Diese Seite liegt nun auf einem anderen Server, Sie werden automatisch weitergeleitet!

THEMEN
Benutzermigration NT/2000
Vertrauensstellungen
TCP/IP-Drucker einrichten
Keine Anmeldung...
Offline Kalender in Outlook XP
Querformat in Word XP
DNS allgemein
DNS-Weiterleitung
Dienst startet nicht...
Webseiten schützen durch .htaccess
Personalisierte Fehlerseiten
ISA-Server pro und contra
Peer to Peer vs. Client/Server
Seminarunterlagen Windows 2000 
TCP/IP Einführung
Subnetting Einführung
Objektorientierte Programmierung
Marketing
SuSE eMail Server II
eMail Server Setup
IMAP Konfiguration
LDAP
Microsoftexamen 70-215/70-216

LINKS
Sicherheit ist Illusion
Best known William Hurt Site
Suffocated Art
Main Page

FEEDBACK
as-sassin@sicherheit-ist-illusion.de
Guestbook

Diese Seite basiet auf einem Study Guide von Yu Chak Tin Michael.
Überblick der Themen zum Mircosoft-Examen 70-216
Implementing, Managing and Supporting W2K Network Infrastructure 

Themen:
  • DNS und DDNS
  • DHCP
  • Remote Access
  • Routing
  • TCP/IP und andere Protokolle
  • Authentifizierung
  • Sicherheit
  • WINS

DNS

Domain Name System (oder Service) ist ein Internetdienst, der Domänennamen in IP-Adressen  übersetzt. Das Internet basiert auf IP-Adressen, aber Computer-/Domänen-Namen sind leichter zu merken, daher ist eine Zuordnung nötig. 
Jedesmal wenn ein Domänennamen benutzt wird, muß DNS ihn in eine IP-Adresse auflösen. 

DNS ist ein verteiltes Sytem. Wenn ein DNS-Server einen bestimmten Namen nicht übersetzten kann, leitet er die Frage an einen anderen weiter, solange, bis die richtige IP-Adresse (oder eine Fehlermeldung) zurückgegeben wird. 

InterNIC kontrolliert die top-level-domains, als da sind:
 
Name Namen
Com Kommerzielle Organisationen
Edu Bildungseinrichtungen
Org andere Organizationen
Net Netzwerke
Gov staatliche Abteilungen
Mil militärische Organisationen
Aero Reiseunternehmen
biz Business 
Museen
Num Telefonnummern
Arpa Reverse DNS

Die drei Komponenten von DNS sind: Resolver, Name-Server and der Domänen-Namensraum.
Resolver sind Clients, die Anfragen an den Namensserver (DNS-Server) schicken. Der Nameserver antwortet mit der gewünschten Information, dem Hinweis auf einen anderen Namensserver oder einer Fehlermeldung. 

Computer in einem Win2000-Netz benutzen DNS für alles; von Namensauflösung bis zum Auffinden eines Domaincontrollers, an dem sie sich anmelden können.
Früher benutzte man HOSTS oder LMHOSTS, aber heutzutage würdest Du keine Domäne ohne DNS-Server aufsetzten (unter Windows 2000 ist das auch gar nicht möglich...).

Ein Namensserver ist ein Internet-Host, der mit entspechender DNS-Software gerüstet ist. Eine beliebte (freie) Software hierfür ist BIND, die Microsoft-Lösung ist allerdings völlig anders.

Normalerweise wird ein einzelner DNS-Server konfiguriert, der primäre DNS-Server einer Domäne zu sein. Du machst alle Veränderungen auf diesemy Server. Zur Redundanz sind weitere Nameserver (sekundäre DNS-Server) einzurichten. Je nach Netzlast wird einfach der erste angebotene Namensserver zur Auflösung angesprochen. Normalerweise ist der Primäre DNS-Server als erster aufgelistet, aber dies ist nicht zwingend. 

Die sekundären DNS-Server müssen dem primären bekannt sein. Allerdings brauchen die sekundären ihren Primären Server nicht kennen. Vielleicht möchte man eingeschränkten Verkehr zu einem Host aus Sicherheitsgründen oder ähnliches. Sekundäre Nameserver arbeiten mit Zone Transfers, um eine komplette Kopie der Datenbank des primären DNS-Servers zu erhalten. Diese Aktualisierung wird durch eine Veränderung der Seriennummer bestimmt. Das SERIAL-Feld im SOA-Eintrag einer Domäne muß jedes Mal verändert werden, wenn die Datenbank ergänzt wurde. 

Wenn ein Namensserver eine Anfrage bekommt, die er nicht beantworten kann, verweist er auf einen besseren DNS-Server oder sucht selbst bei anderen Namensservern nach der korrekten Übersetzung und gibt diese dann an den Resolver.

Die meisten Namensserver suchen die Antwort, um sie für weitere Anfragen parat zu haben. Zu beachten ist, daß jeder Eintrag im DNS ein Time To Live-Feld hat, daß die Zeit in Sekunden enthält, die ein Eintrag gültig bleibt. 

Wenn der DNS-Server die Daten nur sammelt und vorhält, anstatt eine Kopie der DNS-Datenbank zu haben, nennt man ihn Caching Only Server.

Unter Windows 2000 gibt es vier Arten von Zonen:

  • Active Directory-integrated
  • Standard Primary
  • Standard Secondary
  • Caching-only

    •  

     

    DHCP

    Das Dynamic Host Configuration Protocol ist ein Protokoll, daß Clients dynamische IP-Adressen zuweist. Ein Gerät kann jedes Mal, wenn es sich im Netz anmeldet eine verschiedene IP-Adresse haben. In einem Windows-Netzwerk kann man die IP-Adress sogar (mit IPCONFIG oder WINIPCFG) ändern, während man im Netz ist. Das erleichter die Netzwerkverwaltung, da die Software sich um die Adressierung kümmert und nciht der Administrator! 

    DHCP unterstützt Windows 95/98/ME/NT/2000 und XP.

    Jedes Mal, wenn ein DHCP-Client hochfährt, erfragt er IP-Adressen-Informationen vom DHCP-Server.
    Das sind z.B.: 

  • IP-Adresse
  • Subnetmask
  • Default Gateway 
  • DNS-Server
  • WINS

    • Der Administrator muß zunächst einen Adresspool festlegen. Wenn keine freien Adressen mehr im Pool sind, kann der anfragende Client keine IP-Adresse bekommen. Allerdings können Windows 2000-Clients automatisch eine IP-Adresse und Subnetmask konfigurieren, da sie Automatic Private IP Addressing (APIPA) nutzen und so eine Adresse des Klasse B Netzes 169.254.0.0, mit der Subnetmask 255.255.0.0 nutzen. Der DHCP-Client kann sogar nach Adresskonflikten suchen und bis zu 10 verschiedene Adressen ausprobieren. Desweiteren wird der Client alle 5 Minuten versuchen, den DHCP-Server anzusprechen und wenn dieser gefunden ist, eine normale Adresse von diesem erhalten und benutzen.

    Die Server sollten statische IP-Adressen nutzen. Im Win2000-DHCP muß man den DHCP-Server erst im AD authorisiern, bevor er Adressleases vergebn darf. Die DHCP-Server müssen Mitglieder der Domäne sein. 

    Ein DHCP-Scope ist ein Pool valider IP-Adressen, die von den Clients benutzt weden können. Ein Scope für jeden DHCP-Server muß vorhanden sein, jedes subnet kann nur ein Scope bekommen. Verschiedene DHCP-Server teilen ihre Informationen nicht, deshalb muß man aufpassen, daß man Konflikte durch doppelte IP-Adressen ermeidet. 

    Dynamic DNS - DHCP und DNS Integration

    Ein Windows 2000 DHCP-Server kann die Einträge seiner Clients im DNS updaten, indem er das Dynamic DNS update Protocol nutzt. Der DHCP-Optionscode code 81 erlaubt die Rückgabe des FQDN zum DHCP-Server. 

    In den DNS-Eigenschaften kann man "Enable Updates for DNS Clients That Do Not Support Dynamic Update" auswählen, um nicht-2000-Clients die Teilnahme am DDNS zu ermöglichen. Wenn also Dein Zonentyp Active Directory-Integrated ist, solltest Du auswählen, daß Du nur Sichere Updates annehmen möchtest. 

    Die meisten DHCP-Probleme stammen von Fehlkonfigurationen auf Cllientseite. Wenn Du vermutest, daß ein Server-Problem vorliegt, werfe einen Blick auf die Ereignisanzeige des Servers und auf die DHCP-Logs.

    DHCP Relay Agent

    Ein Relay Agent ist Software, die die DHCP/BOOTP-Nachrichten zwischen den Clients und den Servern in verschiedenen Subnetzen vermittelt. Du brauchst einen Relay Agent für jedes IP-Netzwerksegment, das DHCP-Clients, aber keine DHCP-Server enthält. Der Grund dafür ist, daß Router den Broadcast zwischen Subnetzen verhindert und es somit unmöglich für die Clients macht, in einem anderen Subnetz eine Lease bei einem DHCP-Server zu erbitten.

    In Win2000 ist der DHCP Relay Agent ein Teil des Routing Protokolls.

    Routing und Remote Access

    Die Remote Access Policy (RAP) definiert, wer Remote Access auf das Netzwerk hat und welche Eigenschaften ihm zugeteilt werden. Du wirst vielleicht Verbindungen tagsüber erlauben und Nachts verbieten, oder nur bestimmten Gruppen den Remotezugriff erlauben oder bestimmten Diensten. Der Punkt ist, daß Du die Richtlinien manuell auf jedem Server einrichten mußt. Sie erhalten den Namen IAS.MDB. Außerdem kann man den Remote Access auf Mixed-Mode-DCs auch durch die Remote Access Policy kontrollieren. 

    Jedes Remote Access Profil hat sechs verschiedene Bereiche: Dial-in Constraints, IP, Multilink, Authentifizierung, Verschlüsselung und Erweitert

    Routing ist der Prozess, wenn Pakete von ihrem Ursprung zum Ziel geliefert werden. Meistens wird das Routing von einem speziellen Router übernommen, aber unter Windows 2000 Server ist Routing auch via NIC and Remote Access möglich.

    Routing ermöglicht Nachrichten von einem zum anderen Computer zu gelangen und so ihr Ziel zu erreichen. Jeder Computer routet, indem er das Paket weiterleitet. Das schließt die Verwendung eines Routing Tables ein, um den besten Weg herauszufinden. Sogar Nicht-Router haben eine Routing-Tabelle, die verwendet wird, um den besten Pfad zu finden. 

    Es gibt drei verschiedene Einträge in einer Routingtabelle: Netzwerkrouten, Hostrouten und Defaultrouten. Mit dem Kommandozeilenbefehl ROUTE kann man diese Routen anzeigen und bearbeiten. Allerdings gehen beim Booten des Rechners alle Routingeinträge verloren und müssen wieder hergestellt werden. 

    Damit Router sich selbst koordinieren können, indem sie die Routing-Informationen verwalten, wird ein Routing Protokoll verwendet. RIP, das Routing Information Protocol ist ein Protokoll das in RFC 1058 definiert wird. Es spezifiziert, wie Router ihre Routingtabellen austauschen. Mit RIP tauschen Router ihre gesammten Tabellen periodisch aus. Da RIP allerdings recht ineffizient ist, sollte man seine Verwendung auf kleine bis mittlere Netze beschränken.

    RIP ist ein distance-vector routing protocol, das hauptsächlich bereitgestellt wird, um Abwärtskompabilität zu gewährleisten. RIP benutzt Broadcasts um Informationen mit seinen Nachbarroutern auszutauschen und sendet in regelmäßigen Abständen RIP Broadcast Packets, die alle Routing-Informationen enthalten. Dieser Broadcast hält die Router synchron. 

    OSPF, Open Shortest Path First ist ein Link-State Routing Protocol, das Routern ermöglicht, Routinginformationen auszutauschen und eine Karte des Netzwerks zu entwickeln, durch die der beste mögliche Weg zu jedem Ziel gefunden werden kann. Natürlich braucht OSPF mehr Speicher und Rechenleistung, doch es ist viel skalierbarer als RIP. 

    Mit einem Link State Protokoll sendet jeder Router den Teil seines Routing-Tables, der den Status seiner eigenen Verbindungen zeigt und ebenso die gesamte Routing-Struktur. 

    Die meisten Router sind immer an. Aber es gibt auch einen speziellen Typ von Routingmechanismus, der nur auf Abruf arbeitet. Ein Demand-Dial-Interface ist ein Router, der je nach Netzwerkverkehr eingesetzt wird. Die Demand-Dial-Verbindung wird nur gestartet, wenn die Routingtabelle ihre Notwendigkeit aufzeigt. Dies geschied vor allem aus Kostengründen. 

    VPN, das Virtuelle Private Netzwerk ist ein Netz, das über öffentlche Leitungen konstruiert ist. Es gibt z.B. einige Systeme, die es ermöglichen, das Internet zu benutzen, um Netzwerke zu errichten. Diese Systeme nutzen Verschlüsselung und andere Sicherheitsmechanismen, um sicherzustellen, daß nur autorisierte Benutzer Zugriff auf das Netzwerk haben und daß die Daten nicht von hackern abgefangen werden können. PPTP, das Point to Point Tunneling Protocol ist eine erweiterte TCP/IP-Funktionalität, die Remote Access via "Tunnel" erlaubt, genau wie bei einem VPN. 

    Routing und Remote Access kann auch DHCP nutzen. Die Clients können eine IP-Adresse vom RRAS-Server bekomen und auch die DHCPINFORM-Pakete bekommen, die ihnen ihren WINS- oder DNS-Server mitteilen, den Domänennamen oder andere Optionen ohne eine IP-Adresse zu erhalten.

    RADIUS, der Remote Authentication Dial-In User Service ist ein Autentifizierungs und Kontensystem, das für die Remote-Access-Verwaltung genutzt wird. Wenn ein Benutzer sich einwählt, muß er seinen Benutzernamen und sein Paßwort angeben. Diese Information wird an den RADIUS-Server geleitet, der die Richtigkeit der Angaben überprüft und den Zugriff erlaubt, bzw. verbietet. Mit RADIUS werden alle Authentifizierungsanfragen an den RADIUS-Server geleitet. Standardmäßig ist die Authentifizierungsart die Windows-Authentifizierung. Man kann aber auch auf den Internet Authentication Service (IAS) umstellen. Dieser wird für zentrale Administration genutzt und unterstützt die Zugriffsrichtlinien. Er unterstützt PAP, CHAP, MS-CHAP und EAP.

    IAS erstellt Logfiles in %system-root%\system32\LogFiles basierend auf den Authentifizierungs- und Kontenanfragen, die er von NAS erhält. M

    TCP/IP

    TCP/IP das standardmäßig installierte Protokoll unter Windows 2000. 

  • Die Adresse ist eine einmalige Nummer, die mit der Netzwerkkarte verbunden ist. 
  • Subnetze sind ein Teil eines Netzwerks, die die gleiche Subnet-Adresse haben. 
  • Die Subnetmaske ist eine 32-bit Kombination, die anzeigt, welcher Teil der IP-Adresse dem (Sub)Netz zugehört und welcher dem Host. 

    • Um ins Internet zu kommen, muß man eine gültige Adresse haben. 

    Um die Klasse dieser Adresse zu bestimmen, kann man sich das erste Oktett der Dezimalen IP-Adresse ansehen.

    Class A: 1 - 126 
    Class B: 128-191 
    Class C: 192-223 

    In einer Klasse A Adresse ist das erste Oktett das Netz die weiteren werden für den Host verwand. Klasse A Adressen können für Netzwerke mit 16.581.375 Hosts verwendet werden. 

    In einem Klasse B Netz werden die ersten zwei Oktetts für das Netz benutzt die Oktetts 3 und 4 sind für die Hosts reserviert. In der Klasse B kann man 65.536 Hosts adressieren.

    In Klasse C Adressen stehen die ersten drei Oktetts für das Netz, das letzte Oktett beschreibt den Host, sodaß nur 254 Hosts vorhanden sein können.

    Subnetting erlaubt es, viele logische Netzwerke zu erstellen, die innerhalb der Klassen existieren. Wenn Du keine Subnetze anlegst, kannst Du nur ein Netz benutzen. Durch Subnetting kannst Du das Netz in kleinere Broadcast-Netze unterteilen und so die Performance hersufsetzen. Natürlich braucht man dann Router, um die Subnetze zu verbinden.

    Standardmäßig wollen Win2000-Kisten ihre IP-Adresse von einem DHCP-Server bekommen, aber man kann auch statische TCP/IP-Konfigurationen eintragen, besonders bei Servern sollte man dies tun. Wenn Du keinen DHCP-Server hast, mußt Du TCP/IP auf jedem Computer manuell konfigurieren. 

    Grundlegende TCP/IP-Konfigurationen und -Verbindungen kann man durch die Befehle ipconfig und ping testen. IPConfig zeigt die TCP/IP-Konfiguration auf dem Rechner, einschließlich IP-Adresse, Subnet-Maske und Default Gateway. Es erlaubt auch, die dynamische IP-Adresse zurückzugeben und zu erneuern.
    Ping testet die TCP/IP-Konfiguration und diagnostiziert Verbindungsfehler. Da Ping ICMP benutzt, um festzustellen, ob ein Host vorhanden und funktionsbereit ist, kann es zu Fehlern kommen, wenn der Host nicht auf ICMP-Anfragen antwortet.

    Aus Sicherheitsgründen kann man IP-Paket-Filter benutzen, um den Verkehr basieren auf Ursprung und Ziel, sowie dem Typ von IP-Verkehr zu filtern. IP-Pakete können auch basierend auf TCP- oder UDP-Portnummer oder der IP-Protokoll-Nummer gefiltert werden. 

    NetBEUI

    NetBEUI ist ursprünglich von IBM für ihren Lan Manager eintwickelt und später von Microsoft und Novell weiterentwickelt worden. Das NetBios Enhanced User Interface ist, wie der Name schon sagt, eine erweiterte Version des NetBIOS-Protokolls, das von Betriebssystemen wie dem LAN Manager, LAN Server, Windows for Workgroups, Windows 95 und Windows NT benutzt wird.

    NetBEUI ist einfach zu implementieren, da es keine spezielle Konfiguration benötigt. Jeder Rechner mit einem Computernamen (oder NETBIOS Namen) kann dadurch kommunizieren. Da es Broadcasts benutzt, ist NetBEUI schlecht skalierbar und zudem für höhere Netzlast verantwortlich.

    In der NT 4.0 Ära war NetBEUI das default Protokoll. Aber dies ist mit Windows 2000 Geschichte.

    NWLINK

    Novell's NetWare ist ein beliebtes Netzwerkbetriebssytem. Es läuft auf verschiedenen Arten von LANs, vom Ethernet bis zum IBM Token-Ring. IPX, der Internetwork Packet Exchange ist das vom NetWare genutzte Netzwerkprotokoll.

    Du mußt dieGateway Service for NetWare oder die Client Services for NetWare oder den Novell Client für Win2000 benutzen, um einen NetWare-Server anzusprechen. Vor allem mußt Du das NWLINK Protokoll installiern, das die Microsoft-Version vom Novell's IPX ist. Um die Client Services for NetWare zu installiern, mußt Du außerdem Administrator-Rechte auf dem entsprechnenden Client haben. Unattended Installations können auch W2K Professionals mit dem Client Services for NetWare ausrüsten.

    Ab der Netware-Version 4.11 kann es auch per TCP/IP kommunizieren. Aber Microsoft hat dies noch nicht in seinen Lösungen inplementiert.

    Die Sicherheits Infrastruktur

    Authentifizierung ist der Prozess der Identifizierung eines Individuums, basierend auf dessen Usernamen und Paßwort. Authentifierung ist nicht das selbe wie Authorisierung , welche den individuellen Zugriff auf ein Objekt, basierend auf der Identität gibt.

    Kerberos ist ein Authentifizierungssystem, daß am Massachusetts Institute of Technology entwickelt wurde. Kerberos ermöglicht zwei Parteien, private Informationen über ein Netzwerk auszutauschen, die durch einen einmaligen Schlüssel, genannt Ticket geschützt sind. Das Ticket ist in der Nachricht eingebettet, um den Sender zu identifizieren.

    Win2000 benutzt Kerberos als eine Authentifizierungsmethode. Tatsächlich ist Kerberos V5 die standardmäßige Authentifizierung für alle Clients, die das Kerberos V5 Protokoll nutzen, egal ob sie Windows-Kisten sind oder nicht, solang sie nur zur (vertrauten) Domäne gehören.

    Public Key Verschlüüselung ist ein cryptographisches System, das zwei Schlüssel verwendet. Einen öffentlcihen Schlüssel, den jeder kennt und einen privaten oder geheimen SChlüssel, den nur der Empfänger der Nachricht kennt. Eine wichtige Sache im Public-Key-System ist, daß der öffentliche und der private SChlüssel so verbunden sind, daß nur der öffentliche Schlüssel zur Verschlüsselung und nur der private zur Entschlüsselung verwendet werden kann. Der Nachteil dieser Methode ist Geschwindigkeit - sie braucht viel Rechenleistung und ist so recht langsam.

    Digitale Zertifikate sind Anhänge an elektronische Nachrichten, die aus Sicherheitsgründen benutzt werden. Die häufigste Benutzung von Digitalen Zertifikaten ist die Identität eines Benutzers festzustellen. Jemand der eine verschlüsslete Nachricht verschicken will, fragt nach einem digitalen Zertifikat bei der Certificate Authority (CA). Die CA gibt ein verschlüssltes digitales Zertifikat mit dem öffentlichen SChlüssel und einigen Identifikationsinformationen heraus. Sie macht ihren eigenen öffentlichen Schlüssel im Internet zugänglich. Der Zertifikatdienst von Win2000 Server kann als interne CA fungieren.

    Der Empfänger einer verschlüsselten Nachicht benutzt den öffentlichen Schlüssel der CA, um das digitale Zertifikat zu entschlüsseln und verifiziert dann den öffentlichen Schlüssel des Senders und die Identifikationsinformationen des Zertikats. Mit diesen Informationen kann der Empfänger eine Verschlüsselte Antwort senden.

    Win2000 kann Zertifikate als Authentifikationsmethode nutzen. Dafür wird mindestens eine vertraute CA gebraucht. Die unterstützte Zertifikatsversion ist X.509 V3.

    Win2000 kann auch einen Preshared Key für die Authentifizierung nutzen. Das ist ein freigegebener Schlüssel, der geheim und vorher von zwei Benutzern vereinbart worden ist. Dafür muß der Client nicht das Kerberos Protokoll benutzen oder ein Zertifikat für den öffentlichen Schlüssel besitzen. Außerdem ist diese Methode recht schnell.

    Allerdings müssesn beide Parteien IPSec manuell konfigurieren. Diese Methode wird oft zur Authentifizierung von nicht-Windows-Hosts benutzt.

    Über eine Regel kann man multiple Authentifizierungsmethoden festlegen. Eine Regel beeinhaltete eine Liste von IP-Filtern und spezifiziert die Sicherheitsmaßnahmen, die vorgenommen werden.

    IPSec (IP Security) ist ein Protokollset, das von der IETF entwickelt wurde, um Sicherheit auf IP-Ebene zu gewährleisten. Wenn es fertiggestellt ist, soll IPsec in allen VPNs eingesetzt werden. Es nterstützt zwei verschlüsslungmethoden: Transport und Tunnel.
    Der Transportmodus verschlüsselt nur den Datenteil jedes Pakets, der Tunnelmodus verschlüsselt sowohl Daten, als auch den Header, was natürlich sicherer ist.

    Um IPSec zu benutzen, müssen beide Partner IPSec-fähig sein und sie müssen einen öffentlichen Schlüssel teilen. Dies wird durch das Internet Security Association and Key Management Protocol/Oakley (ISAKMP/Oakley) gewährleistet.

    Eine IPSec-Richtlinie ist eine Kollektion von Regeln und Schlüsseltausch-Eigenschaften, die als Domänen Sicherheitsrichtlinie oder als individuelle Computerrichtlinie gesetzt wird. Ein Domänencomputer wird automatisch die IPSec-Domänen-Sicherheitsrichtlinie übernehmen, wenn er sich an der Domäne anmeldet. Eine Sicherheitsrichtlinie kann für alle Netzwerkbenutzer gelten. Wenn der Computer nicht an der Domäne angemeldet ist, werden die IPSec-Richtlinien in der lokalen Registrierung verwahrt.

    Die default IPSec-Richtlinien kann man im GPO-Snap-In sehen. Die Richtlinien sindt unter 
    IP Security Policies on Active Directory: 
    Group Policy Object\Computer Configuration\Windows Settings\Security Settings\IP Security Policies on Active Directory eingetragen. 
    Jede IPSec-Richtlinie untersteht den Regeln, die aussagen, wie sie verwendet wird. Die drei vordefinierten Richtlinien sind Client (Respond Only), Secure Server (Re-quire Security), und Server (Request Security). Standardmäßig wird keine davon benutzt. 

    Über IPSECMON.EXE kännen IP SAs, Rekeys, Fehler und andere IP-Sicherheitsstatistiken überwacht werden. Der Netzwerk-Monitor zeigt alle Informationen, die über eine Netzschnittstelle gelangen. Die Version 2 beinhaltet Betrachter für IPSec-Pakete, die diese sichtbar machen (nicht den Inhalt, versteht sich).

    NAT

    NAT ist die Network Address Translation.Es ist ein Internet Standard, der LANs ermöglicht, verschiedene IP-Adressen für internen Verkehr und der Kommunikation übers Internet zu benutzen. NAT sitzt dort, wo das LAN mit dem Internet verbunden ist und übersetzt die IP-Adressen. NAT wird vorallem benutzt, um in Firewalls die internen IP-Adressen zu verstecken, um Firmen zu erlauben, mehr interne IP-Adressen zu verwenden und verschiedene ISDN-Verbindungen über eine einzige Internetverbindung laufen zu lassen.

    WINS

    WINS Windows Internet Naming Service ist ein System, daß erkennt welche IP-Adresse welchen Computer gehört. 

    WINS unterstützt Netzwerkclients und -server, die Windows nutzen und ermöglicht die Namensauflösung für diese. WINS benutzt eine verteilte Datenbank, die automatisch upgedatet wird. Wegen dieses Automatismus war WINS unter NT4.0 so populär. Neben der "auto"-Methode, kann der Administrator auch manuell über die WINS-Konsole oder den Prompt Einträge bearbeiten. 

    Mit DDNS können wir nun diese Automatik auch bei DNS erreichen, sodaß WINS nur noch die zweite Wahl, vornehmlich aus Abwärtskompabilitätsgründen verwendet, ist. 

    Replikation ermöglicht einem WINS-Server NetBIOSnamen von Hosts, die bei einem anderen WINS-Server registriert sind aufzulösen. Um WINS-Datenbankeinträge zu replizieren, muß jeder WINS-Server entweder als pull oder als push-Partner mit mindestens einem anderen WINS-Server konfiguriert sein.

    Die WINS-Konsole ermöglicht Backup-Tools, um die WINS-Datenbank zu sichern oder weiderherzustellen. Standardmäßig führt WINS alle drei Stunden ein komplettes Backup durch.