Beiträge

Was ist eigentlich… Active Directory – und warum brauchen wir das?

,
Active Directory als Verzeichnisdienst im Netzwerk

Active Directory (oder kurz AD) von Microsoft ist ein sogenannter Verzeichnisdienst. Seine Aufgabe ist es, eine Grundlage für die Verwaltung von Computern in einem Netzwerk zu erschaffen. Zudem dient AD zur Verwaltung von einzelnen Anwendern, Gruppen von Nutzern, die in einem Team kooperieren und zum Auffinden von Ressourcen wie Druckern oder Kopierern in einem Netzwerk. Damit stellt Active Directory einen entscheidenden Teil des Rückgrats in einem Computernetzwerk dar.

Dieser Verzeichnisdienst ist seit Windows Server 2003 ein fester Bestandteil des Betriebssystems und damit weltweit verbreitet. Im Arbeitsalltag spielt der Verzeichnisdienst eine wichtige Rolle, auch wenn er für Anwender zumeist unbemerkt im Hintergrund seine Arbeit verrichtet.

So funktioniert ein Verzeichnisdienst

Die primäre Aufgabe eines Verzeichnisdienstes wie Active Directory ist es, Informationen zu bündeln und zur Verfügung zu stellen. Dies geschieht in einer zumeist verschlüsselten Datenbank. Hier werden, ähnlich wie in einem Telefonbuch, bestimmte Daten miteinander abgelegt. Allerdings sind die Möglichkeiten, verschiedene Daten miteinander zu verknüpfen, erheblich komplexer als in einer simplen Tabelle mit zwei Werten, wie es in einem Telefonbuch der Fall wäre.

Zu einem Computernetzwerk gehören sehr viele und sehr unterschiedliche Dinge. Diese werden in einem Verzeichnisdienst als Objekte bezeichnet. Zunächst gelten alle Computer, die Bestandteil eines Netzwerks sind, als eigene Objekte. Auch sämtliche Geräte, die an einen Computer des Netzwerks oder direkt an das Netzwerk angebunden sind, werden vom Verzeichnisdienst verwaltet. Hierzu zählen beispielsweise Drucker, Plotter, Faxgeräte und die Telefone bei einer Telefonanlage, die auf IP-Telefonie basiert. Allen Geräten im Netzwerk weist der Verzeichnisdienst eine eindeutige Bezeichnung zu, zusätzlich erhalten sie bestimmte Eigenschaften, über die sie aufgefunden werden können. So weiß ein Verzeichnisdienst zum Beispiel, ob es sich bei einem angeschlossenen Gerät um einen Rechner, ein externes Laufwerk oder einen Drucker handelt. Aber die Verwaltung der vorhandenen Hardware ist nur ein Teil der Aufgaben eines Verzeichnisdienstes.

Nicht nur für Maschinen, sondern auch für Menschen

Bild von Computern, die über Netzwerk verbunden sind

Organisierte Nutzerverwaltung im Netzwerk

Die zweite wichtige Gruppe von Objekten, die Bestandteil des Verzeichnisdienstes sind, sind die Anwender. Auch diese haben eine eindeutige Bezeichnung, ihren Nutzernamen. Der Verzeichnisdienst verwaltet zusätzlich zu dieser grundlegenden Information auch weitergehende Werte, beispielsweise das vom Nutzer verwendete Passwort. Ebenfalls bietet der Verzeichnisdienst die Möglichkeit, Nutzer zu organisieren. So ist es möglich, einem Nutzer bestimmte Rechte zu gewähren oder eben auch zu verweigern. Nicht jeder Nutzer soll beispielsweise volle Zugriffsrechte auf alle Drucker oder alle Daten in einem Netzwerk erhalten.

Um die Verwaltung von Nutzern in einem Netzwerk möglichst einfach zu gestalten, können in einem Verzeichnisdienst wie zum Beispiel Active Directory, auch Nutzergruppen definiert werden. Alle Nutzer einer Nutzergruppe bekommen dieselben Rechte. Damit ist es sehr leicht möglich, die Organisationsstruktur eines Unternehmens in einzelne Abteilungen auch im Netzwerk abzubilden und somit die Kooperation innerhalb von Abteilungen und Arbeitsgruppen deutlich zu erleichtern.

Der Nutzen für den Anwender

Auch wenn Anwender nur selten bewusst mit einem Verzeichnisdienst in Berührung kommen, bietet ihnen dieser erhebliche Vorteile. Ist ein Anwender im Verzeichnisdienst gespeichert, kann er von unterschiedlichen Rechnern aus auf das Netzwerk zugreifen. Außerdem ist es ihm möglich, alle für ihn freigeschalteten Dienste überall im Netzwerk zu nutzen.

Neben der vollen Arbeitsfähigkeit im ganzen Netzwerk dient die Verwendung eines Verzeichnisdienstes aber auch der Sicherheit des Anwenders. Durch die Einschränkung von Nutzungsrechten ist es ihm beispielsweise nicht möglich, versehentlich Dateien zu verändern oder zu löschen, auf die er keinen Zugriff haben sollte. Zur praktischen Anwendung kommt dies unter anderem, wenn für Vorlagen-Dateien im Verzeichnisdienst zwar ein Lese-Recht, aber kein Schreib-Recht erteilt wurde. Ein Anwender kann die entsprechende Datei also öffnen und ansehen, sie aber nicht versehentlich verändern. Soll die Datei als Vorlage verwendet werden, erstellt der Anwender sich eine Kopie, die dann von ihm vollständig genutzt werden kann.

Auch bei der Arbeitsorganisation ist ein Verzeichnisdienst ein wichtiges Hilfsmittel. Anwender können selbst erstellte Dateien und ganze Verzeichnisse über einen Verzeichnisdienst mit einer bestimmten Gruppe, man spricht hier von einer Workgroup, teilen. Damit ist es sehr einfach, gemeinschaftlich durchgeführte Projekte leichter zu verwalten und so zu jedem Zeitpunkt die Übersicht über die erstellten Informationen zu behalten.

Der Nutzen für Administratoren

Administration der Benutzerrechte

Bei der Verwaltung eines Netzwerks spielt der Verzeichnisdienst eine erhebliche Rolle. Denn durch die Organisation der Netzwerkstruktur entsteht die Möglichkeit, Teile des Netzwerks unter verschiedenen Gesichtspunkten zusammenzufassen. IT-Dienstleister haben so eine Möglichkeit, kosteneffizient bestimmte Bereiche eines Netzwerks zu administrieren. Dies kommt zum Beispiel bei der Einrichtung von Sicherheitsmaßnahmen oder der Erweiterung eines Arbeitsbereichs zum Tragen.

Auch stellt die Verwendung eines Verzeichnisdienstes eine gute Möglichkeit dar, um neue Netzwerkstrukturen zu planen und somit eine für den Kunden kosten- und leistungsoptimierte Lösung zu schaffen.

Netzwerksicherheit für Ihr Unternehmen

, ,
Netzwerksicherheit für Ihr Unternehmen

Netzwerksicherheit bzw. Netzsicherheit gilt in der IT-Branche als kein fest definierter Begriff. Er beschreibt vielmehr alle notwendigen Maßnahmen zu Planung von Netzwerken, deren Überwachung sowie Sicherheit. Da sich ein Großteil der hierbei anfallenden Tätigkeiten nicht auf technische Gegebenheiten, sondern auf die jeweilige Organisation selbst stützt, wird der modernen Netzwerksicherheit einschließlich all ihrer Facetten eine hohe Komplexität zugeschrieben.

Netzwerksicherheit: Potentielle Gefahrenquellen für ein Unternehmen

„Der Feind im eigenen Netzwerk“ ist eine durchaus gängige Aussage unter Spezialisten für Netzwerksicherheit. Besonders beliebte Angriffsziele sind in diesem Zusammenhang Netzwerkprotokolle. Diese dienen dem Austausch von Daten jedweder Art.

Darüber hinaus verständigen sich eine Vielzahl unterschiedlicher Prozesse über derartige Kommunikationsströme. Populäre Netzwerkprotokolle, wie zum Beispiel TCP/IP sind sowohl nicht geschützt als auch eines der ersten Angriffspunkte potentieller Netzwerkattacken.

Gefahrenquellen für die NetzwerksicherheitEine beliebte Methode ist hierbei die so genannte „Man-in-the-Middle“-Attacke, welche dem Hacker erlaubt, unbemerkt die Kommunikation zweier oder mehrerer Kommunikationspartner zu verfolgen.

Ein großer Unsicherheitsfaktor entsteht derzeit außerdem durch Malware, welche meist ihren Weg über gut formulierte und zugleich unscheinbar wirkende E-Mails findet. Öffnet der betroffene Mitarbeiter in gutem Glauben den Anhang, kann die Netzwerksicherheit erheblich kompromittiert sein. Fatale Auswirkungen hat es, wenn sich der Angestellt aus Angst oder Unwissenheit nicht sofort mit der EDV-Abteilung in Verbindung setzt.

Gleichzeitig genießen Denial-of-Service-Attacken unter kriminellen Hackern eine große Beliebtheit. Diese Angriffe haben das Ziel, einen Server so auszulasten, dass dieser im Internet für andere Anwender nicht mehr zur Verfügung steht. Um das zu erreichen, werden massenhaft große Datenpakete an den jeweiligen Server geschickt, der letztendlich mit diesen vielen Anfragen vollkommen überfordert ist.

Das Unternehmens-Netzwerk richtig schützen

Das Unternehmensnetzwerk richtig schützenBereits der bewusste Umgang mit IT-Technologien reduziert das Schadrisiko laut einer Bitkom-Studie um bis zu 80 Prozent. Hierzu zählt beispielsweise die Schulung bzw. Sensiblisierung der Mitarbeiter sowie das Verschlüsseln von vertrauenswürdigen Daten. Daneben sollten Sie unbedingt ihr Netzwerk permanent und lückenlos überwachen.

Außerdem ist es wichtig, dass sowohl für den Empfang und Versand von E-Mails als auch für die Nutzung sozialer Netzwerke klare Sicherheitsrichtlinien bestehen, welche von allen Mitarbeitern des Unternehmens eingehalten werden müssen.

Die EDV-Abteilung einer Firma ist daher dazu angehalten, alle Maßnahmen einzuleiten, welche eine möglichst hohe Netzwerksicherheit gewährleisten. Diese müssen sich natürlich im Alltag umsetzen lassen und von allen Organisationen gelebt werden.

Der richtige Zeitpunkt für spezialisierte Dienstleister

Insbesondere kleine sowie mittelständische Unternehmen können oftmals nicht die notwendigen Personal-Ressourcen aufbringen, um ihr Netzwerk in vollem Umfang vor Attacken auf dasselbe zu schützen. Handelt es sich darüber hinaus um ein sensibles Arbeitsumfeld mit anspruchsvollen Kunden, sollte die Wahl schnell für einen spezialisierten Dienstleister getroffen sein.

Große Unternehmen mit einer gut bestückten EDV-Abteilung haben oftmals das Problem, dass die Mitarbeiter in derart viele Projekte eingespannt sind, dass keine Zeit mehr für Fort- und Weiterbildungen bleibt. Ein externer Dienstleister kann hierbei eine nützliche Unterstützung sein, um das fehlende Wissen in Form von Workshops zu ergänzen oder der Übernahme bestimmter Aufgaben vorübergehend Personal zu ersetzen.

Tutorial

Einführung in TCP/IP – Netzwerkgrundlagen

,
ISO-OSI-7-Schichten-Modell

Einführung: Netzwerke mit TCP/IP

Wer heute als Linux-Administrator oder Windows-Profi Server oder ganze Netzwerke verwaltet, der benötigt gute bis sehr gute Netzwerk-Kenntnisse. Dabei spielt TCP/IP  als meistgenutztes Netzwerkprotokoll eine herausragende Rolle.

Im Rahmen unserer Reihe zum Thema Linux-Administration bzw. Windows-Administration geben wir Ihnen einen kurzen Überblick über die wichtigen Facetten von TCP/IP. Das nachfolgende Tutorial richtet sich in erster Linie an Einsteiger. Aber auch fortgeschrittene Netzwerk-Administratoren finden sicher noch das eine oder andere Detail, das Ihnen bei der täglichen IT-Administration hilft

Im ersten Abschnitt erläutern wir die Grundlagen des wichtigsten Netzwerk-Protokolls (TCP/IP). Danach lernen Sie die wichtigsten Hilfsmittel und Tools zum Troubleshooting im Netz kennen.

TCP/IP

Grundlagen:

Eine TCP/IP Adresse (TCP/IP = transport control protocol/ internet protocol) in der Version 4 (meist IPV4 genannt) ist eine Nummerierung mit 4 binären Adressblöcken von maximal 2^8 (=256) Adressen

Es können also 256*256*256*256 = 2^32 = 4.294.967.296 Adressen weltweit verwendet werden.

Da dies schon lange nicht mehr ausreicht, wurde schon vor langer Zeit der IPV6 Standard definiert, der aber immer noch nicht flächendeckend eingesetzt wird.

Format einer IP-Adresse: 10.51.136.5

Generell gilt: Die End-Adresse „0“ (null)  kann nicht verwendet werden, ebenso ist die Nr. 255 tabu. Sie wird als Broadcast-Adresse verwendet.

MAC Adresse

Herstellercodes von MAC-Adressen (Auswahl)
00-07-E9-xx-xx-xxIntel
00-60-2F-xx-xx-xxCisco
00-15-F2-xx-xx-xxAsus

Jedes Internet-fähige Gerät hat auf seiner Netzwerkschnittstelle eine ein-eindeutige MAC-Adresse. Sofern ein Gerät (PC, Server, Switch) mehr als ein physisches Interface hat, so besitzt jedes Netzwerk-Interface eine eigene MAC-Adresse.

Bei Microsoft heißt diese „physikalische Adresse“.

Fomat: 00-11-22-33-44-55.

Es können alle hexadezimalen Zeichen vorkommen (0..9, A..F).

Einzelne Hersteller haben feste Adress-Bereiche reserviert, die sie bei der Produktion vergeben. (siehe Tabelle)

Wichtig: Wenn Sie virtuelle Maschinen anlegen (egal ob VMWare, Hyper-V oder KVM) so achten Sie bitte darauf, daß Sie unterschiedliche MAC-Adressen für ihre VMs verwenden.

 

 

TCP/IP im OSI-Schichtenmodell

Das OSI-Schichtenmodell (engl. OSI Layer) beschreibt 7 Schichten, die für das Zustandekommen von Daten-Kommunikation notwendig sind.

Layer 1: physische Schicht (-> Kabel)
Layer 2: Sicherungs-Schicht; Ethernet
Layer 3: Vermittlung, IP-Protokoll
Layer 4: Transport, TCP

ISO-OSI-7-Schichten-Modell

ISO-OSI-7-Schichten-Modell

Für das Nachfolgende gehen wir davon aus, daß an das Netzwerk anzuschließende Geräte entweder über Kupferkabel (Cat 5 bis Cat7 Ethernet-Kabel, sftp) oder Glasfaser-Kabel über Switches untereinander verbunden sind.

Switches arbeiten auf Layer 2 und können je nach Funktionsumfang auch Aufgaben auf Layer 3 übernehmen.

Mehr Informationen dazu: https://de.wikipedia.org/wiki/OSI-Modell

Reservierte IP-Adress-Bereiche

127.0.0.x -> die Adresse 127.0.0.1 ist als Loopback auf jedem Gerät vorhanden und wird nicht weiter geleitet (geroutet)

Damit größere Firmen ihre internen Geräte durchgängig mit IP-Adressen versehen können, werden die folgenden IP-Adressbereiche nicht im Internet geroutet.

10.x.x.x
172.10.x.x
192.168.x.x

Diese Adressbereiche können von jedermann intern (d.h. hinter der eigenen Firewall) genutzt und nach persönlichen Präferenzen in Subnetze unterteilt werden.

Subnetze

Damit TCP/IP vernünftig funktioniert, wird es in so genannte Subnetze unterteilt. Dabei werden größere Adressbereiche in kleinere Adressbereiche unterteilt. Diese Segmentierung erfolgt mit Hilfe von Subnetzmasken.

Das (frei verwendbare) IP-Subnetz 10.x.x.x kann bspw. Mit der Subnetzmaske „255.255.255.0“ etwa werden daraus mehrere Subnetze mit jeweils 256 Adressen. Etwa das Subnetz 10.42.136.0.

Die Netzwerkmaske:

(S. Wikipedia) Die Netzmaske, Netzwerkmaske oder Subnetzmaske ist eine binäre Maske, die im Netzwerkprotokoll IPv4 bei der Beschreibung von IP-Netzen angibt, welche Bit-Position innerhalb der IP-Adresse für die Adressierung des Netz- bzw. Host-Anteils genutzt werden soll. Der Netzanteil erstreckt sich innerhalb der IP-Adresse lückenlos von links nach rechts; der Hostanteil von rechts nach links. Der für die Adressierung des Netzanteils innerhalb der IP-Adresse genutzte Bereich wird auch Präfix genannt. Anstelle einer Subnetzmaske kann dieser für IPv4 und IPv6 auch mit der Angabe einer Präfixlänge spezifiziert werden. (bspw. /24)

In Verbindung mit der IP-Adresse eines Gerätes legt die Netzmaske fest, welche IP-Adressen dieses Gerät im eigenen Netz ohne die Zuhilfenahme eines Routers erreichen kann und für welche Ziel-Netze das Gerät Pakete an einen Router zwecks weiterer Vermittlung in andere Netzen zustellen muss. Der Netzwerkteil muss bei allen Geräten des jeweiligen Netzes gleich sein und damit verwenden alle Kommunikationsteilnehmer dieses IP-Netzes in der Regel auch dieselbe Subnetzmaske (bzw. Präfixlänge). Der Geräteteil der IP-Adresse wird für jedes Gerät innerhalb des Netzes individuell vergeben.

 

 

Übliche Netzmasken bei TCP/IP

NetzmaskeAnzahl nutzbarer IPv4-AdressenMaske als Bit-Muster
/8255.0.0.0max. 16.777.2141111’1111.0000’0000.0000’0000.0000’0000
/12255.240.0.0max. 1.048.5741111’1111.1111’0000.0000’0000.0000’0000
/16255.255.0.0max. 65.5341111’1111.1111’1111.0000’0000.0000’0000
/20255.255.240.0max. 40941111’1111.1111’1111.1111’0000.0000’0000
/21255.255.248.0max. 20461111’1111.1111’1111.1111’1000.0000’0000
/22255.255.252.0max. 10221111’1111.1111’1111.1111’1100.0000’0000
/23255.255.254.0max. 5101111’1111.1111’1111.1111’1110.0000’0000
/24255.255.255.0max. 2541111’1111.1111’1111.1111’1111.0000’0000
/25255.255.255.128max. 1261111’1111.1111’1111.1111’1111.1000’0000
/26255.255.255.192max. 621111’1111.1111’1111.1111’1111.1100’0000
/27255.255.255.224max. 301111’1111.1111’1111.1111’1111.1110’0000
/28255.255.255.240max. 141111’1111.1111’1111.1111’1111.1111’0000
/29255.255.255.248max. 61111’1111.1111’1111.1111’1111.1111’1000
/30255.255.255.252max. 21111’1111.1111’1111.1111’1111.1111’1100
/31255.255.255.254Keine1111’1111.1111’1111.1111’1111.1111’1110
/32255.255.255.255Keine1111’1111.1111’1111.1111’1111.1111’1111

Darstellung der Netzmaske

Eine Netzmaske ist genau so lang wie eine IPv4-Adresse, also 32 Bit. Eine 1 in der Netzwerkmaske kennzeichnet die Verwendung des Bits an derselben Position in der IP-Adresse für die Adressierung von Netzen. Eine 0 an derselben Position in der IP-Adresse kennzeichnet Adressinformationen für den Geräteanteil.

Der Netzwerkteil einer IPv4-Adresse ergibt sich damit aus ihrer bitweisen logischen AND-Verknüpfung mit der Netzmaske. Nach der bitweisen Negation der Netzmaske wird der Geräteteil ebenso abgetrennt.

Beispiel

IPv4-Adresse11000000 10101000 00000001 10000001192.168.1.129
UNDNetzmaske11111111 11111111 11111111 00000000255.255.255.0
=Netzwerkteil11000000 10101000 00000001 00000000192.168.1.0

 

IPv4-Adresse11000000 10101000 00000001 10000001
UNDNOT Netzmaske00000000 00000000 00000000 11111111
=Geräteteil00000000 00000000 00000000 10000001

Quelle: https://de.wikipedia.org/wiki/Netzmaske

 

Geräte im TCP/IP Netz

Damit Geräte miteinander zu einem Netzwerk verbunden werden können, benötigt man Switche bzw. Hubs.

Damit Netzwerkverkehr in die richtige Richtung geleitet wird, benötigt man pro Subnetz einen Router. Sie haben in Netzwerken die Aufgabe zu wissen, über welchen Weg welche entfernten IP-Adressen zu erreichen sind. Wenn man so will, sind das erweiterte Telefonbücher des Internets auf IP-Adressen-Basis.

Firewalls sind Router, die zusätzlich zur Vermittlung auf Layer 4 die Aufgabe übernehmen, bestimmten Datenverkehr zu erlauben und unerwünschten Datenverkehr zu unterbinden.

Ein Vergleich zum Straßenverkehr: Ein Router ist eine Ansammlung von Hinweisschildern welche die Richtung weisen. Ein Firewall ist ein Polizist, der bestimmte Regeln durchsetzt.

Router

Ein Router ist ein Gerät, das Netzwerkverkehr weiter leitet und das weiß welche Datenpakete wohin müssen.

Damit TCP/IP funktioniert, muss es in jedem Subnetz einen Router geben. Der Router ist mit einem Netzwerkinterface in eben diesem Subnetz und hat mindestens ein weiteres Interface in einem weiteren Subnetz, in das er die Netzwerkpakete weiter leitet.

Der Router ist das einzige Gerät bzw. die einzige TCP/IP-Netzwerk-Adresse, die zwingend im eigenen Subnetz liegen muss. Alle anderen für TCP/IP notwendigen Dienste wie DNS, NTP können in einem entfernten Subnetz liegen.

Hinweis: Router haben in der Regel mehrere Netzwerk-Anschlüsse oder können pro NIC (Netzwerkkarte) mehrere IP-Adressen bedienen. Daher kann ein und derselbe Router durchaus mehrere Subnetze bedienen.

Hub

Ein Hub verbindet (genauso wie ein Switch) Geräte miteinander. Im Gegensatz zum Switch hat er aber praktisch keine eigene „Intelligenz“. Faktisch kommen heute kaum noch Hubs zum Einsatz.

Switches

Switches verbinden Server und PCs/Clients per RJ-45 Kabel über eine Kupferleitung miteinander. Die übliche Geschwindigkeit beträgt meist 1Gbit/Sekunde.  Sehr einfache und in der Regel billige Switches sind un-managed. Bei Ihnen sind einfach alle Ports miteinander verbunden. Jeder Port kann mit jedem „reden“ d.h. Daten austauschen.

Verwaltbare Switche sind in der Regel für den Rack-Einbau gedacht und bieten meist mehr Features. Je nachdem ob der Switch auf Layer 2 oder Layer 3 arbeitet, hat er meist auch die für die OSI-Schicht notwendigen Features mit an Bord.

 

VLANs (virtuelle LANs)

Das wichtigste Feature von verwaltbaren Switches ist meist die Möglichkeit, den Switch bzw. mehrere Switche in logische so genannte VLANs zu unterteilen. Ein VLAN (virtual LAN) kann man sich wie einen Switch im Switch vorstellen.

Kurz gesagt: Alle Ports, die einem VLAN zugeordnet sind, können Daten miteinander austauschen. Ports, die nicht ihrem eigenen VLAN zugeordnet sind, sind für Sie nicht erreichbar.

Anwendungszwecke von VLANs

Durch VLANs lassen sich logische Netze erstellen und über ein und dieselbe physische Infrastruktur verwalten.

  • Trennung von Daten-Netzen von Voice-Over-IP (VoIP)
  • Trennung von unterschiedlichen Netzen (internes LAN, Internet, DMZ) in Firmen bzw. Rechenzentren

 

Dienste im TCP/IP Netz

Damit TCP/IP richtig funktioniert, benötigt man mindestens die Auflösung von IP-Adressen zu Namen und umgekehrt. Diese Aufgabe übernimmt das DNS (Domain Name System).

Daneben gibt es noch eine Reihe weiterer sinnvoller Dienste wie DHCP (dynamic host configuration protocol) oder das Netzwerk-Protokoll, welches die korrekte aktuelle Zeit liefert (ntp)

DNS (Domain Name System)

DNS ist ein zentraler Dienst, der die Zuordnung  von  Host- bzw. Domain-Namen zu einer oder mehrerer IP-Adressen vornimmt.

DNS kann man sich wie eine Telefonauskunft vorstellen: Ich weiß mit wem ich sprechen möchte (=Name), kenne aber seine Telefon-Nummer (=IP-Adresse) nicht.

Weiterführende Lektüre: https://de.wikipedia.org/wiki/Domain_Name_System

Im Internet existieren einige, wenige so genannte Root-Server. Diese stellen die oberste Ebene des weltweiten Internets dar. In Ihnen ist in der Regel nur der Verweis auf bestimmte Domain-Teile (etwa die .de-Domains) oder einzelne untergeordnete DNS-Server vorhanden.

Die Funktion und Aufrechterhaltung dieser Root-Server ist für das Funktionieren des Datenverkehrs im gesamten Internet unglaublich wichtig. An einen Root-Server wendet sich praktisch jeder untergeordnete DNS-Server, der eine Anfrage nicht selbst beantworten kann.

DHCP

Über DHCP ist es möglich, Endgeräten dynamisch eine gültige IP-Adresse zuzuweisen. D.h. das Endgerät meldet sich beim Booten per Broadcast (… „hallo ist da jemand…“) mit seiner MAC-Adresse und erhält vom dhcp-Dienst eine gültige IP-Adresse für einen bestimmten Zeitraum (meist 1-3 Tage).

Die IP-Adresse enthält:

  • Die eigene IP-Adresse
  • Die Netzmaske
  • Den Gateway

Optional – aber extrem sinnvoll – wird noch ein DNS Server mit übergeben.

Ein DHCP Dienst sollte idealerweise im gleichen Subnetz vorhanden sein, wie die Clients die der dhcp-Dienst bedient.

 

ARP (Adress Resolution Protocol)

Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das zu einer Netzwerkadresse der Internetschicht die physikalische Adresse (Hardwareadresse) der Netzzugangsschicht ermittelt und diese Zuordnung gegebenenfalls in den so genannten ARP-Tabellen der beteiligten Rechner hinterlegt. Es wird fast ausschließlich im Zusammenhang mit IPv4-Adressierung auf EthernetNetzen, also zur Ermittlung von MAC-Adressen zu gegebenen IP-Adressen verwendet, obwohl es nicht darauf beschränkt ist. Für IPv6 wird diese Funktionalität nicht von ARP, sondern durch das Neighbor Discovery Protocol (NDP) bereitgestellt.

Quelle: https://de.wikipedia.org/wiki/Address_Resolution_Protocol

NTP (Network Time Protocol)

Über das Time Protocol kann die exakte Uhrzeit über das TCP/IP Netzwerk angefragt werden. Die Server für Deutschland lauten:

server 0.de.pool.ntp.org

server 1.de.pool.ntp.org

server 2.de.pool.ntp.org

server 3.de.pool.ntp.org

 

WOL (Wake on LAN)

Wake on LAN (WOL) ist die Möglichkeit, ausgeschaltete Endgeräte per Broadcast an ihre MAC-Adresse „aufzuwecken“ und booten zu lassen.

Beispiel: Wake on LAN

Beispiel: Wake on LAN

Voraussetzung: Das Bios des Geräts unterstützt das und die Funktion ist im Bios eingeschaltet.

Zur Nutzung benötigen Sie dann noch eine Software, die die Endgeräte „aufweckt“.

 

Bsp.: WOL von Aquilatech

https://wol.aquilatech.com/

 

 

Ports in TCP

(Wikipedia) Ein Port ist der Teil einer NetzwerkAdresse, der die Zuordnung von TCP– und UDP-Verbindungen und -Datenpaketen zu Server– und Client-Programmen durch Betriebssysteme bewirkt. Zu jeder Verbindung dieser beiden Protokolle gehören zwei Ports, je einer auf Seiten des Clients und des Servers.

Zur Einordnung: Wenn die TCP/IP-Adresse das virtuelle Nummernschild eines jeden Servers ist, dann sind die Ports die Eingänge zum System. Ähnlich wie dieTüren oder die Heckklappe bzw. der Kofferraumdeckel eines Autos steuern Ports, wo und wie Anwender auf ein Computer-System von außen zugreifen können.

Gültige Portnummern sind 0 bis 65535.

System Ports (0 – 1023)

Die System Ports oder auch „well known ports“ sind für bestimmte Dienste reserviert wie DNS, Mail oder NTP. Jeder Dienst in TCP/IP hat faktisch eine ihm zugewiesene Port-Nummer. Die Zuweisung erfolgt dauerhaft durch die IETF. (Internet Engineering Task Force)

Ports, die sie kennen sollten:

7TCPUDPEchooffiziell
20TCPFTP – Datenübertragungoffiziell
21TCPFTP – Verbindungsaufbau und Steuerungoffiziell
22TCPUDPSecure Shell (SSH) wird für verschlüsselte Fernwartung und Dateiübertragung genutzt (scp, sftp) sowie für getunnelte Portweiterleitungoffiziell
23TCPTelnet – unverschlüsseltes Textprotokoll, z. B. für Fernwartung (ähnlich SSH, mit telnetd) oder manuelle Kommunikation über Textprotokolle wie HTTPoffiziell
25TCPSimple Mail Transfer Protocol (SMTP) wird für die E-Mail-Übermittlung zwischen E-Mail-Servern genutzt und findet sehr breite Unterstützung.offiziell
53TCPUDPDomain Name System (DNS), meist über UDPoffiziell
67UDPBootstrap Protocol (BOOTP) Server; auch genutzt von DHCPoffiziell
68UDPBootstrap Protocol (BOOTP) Client; auch genutzt von DHCPoffiziell
69UDPTrivial File Transfer Protocol (TFTP)offiziell
80TCPHypertext Transfer Protocol (HTTP)offiziell

 

PortTCPUDPBeschreibungStatus
109TCPPost Office Protocol v2 (POP2)offiziell
110TCPPost Office Protocol v3 (POP3)offiziell
118TCPUDPSQL-(Structured Query Language)-Diensteoffiziell
123UDPNetwork Time Protocol (NTP) zur (hoch)genauen Zeitsynchronisierung zwischen mehreren Computernoffiziell
137TCPUDPNetBIOS NetBIOS Name Serviceoffiziell
138TCPUDPNetBIOS NetBIOS Datagram Serviceoffiziell
139TCPUDPNetBIOS NetBIOS Session Serviceoffiziell
143TCPUDPInternet Message Access Protocol (IMAP) – Mail-Managementoffiziell
161UDPSimple Network Management Protocol (SNMP)offiziell
162TCPUDPSimple Network Management Protocol Trap (SNMPTRAP)[13]offiziell
179TCPBGP (Border Gateway Protocol)offiziell
220TCPUDPInternet Message Access Protocol (IMAP), version 3offiziell
264TCPUDPBGMP, Border Gateway Multicast Protocoloffiziell

 

Registered Ports

Ports 1024 bis 49151 (400hex bis BFFFhex) – sie werden z.B. für Datenbanken oder Client-Programme verwendet. Die Zuweisung erfolgt in der Regel durch die IETF.

Bsp.: mySQL: Port 3306

Dynamic Ports

Ports 49152 bis 65535 (C000hex bis FFFFhex). Diese Ports werden in der Regel durch das Betriebssystem dynamisch an die nutzende Software vergeben.

 

 

Netzwerk Trouble-Shooting

Um ein Netzwerk zu testen bzw. Fehler zu identifizieren, benötigt man eigentlich wenige Tools. Viel wichtiger noch als Tools ist das Vorhandensein einer Dokumentation bzw. eines Netzwerk-Planes.

Grundsätzliches zur Fehlersuche im Netzwerk

Bei kaum einer anderen IT-Disziplin ist ein strukturiertes Testen und Dokumentieren so wichtig wie in einer Netzwerk-Topologie.

Anders herum: willkürliches Rumprobieren oder gar „Raten“ führt in Netzwerken meistens ins Nichts oder zu grauen Haaren.

Mein Rat daher: Erstellen Sie einen schriftlichen Plan ihres Netzwerkes. Dazu eignet sich Visio sehr gut. Eine ordentlich beschriftete und vollständige handschriftliche Skizze ist aber ebenso eine ausreichende Dokumentation bei der Fehlersuche.

Für alles weitere: Schreiben Sie jeden einzelnen Test, jeden Schritt auf. Dokumentieren Sie jede Funktion und jede Fehlfunktion.

Bspw.:

  • Ping von A nach B geht.
  • Ping von B nach C geht nicht
  • Traceroute von A nach X ergibt folgende Ausgabe

Änderungen: Um Fehler im Netz zu finden und abzustellen  müssen sie Änderungen vornehmen. Das ist an sich logisch. Widerstehen Sie aber bitte unbedingt der Versuchung, mehr als eine Veränderung auf einmal vorzunehmen. Immer nur eine Veränderung (etwa in der Konfiguration eines Switches oder Routers) auf einmal. Danach testen sie wieder und dokumentieren sie die Test-Ergebnisse

Netzwerk-Troubleshooting ist ein bisschen wie ein Versuchsaufbau im Physikunterricht: Sie ordnen ihre Versuchs-Elemente (Switch, Kabel, Router). Sie stellen ihre Parameter ein und messen anschließend ob das gewünschte Ergebnis heraus kommt.

Wenn Sie den Versuch ändern, dann ändern Sie immer nur einen Parameter auf einmal und messen wieder (und dokumentieren das Ganze). Wenn Sie das nicht tun, ist hinterher ihr gesamter Mess-Versuch für die Katz, weil Sie das Gesamtverhalten nicht re-produzieren können.

 

 

Tools im Netzwerk

Ipconfig (Windows)

Mit ipconfig können sie die folgenden Fragen beantworten:

  • Welche IP-Adresse habe ich. ?
  • Wie lautet mein Gateway / DHCP Server?
  • Welche DNS Server nutze ich?

Befehle:

ipconfig /all – listet alle Interfaces und IP-Einstellungen

Ipconfig /release  – gibt dhcp Adresse frei

Ipconfig /renew  – holt eine neue IP-Adresse vom dhcp Dienst

ipconfig an einem Windows Rechner

ipconfig an einem Windows Rechner

 

Ifconfig / ip addr (Linux)

Unter Linux können Sie die genutzten IP Adressen mit ifconfig (alt) oder mit „ip addr“ identifizieren.

Beispiel für ipconfig:

Beispiel für "ifconfig" unter Linux

Beispiel für „ifconfig“ unter Linux

Beispiel für „ip addr“

Beispiel für "ip addr" unter Linux

Beispiel für „ip addr“ unter Linux

Ping

Ein Ping sendet ein einfaches Datenpaket von Host A nach Host B. Der Ping kann vom Host B erwidert werden. Im positiven Fall erkennen sie folgendes:

  • Der Host B antwortet
  • Wie lange das Netzwerk-Paket für die zurückgelegte Strecke benötigt hat. (Laufzeit)

Achtung: Damit ein Ping funktioniert, muss der Empfänger auf Port 7 antworten. Tut er das nicht, heißt das nicht, daß er nicht da ist. Vielmehr kann

  • Der Empfänger absichtlich nicht antworten
  • Etwa ein Firewall diese Form der Kommunikation unterbinden.

Bsp.:

Laufzeiten und Latenz messen mit "ping"

Laufzeiten und Latenz messen mit „ping“

Ping nach Hong-Kong (mit ca 300 ms eher lang)

 

Traceroute

Traceroute oder Tracepath ist die Ablaufverfolgung im Internet zwischen zwei Knoten. Dabei wird jeder einzelne Router aufgeführt, über den ein Datenpaket zwischen wandert.

Bsp:

traceroute to www.bild.de (92.123.92.75), 30 hops max, 60 byte packets

 (…)

10  a92-123-92-75.deploy.akamaitechnologies.com (92.123.92.75)  4.178 ms  4.301 ms  4.291 ms

Dabei werden nicht nur die Knoten-Namen bzw. deren IPs aufgeführt, sondern auch die Paketlaufzeit gemessen.

Beispiel unter Windows:

Traceroute unter Windows

Traceroute unter Windows

Wichtig: Traceroute zeigt nur den jeweiligen Weg auf. Ob ein bestimmter Netzwerk-Verkehr auf einem bestimmten Port auch wirklich funktioniert, beantwortet traceroute nicht.

Hinweis: Der Befehl heißt unter Windows „tracert“ und unter Linux „traceroute“

Traceroute Befehl unter Linux

Traceroute Befehl unter Linux

 

 

Nslookup

Nslookup beantwortet die Frage ob ein DNS-Name (bspw. www.bild.de) zu einer oder mehrerer IP-Adressen aufgelöst werden kann.

Bsp: nslookup www.bild.de

Beispiel für nslookup

Beispiel für nslookup

(1): der DNS Server der antwortet

(2) Nicht aurorisierende Antwort bedeutet: Der DNS_Dienst (1) hat selbst woanders nachgefragt

(3) Das Ergebnis: Die IP 92.122.30.140 ist die IP-Adresse von www.bild.de

Hinweis: Sie können mit dem Befehl nslookup auch andere DNS-Server als ihren gerade genutzten abfragen.

Syntax: nslookup <domain.tld> <anderer DNS>

Bsp.: nslookup bild.de 8.8.4.4

 

 

Dig (Linux)

Mit dig sind deutlich präzisere Abfragen als mit nslookup möglich. Allerdings nur unter Linux.

Syntax: dig <host/domain> Optionen

Bsp.: dig www.bild.de (s.o.)

Beispiel für "dig"

Beispiel für „dig“

Bsp 2.: dig bild.de MX

Damit wird erfragt, welche Hosts der Domain bild.de für den Mail-Versand verantwortlich sind.

MX = Mail Exchanger

MX Records erfragen mit "dig"

MX Records erfragen mit „dig“

  • Die Abfrage: dig bild.de MX
  • Die Antwort: mxa.asv.de. mit Prio 100 und mxb.asv.de mit Prio 200
  • Der antwortende DNS Server (hier 8.8.8.8)

Wenn Sie absichtlich einen anderen DNS-Server abfragen möchten:

Dig <query> @andererDNS

Bsp.: dig bild.de MX @8.8.4.4

Iperf – Performance im Netz

Um tatsächliche Bandbreiten und Performance im Netzwerk zu messen, eignet sich das Linux-Paket iperf.

Installation:

Centos: yum install iperf

Debian: apt install iperf

Auf System1 wird mit “iperf –s” ein Server-Dienst gestartet. Auf der Linux-Gegenstelle wird mit „iperf –c <system1>“ der Standard-Test ausgeführt. Dieser läuft im default 10 Sekunden und gibt Auskunft über die tatsächliche Bandbreite.

Standardmässig läuft der Test als tcp-Test. Optional kann auch mit UDP-Paketen getestet werden.

Iperf mit „iperf –s“ starten. Auf der Gegenstelle anschließend den tatsächlichen Test starten:

Bsp. (Labor): Es wurden 10 Sekunden lang Pakete übertragen. Insgesamt 7,45 GByte mit einer Geschwindigkeit von 6,4 Gbit/Sekunde.

Hinweis: Beide Geräte waren an einem 10GBit/s Switch angeschlossen.

Iperf - auch im heimischen LAN gut zu nutzen

Iperf – auch im heimischen LAN gut zu nutzen

Reales Performance-Beispiel im Internet:

Schritt1: Auf dem Server, der den iperf-Dienst startet, müssen zuerst alle blockierenden Dienste (fail2ban, iptables) deaktiviert werden:

/etc/init.d/monit stop;
/etc/init.d/fail2ban stop;
/etc/init.d/iptables stop;

Anschließend wird mit iperf –s der Dienst gestartet. Die Gegenstelle startet dann den Test:

Im konkreten Beispiel wurden in 10 Sekunden 16,6 MByte übertragen. Das entspricht denn einer Bandbreite von 13 Mbit/Ssekunde.

Mit "iperf" können Sie unter Linux die Geschwindigkeit im Netz messen

Mit „iperf“ können Sie unter Linux die Geschwindigkeit im Netz messen

 

Netzwerk-Scanner

Ein Netzwerkscanner identifiziert die gerade aktiven IP-Adressen in einem Netzwerk. Dies erfolgt in der Regel über einen Ping.

Achtung: Nur wenn der Host einen Ping auch erwidert – also auf dem Port auch Kommunikation zulässt – sehen Sie mit einem IP-Scanner ein Resultat.

Beispiele:

 

Portscanner

Mit einem Portscanner können Sie herausfinden, welche Ports bei einem Host überhaupt offen für eine Kommunikation sind.

Bsp.:

 

Wichtig: Sie können damit noch keinen Rückschluss daraus ziehen, wer ggf. die Kommunikation zum Host kontrolliert.

Das kann der Host selbst regeln oder eine Firewall dazwischen sein.

IT-Dokumentation mit docusnap

Netzwerk-Inventarisierung und die halb-automatische Erstellung einer IT-Dokumentation sind mit docusnap kein Hexenwerk – wenn man weiß wie es geht. Wir erläutern hier im Tutorial wie Sie mit docusnap erst eine Erfassung der Computer, Server und sonstigen Netzwerk-Komponenten durchführen und anschließend eine vollständige IT-Dokumentation aller Hardware und Software sowie ihres Active Directories erstellen.

Zentrale Docusnap Installation

Bevor Sie docusnap zur Invenatarisierung und Dokumentation in einem Computer-Netzwerk nutzen können, müssen Sie auf einem zentralen Windows-Server docusnap selbst installieren. Dazu brauchen Sie mindestens einen Windows Server 2008 R2 oder neuer und eine MS-SQL Datenbank – und eine ausreichende Anzahl an freien docusnap Lizenzen.

Tipp: Als Faustformel rechnen Sie mit ca. dem zweieinhalb-fachen an Computer und sonstigen Netzwerk-Geräten wie Anwender im Netz arbeiten.

Voraussetzungen zum Scan eines Netzwerkes

Für die automatische Inventarisierung eines Netzwerkes benötigen Sie.

  • Einen PC/Notebook oder Server mit einem Windows Betriebssystem >= Win 7 (Windows Server geht ebenfalls) auf dem der docusnap Discovery Agent installiert wird.
  • Eine vom zentralen Server erstellte Zip-Datei, die Sie auf dem Disovery PC installieren.
  • Die Zugangs-Daten zur Domäne des Kunden (in der Regel das Administrator-Passwort)
  • Den Netzwerk-Bereich des Kunden (z.B: 192.168.25.1 bis 192.168.25.254)

Auf dem Gerät im zu erfassenden Netz muss das (aktuellste) .Net-Framework 4.6.1 installiert sein

https://www.microsoft.com/de-de/download/details.aspx?id=49982

Web-Installer für das .Net Framework 4.6.1

https://www.microsoft.com/de-de/download/details.aspx?id=49981

Wichtig: Es können nur so viele Knoten im Kunden-Netz inventarisiert werden, wie auf dem zentralen docusnap Server Lizenzen frei sind. Eine docusnap Lizenz entspricht einem Gerät, das TCP/IP spricht. Dabei ist es egal ob das ein PC, Server, Drucker, Switch oder eine VOIP-Telefon ist.

Agenten-System für den Discovery-Service vorbereiten

Installieren Sie bspw. ein Notebook mit Windows 7 (oder höher) oder vergleichbares Gerät, auf das Sie den Discovery Agent installieren. Sofern im Zielnetz eine virtuelle Infrastruktur (bspw. Mit VMWare oder HyperV) vorhanden ist, können Sie dort auch einen virtuellen PC mit aktuellem .Net-Framework einrichten.

Vorbereitung auf dem zentralen docusnap Server

Zur Vorbereitung loggen Sie sich auf dem docusnap-Server ein und starten Sie die Software docusnap. Nachfolgend legen Sie nun zuerst den Kunden als organisatorische Einheit an. Damit werden die gewonnenen Daten anschließend richtig zugeordnet. Anschließend konfigurieren Sie den so genannten Discovery Service von docusnap, der das Kunden-Netz mit der zentralen docusnap-Installation verbindet.

Firma und Netzwerkbereich in docusnap anlegen

Klicken Sie im Reiter „Inventar“ auf Neu -> Firma.

Firma für die spätere IT-Dokumentation des Kunden anlegen

Firma für die spätere IT-Dokumentation des Kunden anlegen

Legen Sie die Firma, die Sie inventarisieren möchten an. Geben Sie dazu die Adresse ein und  klicken Sie auf speichern.

Discovery Paket für ein Kundennetz erstellen

Discovery Service erstellen

Discovery Service erstellen

Klicken Sie auf den Reiter „Automatisierung“ und anschließend auf „Discovery Service konfigurieren“.

Klicken Sie auf „Neu“. Tragen Sie dabei als Beschreibung den Netzwerk-Namen bzw. Active-Directory-Namen des Kunden ein (bspw. „kunde.local“).

Wählen Sie im Feld Firma die vorher angelegte Firma aus und klicken Sie auf speichern. Anschließend öffnet sich der Dialog zur Erstellung des Installations-Pakets für den DiscoveryAgenten im Netz des Kunden.

 

Das gerade installierte Zip-File kopieren Sie auf den vorhin installierten Server bzw. PC/Notebook mit DiscoveryAgent und speichern es dort ab. Installieren Sie das Paket jetzt NOCH NICHT.

 

Um die spätere Netzwerk-Suche auf ein vernünftiges Maß einzuschränken, gehen Sie wie folgt vor: Fügen Sie den Netzwerk-Bereich für den Kunden hinzu.

IP-Bereiche lassen sich mit docusnap eingrenzen

IP-Bereiche lassen sich mit docusnap eingrenzen

Markieren Sie zunächst in den DiscoveryService des Kunden (1) und klicken danach auf „Ip Segmente“ -> Button Bearbeiten

Klicken Sie zuerst auf „Neu“ (1) und geben anschließend die erste und danach die letzte IP-Adresse ein, die gescannt werden soll. Klicken Sie danach auf Speichern. Sofern der Kunde mehrere IP-Bereiche hat (z.B. mehrere Standorte) so wiederholen Sie diesen Schritt für jeden einzelnen IP-Adress-Bereich. Mit diesem Schritt ist die Vorbereitung von docusnap zur Inventarisierung abgeschlossen.

Vorbereitung des Netzwerks-Scans

Um das Netz des Kunden zu scannen, müssen Sie den Discovery-PC/Notebook in das Netz des Kunden hängen. Dazu ist es notwendig, dass der DiscoveryAgent eine IP-Adresse aus dem gleichen Netzbereich erhält, wie die Knoten, die Sie scannen wollen. Dies ist in der Regel eine IP-Adresse aus dem IP-bereich, den Sie auf dem docusnap Server für den Kunden abgespeichert haben.

Einrichten und Starten des Agenten

Auf dem PC/Notebook/Server entpacken Sie jetzt das vorhin erstellte Zip-File. In ihm sind zwei Dateien für den Discovery-Service enthalten

  • exe
  • xml

Doppelklicken Sie auf die ausführbare Datei DocusnapDiscoverySetup.exe . Damit starten Sie den Discovery-Agenten. Akzeptieren Sie zunächst die Lizenz-Vereinbarung und wählen anschließend das Verzeichnis, in das der Agent installiert werden soll. (-> Next -> Install) Der Agent startet anschließend automatisch:

Die Installation des docusnap Discovery-Service erledigen Sie in wenigen Minuten

Die Installation des docusnap Discovery-Service erledigen Sie in wenigen Minuten

Der Agent nimmt nun über die in der mitgelieferten Konfigurationsdatei angegebene URL Kontakt zum docusnap-Server auf und verbindet sich. Die Übertragung erfolgt dabei verschlüsselt.

Über den Button „Verbindungs-Test“ können Sie die Verbindung zwischen dem Discovery-Agenten und dem docusnap-Datenbank-Server prüfen. Wenn unten links ein grüner Haken erscheint  dann war die Verbindung erfolgreich. Der Discovery-Agent läuft nun auf ihrem Discovery-Host.

In der Mitte der Maske können Sie bei Bedarf noch die Anmelde-Daten für das Dienst-Konto hinterlegen. Ebenso ist weiter unten eine Verbindung via Web-Proxy möglich

Prüfen der Verbindung auf dem zentralen docusnap-Server

Nach der eben hergestellten Verbindung können Sie diese im zentralen Server von docusnap sehen:Klicken Sie dazu im Reiter „Automation“ in docusnap den Button „Discovery Service konfigurieren“.

Die Verbindung zum Dokumentations-Server von docusnap prüfen

Die Verbindung zum Dokumentations-Server von docusnap prüfen

 

In der Zeile mit dem vorab eingerichteten Kundennetz sehen Sie nun in der Spalte „Systemname“ den Hostnamen ihres Agenten (im Bild grün). Dieser war vorher leer (wie im Bild in der Zeile darunter)

Durchführung der Inventarisierung

Zur Durchführung der eigentlichen Netzwerk-Inventarisierung der Knoten im  Kunden-Netzwerk benötigen Sie

  • Einen funktionierenden DiscoveryService im Netz des Kunden
  • Den IP-Bereich der inventarisiert werden soll
  • Die Zugangs-Daten zu den Systemen, die inventarisiert werden sollen – vorzugsweise das Kennwort eines (Active-Directory) Domänen-Administrators

Dauer der Inventarisierung

Die Durchführung der Netzwerk-Inventarisierung dauert je nach Netzwerk und Anzahl Knoten zwischen 20 Minuten und mehreren Stunden. Die Inventarisierung wird am zentralen docusnap-Server durchgeführt. Lediglich der Discovery-Service muss auf dem installierten Client bzw. Server im Zielnetzwerk laufen und erreichbar sein.

Erstmalige Inventarisierung

Zur erstmaligen Inventarisierung klicken Sie bitte auf Inventar (1) und anschließend auf „Netzwerk Scan“. Es öffnet sich ein Assistent, der Sie über insg. 15 Schritte durch die Konfiguration führt.

Firma für die spätere IT-Dokumentation des Kunden anlegen

Firma für die spätere IT-Dokumentation des Kunden anlegen

 

Eingabe der Zugangs-Daten

Im ersten Schritt wählen Sie die richtige Firma aus. Im zweiten Punkt des Assistenten müssen Sie die Zugangs-Daten zum Active Directory des Kunden eingeben:

Klicken Sie zunächst auf den DiscorveryService des Kunden (1). Danach tragen Sie die Anmelde-Informationen der Kunden-Domäne ein. Bitte tun Sie dies unbedingt in folgender Art und Weise (wie sie im rechts oben im Bild zu sehen ist):

  • Domäne: der vollständige Name der internen Domäne – meistens <kunde>.local
  • Benutzername: <domain>\<konto>
  • Passwort: das (richtige) Passwort
Ein wichtiger Schritt zur IT-Doku: Authentifizierung im Kundennetz

Ein wichtiger Schritt zur IT-Doku: Authentifizierung im Kundennetz

Setzen Sie den Haken bei „…Passwort speichern“ und klicken Sie auf „Authentifizierung prüfen“. Solange docusnap das AD-Passwort nicht verifizieren konnte, kommen Sie nicht weiter.

Erst wenn mit dem Benutzernamen/Passwort eine Anmeldung möglich ist, können Sie unten auf „Weiter“ (4) klicken.

Auswahl der zu inventarisierenden Objekte

Hinweis: Jedes zu inventarisierte Objekt belegt eine kostenpflichtige Lizenz im docusnap-System. Bitte überlegen Sie daher vorab, welche Knoten Sie zu welchem Zweck inventarisieren möchten bzw. müssen.

Die einzelenen Server und PCs nach der ersten Erfassung

Die einzelenen Server und PCs nach der ersten Erfassung

In der Spalte „Typ“ können Sie sich nur Server, die Domain-Controller und normale Domänen-Hosts anzeigen lassen. Welche Geräte sie dann inventarisieren möchten, hängt ganz vom Sinn und Zweck der Analyse ab.

Weitere Analyse / Inventarisierungs-Objekte

In den folgenden Schritten 4 – 8 können Sie separat die Zugangs-Daten für das Active Ddirectory, Microsoft Exchange Server (sofern vorhanden), Linux-Systeme oder SNMP-Geräte angeben. Dabei können Sie auf jeder einzelnen Seite den Unterpunkt an – oder abwählen.

Erstinventarisierung:

In der Regel ist es für eine Erst-Inventarisierung eines Active Directory ausreichend, wenn Sie folgende Server / Rechner bevorzugt inventarisieren:

  • Active Directory Server
  • Server generell
  • Router / Firewalls
  • Einige ausgewählte Workstations (PCs) und Notebooks

Selbst große Netze mit mehr als 100 Rechnern können Sie so im ersten Schritt mit 20 -25 Lizenzen inventarisieren und sich so einen Überblick verschaffen ohne zuviel Aufwand mit der Inventarisierung zu betreiben.

Wiederholung der Netzwerk-Scans / Inventarisierung

Auch wenn über die Computer-Konten in einem Active-Directory praktisch alle Computer, Notebooks und Server erfasst werden können, benötigt docusnap zum Zeitpunkt der Inventarisierung einen Zugriff auf den eingeschalteten Ziel-Computer, den es erfassen soll.

Sofern also ein PC oder ein Notebook zum Zeitpunkt des Netzwerkscans nicht eingeschaltet oder im Netzwerk erreichbar ist, dann kann docusnap die Inhalte des PCs (wie etwa installierte Software, Registry, Hardware-Daten) nicht erfassen.

Daher empfiehlt es sich, die vollständige Inventarisierung eines Netzwerkes mehrfach durchzurühren. Dazu können vollständige Netzwerkscans zeitlich geplant werden, so daß sie etwa zu dem Zeitpunkt das Netzwerk durchsuchen, in denen möglichst  viele Anwender vor Ihrem Computer sitzen oder zumindest die Geräte eingeschaltet sind.

Automatisierte Erstellung der IT-Dokumentation

Voraussetzung zur Erstellung einer Dokumentation ist mindestens eine erfolgreiche Durchführung einer Inventarisierung mit Hilfe des Discovery Service beim Kunden. Wie oben beschrieben empfehlen wir, die Inventarisierung mehrfach durchzuführen, um möglichst viele Computer mindestens einmal eingeschaltet „zu erwischen“.

Dauer: Das Erstellen der eigentlichen IT-Dokumentation dauert je nach Netzgröße zwischen wenigen Minuten und einer Stunde. Die Netzwerk-Dokumentation wird dabei in den folgenden Datei-Formaten erstellt:

  • HTML (Zur Betrachtung wird Microsoft Silverlight benötigt)
  • Word-Dateien (*.docx)
  • Excel-Dateien (*.xlsx)
  • PDF
  • Visio (Netzwerk-Pläne)

Struktur der Doku:

Die fertige IT-Dokumentation erstreckt sich über mehrere (um nicht zu sagen sehr viele) Dateien. Die Verzeichnis-Struktur der erstellten Dokumentation ist wie folgt:

Dokubestandteil: Overview

Im Verzeichnis „Overview“ finden Sie die folgenden Dokumente jeweils als HTML und Excel-Datei (*.xlsx):

  • Management-Übersicht
  • Liste aller Computer
  • Liste aller Gruppen (der AD)
  • Liste aller Benutzer . Diese beinhaltet auch, wer in welcher Gruppe Mitglied ist.
  • Liste aller gefundenen Software-Produkte sowie deren Häufigkeit (Anzahl Installationen)
Management-Übersicht der erstellten IT-Dokumentation

Management-Übersicht der erstellten IT-Dokumentation

 

 

Doku-Bestandteil: Datasheets

Datasheets – hier finden Sie nach Server und Workstations getrennt die Datenblätter der einzelnen Server und PCs, die während des Netzwerk-Scans gefunden wurden. Pro Gerät sind das ca 30 – 40 DINA4 Seiten. Hier werden alle Details des betroffenen Knoten dokumentiert. Dies betrifft neben der Hardware vor allem die installierte Software sowie die aktiven Dienste (Services) des Hosts.

 

Doku-Bestandteil: Maps

Maps: Hier finden Sie die Übersicht sowie Pläne über:

  • Einzelne Services , z.B. Exchange
  • Teilbereiche des Active Directory
  • Die Netzwerk-Topologie

Die Pläne sind entweder als Visio oder als HTML Dokument vorhanden.

Archiv der Dokumentation:

Bei der Neuerstellung einer Dokumentation wird eine vorher erstellte Netzwerk-Dokumentation in das Unterverzeichnis „Archive“ verschoben und der Dateinamen um das Datum ergänzt. So gehen vorherige Dokumentations-Versionen nicht verloren.

Interpretation der Daten aus der IT-Doku

So hilfreich eine und gründliche IT-Dokumentation auch sein mag: Sie allein ersetzt nicht, die ausführliche Analyse der erhobenen Daten. Bitte kalkulieren Sie bei Ihren Aufwendungen für die Betreuung des Kunden ausreichend Zeit für die Analyse der gefunden Daten ein.

Übergabe der Dokumentation an den Kunden / Nutzer

Aufgrund der Menge von Daten bzw. Dateien die im Laufe einer Analyse erhoben werden, sollten Sie aus dem Verzeichnis mit der fertigen Dokumentation ein Zip-File erstellen.

Bitte beachten Sie dass Sie das Zip-File dem aufgrund seiner Größe (min 100 MB) in der Regel nicht per E-Mail zu Verfügung stellen können. Nutzen Sie statt dessen einen anderen Weg der Übermittlung, etwa:

Wie geht’s weiter?

Matthias Böhmichen - Geschäftsführer der Biteno GmbH

Matthias Böhmichen – Geschäftsführer der Biteno GmbH

Mit der halb-automatischen IT-Dokumentation von docusnap können Sie nicht nur einmalig sondern auch dauerhaft ihre Netzwerk-Infrastruktur dokumentieren. Ob das nun einmal im halben Jahr oder montatlich durchgeführt wird, hängt im wesentlichen von den Anforderungen bzw. Wünschen des Kunden ab.

Als IT-Dienstleister empfehlen wir Kunden ihr Netzwerk wenigstens einmal pro Jahr mit docusnap scannen zu lassen und daraus eine statische IT-Dokumentation zu erstellen. Gmeinsam mit der laufenden Dokumentation aus Tickets und Service-Anforderungen haben Sie so einen sehr guten und aktuellen Überblick auf ihr IT-Infrastruktur.

Übrigens: Selbst in Netzwerken ohne Active Directory lassen sich mit docusnap in kurzer Zeit ausführliche und tiefergehende IT-Dokumentationen erstellen.

Haben Sie Fragen zur IT-Dokumentation mit docusnap? Unsere Vertriebs-Mitarbeiter beraten Sie gerne im Vorfeld und erstellen Ihnen ein passendes Angebot für Ihr Unternehmen.

Links zum Hersteller:

https://www.docusnap.com/media/doc/howto/DocusnapX_InstallingandCustomizingDocusnapWeb.pdf

Benutzerhandbuch & Konfigurationshandbuch:

https://www.docusnap.com/training-support/handbuch/

Howtos:

https://www.docusnap.com/training-support/how-to