibt es ein merkwürdiges Phänomen: Startet man einen Windows-PC und öffnet die Netzwerkumgebung, scheint diese zunächst leer zu sein. Erst nach und nach erscheinen die Arbeitsgruppen und Domänen, sofern man ständig einen Refresh durchführt oder lange genug wartet. Meldet man einen PC ab, so ist dieser noch lange Zeit später in der Netzwerkumgebung vorhanden. Natürlich erscheint eine Fehlermeldung bei einem Zugriff. Dieses Verhalten hängt mit der so genannten Browse-Liste zusammen. Öffnet man die Netzwerkumgebung im Explorer, werden dort die Arbeitsgruppen und Domänen angezeigt. Auf der gleichen Ebene befinden sich die, die in der gleichen Arbeitsgruppe (oder Domäne) vorhanden sind. Arbeitsgruppen und Domänen enthalten die PCs. Öffnet man einen, werden seine Freigaben angezeigt. Dieser ganze Baum, angefangen vom Symbol NETZWERKUMGEBUNG bis zur letzten Freigabe, ist die so genannte Browse-Liste. Sie wird vom Browser-Dienst ( auch Suchdienst genannt) verwaltet, der im Hintergrund auf jedem Windows-Rechner läuft. In einem Peer-Netz gibt es einen Master-Browser und immer mindestens einen Backup-Browser. Der Master stellt die Liste zusammen und sendet sie an die Backup-Browser. Von dort holen sie die Clients ab. Der ganze Vorgang ist ziemlich kompliziert und wird beim Hinzukommen von 2000/XP- Workstations und -Servern noch komplizierter und: Es kostet Zeit. Das ist der Punkt. Fährt zum Beispiel ein PC unerwartet runter, und wird die Browse-Liste angefordert, dann erscheint er noch in der Liste. Der Master- Browser kann ja nicht wissen, dass ein PC nicht mehr anwesend ist (er hat 120 [Networking Kompendium]