TCP/IP-Grundlagen für Microsoft Windows

Anhang B: Simple Network Management Protocol

Veröffentlicht: 29. Mrz 2006

Zusammenfassung

In diesem Anhang wird das Simple Network Management Protocol (SNMP) beschrieben und wie es in den Betriebssystemen Microsoft® Windows Server™ 2003 und Windows® XP unterstützt wird. Mit SNMP werden in Unternehmensnetzwerken zahlreiche unterschiedliche Netzwerkgeräte verwaltet. Netzwerkadministratoren müssen mit der Funktionsweise von SNMP vertraut sein, um mit dieser Technologie Computer, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, in eine SNMP-verwaltete Umgebung zu integrieren.

Auf dieser Seite

	SNMP im Überblick
	Der SNMP-Dienst von Windows

SNMP im Überblick

SNMP ist ein Netzwerkverwaltungsprotokoll sowie eine Netzwerkverwaltungsinfrastruktur, die in IP-Netzwerken vielfach eingesetzt wird. Entwickelt wurde sie zuerst von Internetanwendern zur Überwachung von Routern und Bridges und zur Behebung technischer Probleme dieser Geräte. Mit SNMP können Netzwerkadministratoren Netzwerkgeräte (Arbeitsstationen bzw. Servercomputer, Router, Switches, Drahtloszugriffspunkte) verwalten.

SNMP eignet sich für folgende Zwecke:

•	Fernkonfigurierung von Netzwerkgeräten: Konfigurieren Sie mit SNMP und einem zentralen Verwaltungscomputer über das Netzwerk Geräte.
•	Überwachung der Netzwerkleistung: Fragen Sie mit SNMP systematisch und regelmäßig die Leistungszahlen von Geräten ab und überwachen Sie so den Netzwerkdurchsatz.
•	Erfassen von Netzwerkfehlern oder Zugriffsverletzungen: Geräte können per SNMP bei Eintreten bestimmter Ereignisse Nachrichten versenden. Zu häufig auftretenden Störungen, die an Verwaltungssysteme gesendet werden, zählen das Herunterfahren und Neustarten von Geräten, nicht erstellte Routerverbindungen, Zugriffsverletzungen und Speicherplatzengpässe auf Dateiservern.

Die Architektur von SNMP umfasst die folgenden verteilten Komponenten:

•

SNMP-Verwaltungssysteme

Das SNMP-Verwaltungssystem (Managementstation, Managementkonsole) ist ein Computer, auf dem SNMP-Verwaltungssoftware ausgeführt wird. Von dort aus werden Daten und Aktualisierungsanforderungen an die Geräte gesendet, auf denen ein SNMP-Agent ausgeführt wird.

Das SNMP-Verwaltungssystem fordert vom Gerät Informationen an, wie z. B. den verfügbaren Festplattenspeicher oder die Anzahl der aktiven Sitzungen. Wenn das Verwaltungssystem Lesezugriff auf ein Gerät hat, kann es auch dessen Konfiguration ändern.

•

SNMP-Agenten

SNMP-Agenten sind Geräte, auf denen Software ausgeführt wird, die Informationen sammelt und auf Informationsanforderungen reagiert. Die Software des SNMP-Agenten kann so konfiguriert werden, dass sie ermittelt, welche Statistik verfolgt wird und welche Verwaltungssysteme Informationen anfordern dürfen. Normalerweise erstellen Agenten keine Nachrichten, sondern antworten nur auf Nachrichten. Dies gilt nur dann nicht, wenn der Agent dafür konfiguriert ist, ein bestimmtes Ereignis zu melden, z. B. einen Systemneustart oder eine Zugriffsverletzung.

Abbildung B-1 zeigt eine Beispielinstallation von SNMP in einem Netzwerk.

Abbildung B-1: Beispielinstallation von SNMP in einem NetzwerkAbbildung vergrößern

SNMP ist im Standard RFC 1157 definiert.

Management Information Base

Welche Informationen ein Agent sammeln und ein Verwaltungssystem von einem Agenten anfordern kann, ist in der Management Information Base (MIB) festgelegt. Eine MIB ist ein Satz verwaltbarer Objekte, die verschiedene Arten von Informationen über ein Netzwerkgerät darstellen (z. B. Anzahl der aktiven Sitzungen, Version der Netzwerkbetriebssystem-Software, die auf dem Host ausgeführt wird). SNMP-Verwaltungssysteme und SNMP-Agenten interpretieren MIB-Objekte gleich. Der Agent speichert Informationen über die Objekte einer bestimmten MIB, und das Verwaltungssystem ruft die Informationen aus der MIB über den Agenten ab.

Hierarchische Namensstruktur

Namespaces von MIB-Objekten sind hierarchisch aufgebaut. Sie sind so strukturiert, dass jedem verwaltbaren Objekt ein global eindeutiger Name zugewiesen werden kann. Wenn nun ein Verwaltungssystem von einem Objekt eine Dateneinheit anfordert, fügt sie in die Anforderung einen global eindeutigen Namen ein. Teile des Namespace sind einzelnen Unternehmen vorbehalten. Dadurch wird sichergestellt, dass Unternehmen neuen Objekten Namen zuweisen können, ohne sich vor jeder Zuweisung bei einer Internetinstitution erkundigen zu müssen. So lautet beispielsweise der Namespace für "LAN Manager MIB II" 1.3.6.1.4.1.77 (LAN Manager ist ein veraltetes Betriebssystem von Microsoft). Microsoft wurde auch der Namespace 1.3.6.1.4.1.311 zugewiesen. Dies ist zugleich die Verzweigung, unter der alle neuen MIBs für Microsoft-spezifische Technologien erstellt werden. Microsoft ist berechtigt, allen Objekten, die sich unterhalb dieses Namespace-Abschnitts befinden, Namen zuzuweisen.

Abbildung B-2 zeigt einen Abschnitt der hierarchischen SNMP-Namensstruktur.

Abbildung B-2: Die hierarchische SNMP-NamensstrukturAbbildung vergrößern

Der Objektbezeichner der Hierarchie wird als Abfolge von Zahlenbezeichnungen geschrieben; diese beginnt am Stamm und endet am Objekt. Die Bezeichnungen werden durch Punkte voneinander getrennt. So lautet der Objektbezeichner für "MIB II" 1.3.6.1.2.1, was dem Objektnamen "iso.org.dod.internet.management.mibii" entspricht. Der Objektbezeichner für "LAN Manager MIB II" lautet 1.3.6.1.4.1.77, was dem Objektnamen "iso.org.dod.internet.private.enterprise.lanmanager" entspricht.

Der Namespace, mit dem Objektbezeichner zugeordnet werden, ist ein anderer als der hierarchische Namespace, der zu Domänennamen des Domain Name System (DNS) gehört.

SNMP-Nachrichten

In SNMP werden die folgenden Nachrichten versendet:

•	Get-request: Wird von SNMP-Verwaltungssystem versendet, um Informationen über ein einzelnes MIB-Objekt auf einem SNMP-Agenten anzufordern (z. B. die Anzahl weitergeleiteter Pakete).
•	Get-next-request: Eine erweiterte Anforderungsnachricht. Sie wird vom SNMP-Verwaltungssystem versendet, um eine Struktur verwalteter Objekte vollständig zu durchsuchen. Beim Verarbeiten von Get-next-request-Anforderungen für ein bestimmtes Objekt gibt der Agent die Identität und den Wert des MIB-Objekts zurück, das entsprechend der vorherigen Anforderung das nächste ist. Die Get-next-request-Anforderung eignet sich vor allem für dynamische Tabellen, z. B. Routingtabellen in IPv4 oder IPv6.
•	Getbulk-request: Wird vom SNMP-Verwaltungssystem als Anforderung dafür versendet, dass die vom Agenten übertragenen Daten möglichst groß sein müssen, ohne dabei die Größenbeschränkungen für Nachrichten zu sprengen. Durch diese Nachricht minimiert sich die Anzahl der Nachrichtenaustauschvorgänge, die nötig sind, um große Mengen von Verwaltungsinformationen abzurufen.
•	Set-request: Wird von SNMP-Verwaltungssystemen versendet, um dem Agenten einen aktualisierten Wert für ein MIB-Objekt zuzuweisen (wenn auf dem SNMP-Agenten Lesezugriff aktiviert ist). In Verwaltungssystemen werden Set-request-Nachrichten zur Fernkonfigurierung von SNMP-Agenten verwendet.
•	Get-response: Wir vom SNMP-Agenten als Antwort auf die Nachrichten Get-request, Get-next-request, Getbulk-request oder Set-request versendet.
•	Trap: Eine nicht angeforderte Nachricht von einem SNMP-Agenten an ein SNMP-Verwaltungssystem, wenn der Agent feststellt, dass ein bestimmter Ereignistyp eingetreten ist. Das SNMP-Verwaltungssystem, das eine Trap-Nachricht erhält, wird als "Trap-Ziel" bezeichnet. Eine Trap-Nachricht kann beispielsweise beim Neustart eines Gerätes versendet werden.

Die Nachrichten Get-request, Get-next-request, Getbulk-request und Set-request werden von einem Verwaltungssystem per bestimmter UDP-Nachricht an die IPv4-Adresse des Agenten und an den Ziel-UDP-Port 161 gesendet. Trap-Nachrichten an das Verwaltungssystem werden vom Agenten als bestimmte UDP-Nachricht an die IPv4-Adresse des Verwaltungssystems und den Ziel-UDP-Port 162 versendet.

Abbildung B-3 zeigt, wie der Nachrichtenaustausch zwischen einem SNMP-Verwaltungssystem und einem SNMP-Agenten funktioniert.

Abbildung B-3: Nachrichtenaustausch zwischen einem SNMP-Verwaltungssystem und einem SNMP-AgentenAbbildung vergrößern

Alle SNMP-Nachrichten werden ohne Datenschutz versendet. Wenn Sie Nachrichten, die zwischen SNMP-Verwaltungssystemen und -Agenten ausgetauscht werden, schützen möchten, müssen Sie sie per Internet Protocol Security (IPsec) versenden. Hierfür müssen jedoch sowohl das Verwaltungssystem als auch der Agent IPsec unterstützen. Weitere Informationen zu IPsec finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

SNMP-Communitys

Verwaltungssysteme und Agenten gehören einer SNMP-Community an, also mehreren Hosts, die aus verwaltungstechnischen Gründen zusammengefasst wurden. Agenten, die Anforderungen erhalten und Trap-Nachrichten versenden sowie Verwaltungssysteme, die Anforderungen versenden und Trap-Nachrichten erhalten, können über den Communitynamen eine Kontextprüfung durchführen. So nehmen Agenten keine Anforderungen eines Verwaltungssystems an, das sich außerhalb der konfigurierten Community befindet. Genauso nehmen Verwaltungssysteme keine Trap-Nachrichten eines Agenten an, der sich außerhalb der konfigurierten Community befindet.

Communitynamen dienen in erster Linie als Organisationshilfe und nicht als Datenschutzmaßnahme. SNMP-Nachrichten werden normalerweise ohne IPsec-Schutz versendet. Böswillige Benutzer könnten deshalb ungeschützte SNMP-Nachrichten auffangen, den SNMP-Communitynamen ermitteln und eigene SNMP-Nachrichten mit dem korrekten Communitynamen versenden.

Communitynamen stehen in keinerlei Beziehung zu Domain- oder Arbeitsgruppennamen. Communitynamen stellen für Gruppen der Komponenten von SNMP-Infrastrukturen einen benannten Kontext dar.

Agenten und Verwaltungssysteme können mehreren Communitys angehören. Administrative Elemente von SNMP-Infrastrukturen können dadurch flexibler konfiguriert werden.

Abbildung B-4 zeigt zwei definierte Communitys (IT und Admin).

Abbildung B-4: Beispiel für SNMP-CommunitysAbbildung vergrößern

Nur die Agenten und Verwaltungssysteme, die Mitglied derselben Community sind, können miteinander kommunizieren. Beispiel:

•	Agent1 kann von Manager2 Nachrichten empfangen und an Manager2 senden, weil beide zur Admin-Community gehören.
•	Agent2, Agent3 und Agent4 können von Manager1 empfangen und Nachrichten an Manager1 senden, weil sie alle zur IT-Community gehören.

Der Standardname für viele SNMP-Agenten lautet "Public". Für den SNMP-Dienst für Windows Server 2003 existiert kein konfigurierter SNMP-Communityname. Der SNMP-Dienst für Windows XP trägt den Standardnamen "Public".

So funktioniert SNMP

Anhand der folgenden Schritte wird beschrieben, wie SNMP eine typische Get-Operation ausführt:

Ein SNMP-Verwaltungssystem sendet einem SNMP-Agenten eine Anforderung.

Die Anforderung ist eine Nachricht des Typs Get-request, Get-next-request oder Getbulk-request. Sie enthält eine oder mehrere Datenobjekte und einen Communitynamen und wird an die IPv4-Adresse des SNMP-Agenten und an den Ziel-UDP-Port 161 gesendet. Beispielsweise könnte das SNMP-Verwaltungssystem eine Get-request-Nachricht mit dem Communitynamen "IT" versenden, in dem die Anzahl der aktiven Sitzungen angefordert wird.

Der SNMP-Agent erhält die SNMP-Nachricht.

Der Communityname wird überprüft. Wenn der Communityname ungültig oder das Paket beschädigt ist, wird die Anforderung verworfen. Wenn der Communityname gültig ist, wird die Anforderung an die entsprechende MIB-Komponente weitergeleitet. Die MIB gibt die angeforderte Informationen an den Agenten zurück. In diesem Beispiel ruft der SNMP-Agent also die Anzahl der aktiven Sitzungen von der MIB ab.

Der SNMP-Agent sendet eine Get-response-Nachricht mit den angeforderten Informationen an das SNMP-Verwaltungssystem.

In diesem Beispiel sendet der SNMP-Agent eine Get-response-Nachricht mit dem Communitynamen "IT", die die Anzahl der aktiven Sitzungen enthält.

In Abbildung B-5 ist der beschriebene Prozess dargestellt.

Abbildung B-5: Beispiel für die Funktionsweise von SNMPAbbildung vergrößern

Zum Seitenanfang

Der SNMP-Dienst von Windows

Der SNMP-Dienst in Windows Server 2003 und Windows XP ist SNMP-Agentensoftware, die Informationen an Verwaltungssysteme sendet, die SNMP-Verwaltungssoftware ausführen. Der SNMP-Dienst:

•	antwortet auf Statusinformationsanforderungen verschiedener Hosts
•	meldet wichtige Ereignisse sofort an verschiedene Hosts (Trap-Nachrichten)
•	verwendet Hostnamen und IPv4-Adressen, um die Hosts zu erkennen, an die er Informationen sendet und von denen er Anforderungen erhält

Der SNMP-Dienst von Windows ist eine Windows Sockets-Anwendung. Er stellt eine interne Infrastruktur bereit, die Entwicklern von Drittanbietersoftware und -hardware ermöglicht, eigene MIBs für den SNMP-Dienst von Windows zu entwickeln bzw. die Entwicklung von Anwendungen für SNMP-Verwaltungssysteme ermöglicht.

Der SNMP-Dienst von Windows Server 2003 unterstützt die folgenden MIBs:

•	Internet MIB II Internet MIB II ist eine Obermenge von MIB I, der vorherigen Standard-MIB. Internet MIB II definiert Objekte, die für die Fehler- bzw. Konfigurationsanalyse von wesentlicher Bedeutung sind. Internet MIB II ist im Standard RFC 1212 definiert.
•	LAN Manager MIB II LAN Manager MIB II definiert Objekte, die Informationen über Freigaben, Sitzungen, Benutzer und Anmeldedaten enthalten. Die meisten Objekte von LAN Manager MIB II sind schreibgeschützt, weil SNMP-Nachrichten normalerweise nicht geschützt sind.
•	DHCP-MIB Die DHCP-MIB (Dynamic Host Configuration Protocol) definiert Objekte, die die DHCP-Serveraktivität überwachen. Die MIB wird automatisch zusammen mit dem DHCP-Server installiert. Sie enthält Objekte für die Überwachung des DHCP. Sie stellt beispielsweise fest, wie viele DHCPDiscover-Nachrichten empfangen wurden oder wie viele Adressen von DHCP-Clients geleast wurden.
•	WINS-MIB Die WINS-MIB (Windows Internet Name Service) definiert Objekte, die die Aktivität des WINS-Servers überwachen. Diese MIB wird automatisch zusammen mit dem WINS-Server installiert. Sie enthält Objekte für die Überwachung des WINS. Sie stellt beispielsweise fest, wie viele Namensauflösungsanforderungen erfolgreich bearbeitet wurden bzw. wie viele fehlschlugen und ermittelt Datum und Uhrzeit der letzten Datenbankreplikation.
•	IIS-MIBs Die IIS-MIBs (Internet Information Services) definieren Objekte, die die Aktivitäten im Zusammenhang mit File Transfer Protocol (FTP) und Hypertext Transfer Protocol (HTTP) überwachen. Diese MIBs werden automatisch zusammen mit den IIS installiert. Sie enthalten Objekte für die Überwachung der FTP- und Internetdienste von IIS und Indikatoren für die Gesamtmenge versendeter Bytes und Dateien.
•	MIBs für RADIUS-Server Die MIBs für Remote Authentication Dial-In User Service-Server (RADIUS) definieren Objekte, die die Authentifizierung von RADIUS-Servern und Kontoführungsaktivitäten überwachen. Diese MIBs werden automatisch zusammen mit dem Internet Authentication Service (IAS) installiert. Sie enthalten Objekte für die Überwachung des RADIUS-Servers. Sie stellen beispielsweise fest, wie viele Authentifizierungsanforderungen erfolgreich bearbeitet wurden und wie viele Kontoführungsanforderungen gesendet wurden. Die RADIUS-Authentifizierungsserver-MIB ist im Standard RFC 2619 definiert. Die RADIUS-Kontoführungsserver-MIB ist im Standard RFC 2621 definiert.

Installieren und Konfigurieren des SNMP-Dienstes

Führen Sie folgende Schritte aus, um den SNMP-Dienst unter Windows Server 2003 und Windows XP zu installieren:

1.	Klicken Sie auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Windows-Komponenten hinzufügen/entfernen.
2.	Klicken Sie unter Komponenten auf Verwaltungs- und Überwachungsprogramme (aktivieren/deaktivieren Sie dabei nicht das dazugehörige Kontrollkästchen), und klicken Sie auf Details.
3.	Aktivieren Sie das Kontrollkästchen SNMP (Simple Network Management Protocol), und klicken Sie auf OK.
4.	Klicken Sie auf Weiter.

Der SNMP-Dienst wird nach der Installation automatisch gestartet.

Im Gegensatz zu vielen anderen Diensten von Windows gibt es für den SNMP-Dienst kein dazugehöriges Snap-In. Die Konfiguration des SNMP-Dienstes wird über zusätzliche Registerkarten im Eigenschaftenfenster des SNMP-Dienstes im Dienste-Snap-In durchgeführt.

Führen Sie folgende Schritte aus, um den SNMP-Dienst zu konfigurieren:

1.	Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Computerverwaltung.
2.	Öffnen Sie in der Konsolenstruktur Dienste und Anwendungen, und klicken Sie dann auf Dienste.
3.	Klicken Sie im Detailbereich mit der rechten Maustaste auf SNMP-Dienst, und klicken Sie dann auf Eigenschaften.

Sie konfigurieren den SNMP-Dienst über die folgenden Registerkarten:

•	Agent
•	Traps
•	Security (Sicherheit)

Registerkarte "Agent"

Auf der Registerkarte Agent können Sie eine Kontaktperson und den physischen Standort des Computers festlegen sowie über die Kontrollkästchen angeben, welche Informationstypen der SNMP-Dienst sammeln soll. Standardmäßig sind die Kategorien Applications (Anwendungen) Internet und End-to-end aktiviert.

Auf Abbildung B-6 ist die Registerkarte Agent abgebildet.

Abbildung B-6: SNMP-Diensteinstellungen auf der Registerkarte "Agent"

Registerkarte "Traps"

Auf der Registerkarte Traps legen Sie fest, welche Communitynamen in Trap-Nachrichten erscheinen sollen und wie die Trap-Ziele lauten (Liste mit IPv4-Adressen, an die Trap-Nachrichten gesendet werden).

Auf Abbildung B-7 ist die Registerkarte Traps abgebildet.

Abbildung B-7: SNMP-Diensteinstellungen auf der Registerkarte "Traps"

Registerkarte "Security" (Sicherheit)

Auf der Registerkarte Security (Sicherheit) können Sie folgende Einstellungen vornehmen:

•	Soll der SNMP-Dienst eine Trap-Nachricht an alle Ziele senden, wenn er eine Anforderung ohne hinterlegten Communitynamen erhält?
•	Liste mit akzeptierten Communitynamen
•	Sollen SNMP-Nachrichten von jedem Host angenommen werden oder nur von Hosts, die auf einer Liste per IPv4-Adresse oder Hostnamen identifiziert sind?

Auf Abbildung B-8 ist die Registerkarte Security (Sicherheit) abgebildet.

Abbildung B-8: SNMP-Diensteinstellungen auf der Registerkarte "Security" (Sicherheit)

Evntcmd-Tool

Sie können bei der Eingabeaufforderung mit dem Tool "Evntcmd.exe" SNMP-Trap-Nachrichten konfigurieren, die gesendet werden, wenn in Systemprotokollen bestimmte Ereignisse auftreten. Evntcmd.exe eignet sich auch, um festzulegen, wohin Trap-Nachrichten innerhalb einer SNMP-Community versendet werden.

Zum Seitenanfang

19 von 20

In diesem Beitrag

•	Übersicht
•	Kapitel 1 – Einführung in TCP/IP
•	Kapitel 2 – Die Architektur des TCP/IP Protokollsatzes
•	Kapitel 3 – IP-Adressierung
•	Kapitel 4 - Subnetzbildung
•	Kapitel 5 – IP-Routing
•	Kapitel 6 – DHCP (Dynamic Host Configuration Protocol)
•	Kapitel 7 – Hostnamenauflösung
•	Kapitel 8 – Domain Name System – Übersicht
•	Kapitel 9 – Windows-Unterstützung für DNS
•	Kapitel 10 – End-to-End-Übermittlung über TCP/IP
•	Kapitel 11 - NetBIOS über TCP/IP
•	Kapitel 12 – Übersicht über WINS (Windows Internet Name Service)
•	Kapitel 13 – Internet Protocol Security (IPsec) und Paketfilterung
•	Kapitel 14 – Virtuelle Private Netzwerke
•	Kapitel 15 – IPv6-Übergangstechnologien
•	Kapitel 16 – Behandeln von Problemen mit TCP/IP
•	Anhang A: IP-Multicast
•	Anhang B: Simple Network Management Protocol
•	Anhang C: Computersuchdienst