Sie sind auf Seite 1von 73

INAS-Praktikum

Microsoft Education Support Centre


Deutschland

Microsoft Server-Administration
Dynamic Domain Name System (DDNS)
Dynamic Host Configuration Protocol (DHCP)
Active Directory

Enrico Keil
ESC Deutschland
Dynamic Domain Name System
DDNS

Einführung in DNS
Windows 2000 DNS

2
Einführung in DNS

• ermöglicht Verwendung hierarchischer, ausgeschriebener


Namen zur Adressierung von Netzwerkressourcen

• dient der Ressourcenfindung im Netzwerk

• ist eine verteilte Datenbank

• kann Namensanfragen in die zugehörige IP auflösen – und


umgekehrt

• „DNS“ bezeichnet auch das zugehörige Protokoll

• verwendet „Namespace“, der IP-Gruppierungen symbolisch


durch einen Namen darstellt

• hierarchische Struktur erlaubt die Delegation der Verantwortung


für Unterbereiche

07.04.2019 INAS-Praktikum 3
Einführung in DNS

• Der Namespace
• hierarchische und logische Struktur  Domain Namespace
• Wurzel = Stammdomäne; Unterknoten = DNS Name

07.04.2019 INAS-Praktikum 4
Einführung in DNS

• wichtige Begriffe
jeder Computer, der den DNS-Dienst ausführt, eine DNS-
DNS server
Datenbank hält und auf Clientanfragen antwortet

Programme, die mit Hilfe von DNS-Abfragen Informationen auf


DNS resolvers
den Servern abfragen; Resolver können auf Clients oder Servern
(Auflösungsdienste)
ausgeführt werden
Informationen in der DNS-Datenbank, die für die Verarbeitung
Resource records von Clientanfragen verwendet werden. DNS-Server halten
(Ressourceneinträge) Ressourcen-Einträge für den Anteil des Namespace, für den sie
autorisiert sind.
fortlaufende Anteile des DNS-Namespace, für die der DNS-
Zones (Zonen) Server autorisiert ist. ein DNS-Server kann für eine oder mehrere
Zonen autorisiert sein

07.04.2019 INAS-Praktikum 5
Einführung in DNS

• Zonen
• Zone = fortlaufender Anteil am DNS-Namespace

• jede Zone ist an einem Domänenknoten verankert

• Zone ≠ DNS-Domäne!

• DNS-Domäne = Teilstruktur des DNS-Namespace

• Zone = Teil des DNS-Namespace; kann mehrere DNS-


Domänen enthalten

• können von mehreren Servern verwaltet werden

• Unterscheidung: primäre Zone / sekundäre Zone (Kopie)

• Speicherung in Textfiles, AD-Integration möglich

07.04.2019 INAS-Praktikum 6
Einführung in DNS

• DNS-Server
• speichert Informationen über Zonen
• bedient Anfragen von Clients
– nutzt eigene Zonen
– nutzt Cache (auch negativen Cache)
– fragt andere Server
– leitet weiter
• kann gleichzeitig primärer Server und sekundärer Server einer
anderen Zone sein
• nimmt Änderungen nur für primäre Zonen entgegen
• Vorteile von Sekundärservern:
– Fehlertoleranz
– Reduktion der Netzwerklast
– Reduktion der Datenlast auf Primärserver
– Caching-only Server zur weiteren Performance-Steigerung

07.04.2019 INAS-Praktikum 7
Einführung in DNS

• Forwarders und Slaves


• bei nichterfolgreicher Abfrage der eigenen Zone ist
Kontaktierung anderer DNS-Server möglich

• dadurch unter Umständen hohe Netzlast

• Vermeidung durch Definition von Weiterleitungsservern, die


weitere Abfragen durchführen

• dadurch Zentralisierung der Abfragen für fremde Zonen 


bessere Cacheausnutzung

• nicht exklusiver Modus = Forwarder

• exklusiver Modus = Slave


dieser versucht auch nach fehlgeschlagener Weiterleitung keine
eigenen zusätzlichen DNS-Abfrage

07.04.2019 INAS-Praktikum 8
Einführung in DNS

• Lastaufteilung
• DNS-Server können einfache Lastaufteilung mittels Round-
Robin-Verfahren durchführen

• einem Namenseintrag sind mehrere IP-Adressen zugeordnet

• bei Anfragen werden die Adressen in rotierender Folge


ausgegeben

• sinnvoll z.B. bei WWW – Servern

• keine wirkliche Lastaufteilung, aber eine einfache Methode um


Netzwerkressourcen besser auszunutzen

07.04.2019 INAS-Praktikum 9
Einführung in DNS

• Namensauflösung
• Vorbemerkung: erst seit Windows 2000 ist durchgängige
Identifikation der Netzwerkgeräte mittels DNS möglich

– Rekursive Anfragen
• grundsätzlicher Anfragetyp von DNS-Clients

• Client erwartet bei rekursiver Anfrage eine endgültige Antwort


des DNS-Servers

• hat dieser keine Informationen muss er zur Beantwortung einer


rekursiven Clientanfrage selbst weitere Anfragen stellen

07.04.2019 INAS-Praktikum 10
Einführung in DNS

– Iterative Anfragen
• Client erlaubt dem Server statt einer endgültigen Antwort auch
eine bestmögliche Antwort zu geben, z.B. den wahrscheinlich
zuständigen DNS-Server

• DNS-Server fragt dann bei diesem wieder iterativ nach

• durchläuft auf diese Weise den DNS-Baum - „walking the tree“

• üblicher Anfragetyp zwischen DNS-Servern

07.04.2019 INAS-Praktikum 11
Einführung in DNS

– ein Beispiel
n ze l
.org .
ra p u
ww.
a ge n
a ch
w Namensserver
Anfr
r
Refe
DNS-Server

Anfrage nach www.rapunzel.org Anfrage nach www.rapunzel.org


.org
Antwort mit IP-Adresse
Namensserver
Refer

Client im Internet DNS-Server DNS-Server


Anfr
a ge n
a ch
www
.rap
u n ze l
.org
rekursive Anfrage Antw
o rt m
it IP
-Adr
rapunzel.org
e sse
Namensserver

DNS-Server

iterative Anfragen

07.04.2019 INAS-Praktikum 12
Einführung in DNS

• Resource Records
• Zonen enthalten Ressourceneinträge mit folgendem Format

Owner TTL Class Type RDATA

Name des Hosts oder der DNS-Domäne, zu dem/der


Owner (Besitzer)
der Eintrag gehört
32-Bit Integer, der die Gültigkeitsdauer angibt
TTL
(optional)
Class (Klasse) Protokollfamilie, immer „IN“

Type Typ des Ressourceneintrags


Ressourceneintragsdaten, variabler Typ, je nach Type
RDATA
des Eintrags

07.04.2019 INAS-Praktikum 13
Einführung in DNS

– SOA Resource Record


• Start of Authority (Ursprung einer Zone)
• RDATA enthält:
– authorized server = primärer Server der Zone
– responsible person (Achtung: kein „@“, sondern „.“ nutzen)
– serial number (Anzahl der Aktualisierungen der Zone)
– refresh (wie oft ist die Zone zu replizieren)
– retry (Timeout für Zonentransfer)
– expire (Verfall der Zone, wenn Zonentransfer nicht erfolgreich)
– minimum TTL (Default-TTL-Wert für alle Einträge)
rapunzel.org. IN SOA (
dc1.rapunzel.org. ; autorisierter Server
dnsadmin.rapunzel.org. ; Zonenadministrator
1441 ; serial number
3600 ; refresh (1h)
600 ; retry (10min)
86400 ; expire (1d)
60 ) ; minum TTL (1min)

07.04.2019 INAS-Praktikum 14
Einführung in DNS

– NS Resource Record
• geben die für die Zone autorisierten Namensserver an
• jede Zone muss mindestens einen NS-Eintrag enthalten
accounting.rapunzel.org. IN NS dc1.accounting.rapunzel.org

– A Resource Record
• Address Resource Record ordnet einem FQDN eine IP zu
mbs IN A 172.22.23.4

– PTR Record
• Pointer Resource Record ordnet einer IP den FQDN zu
• rückwärts geschriebener IP & „in-addr.arpa.“
4.23.22.172.in-addr.arpa. IN PTR mbs.rapunzel.org

07.04.2019 INAS-Praktikum 15
Einführung in DNS

– CNAME Resource Record


• Canonial Name resource record erstellt einen Aliasnamen
• ein FQDN kann durch mehrere CNAMEs adressiert werden
• ermöglicht Zugriff über „freundliche Namen“
www IN CNAME mbs.rapunzel.org

– MX Resource Record
• Mail Exchange record legt Mailaustauschserver fest
• mehrere Einträge können mit versch. Priorität angelegt werden
• niedrigster Wert bedeutet größte Präferenz

*.rapunzel.org IN MX 0 mail1.rapunzel.org
*.rapunzel.org IN MX 10 mail2.rapunzel.org

07.04.2019 INAS-Praktikum 16
Einführung in DNS

– SRV Resource Record


• Service Resource record ermöglichen Standortbestimmung
bestimmter Dienste
• für die AD-Struktur von extrem hoher Bedeutung
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
_Service spezifiziert den Namen des Dienstes, z.B. http
_Proto legt das Protokoll fest, z.B. TCP oder UDP
Name Domänenname des Ressourceneintrags
TTL 32-Bit Integer, der die Gültigkeitsdauer angibt (optional)
Class Protokollfamilie, immer „IN“
Priority Priorität des Hosts, analog zu MX-Records
Weight für Lastenausgleich vorgehesen
Port Anschlussport auf diesem Host
Ziel FQDN des Ziels

_http._tcp.rapunzel.org IN SRV 0 0 80 mbs.rapunzel.org

07.04.2019 INAS-Praktikum 17
Einführung in DNS

• Delegation records und Glue records


• werden benötigt, um eine Subdomäne an eine andere Zone zu
delegieren
• wird ausgedrückt durch
– einen NS record für die Subdomäne (delegation record)
– einen A record für den Nameserver der Subdomäne (glue record)

accounting.rapunzel.org IN NS dc.accounting.rapunzel.org
dc.accounting.rapunzel.org IN A 172.22.24.1

07.04.2019 INAS-Praktikum 18
Einführung in DNS

• Zonen
– Forward und Reverse Lookup Zonen
• Forward Lookup Zonen
– enthalten Informationen, wie Namensanfragen in IP-Adressen
aufgelöst werden
– es können alle Resource records außer PTR auftreten
– müssen immer einen SOA und mindestens einen NS Eintrag
enthalten
• Reverse Lookup Zonen
– enthalten Informationen, wie IPs zu Namen aufgelöst werden
– stellen innerhalb des DNS-Namespaces die Sonderdomäne
in-addr.arpa dar
– können nur SOA, NS, PTR und CNAME enthalten
– im Regelfall zu jeder FLZ auch eine RLZ

07.04.2019 INAS-Praktikum 19
Einführung in DNS

– Zonentransfer
• mehrere Server können eine Zone verwalten
• nur ein Server kann die Zone selbst hosten (Primärzone) und
kann diese aktualisieren
• weitere Server beziehen die Zone lediglich (Sekundärzone) und
können keine Aktualisierungen vornehmen
• regelmäßig müssen Zonentransfers durchgeführt werden
• man unterscheidet FULL Zone Transfer und INCREMENTAL
Zone Transfer
• Einsatz je nach Anwendungsumgebung

07.04.2019 INAS-Praktikum 20
Einführung in DNS

– abschließendes Beispiel

HQ

Primary Zone Load Balancing

rapunzel.org Secondary Zone

accounting.rapunzel.org
HR

Cache
Caching-only
DNS Server Delegated Zone

07.04.2019 INAS-Praktikum 21
Windows 2000 DNS
• Allgemeines zu Windows 2000 DNS
– Besonderheiten
• Integration in das Active Directory
• Unterstützung dynamischer Aktualisierungen
• Aging und Scavenging von Einträgen
• incremental zone transfer
• Unterstützung sicherer Updates
• neue Ressourceneinträge für das AD
– Benennung von Host- und Domänennamen
Beschränkung Standard-DNS DNS in Windows 2000 NetBIOS
Zeichen A-Z verschiedene Konfigurationen Unicode-Zeichen, Zahlen,
0-9 Leerzeichen, ! @ # $ % ^& '
- ().-_{}~
Länge des FQDN 63 Byte je Komponente 63 Byte je Komponente 15 Byte
255 Byte für FQDN 255 Byte für FQDN
AD-DNS Namen 64 Byte

07.04.2019 INAS-Praktikum 22
Windows 2000 DNS

– Begriffe
eindeutige Kennzeichnung für NetBIOS-Abfragen; 15 Byte
NetBIOS Name
Bezeichner
Hostname bezeichnet die erste Komponente des FQDN
primäres DNS-Suffix Namenssuffix, das zur Registrierung im DNS genutzt wird
das DNS-Suffix, welches an einem bestimmten
verbindungsspezifisches
Netzwerkadapter genutzt wird; kann verschieden vom
DNS-Suffix
primären DNS-Suffix sein
ein DNS-Name, der den Computer im Netzwerk eindeutig
FQDN
kennzeichnet

07.04.2019 INAS-Praktikum 23
Windows 2000 DNS

• Installation des DNS-Dienstes


• per Default nicht mitinstalliert
• Installation über „optionale Netzwerkkomponenten“
• Managementkonsole „DNS“
• Installation auch automatisch bei „dcpromo“ möglich

• Im Folgenden Bezug auf das Rapunzel-Szenario


• Installation des DNS durch dcpromo
• wichtige Schritte

07.04.2019 INAS-Praktikum 24
Windows 2000 DNS

• Zustand nach der manuellen Installation


• automatisches 3 Reverse Lookup Zonen angelegt
0.in-addr.arpa 127.in-addr.arpa 255.in-addr.arpa
• noch keine Forward Lookup Zone
• das Anlegen dieser ergibt folgende Zoneninformation
; Database file rapunzel.dns for rapunzel zone.
; Zone version: 1
;
@ IN SOA dc1.rapunzel admin. (
1 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; minimum TTL
;
; Zone NS records
;

@ NS dc1.

;
; Zone records

07.04.2019 INAS-Praktikum 25
Windows 2000 DNS

• Zustand nach der automatischen Installation


• Forward Lookup Zone für die AD-Domäne angelegt
; Database file rapunzel.org.dns for rapunzel.org zone.
; Zone version: 22

@ IN SOA dc1.rapunzel.org. admin. (


22 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; minimum TTL

; Zone NS records

@ NS dc1.rapunzel.org.

; Zone records

@ 600 A 172.22.23.1
c72078f2-9f4e-4456-a842-fad2ce81be8d._msdcs 600 CNAME dc1.rapunzel.org.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs 600 SRV 0 100 88 dc1.rapunzel.org.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs 600 SRV 0 100 389 dc1.rapunzel.org.
_kerberos._tcp.dc._msdcs 600 SRV 0 100 88 dc1.rapunzel.org.
_ldap._tcp.dc._msdcs 600 SRV 0 100 389 dc1.rapunzel.org.
_ldap._tcp.1254a189-d783-433d-b9dc-3052725d1810.domains._msdcs 600 SRV 0 100 389 dc1.rapunzel.org.
gc._msdcs 600 A 172.22.23.1
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs 600 SRV 0 100 3268 dc1.rapunzel.org.
_ldap._tcp.gc._msdcs 600 SRV 0 100 3268 dc1.rapunzel.org.
_ldap._tcp.pdc._msdcs 600 SRV 0 100 389 dc1.rapunzel.org.
_gc._tcp.Default-First-Site-Name._sites 600 SRV 0 100 3268 dc1.rapunzel.org.
_kerberos._tcp.Default-First-Site-Name._sites 600 SRV 0 100 88 dc1.rapunzel.org.
_ldap._tcp.Default-First-Site-Name._sites 600 SRV 0 100 389 dc1.rapunzel.org.
_gc._tcp 600 SRV 0 100 3268 dc1.rapunzel.org.
_kerberos._tcp 600 SRV 0 100 88 dc1.rapunzel.org.
_kpasswd._tcp 600 SRV 0 100 464 dc1.rapunzel.org.
_ldap._tcp 600 SRV 0 100 389 dc1.rapunzel.org.
_kerberos._udp 600 SRV 0 100 88 dc1.rapunzel.org.
_kpasswd._udp 600 SRV 0 100 464 dc1.rapunzel.org.
dc1 A 172.22.23.1

07.04.2019 INAS-Praktikum 26
Windows 2000 DNS

• weitere Konfigurationen
– Reverse Lookup Zone einrichten
• wird nicht automatisch angelegt
• Anlegen über Managementkonsole
• Eingabe des Netzes, für das Reverse Lookups durchgeführt
werden sollen
– Optionsmöglichkeiten in Servereigenschaften
• Interface
• Forwarders
• Advanced
• Root Hints
• Logging
• Monitoring
• Security

07.04.2019 INAS-Praktikum 27
Windows 2000 DNS

– Optionsmöglichkeiten in Zoneneigenschaften
• General
• SOA
• Name Servers
• WINS
• Zone Transfers

07.04.2019 INAS-Praktikum 28
Windows 2000 DNS

– Dynamische Aktualisierung
• Client macht Veränderungen beim DNS-Server bekannt
• Änderungen werden im A und PTR record vorgenommen
• erleichtert Administration
• sehr effektiv im Zusammenhang mit DHCP
– sichere Dynamische Aktualisierung
• analog zur dynamischen Aktualisierung
• vor Änderung des wird Zugriffsrecht überprüft
• nur Clients, die konfigurierbaren Sicherheitskriterien entsprechen
können ihre Informationen automatisch aktualisieren

07.04.2019 INAS-Praktikum 29
Windows 2000 DNS

• Troubleshooting
– serverseitig
• Startzustand des DNS-Dienstes prüfen
• Eventlog prüfen
• Scavening und Aging nutzen
• Forwarding überprüfen
• Netzwerkmonitor

– client- und serverseitig


• ipconfig
• nslookup
• Eventlog

interaktive Demonstrationen
der wichtigen Punkte in
VMWARE

07.04.2019 INAS-Praktikum 30
Dynamic Host Configuration Protocol
DHCP

Grundlagen
Der DHCP-Server unter Windows 2000
Installation, Konfiguration, Integration

31
Grundlagen von DHCP

• Was ist DHCP?


• beschrieben in RFC 2131
• Dienst, der es ermöglicht, Geräten eine IP-Adresse automatisch
zuzuweisen
• DHCP-Server besitzt einen Pool an Adressen, die er vergeben
kann
• darüber hinaus Vergabe weiterer Parameter
– Default Gateway
– Adressen der DNS-Server
– Domainname
– weitere
• geringer administrativer Aufwand
• kein „Verlust“ von IPs

07.04.2019 INAS-Praktikum 32
Grundlagen von DHCP

• wichtige Begriffe
DHCP server jeder Computer, auf dem der DHCP-Dienst ausgeführt wird

DHCP client jeder Computer, der DHCP nutzt, um eine IP-Adresse zu beziehen

ein fortlaufender Bereich möglicher IPs, die vom DHCP-Server vergeben werden
Scope (Bereich)
können; üblicherweise ein physikalisches Subnetz

Superscope eine administrative Zusammenstellung verschiedener Scopes zur Verwaltung


(Bereichsgruppierung) mehrerer logischer Subnetze im gleichen physikalischen Netz

Exclusion Range
beinhaltet IP-Adressen, die nicht vergeben werden sollen
(Ausschlussbereich)

Address Pool alle aktuell zur Vergabe verfügbaren Adressen bilden den Adresspool

Bezeichnung des Entleihvorgangs; außerdem die vom DHCP-Server vorgegebene


Lease Zeit, die eine vergeben IP-Adresse gültig ist; wird die Adresse vor Ablauf dieser Zeit
vom Client nicht bestätigt, fällt sie an den Pool zurück

durch eine Reservierung wird sichergestellt, dass ein bestimmter Client immer
Reservation dieselbe, fest vorgegebene Adresse erhält und diese auch nicht von anderen Geräten
genutzt werden kann

07.04.2019 INAS-Praktikum 33
Grundlagen von DHCP

• DHCP-Prozesse
– zwei Anforderungsszenarien
• 1. erstmaliger Start des Clients – Lease Process
• 2. Neustart des Clients – Lease Renewal Process
• Der DHCP-Lease Process: Erstvergabe

Initializing
Requesting
Selecting State
Binding State
State

TCP/IP Stack
initialized
DHCPREQUEST
DHCPACK
DHCPDISCOVER
DHCPOFFER
BOUND
Source
Source
Source
MAC:
MAC:
MAC:
Dest. MAC:
STATE
00-30-ab-1b-b1-36
Source MAC: 00-30-ab-1b-b1-36
00-00-B4-A7-82-55
00-00-B4-A7-82-55
FF-FF-FF-FF-FF-FF
Dest. MAC: FF-FF-FF-FF-FF-FF
Dest. MAC: FF-FF-FF-FF-FF-FF
Dest. MAC: FF-FF-FF-FF-FF-FF
Source
Source IP: 172.22.23.1
Source IP:IP: 172.22.23.1
0.0.0.0 DHCP-Server
DHCP-Client Dest.
Dest.
Source
Dest.
IP:
IP:
IP: IP:255.255.255.255
255.255.255.255
0.0.0.0
255.255.255.255
Dest.
IP:IP: 255.255.255.255
172.22.23.3
OfferedIdentifier:
Requested
Server IP: 172.22.23.3
Address: 172.22.23.3
172.22.23.1
Server
Server
Lease Identifier:
Identifier:
Length: 48 172.22.23.1
172.22.23.1
hours
Client Identifier: 00-00-B4-A7-82-55
Lease
Client
Client Length:00-00-B4-A7-82-55
Identifier:
Identifier: 48 hours
00-00-B4-A7-82-55
other
ClientParameters:
Requested Identifier: ….. …...
00-00-B4-A7-82-55
Parameters:

07.04.2019 INAS-Praktikum 34
Grundlagen von DHCP

– Der DHCP-Lease Process: laufende Erneuerung

Ablauf von 87,5%


50% der
derLeasetime
Leasetime

Rebinding
Renewing
Bound State
State

DHCPREQUEST
DHCPACK
Source
SourceMAC:
MAC:00-00-B4-A7-82-55
00-00-B4-A7-82-55
Dest.
Dest. MAC:FF-FF-FF-FF-FF-FF
MAC: 00-30-ab-1b-b1-36
Source
SourceIP:IP:172.22.23.3
DHCP-Client
172.22.23.3
Dest. IP: 255.255.255.255 DHCP-Server
Dest. IP: 172.22.23.1
Rebinding IP: 172.22.23.3
Renewing IP: 172.22.23.3
Requested Address: 172.22.23.3
ServerIdentifier:
Server Identifier:172.22.23.1
172.22.23.1
ClientIdentifier:
Client Identifier:00-00-B4-A7-82-55
00-00-B4-A7-82-55
RequestedParameters:
Requested Parameters: …...
…...

07.04.2019 INAS-Praktikum 35
Grundlagen von DHCP

• nur bei Erstvergabe der IP werden 4 Stufen durchlaufen, bei


Erneuerung nur 2
• Erstanforderung per Multicast, später Unicast, wenn möglich
• zu beachten: statt DHCPACK  DNCPNAK
führt zum augenblicklichen Verlust der IP und Rückfall in den
INITIALIZING STATE

• DHCP-Neuvergabe bei Neustart des Clients


– Client kennt seine IP, ist aber nicht im Bound-State
• DHCPREQUEST + DHCPACK = BOUND-STATE
• wenn nicht erfolgreich: PING auf Gateway  Erfolg = BOUND
• wenn PING nicht erfolgreich  neuen Leaseprozess starten

07.04.2019 INAS-Praktikum 36
DHCP-Server unter Windows 2000

• Besonderheiten des Windows 2000 DHCP-Dienstes


• Unterstützung benutzer- oder herstellerspezifischer Optionen
– erlaubt besondere Konfigurationsoptionen für best. Clients

• Integration von DHCP in DNS


– DHCP-Server kann dynamische Aktualisierungen vornehmen

• Rogue-DHCP-Erkennung
– Verhindern von unerwünschten DHCP-Servern im Netz

• Unterstützung von dynamischem BOOTP


– erlaubt, das eigentlich statische BOOTP aus dem dynamischen
DHCP-Pool zu bedienen

07.04.2019 INAS-Praktikum 37
DHCP-Server unter Windows 2000

• Planung des DHCP-Einsatzes


– Scopes und Superscopes
• Scope = Ansammlung von IP-Adressen mit zugehörigen
Optionen
– Bereichsname
– Bereich zur Vergabe möglicher Adressen
– Subnetzmaske
– Gültigkeitsdauer der Lease
– Exclusion Range zur Verhinderung der Adressvergabe
– Reservierungen
• Superscope = administrative Gruppierung mehrerer Scopes
– erlauben, in einem physikalischen Netz mehrere logische Netze zu
verwalten
– erleichtern Migration und bessere Nutzung der Pools

07.04.2019 INAS-Praktikum 38
DHCP-Server unter Windows 2000

– Gültigkeitsdauer einer Lease


• Standardwert ist 8 Tage
• kurze Leasetime bedeutet viel Netzwerkverkehr zur Erneuerung
• der Änderung unterworfene Netz fordern kurze Leasetimes

• großes statisches Netz, viele Desktops  lange Lease


• dynamisches Netz oder viele Notebooks  kurze Lease
• allgemeine Adressknappheit  kurze Lease
• unbegrenzte Lease nur mit Bedacht einsetzen!

07.04.2019 INAS-Praktikum 39
DHCP-Server unter Windows 2000

– die 80/20-Regel
• Ausfallsicherheit durch Verwendung mehrerer DCHP-Server
• Gedanke: Scopes zwischen Servern aufteilen
– aber: ein anderer DHCP-Server kann so keine Leases des anderen
zur Verlängerung bestätigen
• Gedanke: Scope auf beiden Servern angelegen
– ein DHCP-Server kann Leases des anderen bestätigen
– aber: DHCP bietet keinerlei Kooperation zwischen Servern an,
folglich werden Adressen doppelt vergeben, Konflikte treten auf
• Lösung: Anlegen des gesamten Scopes auf beiden Servern aber
Anlegen von gegenseitigen Exclusion Ranges
– beide DHCP-Server können Adressen konfliktfrei vergeben
– bei Ausfall eines Servers ist weiterhin eine Bestätigung alles
Leases möglich
• Praxisbewährt: Aufteilung nach 80%/20%-Schema

07.04.2019 INAS-Praktikum 40
DHCP-Server unter Windows 2000

Die 80/20-Regel
Scope auf
beiden Servern
definiert

vergibt 20% der Adressen vergibt 80% der Adressen

Active Addresses Excluded Addresses

Excluded Addresses Active Addresses

DHCP Server DHCP Server

07.04.2019 INAS-Praktikum 41
DHCP-Server unter Windows 2000

– DHCP-Relay-Agents
• Netzwerk aus mehreren gerouteten physikalischen Netzen
• viele Router unterstützen keinen DHCP(BOOTP)-Traffic
• Abhilfe: Relay-Agenten, die die DHCP-Nachrichten aufnehmen
und per TCP an den DHCP-Server senden

DHCP
DHCP Clients Clients
Subnet 1
DHCP With BOOTP
No BOOTP Forwarding Subnet 2
Relay Agent Forwarding
Router Router
DHCP
Client

DHCP
Server
Subnet 3

07.04.2019 INAS-Praktikum 42
DHCP-Server unter Windows 2000

• Konfigurationsmöglichkeiten
– Adresskonflikte verhindern
• Server Conflict Detection
– Ping auf die Adresse vor der Vergabe
– Markierung von belegten Adressen
– nur zur administrativen Verwendung sinnvoll
• Client Conflict Detection
– Client beginnt bei Konflikt einen Leaseprozess
– bei statischen IPs wird das Netzwerkinterface abgeschaltet
– DHCP-Optionen
• Optionen können mit Werten versehen und nach Bedarf
zugewiesen werden zu:
– Servern – Scopes
– Klassen – Clients

07.04.2019 INAS-Praktikum 43
DHCP-Server unter Windows 2000

– DHCP-Optionen
Code Optionsname Bedeutung
1 Subnet Mask Subnetzmaske (sinnvoll und notwendig als Scopeoption)
3 Router Adressen der zuständigen Router
6 DNS servers Liste der DNS-Server
15 Domain Name DNS Domain Name für die Namensauflösung
44 WINS servers Liste der WINS-Server
46 WINS node type Definition des Knotentyps (b, p, m, h)
51 Lease time Zeit, nach der die Lease ungültig wird
Zeit, nach der der Client in den Renewing-State übergehen
58 Renewal (T1) time value
soll
Zeit, nach der der Client in den Rebinding-State übergehen
59 Rebinding (T2) time value
soll

• Klassenoptionen werden unterschieden nach


– Herstellerklassen
– Userklassen

07.04.2019 INAS-Praktikum 44
Installation, Konfiguration, Integration

• Installation des DHCP-Dienstes


• per Default nicht mitinstalliert
• Installation über „optionale Netzwerkkomponenten“
• Managementkonsole „DHCP“

• Autorisation im Active Directory


• nicht erwünschte Server werden daran gehindert, DHCP-Dienste
anzubieten
• Autorisationsinformation ist im Active Directory abgelegt
• zur Autorisation sind Enterprise Admin Rechte notwendig
• zwischen DHCP-Servern werden DHCPINFORM-Nachrichten
ausgetauscht

07.04.2019 INAS-Praktikum 45
Installation, Konfiguration, Integration

DHCPServer
Object

Authorized
List

In authorized list Not in authorized list


(Start up) Active Directory (Shut down)

DHCP Service

DHCPINFORM DHCPINFORM
Authorized Unauthorized
Windows 2000 Windows 2000
DHCP Server DHCP Server

07.04.2019 INAS-Praktikum 46
Installation, Konfiguration, Integration

• Serveroptionen, Scope-Optionen, Konsole

07.04.2019 INAS-Praktikum 47
Installation, Konfiguration, Integration

• Troubleshooting
– serverseitig
interaktive Demonstrationen
• Startzustand des DHCP-Dienstes prüfen der wichtigen Punkte in
• Eventlog prüfen VMWARE

– clientseitig
• ipconfig mit den Parametern „release“ und „renew“

07.04.2019 INAS-Praktikum 48
Das Active Directory

Überblick
Installation und Konfiguration
Tips zur Problembehandlung

49
Überblick

• Verzeichnisdienst
• Unmengen verschiedener Ressourcen in einem Netzwerk
• Ziel: diese einfach finden und nutzen können
• Idee: Ablegen in einem zentralen Verzeichnis
• Verzeichnisdienst enthält Quelle der Information sowie Dienst,
wie diese zu nutzen ist
• Anforderungen
– Erweiterbarkeit
– Skalierbarkeit
– Verfügbarkeit
– Performance
– Sicherheit

07.04.2019 INAS-Praktikum 50
Überblick

• Active Directory
– Verzeichnisdienst von Windows 2000
– vereinigt DNS, X.500-Namenskonventionen und LDAP
• Directory
• Schema
• Global Catalog
• Replication
• Security Model

07.04.2019 INAS-Praktikum 51
Überblick

– Directory mit Objekten

Active Directory
Objects
Printers
Attributes
Printer1
Printer Name
Printer2
Printer Location
Printers
Printer3 Attribute
Value
Users
Attributes
Don Hall
First Name
Last Name Suzan Fine
Users Logon Name

07.04.2019 INAS-Praktikum 52
Überblick

– Schema
• enthält Regeln, die Objektklassen definieren

• definiert Attributoptionen für die Objekte (Attributklassen)

• Objekte sind Instanzen ihrer Klassen

• ein Schema pro Forest

• Schema selbst ist im Active Directory gespeichert

• Erweiterbarkeit und Anpassungsmöglichkeiten

07.04.2019 INAS-Praktikum 53
Überblick

Objects Active Directory Schema Is:


 Dynamically Available
Class Examples
 Dynamically Updateable
 Protected by DACLs

Attribute
Examples
Computers
Attributes of Users
List of Attributes
Might Contain:
accountExpires accountExpires
department department
Users distinguishedName distinguishedName
middleName directReports
dNSHostName
operatingSystem
repsFrom
repsTo
Printers middleName

07.04.2019 INAS-Praktikum 54
Überblick

– Global Catalog
• spezielle Datenbank innerhalb des Active Directory

• speichert ausgewählte Attribute zu Objekten

• zentrale Suchmaschine

• schneller Zugriff auf die wichtigsten Informationen

• beherbergt diese selbst oder verweist auf deren Speicherort

• Server, der die Rolle ausführt: Global Catalog Server

• Schema Admin kann bestimmen, welche Informationen


gespeichert werden

• mehrere Global Catalog Server sind möglich, jedoch nur ein


Global Catalog

07.04.2019 INAS-Praktikum 55
Überblick

Subset of the
Attributes of All
Domain
Objects

Domain
Domain Domain

Domain Domain
Global Catalog

Queries

Group membership
when user logs on

Global Catalog Server

07.04.2019 INAS-Praktikum 56
Überblick

– Replication
• Replikationsdienst verteilt AD-Daten über das Netzwerk

• alle Domain Controller partizipieren an der Replikation

• jede Änderung wird auf alle anderen DCs repliziert

• „MULTI-MASTER Replikation“

• Änderungen können auf beliebigem Server durchgeführt werden


und werden von dort repliziert

– Security Model
• Zugriff auf alle Objekte ist über Access Control Lists (ACL)
gesteuert

• ermöglicht Delegation administrativer Aufgaben

07.04.2019 INAS-Praktikum 57
Überblick

• Logischer Aufbau
• AD gliedert das gesamte Netzwerk in hierarchische Struktur

– Domain

– Trees und Forests

– (Organizational Units)

07.04.2019 INAS-Praktikum 58
Überblick

– Domain (Domäne)
• Basiseinheit des Active Directory
• repräsentiert logischen Zusammenschluss von Objekten
• ist immer über einen eindeutigen DNS-Namen identifizierbar
• Server, auf dem das AD gespeichert wird, heißt Domain
Controller
• mehrere DCs je Domain sind möglich und sinnvoll
• Vorteile des Domain-Konzepts
– Sicherheit Mitarbeiter

– Delegation HiWi

– Skalierbarkeit Admin
HP CLJ

– Verwaltung DC1 DC2


WS1

– Zugang

rapunzel.org

07.04.2019 INAS-Praktikum 59
Überblick

– Tree (Baum / Struktur)


• hierarchischer Zusammenschluss
von Domains Mitarbeiter

HiWi

• teilen sich zusammenhängenden Admin


HP CLJ

Namensraum DC1
WS1
DC2

• erste Domain bildet Root eines


Trees rapunzel.org

• two-way transitive trusts


zwischen den Domains im Tree Mitarbeiter

HiWi

• gemeinsames Schema, Admin


DC

gemeinsamer Global Catalog


WS1
WS2

accounting.rapunzel.org

07.04.2019 INAS-Praktikum 60
Überblick

– Forest (Gesamtstruktur)
• Zusammenschluss mehrerer Trees
• Namensraum kann getrennt sein
• ebenfalls two-way transitive trusts
• einheitliche Informationen im Forest
– transitive trust relationships (domains und trees)
– gemeinsames Schema
– gemeinsamer Global Catalog

Mitarbeiter Mitarbeiter

HiWi HiWi

Admin Admin
HP CLJ HP CLJ

DC1 DC2 DC1 DC2


WS1 WS1

rapunzel-research.org rapunzel.org

07.04.2019 INAS-Praktikum 61
Überblick

– Trusts
• two-way transitive Trust = beidseitig und transitiv als Standardfall
• auch einseitige oder nicht transitive trusts sind möglich
• Transitivität erleichtert die Administration
• in einer Struktur mit n Domains sind nur n-1 Trusts notwendig,
damit sich alle Domains vertrauen

Domain A

two-way transitive

Domain C
Domain B Domain D

automatisch

07.04.2019 INAS-Praktikum 62
Überblick

– Organizational Units
• nicht wirklich Bestandteil der logischen Struktur
• Verwaltungsinstrument
• Fortsetzung der Domainstruktur innerhalb einer Domain „im
Kleinen“
• können die AD-Objekte aufnehmen
• wichtigste Eigenschaft ist die Möglichkeit der Anwendung von
Sicherheitsrichtlinien auf die OUs
• dazu später mehr bei der Benutzerverwaltung

07.04.2019 INAS-Praktikum 63
Überblick

• Physischer Aufbau
– Sites (Standorte) Mitarbeiter

• logischer Aufbau bildet in den seltensten


Fällen wirklich die physische Struktur nach Admin HiWi

• physischer Aufbau = Standorte der DC1 DC2

einzelnen Domain Controller und


Computer in einem Forest HP CLJ

WS1
• Standort definiert als Subnetz
Site rapunzel.org Site

• Domains und Trees können sich über


mehrere Sites strecken
• Sites können mehrere Domains beinhalten
• besonderer Replikationsverkehr zwischen
Sites

07.04.2019 INAS-Praktikum 64
Überblick

• Server-Rollen
– Domain Controllers
• Windows 2000 Server
• hält eine Kopie des Active Directories
• repliziert mit anderen Domain Controllern
• kann Benutzeranmeldungen verifizieren
• mehrere Betriebsmasterrollen
– Schema Master (einer je Forest)
– DNS-Master (einer je Forest)
– RID-Master (einer je Domain)
– PDC-Emulator (einer je Domain)
– Infrastructure Master (einer je Domain)

07.04.2019 INAS-Praktikum 65
Überblick

– Member Server
• Windows 2000 Server
• Mitglied der Domain
• kein Domain Controller
– Dateiserver
– Anwendungsserver
– Datenbankserver
– Webserver
– Zertifikatsserver
– Firewalls
– RAS-Server

– Stand Alone Server

07.04.2019 INAS-Praktikum 66
Installation und Konfiguration des AD

• Installation mittels dcpromo


• dcpromo leitet den Installationsvorgang des AD ein
• Ersetzen der lokalen Benutzerverwaltung durch die der Domain
• mehrstufiger Assistent mit Wahl der zukünftigen Rolle, abhängig
von der Serverposition in der logischen Struktur
• Wiederherstellungskennwort festlegen
• bei Bedarf Installation von DNS

07.04.2019 INAS-Praktikum 67
Installation und Konfiguration des AD

• Die Arbeit mit dem Active Directory


– vordefinierte Administrator-Arten

Gruppe Beschreibung
DNSAdmins (mit DNS angelegt) administrative Rechte im DNS server Dienst
DNSUpdateProxy Recht, dynamische Updates am DNS durchzuführen
Domain Admins volle Kontrolle über die Domain; die Gruppe ist Mitglied er
lokalen Admingruppe aller Rechner der Domain
Enterprise Admins existiert nur in der Wurzel des Forests – volle Kontrolle über
alle Domains des Forests, wichtig für srukturweite
Maßnahmen wie z.B. DHCP-Autorisierung
Schema Admins existiert nur in der Wurzel des Forests - Recht, das Schema
des AD zu ändern

07.04.2019 INAS-Praktikum 68
Installation und Konfiguration des AD

– Managementkonsolen
• Active Directory Domains and Trusts

07.04.2019 INAS-Praktikum 69
Installation und Konfiguration des AD

• Active Directory Sites and Services

07.04.2019 INAS-Praktikum 70
Installation und Konfiguration des AD

• Active Directory Users and Computers

07.04.2019 INAS-Praktikum 71
Installation und Konfiguration des AD

– Ereignisprotokolle
• File Replication Service Eventlog

07.04.2019 INAS-Praktikum 72
Installation und Konfiguration des AD

• Directory Services Eventlog

07.04.2019 INAS-Praktikum 73