Gruppenrichtlinien: Erstellen von WMI-Filtern zur Abfrage des Betriebssystems

Oft ist es notwendig dass bestimmte Gruppenrichtlinien im Active Directory nur auf Computern mit einem bestimmten Betriebssystem angewandt werden.

Beispiele sind im Internet viele zu finden. Einige stützen sich dabei auf die Betriebssystembezeichnung (z.B. „Vista“), andere auf die Versionsnummer.

Microsoft stellt einen Ansatz vor der nur so genau wie nötig nach der Versionsnummer geht und die Unterscheidung zwischen Client- und Serverbetriebssystem sowie Domänencontrollern und Nicht-Domänencontrollern ermöglicht:

http://technet.microsoft.com/de-de/library/cc754488(WS.10).aspx

Namensauflösung im Windows-Netzwerk – Teil 2: NetBIOS und WINS

NetBIOS / WINS

NetBIOS stellt eine einfache Namensauflösung zur Verfügung die im Gegensatz zu DNS keine Domänen/Hierarchie kennt.

Viele Windows-Dienste verwenden bis heute NetBIOS für die Namensauflösung im LAN.

Die lokale Auflösung geschieht über die Datei „lmhosts“, die Auflösung im Peer2Peer Netz über Broadcasts.

Für die Serverbasierte Namensauflösung per NetBIOS wird WINS (Windows Internet Name Service) verwendet.
Dazu ist ein WINS-Server notwendig und dem Client muss die IP-Adresse des WINS Servers bekannt sein. Das geschieht entweder über die IP-Konfiguration von Windows oder per DHCP-Option.

Clients können sich beim WINS-Server selbstständig an- und abmelden.

Außerdem können mehrere WINS Server ihre Datenbank untereinander replizieren um so für Redundanz zu sorgen.

Interessant ist in diesem Zusammenhang der NetBIOS Knotentyp. Über den NetBIOS Knotentyp wird festgelegt in welcher Reihenfolge die verschiedenen Methoden der Namensauflösung über NetBIOS verwendet werden.

Der NetBIOS Knotentyp kann folgendermaßen gesetzt werden:

  • Per DHCP über die Option 46 (WINS/NBT-Knotentyp)
  • In der Registry über den Schlüssel
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\NodeType

Folgende Knotentypen gibt es:

  • B-Knoten (Broadcast): Es werden Broadcasts zur Registrierung und Auflösung von namen verwendet. Funktioniert nicht über Routergrenzen hinweg.
  • [2] P-Knoten (Peer2Peer): Zur Namensauflösung werden ausschließlich NBNS (NetBIOS Name Services wie z.B. WINS) verwendet um Namen zu registrieren und aufzulösen. Ist der Namensdienst nicht verfügbar schlägt die Auflösung von Namen fehl. Funktioniert über Routergrenzen hinweg.
  • [4] M-Knoten (gemischt): Mischung aus B- und P-Knoten. Schlägt die Auflösung per Broadcast fehl wird die Auflösung über einen NBNS abgewickelt.
  • [8] H-Knoten (Hybrid): Die Kombination aus P- und B-Knoten. Im Prinzip wie der M-Knoten, nur anderesherum. Zuerst wird gezielt beim NBNS angefragt, wenn das nicht erfolgreich ist erfolgt die Auflösung per Broadcast.
  • [1] Von Microsoft verbesserter B-Knoten: Kombination aus dem B-Knoten und der lokalen Auflösung über die lmhosts-Datei. Ist die Auflösung per Broadcast nicht erfolgreich wird versucht den Namen über die lokale Datei „lmhosts“ aufzulösen

Beispiel:
Soll der Knotentyp per DHCP auf „H-Knoten“ gesetzt werden ist für die DHCP-Option 46 folgendes einzutragen:
0x8

Standardmäßig wird auf Windows XP/Server 2003 und höher der von Microsoft verbesserte B-Knoten verwendet wenn kein WINS Server konfiguriert ist.

Ist ein WINS Server konfiguriert wird standarmäßig der H-Knotentyp verwendet.

Es ist auch möglich eine zentral abgelegte und verwaltete lmhosts-Datei zu verwenden. Das Verfahren dazu ist in diesem Technet-Artikel beschrieben.

Namensauflösung im Windows-Netzwerk – Teil 1: Grundlagen

Da ich mich aktuell mit der Namensauflösung in Windows-Netzen beschäftige habe ich beschlossen meine Erkenntnisse hier grob zusammenzufassen.

Dabei möchte ich die Grundlagen anschneiden und die wichtigeren Details erläutern die notwendig sind um das Grundprinzip zu verstehen und umzusetzen. Für die weitere Recherche setzte ich ein paar Links zu meinen Quellen anhand derer das Thema bei Bedarf und Interesse vertieft werden kann.

Ich werde hier primär auf das Verhalten von Windows 2000/XP und Vista/7 eingehen, ältere Windowsversionen sind für die meisten (einschließlich mir) nicht mehr von Bedeutung.
Was DNS angeht dürften sich aber alle Betriebssysteme sehr ähnlich verhalten.

Grundprinzip

Die Kommunikation in IP-basierten Netzwerken wird ausschließlich über IP-Adressen abgewickelt.
Damit trotzdem „sprechende Namen“ verwendet werden können ist es also notwendig diese in eine IP-Adresse aufzulösen bevor die eigentliche Kommunikation statt findet.

Im Prinzip kann man sich das wie ein Telefonbuch vorstellen in dem Telefonnummern Namen zugeordnet sind.

Grundsätzlich gibt es 3 Varianten der Namensauflösung:

  1. lokale Namensauflösung – bei dieser Variante existiert lokal auf dem PC eine Datei in der die zu bekannten Hosts gehörigen IP-Adressen stehen.
    Diese Variante hat einen großen Nachteil: Dieses Verzeichnis muss auf jedem Computer gepflegt werden.
  2. Auflösung per Peer2Peer (Broadcasts) – bei dieser Variante sendet ein Computer seine Auflösungsanfrage per Broadcast ins Netz. Bekommt der gefragte Computer den Broadcast schickt er eine Antwort zurück.
    Nachteil: hohe Netzlast besonders in größeren Netzen, Broadcasts funktionieren nicht über Router hinweg.
  3. Serverbasierte Namensauflösung – hier erfolgt die Namensauflösung über zentrale Namensserver. Den Clients muss die IP-Adresse/n des/der Namensserver natürlich vorab bekannt sein. Soll ein Name aufgelöst werden wird die Anfrage an den Server gestellt der sie dann beantwortet oder ggf. an einen anderen Server weiterleitet. Diese Methode verursacht wenig Netzlast (keine Broadcasts) und ist einfach zentral administrierbar.

In der Praxis kommt idr. eine Kombination aus allen 3 Verfahren zum Einsatz. Unter Windows außerdem 2 Arten der Namensauflösung

Es wird zwischen der NetBIOS-Namensauswertung und der Host-Namensauswertung unterschieden.
Typische Microsoft-Anwendungen wie z.B. die Datei- und Druckerfreigabe und die Netzwerkumgebung verwenden NetBIOS, während typische Internet-Applikationen wie z.B. Webbrowser, E-Mail Clients und der Ping-Befehl direkt auf die Host-Namensauswertung zugreifen.

Windows verwendet für die NetBIOS-Namensauswertung zuerst NetBIOS um einen Namen aufzulösen, anschließend DNS.

Besteht der aufzulösende Name aus mehr als 15 Zeichen oder enthält einen Punkt („.“) wird sofort über DNS aufgelöst. (Quelle: Microsoft)

Praxis

In kleinen Netzwerken ist die Standardkonfiguration von Windows idr. vollkommen ausreichend.

Die IP-Adresse bekommt der PC vom DHCP-Server des Routers, incl. der Anweisung den Router als Standardgateway und DNS-Server zu verwenden.
Andere PCs im Netzwerk werden per WINS über den von Microsoft verbesserten B-Knoten aufgelöst (da idr. kein WINS Server mitgegeben wird, mehr dazu in Teil 2) und DNS-Anfragen bezgl. Internet-Adressen werden über den Router mit dem DNS des Providers abgewickelt.

Da kleine private Netze idr. nicht durch Router unterteilt sind erreichen die Namensregistrierungen und Anfragen alle PCs im eigenen LAN und durch die rel. geringe Anzahl an Clients bliebt auch der Broadcast-Datenverkehr der dazu verwendet wird im Rahmen.

In großen Netzen sieht das anders aus.
Hier sind Broadcasts mit steigender Anzahl der Clients störendes Grundrauschen und das Netzwerk ist ggf. durch Router unterteilt was die Namensauflösung per Broadcast über das gesamte Netzwerk hinweg ohnehin unmöglich macht.

Hier muss man sich über ein zentrales, Server basiertes System zur Namensauflösung Gedanken machen.

Namensauflösung im Windows-Netzwerk – Teil 3: DNS

DNS steht für „Domain Name System“ und hat sich für die Auflösung von Namen unter TCP/IP als Standard etabliert.

Die Besonderheit von DNS ist insbesondere die Baumförmige Struktur des Namensraumes sowie die Unterteilung in Zonen was die Verwaltung durch mehrere Personen vereinfacht.

Eine äußerst umfangreiche Beschreibung von DNS gibt es bei Wikipedia, deshalb möchte ich alle besonders Wißbegierigen darauf verweisen.

Aufbau des DNS

Wie ich bereits kurz angesprochen habe ist der DNS-Namensraum baumförmig aufgebaut.
Zur Verwaltung wird der DNS-Namensraum außerdem in Zonen aufgeteilt. Eine Zone kann dabei eine Domain behinhalten, ggf. auch incl. Subdomains oder auch mehrere Domains.
In meinem Fall ist z.B. „schnulpe.de“ die DNS-Zone die ich verwalten kann.

Darunter könnte ich Subdomains anlegen (z.B. blog.schnulpe.de) oder Resource-Records erstellen (das kann z.B. www.schnulpe.de sein).

Hängt man den Hostnamen und die Namen sämtlicher übergeordneter Ebenen im DNS in umgekehrter Reihenfolge aneinander erhält man den FQDN – Full Qualified Domain Name. z.B. „www.schnulpe.de.“.
Der „.“ am Ende gehört dazu, er symbolisiert die oberste („root“) Ebene des DNS, ist aber bei der Verwendung von DNS-Namen idr. nicht zwingend notwendig.

Wenn man unter Windows Server 2003/2008 die DNS Server Verwaltung öffnet dann hat man idr. eine Forward-Lookup-Zone in der die eigene Domain verwaltet wird.

In meinem Heimnetzwerk ist das „lan.local“.

Natürlich sind Sie bei der Wahl des Domänennamen für die LAN-interne DNS-Struktur vollkommen frei, allerdings werden Sie wenn sich der Namensraum mit dem Internet-DNS Namensraum überlappt diverse Internetadressen nicht mehr (korrekt) auflösen können. Deshalb habe ich einen Namen gewählt den es im Internet so nicht gibt.

Innerhalb dieser Zone können nun Resource-Records für die Domain erstellt werden.
Die wichtigesten sind:

  • A – IP V4 Adresse eines Hosts: weist einem Hostnamen eine IP V4 Adresse zu. Es ist möglich mehrere A Resource Records für ein- und denselben Hostnamen mit unterschiedlichen IPs zu erstellen, damit lässt sich z.B. ein einfaches Load Balancing realisieren
  • AAAA – IP V6 Adresse eines Hosts: weist einem Hostnamen eine IP V6 Adresse zu
  • CNAME – Alias: legt einen Alias für einen A oder AAAA Record fest.
  • MX – Mail Exchange: legt den/die für die Domäne zuständigen Mailserver (SMTP) fest.
  • NS – Name Server: legt den für eine Zone zuständigen DNS-Server fest. Kann auch zur Verkettung/Delegierung von DNS-Bereichen dienen.

Zusätzlich gibt es noch die Reverse Lookup Zone, die umgekehrt wie die Forward Lookup Zone dazu dient IP-Adressen in Hostnamen aufzulösen.

Clientseitige DNS-Einstellungen

Neben den Serverbasierten DNS-Einstellungen sind auch die Clientseitigen von großer Bedeutung.
Besonders die Liste der Suchsuffixe ist wichtig.

Beispiel:
Mein Rechner heißt „test-pc“ und befindet sich in der Domain „lan.local“.
Versuche ich nun „test-pc“ von einem anderen PC der sich nicht in der Domäne befindet aufzulösen werde ich nur die Meldung zurück bekommen, dass „test-pc“ nicht gefunden werden kann.
Befinde ich mich nicht in der selben Domäne muss ich den kompletten FQDN auflösen, also „test-pc.lan.local“.

Möchte ich mir die Tipparbeit ersparen kann ich „lan.local“ meiner „Suchsuffixliste“ in den TCP/IP Einstellungen hinzufügen.

Ist der andere Client in der selben Domäne gibt es dieses Problem nicht, weil die eigene Domäne immer zuerst durchsucht wird.

Einfaches Handling von CD/DVD-Images mit ImgBurn

Mit der kostenlosen Software ImgBurn (http://www.imgburn.com/) ist das Handling von CD/DVD-Imagedateien sehr einfach und komfortabel möglich.

Ich bin vor einigen Monaten auf die Software gestoßen weil ich ein Programm gesucht habe das mir eine einfache Erstellung von .ISO Images zur Verwendung mit VMWare von CDs/DVDs ermöglicht.

Neben der Erstellung von Image-Dateien eines Datenträgers ist es natürlich auch umgekehrt möglich Image-Dateien zu brennen.

Außerdem können auch Dateien auf CDs gebrannt werden, ebenso kann man aus einer Zusammenstellung von Dateien direkt ein Image erstellen.

ImgBurn kann neben .ISO auch mit vielen anderen Imageformaten umgehen.