The Cable Guy - Mai 2004

Funktionsweise der Netzwerkerkennung für netzwerkbezogene Gruppenrichtlinieneinstellungen

Veröffentlicht: 22. Jun 2004
Von The Cable Guy

Microsoft Windows Server 2003 und Windows XP bieten eine Reihe netzwerkbezogener Gruppenrichtlinieneinstellungen an. So gibt es unter dem Knoten "Computerkonfiguration" zum Beispiel Einstellungen, mit denen Sie die gemeinsame Nutzung der Internetverbindung (ICS - Internet Connection Sharing) und die Netzwerkbrücke aktivieren oder deaktivieren können. Auch die Einstellungen der Internetverbindungsfirewall (ICF - Internet Connection Firewall) können Sie über Gruppenrichtlinien steuern. Diese Richtlinien lassen sich jedoch nur korrekt anwenden, wenn die Netzwerkerkennung unterstützt wird. Das heißt: Windows Server 2003 und Windows XP müssen feststellen können, ob der Computer mit einem verwalteten Netzwerk verbunden ist und ob für die Domäne, der der Computer angehört, ein Domänencontroller existiert.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
**
Download

Artikel im Word-Format

Downloadcg0504.doc
84 KB
Microsoft Word-Datei
Viewer für Office-Dateien downloaden

Artikel im PDF-Format

Downloadcg0504.pdf
48 KB
PDF-Datei
Adobe Acrobat Reader downloaden
**
Auf dieser Seite
Gruppenrichtlinieneinstellungen mit NetzwerkerkennungGruppenrichtlinieneinstellungen mit Netzwerkerkennung
Verwendung der gemeinsam genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassenVerwendung der gemeinsam genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassen
Verwendung der Internetverbindungsfirewall im eigenen DNS-Domänennetzwerk nicht zulassenVerwendung der Internetverbindungsfirewall im eigenen DNS-Domänennetzwerk nicht zulassen
Installation und Konfiguration der Netzwerkbrücke im eigenen DNS-Domänennetzwerk nicht zulassenInstallation und Konfiguration der Netzwerkbrücke im eigenen DNS-Domänennetzwerk nicht zulassen
Einstellungen der Windows Firewall unter Windows XP SP2Einstellungen der Windows Firewall unter Windows XP SP2
Funktionsweise der NetzwerkerkennungFunktionsweise der Netzwerkerkennung
Ständige Verbindung mit einem verwalteten NetzwerkStändige Verbindung mit einem verwalteten Netzwerk
Wechsel zwischen unterschiedlichen Teilen des gleichen verwalteten NetzwerksWechsel zwischen unterschiedlichen Teilen des gleichen verwalteten Netzwerks

Gruppenrichtlinieneinstellungen mit Netzwerkerkennung

In den nächsten Abschnitten werden die folgenden Gruppenrichtlinieneinstellungen des Knotens Computerkonfiguration besprochen:

Verwendung der gemeinsam genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassen unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen

Verwendung der Internetverbindungsfirewall im eigenen DNS-Domänennetzwerk nicht zulassen unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen

Installation und Konfiguration der Netzwerkbrücke im eigenen DNS-Domänennetzwerk nicht zulassen unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen

Windows Firewall Settings for Windows XP Service Pack 2 (SP2) (nur in Englisch, da sich SP2 für Windows XP im Moment noch im Betatest befindet) unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkverbindungen/Windows Firewall

Diese Einstellungen verwenden die Netzwerkerkennung, um das Verhalten und die Konfiguration von Netzwerkdiensten festzulegen.

Zum SeitenanfangZum Seitenanfang

Verwendung der gemeinsam genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassen

Diese Einstellung legt fest, ob lokale Administratoren die gemeinsame Nutzung der Internetverbindung aktivieren oder konfigurieren können. Mit der gemeinsamen Nutzung der Internetverbindung können lokale Administratoren das System als Internet-Gateway für ein kleines Netzwerk konfigurieren und auf diesem Weg Netzwerkdienste wie DNS und DHCP für das Netzwerk zur Verfügung stellen.

Zum SeitenanfangZum Seitenanfang

Verwendung der Internetverbindungsfirewall im eigenen DNS-Domänennetzwerk nicht zulassen

Diese Einstellung legt fest, ob lokale Administratoren die Internetverbindungsfirewall für Verbindungen aktivieren können. Die Internetverbindungsfirewall ist eine hostbasierte Firewall unter Windows XP (bis SP1). Sie schützt die Systeme von Home-Benutzern und kleinen Unternehmen gegen Netzwerkangriffe aus dem Internet.

Zum SeitenanfangZum Seitenanfang

Installation und Konfiguration der Netzwerkbrücke im eigenen DNS-Domänennetzwerk nicht zulassen

Diese Einstellung legt fest, ob lokale Administratoren die Netzwerkbrücke installieren und konfigurieren können. Die Netzwerkbrücke ist eine Layer-2-Bridge, mit der zwei oder mehr LAN-Segmente zu einem gemeinsamen Segment (Subnetz) verbunden werden können.

Bereits vorhandene Netzwerkbrücken sind von der Aktivierung dieser Einstellung nicht betroffen - sie bleiben weiter bestehen.

Zum SeitenanfangZum Seitenanfang

Einstellungen der Windows Firewall unter Windows XP SP2

Um die Konfiguration einer größeren Anzahl von Computern in einem Unternehmensnetzwerk mit Active Directory zu zentralisieren, können die Einstellungen der Windows Firewall für Computer unter Windows XP SP2 über eine Gruppenrichtlinie bereitgestellt werden. Über einen neuen Satz an Gruppenrichtlinieneinstellungen können zum Beispiel Einstellungen wie Betriebsmodus, zugelassener Verkehr und viele weitere konfiguriert werden.

Wenn Sie die neuen Gruppenrichtlinieneinstellungen für die Windows Firewall nutzen, dann können Sie zwei unterschiedliche Profile konfigurieren:

Domänenprofil
Das Domänenprofil stellt Einstellungen für die Windows Firewall zur Verfügung, die bei einer Verbindung des Computers zu einem verwalteten Netzwerk verwendet werden.

Standardprofil
Die Einstellungen des Standardprofils werden verwendet, wenn der Computer mit einem anderen Netzwerk verbunden ist - zum Beispiel, wenn unterwegs von einem Notebook aus eine Verbindung mit dem Internet aufgebaut wird. Da das Notebook in einem solchen Fall direkt mit dem Internet verbunden ist, sollten die Einstellungen dieses Profils restriktiver sein als das Domänenprofil.

Sie finden die beiden Profile im Knoten Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows Firewall.

Weitere Informationen zu den Gruppenrichtlinieneinstellungen für die Windows Firewall finden Sie im Whitepaper Windows XP Service Pack 2 - Einstellungen für die Internetverbindungsfirewall bereitstellen.

Zum SeitenanfangZum Seitenanfang

Funktionsweise der Netzwerkerkennung

Bei den in diesem Artikel beschriebenen Gruppenrichtlinieneinstellungen hängen Verhalten und Konfiguration von Netzwerkdiensten davon ab, ob der entsprechende Computer mit einem verwalteten Netzwerk mit einer Windows-Domäne oder mit einem anderen Netzwerk verbunden ist. Dies wird anhand folgender Kriterien festgestellt:

Der DNS-Name der letzten Gruppenrichtlinienaktualisierung
Wenn ein Computer unter Windows Server 2003 oder Windows XP eine Gruppenrichtlinienaktualisierung empfängt, dann hält er das verbindungsspezifische DNS-Suffix der Verbindung in der Registrierung fest, über die er die Aktualisierung erhalten hat.

Die verbindungsspezifischen DNS-Suffixe der Verbindungen des Computers
Hierzu zählen alle Verbindungen, die über eine IP-Adresse verfügen und bei denen es sich nicht um PPP- oder SLIP-Verbindungen handelt.

Der Algorithmus zur Netzwerkerkennung führt mit diesen Kriterien die folgenden Analysen durch:

Wenn der Computer kein Domänenmitglied ist, dann wird immer davon ausgegangen, dass er mit einem anderen (nicht verwalteten) Netzwerk verbunden ist.

Wenn der DNS-Name der letzten Gruppenrichtlinienaktualisierung einem der verbindungsspezifischen DNS-Suffixe der Netzwerkverbindungen des Computers entspricht, dann ist der Computer mit einem verwalteten Netzwerk verbunden.

Wenn der DNS-Name der letzten Gruppenrichtlinienaktualisierung keinem der verbindungsspezifischen DNS-Suffixe der Netzwerkverbindungen des Computers entspricht, dann ist der Computer mit einem anderen (nicht verwalteten) Netzwerk verbunden.

Die Netzwerkerkennung wird während des Startvorgangs und bei einer Änderung der Netzwerkeinstellungen des Computers durchgeführt.

Beispiel: Ein Notebook mit einer WLAN-Verbindung ist Mitglied der Domäne corp.example.com und stellt eine Verbindung mit dem Unternehmensnetzwerk her. Es bekommt vom DHCP-Server den DNS-Domänennamen corp.example.com zugewiesen. Wenn sich der Computer (beziehungsweise der Benutzer) bei der Domäne anmeldet, dann empfängt er über die WLAN-Verbindung eine Gruppenrichtlinienaktualisierung - daher wird der DNS-Domänenname corp.example.com als DNS-Name der letzten Gruppenrichtlinienaktualisierung in der Registrierung gespeichert. Da nun der DNS-Name der letzten Gruppenrichtlinienaktualisierung dem verbindungsspezifischen DNS-Suffix der WLAN-Verbindung entspricht, geht der Computer davon aus, dass er mit einem verwalteten Netzwerk verbunden ist.

Wenn sich der Benutzer mit demselben Computer in einem Café aufhält und dort über das WLAN eine Verbindung mit dem Internet herstellt, dann könnte dem Computer über den DHCP-Server des ISPs der DNS-Domänenname isp.example.com zugewiesen werden. Da der DNS-Name der letzten Gruppenrichtlinienaktualisierung (corp.example.com) nun nicht mehr dem verbindungsspezifischen Suffix entspricht (isp.example.com), geht Windows davon aus, dass der Computer mit einem nicht verwalteten Netzwerk verbunden ist. In diesem Fall wird es keine Gruppenrichtlinienaktualisierungen geben, deshalb bleibt der in der Registrierung gespeicherte DNS-Name der letzten Gruppenrichtlinienaktualisierung corp.example.com.

Dieser Algorithmus arbeitet in den meisten Situationen wie gewünscht - bei bestimmten Konfigurationen kann es jedoch sein, dass Windows davon ausgeht, ständig mit einem verwalteten Netzwerk verbunden zu sein. Außerdem können temporäre Probleme auftreten, wenn Computer zwischen einzelnen Teilen des gleichen verwalteten Netzwerks wechseln und über DHCP Domänennamen zugewiesen bekommen.

Zum SeitenanfangZum Seitenanfang

Ständige Verbindung mit einem verwalteten Netzwerk

Wenn das verbindungsspezifische DNS-Suffix eines Computers manuell konfiguriert wird und dieses dem DNS-Namen der letzten erhaltenen Gruppenrichtlinienaktualisierung entspricht, dann geht Windows permanent davon aus, dass der Computer mit einem verwalteten Netzwerk verbunden ist.

Hierdurch können jedoch folgende Probleme entstehen:

Wenn der Computer mit einem anderen Netzwerk - zum Beispiel dem Internet oder einem Heimnetzwerk - verbunden ist, dann kann der Benutzer die Gruppenrichtlinieneinstellungen für die gemeinsame Nutzung der Internetverbindung, die Internetverbindungsfirewall und die Netzwerkbrücke nicht ändern. Wenn die Internetverbindungsfirewall nicht aktivieren werden kann, bleibt der Computer für Netzwerkangriffe verwundbar.

Wenn der Computer mit dem verwalteten Netzwerk verbunden ist, dann möchte der Administrator des verwalteten Netzwerks die Windows Firewall möglicherweise über die Gruppenrichtlinieneinstellung deaktivieren - wenn der Computer mit einem anderen Netzwerk verbunden ist, dann soll die Windows Firewall aktiviert werden. Wenn Windows jedoch immer davon ausgeht, mit einem verwalteten Netzwerk verbunden zu sein, dann wird die Windows Firewall auch bei einer Verbindung mit einem anderen Netzwerk nicht aktiviert.

Zum SeitenanfangZum Seitenanfang

Wechsel zwischen unterschiedlichen Teilen des gleichen verwalteten Netzwerks

Auch wenn Computer sich zwischen verschiedenen Teilen eines verwalteten Netzwerks bewegen und über DHCP unterschiedliche Domänennamen zugewiesen bekommen, können sich Probleme mit der Netzwerkerkennung ergeben.

Ein Notebook verfügt zum Beispiel nur über eine WLAN-Verbindung und ist Mitglied der Domäne noam.corp.example. In einer Niederlassung in Nordamerika wird dem Notebook dieser Domänename auch über DHCP zugewiesen. Wenn sich das Notebook jedoch in einer europäischen Niederlassung befindet, dann wird ihm der Domänenname europe.corp.example.com zugewiesen. In diesem Fall stimmt der DNS-Name der letzten Gruppenrichtlinienaktualisierung nicht mehr mit dem DNS-Suffix der WLAN-Verbindung des Notebooks überein - obwohl es mit einem Teil des verwalteten Netzwerks verbunden ist.

Dieser Zustand ändert sich allerdings mit der ersten Gruppenrichtlinienaktualisierung. In diesem Fall wird das Suffix der aktuellen Verbindung (europe.corp.example.com) als DNS-Name der letzten Gruppenrichtlinienaktualisierung in der Registrierung gespeichert. Bei der nächsten Netzwerkerkennung geht der Computer nun davon aus, dass er mit einem verwalteten Netzwerk verbunden ist.

Ein Workaround für dieses Problem wäre, alle DHCP-Server einer Organisation den gleichen DNS-Domänennamen an die Clients zuweisen zu lassen. Für das vorangegangene Beispiel könnte das zum Beispiel bedeuten, dass die DHCP-Server in Nordamerika und Europa den Domänennamen example.com zuweisen.

In den folgenden Situationen kann es vorkommen, dass ein Computer mit einem verwalteten Netzwerk verbunden ist, jedoch davon ausgeht, mit einem nicht verwalteten Netzwerk verbunden zu sein:

Die DHCP-Option DNS-Domänenname wurde auf ein Suffix geändert, das nicht dem DNS-Namen der letzten Gruppenrichtlinienaktualisierung entspricht.

Die DHCP-Option DNS-Domänenname wurde entfernt - es wird also gar kein Suffix mehr zugewiesen.

Das verbindungsspezifische DNS-Suffix eines Computers wurde manuell konfiguriert und entspricht nicht dem DNS-Namen der letzten Gruppenrichtlinienaktualisierung.

Weitere Informationen

Verwenden von Gruppenrichtlinieneinstellungen für die Netzwerkfeatures von Windows XP Home Edition (englischsprachig)
The Cable Guy - Januar 2004Die neuen Netzwerkfeatures von Service Pack 2 für Microsoft Windows XP
Windows XP Service Pack 2 - Einstellungen für die Internetverbindungsfirewall bereitstellen
Alle verfügbaren Beiträge der Cable Guy-Kolumne
The Cable Guy

The Cable Guy
Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.


Zum SeitenanfangZum Seitenanfang