BERATUNG  ENTWICKLUNG  ORGANISATION  TECHNIK
    Startseite     Kompetenzen      Technik     Kontakt
 
 
 
 
 
 
  PRODUKTE
      Faktotum
      Kontaktorganisation
      Warenwirtschaft
      Organisation
      Entwicklung
  SYSTEM & TECHNIK
      KMU Landschaft
  GLOSSAR
      Fachbegriffe
      System + Technik
  KUNDEN
      Helpdesk
      Downloads
  MEIN SYSTEM
      Philosophie
      Das Team
      Partner
      Referenzen
      Kompetenzen
      Kontakt
 

Inhalt:

ADS
ADSL
Client Server Domain Modell
DHCP
DNS
Firewall
ISDN
Roaming Profile
SDSL
WINS
Workgroup Modell
VPN

 

 


ADS
(Active Directory Service)

Der Verzeichnisdienst von Windows 2000 heißt Active Directory (AD). Bei einem Verzeichnis (engl. Directory, data store) handelt es sich um eine Zuordnungsliste, wie zum Beispiel bei einem Telefonbuch: Es ordnet Telefonnummern den jeweiligen Anschlüssen (Besitzern) zu. Das AD ordnet verschiedenen Netzwerkobjekten wie Usern, Computern u.a. Eigenschaften zu.


Das Active Directory speichert viele interessante Objekte in einem Netzwerk. Es vereinfacht die Verwaltung und die Suche nach Ressourcen(Quelle: Microsoft.Corp).

Die Vorteile eines Verzeichnisdienstes sind (wie bei NT 4.0 auch): Single Sign On und vereinfachte Suche nach Ressourcen Single Sign On bedeutet, dass sich ein User nur einmal am Netz anmelden muss und dann Zugriff auf alle im Netz befindlichen Ressourcen hat - egal wo sich diese befinden - Benutzername und Passwort werden kein zweites Mal abgefragt. Wird in einem NT-4-Netz nach einer Ressource gesucht, zum Beispiel nach einem freigegebenen Ordner, so muss man wissen, auf welchem Server sich diese Freigabe befindet. Mit dem AD können dagegen alle Server automatisch durchsucht werden. Das Suchen nach Ressourcen ist eine der Hauptfunktionen des AD.

Woraus besteht das Active Directory?
Das AD besteht aus einer Datenbank, die Informationen über das Netzwerk wie User, Gruppen und Computer enthält. Die Datensätze heissen im AD-Jargon 'Objekte' und die Eigenschaften 'Attribute'. Ein User ist zum Beispiel ein Objekt im AD, der Name 'Meier' ein Attribut dieses Objekts. Welche Objekttypen im AD verfügbar sind, kann man beeinflussen, indem man neue Typen definiert. Das Muster, nach dem man dabei vorzugehen hat, ist das Schema: Es definiert die Objekte und ihre Attribute.

zurück zum Inhalt



ADSL

Asymmetric Digital Subscriber Line - Dabei handelt es sich um eine Methode mit der Daten in hoher Geschwindigkeit über das normale Telefonnetz übertragen zu können. Praktischerweise können dazu die bereits vorhandenen (Kupfer)-Leitungen verwendet werden.

zurück zum Inhalt



Client Server Domain Modell

In einem Client Server Netzwerk wird der Server als Domain Controller definiert. Der Domain Controller verwaltet die Userliste. User melden sich beim Start des Rechners am Server an und bekommen die File Berechtigung vom Server zugewiesen. Die Daten werden Zentral auf dem Server gespeichert. Durch die zentralen Daten ist eine Datensicherung mit einem Bandlaufwerk möglich. Sollte eine Workstation ausfallen können die anderen immer noch auf die Daten am Server zugreifen. Solche Netze eignen sich ab 2 Workstations wenn die Datensicherheit gewährleistet sein muß.

zurück zum Inhalt



DHCP

Dynamic Host Configuration Protokoll - dabei handelt es sich im ein Protokoll mit dem ein Server und seine Clients Informationen über die Konfiguration eines TCP/IP Netzes austauschen können. DHCP wird zum Beispiel für die dynamische Zuweisung von IP Adressen innerhalb eines LANs verwendet.

zurück zum Inhalt



DNS

Domain Name Service - Dabei handelt es sich um ein Protokoll, das Internet-weit Host- und Domänen-Namen zur Verfügung stellt. DNS wird zum Beispiel verwendet, wenn die IP Adresse eines Host-Namens ermittelt werden muss.

zurück zum Inhalt



Firewall

Als Schutz vor Einbruchsversuchen in lokale Netze, die über einen Anschluss an öffentliche Netze verfügen (z. B. Internet, aber auch ISDN), haben sich Firewall-Rechner, kurz 'Firewalls' bewährt. Ähnlich der Zugbrücke einer Burg erlauben sie den Zugang nur an einer definierten Stelle. Damit lässt sich der Datenverkehr von und nach außen kontrollieren. Normalerweise sind zahlreiche Rechner des Unternehmens, die unter diversen Betriebssystemen laufen, direkt aus dem öffentlichen Netz erreichbar. Ein Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Kanalisierung erhöht zudem die Chancen, einen Einbruchversuch anhand ausführlicher Protokoll-Dateien zu erkennen, da der Eindringling erst den Firewall passieren muss.
Ein Firewall kann aus einer einzelnen Maschine oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen WWW- oder ftp-Server. Die entsprechenden Hosts können dann in einem Zwischennetz isoliert werden.

Der Anschluss kann auf zwei Arten erfolgen. Die erste Möglichkeit ist das Einbinden ins lokale Netz. Der Router dieses Netzes wird so konfiguriert, dass alle Datenpakete nur an den Firewall weitergegeben werden, der auch als einziges System 'nach außen sichtbar' ist.

Die zweite Möglichkeit besteht darin, den Firewall mit zwei Netzwerk- Schnittstellen auszurüsten,
so dass das interne und das externe Netz durch den Rechner getrennt werden. Der Firewall routet dann nur die erlaubten Datenpakete.

Zur Software-Konfiguration eines Firewall existieren zwei Grundstrategien:

  • 'Es ist alles erlaubt, was nicht verboten ist'
    Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. tftp, nfs) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind, aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muss.
     
  • 'Es ist alles verboten, was nicht erlaubt ist'
    Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet.

Es gibt drei Arten von Firewalls:

  • Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Pakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei ftp).

 

  • Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Infomationen über geschützte Netzwerke verbergen.

  • Application Gateways, auch 'Proxy' (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muß sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der 'Verboten-was-nicht-erlaubt'-Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen.
    Die Server die von "außen" zugänglich sein sollen, können in eine sog. DMZ (demilitarisierte Zone) gestellt werden. Die Zugriffe von außen in diese Zone können somit noch besser kontrolliert werden und müssen nicht in das interne Netz zugelassen werden.
    Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so dass er bei einem erneuten Zugriff darauf - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufbauen muss.
     

Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität von einander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines autorisierten Anwenders und können, etwa durch eine zusätzliche Modem-Verbindung, umgangen werden.

zurück zum Inhalt



ISDN

Integrated Services Digital Network - im wesentlichen ein Daten-Kommunikationsanschluss für digitale Kommunikation. Man kann darüber telephonieren, Faxe verschicken oder sich ins Internet einwählen: Welche Funktion verwendet wird, ist vom Service-Provider an der Gegenstelle abhängig. Die in Österreich verwendeten ISDN Leitungen bieten 3 Kanäle: 2 mit je 64KBit und einen Service Kanal mit 16KBit/Sec.

zurück zum Inhalt



Roaming Profile

Das Servergespeicherte Benutzerprofil wird vom Systemadministrator erstellt und auf einem Server abgelegt. Dieses Profil steht beim Anmelden auf jedem Computer im Netzwerk zur Verfügung. Änderungen am Servergespeicherten Benutzerprofil werden auf dem Server gespeichert.

zurück zum Inhalt



SDSL

Symmetric Digital Subscriber Line - Dabei handelt es sich um eine Methode mit der Daten in hoher Geschwindigkeit über das normale Telefonnetz übertragen zu können. Bei SDSL Leitungen wird die Verbindung nicht wieder abgebaut. Praktischerweise können dazu die bereits vorhandenen (Kupfer)-Leitungen verwendet werden.

zurück zum Inhalt



WINS

Windows Internet Naming Service - Die Methode mit der ein NT Server den Host - Namen eines Computers mit seiner Adresse assoziiert.

zurück zum Inhalt



Workgroup Modell

In einem Workgroup Netzwerk sind alle Rechner gleichberechtigt. Das heißt Jeder Rechner ist sowohl Server als auch Workstation. Die File Berechtigung wir durch Userlisten die auf jedem Rechner in der Workgroup gesetzt. Die Daten werden auf den Eigenen Rechnern gespeichert. Durch die verteilten Daten ist eine Datensicherung mit einem Bandlaufwerk fast unmöglich. Bei einem Ausfall einer Workstation kann auf die Daten dieser nicht mehr zugegriffen werden. Solche Netze eignen sich nur für Rechnerverbunde von maximal 5 Workstations

zurück zum Inhalt



VPN

Das Point-to-Point-Tunneling-Protokoll (PPTP) oder das Layer-2-Tunneling-Protokoll (L2TP), die automatisch auf dem Computer installiert werden, ermöglichen Ihnen den sicheren Zugriff auf Ressourcen in einem Netzwerk, indem Sie über das Internet oder ein anderes Netzwerk eine Verbindung mit einem Ras-Server herstellen, auf dem Windows 2000 ausgeführt wird. Die Nutzung von privaten und öffentlichen Netzwerken zum Herstellen einer Netzwerkverbindung bezeichnet man als ein virtuelles privates Netzwerk (VPN).

zurück zum Inhalt