starten
Transcription
starten
ISDN SERVICES FOR WINDOWS 2000 AVM ISDN Access® Server for Windows 2000 H a n d b u c h High-Performance ISDN by . . . accserv.book Seite 2 Dienstag, 13. Juni 2000 11:52 11 ISDN Access Server for Windows 2000 Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die sich bei Einsatz des Produktes eventuell ergeben. Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verändert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persönlichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Dritte ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt. Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit sowie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin weder ausdrücklich noch implizit die Gewähr oder Verantwortung. Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen. Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich Kosten für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den gelieferten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche ausdrücklich ausgeschlossen. Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Programme können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts geändert werden. Der CD-Key ist Bestandteil der Lizenzvereinbarung. © AVM Vertriebs KG 2000. Alle Rechte vorbehalten. Stand der Dokumentation 06/2000 AVM Audiovisuelles Marketing und Computersysteme GmbH Alt-Moabit 95 AVM Computersysteme Vertriebs GmbH & Co.KG Alt-Moabit 95 10559 Berlin 10559 Berlin AVM im Internet: http://www.avm.de Warenzeichen: AVM und FRITZ! sind eingetragene Warenzeichen der AVM Vertriebs KG. Windows ist eingetragenes Warenzeichen der Microsoft Corporation. Alle anderen Warenzeichen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer. 2 ISDN Access Server accserv.book Seite 3 Dienstag, 13. Juni 2000 11:52 11 Inhalt 1 1.1 1.2 1.3 1.4 2 2.1 2.2 2.3 2.4 2.5 3 3.1 3.2 3.3 3.4 3.5 4 Einleitung 7 Was bietet der ISDN Access Server for Windows 2000? . . . . . . . . . . . . . . . . . . 8 Die Merkmale des ISDN Access Servers im Einzelnen . . . . . . . . . . . . . . . . . . 10 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Voraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Installation und erste Schritte 23 Vorbereitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Installation des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Durchgeführte Modifikationen in Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Zugriff auf den ISDN Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Deinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 35 Globale Einstellungen vornehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Einrichten und Verwalten von Benutzern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Behandlung einkommender Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Zugriffschutz und Sicherheitsmechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Kosten verringern und begrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Konfigurationshinweise für den entfernten Rechner 57 4.1 4.2 4.3 Hinweise für das Arbeiten in Microsoft-Netzwerken . . . . . . . . . . . . . . . . . . . . 57 Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Anbindung an ein Microsoft-Netzwerk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 5 Verbindungssteuerung, Management- und Monitorfunktionen 65 5.1 5.2 5.3 Verbindungssteuerung – ISDN-Verbindungen auf- und abbauen . . . . . . . . . 65 Management- und Monitorfunktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Datenbankverwaltung des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . 72 ISDN Access Server – Inhalt 3 accserv.book Seite 4 Dienstag, 13. Juni 2000 11:52 11 6 6.1 6.2 6.3 6.4 6.5 7 7.1 7.2 8 8.1 8.2 4 Hinweise für den täglichen Betrieb – Troubleshooting 73 Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Probleme beim Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Probleme mit TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Probleme mit IPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Einstellungen für einkommende Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Meldungen 77 Meldungen der CAPI 2.0 und des Euro-ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Meldungen des ISDN Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90 Informationen, Updates und AVM-Support 103 Informationsquellen und Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Unterstützung durch den Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Glossar 107 Index 123 ISDN Access Server – Inhalt accserv.book Seite 5 Dienstag, 13. Juni 2000 11:52 11 Konventionen im Handbuch Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet: Hervorhebungen Nachfolgend finden Sie einen kurzen Überblick über die in diesem Handbuch verwendeten Hervorhebungen. Hervorhebung Funktion Beispiel Anführungszeichen Tasten, Schaltflächen, Programmsymbole, Registerkarten, Menüs, Befehle „Start / Programme“ „Eingabe“ Großbuchstaben Pfadangaben und Dateinamen im Fließtext DOKU\ACCSERV.PDF oder CAPIPORT.HLP spitze Klammern Variablen <CD-ROM-Laufwerk> Schreibmaschinenschrift Eingaben, die Sie über die Tastatur vornehmen a:\setup grau und kursiv Informationen, Hinweise und Warnungen; immer in Verbindung mit den zugehörigen Symbolen ... Es kann jeweils nur ein Controller entfernt werden ... Symbole Im Handbuch werden die folgenden grafischen Symbole verwendet, die immer in Verbindung mit grau und kursiv gedrucktem Text erscheinen: Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Informationen hin. Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informationen enthalten. Dieses Zeichen markiert besonders wichtige Hinweise, die Sie auf jeden Fall befolgen sollten, um Fehlfunktionen zu vermeiden. ISDN Access Server – Konventionen im Handbuch 5 accserv.book Seite 6 Dienstag, 13. Juni 2000 11:52 11 6 ISDN Access Server – Konventionen im Handbuch accserv.book Seite 7 Dienstag, 13. Juni 2000 11:52 11 Einleitung 1 Einleitung ISDN (Integrated Services Digital Network = diensteintegrierendes digitales Netz) spielt eine tragende Rolle bei der Verschmelzung zweier Schlüsseltechnologien in der heutigen Zeit – Computernetze und Telekommunikation. Windows NT, das mit seinen leicht zu bedienenden und benutzerfreundlichen Konfigurations- und Managementfunktionen als Netzwerkbetriebssystem zunehmend an Bedeutung gewinnt, bietet für das Zusammenwirken dieser beiden Technologien eine ideale Plattform. Mit der Produktreihe „ISDN Services for Windows 2000“ trägt AVM dieser Entwicklung Rechnung und bietet ihren Kunden professionelle ISDN-Lösungen für Windows NT, die modular aufeinander abgestimmt sind und unterschiedliche Anwendungsbereiche abdecken. Die ISDN Services for NT Networks umfassen folgende Produkte: Der ISDN MultiProtocol Router for Windows 2000 (NT/MPRI) bietet professionelles ISDN-Routing für Microsoft-Netzwerke und ermöglicht den Aufbau von Weitverkehrsnetzen (WANs=Wide Area Networks) und die Internet-Anbindung. Mit Network Distributed ISDN for Windows 2000 (NDI) können alle Anwender im Microsoft-Netzwerk die ISDN-Hardware und -Ressourcen nutzen, die zentral im Server verwaltet werden. So stehen den Anwendern ISDN-Funktionen wie Fax, Datenübertragung, Internet-Zugang oder Online-Dienste zur Verfügung, ohne dass auf den einzelnen Rechnern zusätzliche ISDN-Hardware installiert werden muss. Der ISDN Access Server for Windows 2000 (ISDN Access Server) gewährleistet den schnellen und kostensparenden Zugriff entfernter Rechner auf das Unternehmensnetz. Auf diese Weise können Telearbeiter oder Außendienstmitarbeiter mit den Ressourcen des zentralen Unternehmensnetzes arbeiten. Die ISDN Services for NT Networks zeichnen sich durch konsequente Nutzung der ISDN-Technologie, einfache Installation, flexible Verwaltung und wirksamen Zugriffsschutz aus. Die Produkte sind server-basierte Anwendungen auf Basis von CAPI 2.0, der standardisierten Anwendungsschnittstelle für ISDN-Controller. Wenn der Kommunikationsbedarf Ihres Unternehmens steigt, werden einfach zusätzliche ISDN- ISDN Access Server – 1 Einleitung 7 accserv.book Seite 8 Dienstag, 13. Juni 2000 11:52 11 Was bietet der ISDN Access Server for Windows 2000? Controller in den Server eingebaut, die dank CAPI automatisch erkannt und verwendet werden. So werden Ihre ISDN-Investitionen langfristig gesichert und die Kapazitäten des Servers optimal genutzt. 1.1 Was bietet der ISDN Access Server for Windows 2000? Die Anbindung von Außendienstmitarbeitern, Telearbeitern, ServiceTechnikern oder Firmenniederlassungen ohne eigenes Netzwerk gewinnt für viele Unternehmen zunehmend an Bedeutung. Der ISDN Access Server for Windows 2000 bietet Ihnen eine leistungsstarke Lösung für die Anbindung entfernter Rechner und mobiler Laptops über ISDN oder GSM an Ihr Unternehmensnetz. Die entfernten Benutzer können auf diese Weise LAN-Funktionen und Daten so nutzen, als würden sie direkt im Netz arbeiten. Zu den möglichen Anwendungen gehören z.B. Client/Server-Anwendungen, Datenbankprogramme, SAP R/3 oder E-Mail. Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des ISDN Access Servers: Niederlassung Frankfurt Zentrale Berlin PC mit Windows 2000/NT und ISDN-Controller Telearbeiter in Berlin PC mit Windows 95/98 und ISDN-Controller ISDN GSM Windows 2000/NT + ISDN Access Server + ISDN-Controller B1 Außendienstmitarbeiter Laptop mit Windows 95/98 und Mobile ISDN-Controller Einsatzmöglichkeiten des ISDN Access Servers for Windows 2000 Netzwerkseite Der ISDN Access Server wird einfach auf einem Windows 2000/NTRechner im Netzwerk installiert, der mit einem oder mehreren aktiven AVM ISDN-Controllern und damit der Anwendungsschnittstelle CAPI 2.0 ausgerüstet ist. 8 ISDN Access Server – 1 Einleitung accserv.book Seite 9 Dienstag, 13. Juni 2000 11:52 11 Was bietet der ISDN Access Server for Windows 2000? Die Steuerung des ISDN Access Servers erfolgt mit dem Protokoll HTTP, einem Standard für das Management. So kann der ISDN Access Server lokal oder entfernt über einen Standard-Web-Browser (MS Internet Explorer oder Netscape Navigator ab v3.0) gesteuert, konfiguriert und überwacht werden. Entfernte Seite Der ISDN Access Server for Windows 2000 unterstützt den offenen Standard PPP over ISDN (Point-to-Point Protocol) für die Anbindung von Einzelplatzrechnern über ISDN/GSM, so dass auf den entfernten Rechnern verschiedene ISDN-Produkte für den Fernzugriff eingesetzt werden können. Im Rahmen des DFÜ-Netzwerkes von Windows 98/95 oder Windows 2000/NT bieten Hersteller wie AVM diese Funktionalität grundsätzlich für ISDN-Controller an. Der ISDN Access Server unterstützt jedoch darüber hinausgehende Funktionen, die erst durch professionelle Software für den Fernzugriff über ISDN auf der Basis von CAPI 2.0 gewährleistet werden. AVM bietet für diesen Zweck das Produkt „NetWAYS/ISDN“ an, das für diverse Betriebssysteme zur Verfügung steht. Die folgende Abbildung veranschaulicht die Netzwerkkomponenten, die auf den lokalen Rechnern im Netzwerk und auf dem entfernten Rechner installiert sein müssen: Entfernter Benutzer z.B. PC mit ISDN-Controller und NetWAYS/ISDN Anwendungssoftware IPX/SPX ISDN TCP/IP NDIS NetWAYS/ISDN Server mit ISDN Access Server PC mit Netzwerkkarte und ISDN-Controller Lokale Benutzer im Netzwerk PCs mit Netzwerkkarten und Client-Software für Netzzugriff Anwendungssoftware IPX/SPX TCP/IP NDIS Netzwerkkartentreiber Netzwerkkomponenten auf dem lokalen und dem entfernten Rechner ISDN Access Server – 1 Einleitung 9 accserv.book Seite 10 Dienstag, 13. Juni 2000 11:52 11 Die Merkmale des ISDN Access Servers im Einzelnen 1.2 Die Merkmale des ISDN Access Servers im Einzelnen Im Folgenden erhalten Sie einen kurzen Überblick über die Leistungsmerkmale des ISDN Access Servers for Windows 2000, die Ihnen eine kostengünstige, schnelle und zuverlässige Anbindung externer Benutzer gewährleisten. Optimale Nutzung von ISDN Der ISDN Access Server nutzt die Vorteile, die das Kommunikationsnetz ISDN für den Aufbau von Netzwerkverbindungen bietet. Dazu gehören z.B. die gute Verfügbarkeit von ISDN in ganz Europa, die hohe Bandbreite und nicht zuletzt der schnelle Verbindungsaufbau von weniger als 1 Sekunde, der den dynamischen und kostensparenden Auf- und Abbau von ISDN-Verbindungen im Hintergrund ermöglicht. Die AVMProdukte gewährleisten außerdem einen nahtlosen Übergang in das Mobilfunknetz GSM. Das ISDN-Leistungsmerkmal „CLIP“ (Calling Line Identification Presentation), die Übermittlung der ISDN-Nummer des Anrufers über den DKanal, wird vom ISDN Access Server zur Überprüfung der Identität des Anrufers benutzt. Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-BKanäle gebündelt werden — auch über mehrere ISDN-Controller hinweg. Durch die Unterstützung von ein bis vier AVM ISDN-Controllern B1 oder einem ISDN-Controller C4 am Basisanschluss (BRI = Basic Rate Interface) lässt sich der ISDN Access Server in der BRI-Variante bis auf 8 Kanäle ausbauen. In der Ausführung für den Primärmultiplexanschluss (PRI = Primary Rate Interface) sind 120 B-Kanäle nutzbar. Die Treibersoftware für die AVM ISDN-Controller in Windows 2000/NT ist im Lieferumfang des ISDN Access Servers auf einer separaten CDROM mit dem Namen „B1 Server Edition“ enthalten. Die Treibersoftware unterstützt die D-Kanal-Protokolle DSS1 (Euro-ISDN), 1TR6 (Deutschland), 5ESS und NI1 (USA). Außerdem werden die folgenden Festverbindungsarten unterstützt (Bezeichnungen der Deutschen Telekom AG): 10 l Digital 64S (B-Kanal 1x64 KBit/s) l Digital 64S2 (B-Kanal 2x64 KBit/s) l Doppelanschaltung Digital 64S (B-Kanal 2x64 KBit/s, gesplittet auf 2 Benutzer mit je 1x64 KBit/s) l Digital S02/TS02 (B-Kanal 2x64 KBit/s + D-Kanal 1x16 KBit/s) ISDN Access Server – 1 Einleitung accserv.book Seite 11 Dienstag, 13. Juni 2000 11:52 11 Komfortable Benutzerkonfiguration und -verwaltung Der ISDN Access Server kann über die AVM ISDN-Controller sowohl direkt am öffentlichen ISDN (Mehrgeräte- oder Anlagenanschluss) und an einer Nebenstellenanlage betrieben werden. Die AVM ISDN-Controller B1, C4 und T1-B bieten die Unterstützung von GSM nach dem Mobile ISDN-Standard (GSM 07.08). Damit ist eine zuverlässige und nahtlose ISDN-Anbindung von entfernten Rechnern über GSM an den ISDN Access Server möglich. Installation zusammen mit anderen CAPI 2.0-Anwendungen Im Zusammenspiel mit den beiden anderen „ISDN Services for Windows 2000“ (NT/MPRI und NDI) ist eine sinnvolle und kosteneffektive Mehrfachnutzung der installierten ISDN-Controller gewährleistet. Für die Produkte der „ISDN Services for Windows 2000“ können bestimmte B-Kanäle reserviert werden, so dass bei gleichzeitiger Verwendung dieser Produkte eine reibungslose Zuordnung der ISDN-Leitungen erfolgt. Die ISDN-Controller können außerdem von weiteren CAPI 2.0-Anwendungen verwendet werden, z.B. für den Faxversand. Der ISDN Access Server verwendet die ISDN-Dienstekennung „Daten“. Sind andere CAPI 2.0-Anwendungen mit derselben Dienstekennung, z.B. Datenübertragungssoftware im Server-Modus, auf demselben Rechner installiert, muss sichergestellt sein, dass einkommende Rufe eindeutig zugeordnet werden. Im CAPI 2.0-Standard sind für solche Fälle am Mehrgeräteanschluss die sogenannten Mehrfachrufnummern (MSNs = Multiple Subscriber Numbers) und am Primärmultiplexanschluss Nachwahlziffern (DDI = Direct Dialing-In) vorgesehen. Komfortable Benutzerkonfiguration und -verwaltung Die Verwaltung und Echtheitsbestätigung der entfernten Benutzer, die sich über ISDN in das LAN einwählen, kann intern über die ISDN Access Server-Datenbank oder extern erfolgen. Die externe Verwaltung bietet Ihnen die Möglichkeit, Ihre bestehende Benutzerverwaltung für den ISDN Access Server zu nutzen. Dies erspart Ihnen zusätzlichen Konfigurationsaufwand. Sie können folgende externe Systeme für die Benutzerverwaltung verwenden: l Benutzer-Manager von Windows. ISDN-spezifische Parameter für die Anbindung entfernter Benutzer werden in Benutzergruppen und speziellen Einstellungen für Windows-Benutzer gespeichert. ISDN Access Server – 1 Einleitung 11 accserv.book Seite 12 Dienstag, 13. Juni 2000 11:52 11 Reduzierung und Begrenzung der Verbindungsgebühren l Nutzung eines RADIUS-Servers. Wenn sich ein entfernter Benutzer einwählt, werden die Angaben zur Echtheitsbestätigung (Name und Passwort) vom ISDN Access Server an den RADIUS-Server weitergeleitet, der die Prüfung der Angaben übernimmt. ISDNspezifische Parameter für die Anbindung entfernter Benutzer werden in Benutzergruppen gespeichert. Das Einrichten intern verwalteter Benutzer wird erleichtert durch vorgegebene Profile für Verbindungen mit IP, IPX oder beiden Netzwerkprotokollen. Adressvergabe Die entfernten Benutzer und Benutzergruppen können dynamisch zugewiesene oder statische IP- bzw. IPX-Adressen verwenden. Für die Adressvergabe werden im ISDN Access Server Adressbereiche definiert. Zeitprofile Sie können Zeitbeschränkungen für die Benutzer festlegen, die den Zugriff auf das Netzwerk nur zu bestimmten Zeiten erlauben. Die Zeitbeschränkungen werden zentral in Profilen gespeichert, die dann den einzelnen Benutzern oder Benutzergruppen zugewiesen werden. Priorität Bestimmte Benutzer oder Benutzergruppen können Vorrang vor anderen haben, so dass auch bei vollständiger Auslastung aller ISDN-B-Kanäle eine Leitung freigemacht wird, sobald sich ein Benutzer mit hoher Priorität wie beispielsweise der Systemverwalter einwählt. Außerdem ist es möglich, ISDN-B-Kanäle für Benutzer zu reservieren. Reduzierung und Begrenzung der Verbindungsgebühren Der ISDN Access Server for Windows 2000 sorgt durch sein intelligentes Verbindungsmanagement dafür, dass die Kosten für die ISDN-Anbindung der entfernten Benutzer auf das Notwendige beschränkt werden. Folgende Leistungsmerkmale gewährleisten dies: l 12 Der ISDN Access Server unterscheidet zwischen logischen und physikalischen ISDN-Verbindungen. Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau über ISDN, bei dem auch die Verbindungsparameter ausgehan- ISDN Access Server – 1 Einleitung accserv.book Seite 13 Dienstag, 13. Juni 2000 11:52 11 Reduzierung und Begrenzung der Verbindungsgebühren delt werden. Dazu gehören z.B. die Netzwerkprotokolle, die Durchführung einer Echtheitsbestätigung, Spoofing-Mechanismen und Kanalbündelung. Bei der physikalischen ISDN-Verbindung ist tatsächlich einer oder sind mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren. Wenn keine Daten auf der ISDN-Leitung übertragen werden, kann der ISDN Access Server die von ihm aufgebaute physikalische Verbindung abbauen, um die Verbindungskosten zu senken. Je nach Konfiguration des Benutzers im ISDN Access Server kann dabei die logische Verbindung erhalten bleiben, so dass der entfernte Benutzer weiterhin im Netz angemeldet ist und Ressourcen für ihn reserviert sind. Sobald wieder Daten zu übertragen sind, baut der ISDN Access Server oder die Fernzugriffssoftware des Benutzers die physikalische Verbindung wieder auf. Die Zeitspanne bis zum physikalischen Abbau kann mit Hilfe von Gebührenprofilen dynamisch an den aktuellen Gebührentakt angepasst werden. Gebührenprofile enthalten Informationen zu den unterschiedlichen Gebührentakten abhängig von Tarifzone und Tageszeit. Außerdem kann der physikalische Abbau mit Hilfe des am ISDN-Anschluss übertragenen Gebührenimpulses gesteuert oder fest eingestellt werden. l Praxiserprobte Filter- und Spoofingmechanismen fangen bestimmte Protokollpakete ab und verhindern deren unnötige Übertragung über ISDN. Auf diese Weise wird die physikalische Verbindungsdauer verkürzt. Der ISDN Access Server sorgt so dafür, dass die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und der Hintergrunddatenverkehr im LAN weitgehend vom ISDN ferngehalten wird. l Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maximales Budget, maximale physikalische Verbindungsdauer und maximale Anzahl ausgehender Rufe. l Definierbare Budgets für die entfernten Benutzer. l Kostenzuweisung (COSO=Charge One Site Only) ermöglicht z.B. die Übernahme der gesamten Kosten für die Netzwerkanbindung durch die Firmenzentrale. Die Leistungsmerkmale logische Verbindung, Spoofing und Kostenzuweisung werden z.B. vom AVM-Produkt NetWAYS/ISDN unterstützt, das sich damit auf Benutzerseite als optimales Produkt für den ISDN-Fernzugriff anbietet. ISDN Access Server – 1 Einleitung 13 accserv.book Seite 14 Dienstag, 13. Juni 2000 11:52 11 Sicherheitsfunktionen Sicherheitsfunktionen Der ISDN Access Server sorgt durch einen ausgefeilten Zugriffsschutz dafür, dass nur berechtigte Benutzer über ISDN auf das LAN zugreifen können. Dazu dienen die folgenden Funktionen: l Überprüfung der ISDN-Nummer des Anrufers, die über den D-Kanal gesendet wird (CLIP = Calling Line Identification Presentation). l Echtheitsbestätigung mit den PPP-Protokollen PAP oder CHAP. Die Daten der Benutzer (Name und Passwort) können in der Benutzerdatenbank von Windows 2000/NT, bei einem RADIUS-Server oder direkt im ISDN Access Server gespeichert und verwaltet werden. Der ISDN Access Server unterstützt die Echtheitsbestätigung sowohl durch die lokale Seite als auch durch die Gegenstelle. Dabei können unterschiedliche Passwörter verwenden werden. l Sicherheitsrückruf bei einkommenden Rufen. l Firewall-Funktionalität durch voreingestellte, aber konfigurierbare IP-Filterprofile. l Einstellbare RIP/SAP-Filter für IPX. Die Sicherheitsüberprüfungen, die bei einem eingehenden Anruf eines entfernten Benutzers greifen können, werden durch die folgende Abbildung veranschaulicht: 14 ISDN Access Server – 1 Einleitung accserv.book Seite 15 Dienstag, 13. Juni 2000 11:52 11 Einfache Installation und Bedienung Benutzer ISDN Vorgang D-Kanal Überprüfung der D-Kanal-Rufnummer B-Kanal Nach Rufannahme Echtheitsbestätigung mit PAP oder CHAP Name/Passwort D- u. B-Kanal ISDN Access Server Ggf. Weiterleitung der Anmeldeinformationen an RADIUS-Server oder Windows 2000-/NTServer mit BenutzerManager Ggf. Verbindungsabbau und Sicherheitsrückruf durch ISDN Access Server B-Kanal Weitere PPP-Aushandlungen, z.B. IPAdresse, Spoofing, Kanalbündelung. B-Kanal Übertragung von Nutzdaten, z.B. E-Mail, Datenbankinformationen. Ggf. Verschlüsselung und Paketfilterung. Dynamischer Aufund Abbau der ISDN-Verbindung Sicherheitsmechanismen des ISDN ISDN Access Servers Datenschutz: Der ISDN Access Server bietet die Möglichkeit der Datenverschlüsselung, um Datenpakete während der Übertragung vor unberechtigtem Zugriff zu schützen. Mit dem ECP (Encryption Control Protocol), dem symmetrischen Twofish-Verschlüsselungsalgorithmus und der um die Crypt Provider API erweiterten Routing- und Remote-Access-API ist ein sehr hoher Datenschutz auf der ISDN-Leitung gewährleistet. Einfache Installation und Bedienung Die Installation des ISDN Access Servers ist einfach und menügeführt. Die Konfiguration und Verwaltung des ISDN Access Servers erfolgt komplett über HTTP mit Hilfe eines Standard-Web-Browsers wie z.B. MS Internet Explorer oder Netscape Navigator ab Version 3.0. Dadurch kann der ISDN Access Server jederzeit von jedem Rechner im lokalen Netzwerk oder im WAN bedient und verwaltet werden. Der HTTP-Zugriff ist passwortgeschützt. ISDN Access Server – 1 Einleitung 15 accserv.book Seite 16 Dienstag, 13. Juni 2000 11:52 11 Übertragungsleistung Mit Hilfe von vordefinierten Profilen (IP, IPX und IP+IPX) für intern verwaltete Benutzer sowie vorgegebenen Benutzergruppen und WindowsBenutzer-Einstellungen wird dem Administrator ein Teil des Konfigurationsaufwands abgenommen. Alle Konfigurationsinformationen werden in eine eigene Konfigurationsdatenbank, NTR.MDB, geschrieben. Sie befindet sich im Installationsverzeichnis des ISDN Access Servers und kann bei Bedarf mit Hilfe von MS Access angesehen werden. Übertragungsleistung Zur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung der Übertragungsleistung bietet der ISDN Access Server die folgenden Funktionen: l Datenkompression (nach CAPI-Standard V.42bis, nach Stac LZS oder MPPC). l Headerkompression für IP und IPX (Van Jacobson TCP/IP Header Compression, CIPX Header Compression). l Kanalbündelung (statisch und dynamisch über PPP Multilink). Statistik- und Protokollfunktionen Umfassende Statistik- und Protokollfunktionen erlauben eine exakte Auswertung aller Aktionen auf dem ISDN Access Server: 16 l Statusinformationen über den ISDN Access Server und die ISDNController, die physikalisch aktiven ISDN-Verbindungen und die aktuell angemeldeten entfernten Benutzer. l Kosten-/Nutzungsdaten für Verbindungen als Tagesübersicht oder ausgewählt nach bestimmten Kriterien wie z.B. einzelnen Benutzern. l Budgetinformationen für einzelne Benutzer. l Ereignismitschnitt als Tagesübersicht oder ausgewählt nach bestimmten Kriterien wie z.B. dem Meldungstyp „Information“. l Paketmitschnitt mit PPP-Decodierung. ISDN Access Server – 1 Einleitung accserv.book Seite 17 Dienstag, 13. Juni 2000 11:52 11 Verbindungssteuerung Verbindungssteuerung ISDN-Verbindungen können aus der ISDN Access Server-Oberfläche heraus bei Bedarf aktiv auf- und abgebaut werden. Außerdem erhalten Sie detaillierte Informationen zu den gerade aktiven logischen ISDNVerbindungen und den ausgehandelten Verbindungsparametern. Weitere Hinweise dazu finden Sie in „Verbindungssteuerung, Management- und Monitorfunktionen“ ab Seite 65. Interoperabilität über ISDN Durch die Unterstützung des Interoperabilitätsstandards PPP over ISDN sowie vieler weiterer PPP-Standards – beschrieben in so genannten RFCs (Requests for Comments) – sind Verbindungen zu allen Gegenstellen möglich, die diese Standards ebenfalls unterstützen. Zusätzlich zu den RFCs sind im ISDN Access Server auch schon neuere, noch in Entstehung begriffene PPP-Standards (solche werden als „Drafts“ bezeichnet) verwirklicht. In diesem Zusammenhang soll die Umsetzung verschiedener von AVM entwickelter Spoofing-Verfahren erwähnt werden, die im ISDN Access Server auf Basis des PSCP-Drafts implementiert sind. Der ISDN Access Server unterstützt die folgenden RFCs und RFC-Drafts: RFC 1144 Compressing TCP/IP Headers for Low-Speed Serial Links RFC 1332 The PPP Internet Protocol Control Protocol (IPCP) RFC 1334 PPP Authentication Protocols (PAP) RFC 1552 The PPP Internetwork Packet Exchange Control Protocol (IPXCP) RFC 1553 Compressing IPX Headers Over WAN Media (CIPX) RFC 1570 PPP LCP Extensions RFC 1618 PPP over ISDN RFC 1661 The Point-to-Point Protocol (PPP) RFC 1662 PPP in HDLC-like Framing RFC 1962 The PPP Compression Control Protocol (CCP) RFC 1974 PPP Stac LZS Compression Protocol RFC 1990 The PPP Multilink Protocol (MP) RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP) RFC 2118 Microsoft Point-to-Point Compression (MPPC) Protocol Draft PPP Callback Control Protocol Draft PPP Protocol Spoofing Control Protocol (PSCP) ISDN Access Server – 1 Einleitung 17 accserv.book Seite 18 Dienstag, 13. Juni 2000 11:52 11 Routing and Remote Access API Außerdem benutzt der ISDN Access Server ISDN-spezifische Standards und Funktionen, wenn sie mehr Komfort oder Effizienz beim Aufbau von Netzwerkverbindungen über ISDN bringen. Dies gilt auch, wenn diese spezifischen Funktionen nicht oder noch nicht in RFCs bzw. Drafts eingeflossen sind. Aber auch hier wird auf Interoperabilität nicht verzichtet, da ja ebenfalls Standards – eben ISDN-spezifische – genutzt werden. Dies gilt z.B. für die ISDN-Funktion „Signalisierung über den D-Kanal“, die vom ISDN Access Server für die Kostenzuweisung verwendet wird. Informationen zu den Produkten, mit denen der ISDN Access Server getestet wurde, Drafts und RFCs finden Sie in der Readme-Datei, die über die Startseite des ISDN Access Servers aufgerufen werden kann. Routing and Remote Access API Die Routing and Remote Access API von AVM bietet eine Beschreibung, wie über HTTP auf die Konfiguration zugegriffen werden kann. Damit können bestimmte Aufgaben bzw. Abläufe mit Funktionen des ISDN Access Servers kombiniert und automatisiert werden. So können z.B. Rundruf-Routinen zum automatischen Transfer von Datenbankupdates an Außenstellen zum günstigsten Tarif definiert werden. Ein weiteres Beispiel ist die Einbindung von zusätzlichen Sicherheitsmechanismen wie Chip-Karten und damit der Eingriff in die PPPEchtheitsbestätigung. Crypt Provider API Die Crypt Provider API ist eine Programmierschnittstelle und dient der anwenderspezifischen Anpassung der Datenverschlüsselung. Die Schlüssel, die zur Codierung der zu übertragenden Daten benutzt werden, werden mit jedem Verbindungsaufbau neu erzeugt und zur Gegenstelle übertragen. Diese Schlüssel müssen aus Sicherheitsgründen chiffriert übertragen werden. Die Chiffrierung erfolgt im Crypt Provider, der anwendungsspezifisch programmiert wird (Smart Card, PIN, Biometrie usw.). Die Crypt Provider API ist die Schnittstelle zum ISDN Access Server, der auf die Algorithmen im Crypt Provider zugreift. Umfangreiche Zusatzinformationen zur Nutzung der Crypt Provider API (Testprogramme inkl. Source und Libraries) finden Sie auf der CD-ROM im Verzeichnis „\UTILS\API\AVMNWAPI“. 18 ISDN Access Server – 1 Einleitung accserv.book Seite 19 Dienstag, 13. Juni 2000 11:52 11 Lieferumfang 1.3 Lieferumfang Folgendes ist im Lieferumfang des ISDN Access Servers for Windows 2000 enthalten: l 1 CD-ROM „ISDN Access Server for Windows 2000“. l 1 CD-ROM mit Installation der ISDN-Controller B1, C4 und T1/T1B in Windows 2000/NT „B1 Server-Edition“. l 1 Handbuch ISDN Access Server for Windows 2000. Sollte eines dieser Teile fehlen, wenden Sie sich bitte an Ihren Händler. 1.4 Voraussetzungen Für die Installation und Konfiguration des ISDN Access Servers sind Kenntnisse über LANs und WANs sowie Windows 2000/NT erforderlich. Sie sollten ebenfalls mit ISDN und der verwendeten ISDN-Fernzugriffssoftware auf Benutzerseite wie z.B. NetWAYS/ISDN vertraut sein. Anforderungen an die Hardware l Intel® 486 oder höher. Empfohlen wird ein Intel Pentium® ab 90 MHz. l Mindestens 50 MB freier Festplattenspeicher. l Mindestens 32 MB RAM. l CD-ROM-Laufwerk für die Installation. l Für Windows 2000/NT zertifizierte Ethernet- oder Token-RingNetzwerkkarten. Die Netzwerkkarten müssen bereits betriebsbereit, d.h. vollständig in Windows 2000/NT installiert und konfiguriert sein. l 1 bis 4 AVM ISDN-Controller B1 oder 1 AVM ISDN-Controller C4 (BRI-Variante) oder AVM ISDN-Controller T1 (PRI-Variante). Installieren Sie die Treibersoftware für den/die ISDN-Controller B1, C4 von der mitgelieferten CD-ROM „B1 Server-Edition“. Diese Treiber bieten auch Unterstützung für Festverbindungen (= Standleitungen). Die jeweils aktuellen Treiber finden Sie auf dem AVM Data Call Center im Verzeichnis ISDN Access Server – 1 Einleitung 19 accserv.book Seite 20 Dienstag, 13. Juni 2000 11:52 11 Anforderungen an die Software \CARDWARE\SERVER.B1\B1\WINDOWS.NT bzw. \CARDWARE\\SERVER.B1\B1_PCI\WINDOWS.NT. Die Treiber für den ISDN-Controller T1 befinden sich auf dem AVM Data Call Center im Verzeichnis \CARDWARE\T1\WINDOWS.NT. Notieren Sie sich bei der Installation der Treibersoftware die Controller-Nummer der ISDN-Controller sowie die Rufnummer des jeweiligen ISDN-Anschlusses. Die Treibersoftware für den/die AVM ISDN-Controller muss beim Starten von Windows 2000/NT automatisch geladen werden! Informationen dazu finden Sie in Ihrem Controller-Handbuch. Nachdem Sie den/die ISDN-Controller installiert haben, bauen Sie mit dem Programm Connect32, das im Lieferumfang aller AVM ISDN-Controller enthalten ist, eine Testverbindung zum AVM Data Call Center (ADC) auf, um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses und der ISDN-Controller sicherzustellen. Nähere Informationen zu Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch. Anforderungen an die Software l Windows 2000/NT Server oder Workstation mit dem aktuellen Service Pack. l TCP/IP-Protokoll, gebunden an die Netzwerkkarte mit fester IPAdresse, eingetragener Subnet Mask und angegebenem Standardgateway. l Falls Sie IPX verwenden wollen: NWLink IPX/SPX-kompatibler Transport, konfiguriert mit eindeutiger interner Netzwerknummer für den Windows 2000/NT-Rechner. Bei den Bindungen werden die folgenden Einstellungen vom ISDN Access Server erkannt: „Rahmentyp automatisch erkennen“ und „Rahmentyp manuell erkennen“. l 20 Web-Browser: MS Internet Explorer ab v3.0 oder Netscape Navigator ab v3.0. ISDN Access Server – 1 Einleitung accserv.book Seite 21 Dienstag, 13. Juni 2000 11:52 11 ISDN-Anschluss ISDN-Anschluss Um alle Funktionen des ISDN Access Servers zu nutzen, sollten an Ihrem ISDN-Anschluss die folgenden Merkmale freigeschaltet sein: l Datenübertragung („Unrestricted Digital Information“). l Tarifinformation während der Verbindung gemäß europäischem Standard AOCD – Advice On Charge During Call (wird benutzt für den automatischen physikalischen Verbindungsabbau und die Kostenüberwachung mit Budgets). Bekommen Sie keine Tarifinformationen während der Verbindung, kann stattdessen auch die Gebührenabschätzung über ein Gebührenprofil eingesetzt werden. l Übermittlung der Rufnummer im D-Kanal, CLIP (wird benutzt für die Rufnummernüberprüfung sowie für die Identifizierung einkommender Rufe). ISDN Access Server – 1 Einleitung 21 accserv.book Seite 22 Dienstag, 13. Juni 2000 11:52 11 22 ISDN Access Server accserv.book Seite 23 Dienstag, 13. Juni 2000 11:52 11 Installation und erste Schritte 2 Installation und erste Schritte In diesem Kapitel erfahren Sie, wie Sie Ihr lokales Netzwerk für die Installation des ISDN Access Servers vorbereiten. Anschließend werden Installation und Bedienung des ISDN Access Servers beschrieben. 2.1 Vorbereitungen Die Installationsvoraussetzungen sowie die Anforderungen an die Hard- und Software finden Sie in „Voraussetzungen“ auf Seite 19. Ihr lokales Netzwerk muss schon vor der Installation des ISDN Access Servers funktionsfähig sein. Alle Server und Arbeitsstationen müssen eindeutig adressiert und der störungsfreie Austausch von Informationen gewährleistet sein. TCP/IP-Einstellungen Wenn Sie TCP/IP im lokalen Netzwerk verwenden, benötigt jede Arbeitsstation und der Rechner, auf dem der ISDN Access Server installiert werden soll, eine eindeutige IP-Adresse. Wichtig ist hierbei, dass der ISDN Access Server-Rechner eine feste IP-Adresse zugewiesen bekommt, auch wenn sonst im Netz DHCP verwendet wird. TCP/IP-Einstellungen in Windows 2000 (ISDN Access Server-Rechner) ISDN Access Server – 2 Installation und erste Schritte 23 accserv.book Seite 24 Dienstag, 13. Juni 2000 11:52 11 TCP/IP-Einstellungen Besteht Ihr lokales Netzwerk aus nur einem Netzwerkstrang, dann tragen Sie auf allen Arbeitsstationen neben der IP-Adresse die IP-Adresse des ISDN Access Servers als Standardgateway ein. Erst so haben alle entfernten Rechner die Möglichkeit, über ISDN auf alle Ressourcen zuzugreifen. IP-Adresse: 192.168.1.1 Standardgateway: 192.168.1.3 IP-Adresse: 192.168.1.3 Access Server Arbeitsstation Arbeitsstation IP-Adresse: 192.168.1.2 Standardgateway: 192.168.1.3 IP-Adressierung vor der Installation des ISDN Access Servers – kleines Netzwerk Besteht Ihr Netz aus mehreren Segmenten, die untereinander über Router verbunden sind, tragen Sie auf allen Rechnern im Netz die IPAdresse des Routers im jeweiligen Segment als Standardgateway ein. IP-Adresse: 192.168.1.1 Standardgateway: 192.168.1.4 ISDN Access Server Arbeitsstation IP-Adresse: 192.168.1.4 Router IP-Adresse: 192.168.2.1 IP-Adresse: 192.168.1.3 Standardgateway: 192.168.1.4 Arbeitsstation IP-Adresse: 192.168.1.2 Standardgateway: 192.168.1.4 IP-Adresse: 192.168.2.4 Standardgateway: 192.168.2.1 Arbeitsstation Arbeitsstation IP-Adresse: 192.168.2.3 Standardgateway: 192.168.2.1 Arbeitsstation IP-Adresse: 192.168.2.2 Standardgateway: 192.168.2.1 IP-Adressierung vor der Installation des ISDN Access Servers – großes Netzwerk Bei der Konfiguration des LANs ist hier wichtig, dass der Router im LAN die später über ISDN verfügbaren Netze kennt. 24 ISDN Access Server – 2 Installation und erste Schritte accserv.book Seite 25 Dienstag, 13. Juni 2000 11:52 11 IPX-Einstellungen Wird RIP im LAN verwendet, lernt der Router die zur Verfügung stehenden Routen dynamisch vom ISDN Access Server. Ansonsten müssen statische Routen definiert werden. Außerdem muss dem ISDN Access Server das Netz, das hinter dem Router liegt, bekannt sein. Auch hier gilt, wenn kein RIP verwendet wird, muss die Route später im ISDN Access Server statisch konfiguriert werden. IPX-Einstellungen Wenn Sie IPX im LAN verwenden, benötigt der Rechner, auf dem der ISDN Access Server installiert werden soll, eine eindeutige interne Netzwerknummer. Die interne Netzwerknummer kann auch nach der Installation des ISDN Access Servers im ISDN Access Server-Manager eingetragen werden. Beim Rahmentyp werden die Einstellungen „Rahmentyp automatisch erkennen“ sowie „Rahmentyp manuell erkennen“ vom ISDN Access Server akzeptiert. ISDN-Controller Installieren Sie die Treibersoftware für Ihre(n) ISDN-Controller immer von der mitgelieferten CD-ROM „B1 Server-Edition“. Die ISDN-Controller werden im ISDN Access Server entsprechend der Controller-Nummer verwaltet, die sie bei der Installation der Treibersoftware (CAPI) erhalten. Wollen Sie mehrere ISDN-Controller verwenden, notieren Sie sich daher bei der Installation der ISDN-Controller immer die jeweilige Controller-Nummer. Schreiben Sie außerdem auf, welcher Controller z.B. für eine Festverbindung verwendet wird; dies müssen Sie später im ISDN Access Server angeben. Die Treibersoftware für den/die AVM ISDN-Controller muss beim Starten von Windows 2000/NT automatisch geladen werden! Informationen dazu finden Sie in Ihrem Controller-Handbuch bzw. im zugehörigen Readme. Nachdem Sie den/die Controller installiert haben, bauen Sie mit dem Programm Connect32, das im Lieferumfang aller AVM ISDN-Controller enthalten ist, eine Testverbindung zum AVM Data Call Center (ADC) auf, um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses und des/der Controller(s) sicherzustellen. Nähere Informationen zu Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch. Sind diese Vorbereitungen getroffen, können Sie den ISDN Access Server installieren. ISDN Access Server – 2 Installation und erste Schritte 25 accserv.book Seite 26 Dienstag, 13. Juni 2000 11:52 11 Installation des ISDN Access Servers 2.2 Installation des ISDN Access Servers Bei der Installation werden die folgenden Komponenten auf Ihrem Rechner installiert: l AVM ISDN Access Server for Windows 2000. l AVM WebServer (dient zur HTTP-Kommunikation zwischen WebBrowser und ISDN Access Server). Außerdem werden die Netzwerkeinstellungen von Windows 2000/NT modifiziert und zwei spezifische Komponenten für den ISDN Access Server hinzugefügt. Zur Installation des ISDN Access Servers for Windows 2000 gehen Sie wie folgt vor: 1. Legen Sie die ISDN Access Server-CD in Ihr CD-ROM-Laufwerk ein. Eine CD-Einführung wird automatisch gestartet. Sie können die CD-ROM auch manuell starten. Begeben Sie sich dazu in den Explorer und klicken Sie im Stammverzeichnis der CDROM doppelt auf die Datei INTRO.HLP. 2. Folgen Sie den Anweisungen in der Einführung und starten Sie die Installation. Der Begrüßungsbildschirm des Installationsprogramms erscheint. 3. Klicken Sie auf „Weiter“, um die Installation fortzusetzen. 4. Sie werden aufgefordert, den CD-Key einzugeben. Dieser befindet sich auf der CD-Hülle. Zur Bestätigung Ihrer Angaben klicken Sie auf „OK“. 5. Bestätigen Sie die Installation des ISDN Access Servers mit erneutem Klicken auf „OK“. 6. Als nächstes geben Sie den Ordner an, in den die Dateien des ISDN Access Servers installiert werden sollen. Ist auf dem Rechner bereits der ISDN MultiProtocol Router for Windows 2000 (NT/MPRI) installiert, werden die Dateien des ISDN Access Servers in denselben Ordner kopiert. Ansonsten wird standardmäßig der Pfad C:\PROGRAMME\AVM\ ISDN Access Server vorgeschlagen. Sie können aber auch jeden anderen Pfad angeben. Bestätigen Sie den Installationspfad durch Klicken auf „Weiter“. 26 ISDN Access Server – 2 Installation und erste Schritte accserv.book Seite 27 Dienstag, 13. Juni 2000 11:52 11 Installation des ISDN Access Servers 7. Geben Sie jetzt den Pfad an, in den der AVM WebServer installiert werden soll. Standardmäßig wird der Pfad C:\PROGRAMME\AVM\WEBSERVER vorgeschlagen. Wenn Sie auf dem Rechner auch Network Distributed ISDN for Windows 2000 (NDI) oder den NT/MPRI installiert haben, werden die Dateien in denselben Ordner kopiert. Bestätigen Sie durch Klicken auf „Weiter“. Nun werden die Programmdateien für den WebServer und anschließend die Programmdateien für den ISDN Access Server installiert. Zum Abschluss der Installation wird im allgemeinen Teil des Startmenüs ein neues Programm mit dem Namen „AVM ISDN Access Server Manager“ hinzugefügt. Mit diesem Programmsymbol wird der von Ihnen eingerichtete Standard-Web-Browser gestartet und die HTML-Oberfläche des ISDN Access Servers angezeigt. 8. Um die Installation abzuschließen, starten Sie Windows 2000/NT neu. In Windows 2000 kann der Netzwerktreiber nicht automatisch installiert werden. Daher sind nach der Standard-Installation des NT/MPRI die nachfolgend aufgeführten Schritte notwendig. 9. Klicken Sie im Windows Explorer mit der rechten Maustaste auf „Netzwerkumgebung“ und wählen Sie „Eigenschaften“ aus. 10. Wählen Sie „Installieren / Dienst / Hinzufügen“. 11. Klicken Sie auf die Schaltfläche „Datenträger“ und wählen Sie auf der CD-ROM das Verzeichnis „ntmpri\deutsch“. Bestätigen Sie mit „OK“. 12. Wählen Sie „ISDN Services Wrapper“ und bestätigen Sie die Auswahl mit „OK“. 13. Bestätigen Sie alle Hinweise bezüglich „Treiber Signatur“ mit „OK“. 14. Beenden Sie die Installation mit „Schließen“. Der NTRNDIS.SYS wird automatisch gestartet und ist aktiv. 15. Rufen Sie „net start ntmpri“ oder „net start webserver“ auf oder starten Sie Windows 2000 neu. ISDN Access Server – 2 Installation und erste Schritte 27 accserv.book Seite 28 Dienstag, 13. Juni 2000 11:52 11 Durchgeführte Modifikationen in Windows 2.3 Durchgeführte Modifikationen in Windows In Windows 2000/NT wurden die folgenden Änderungen vorgenommen: l Die Dienste „AVM ISDN Access Server“, „AVM WebServer“, „AVM ISDN Access Server External Accounting“ und „AVM ISDN Access Server External Database“ wurden in Windows NT integriert (in „Systemsteuerung / Dienste“). l Das Protokoll „ISDN Service Wrapper“ wurde hinzugefügt. In Windows NT erfolgt dies automatisch, in Windows 2000 müssen Sie „ISDN Services Wrapper“ manuell hinzufügen (s.o.). Der ISDN Service Wrapper vermittelt zwischen den Netzwerkkarten, den Netzwerkprotokollen und dem Windows 2000/NT-Dienst „AVM ISDN Access Server“. l Die bestehenden Protokollbindungen von TCP/IP und IPX an die Netzwerkkarten wurden aufgehoben. Dafür wurden TCP/IP und IPX an den ISDN Service Wrapper gebunden. Dienst gestartet? Um zu überprüfen, ob der ISDN Access Server gestartet wurde, gehen Sie wie folgt vor: 1. Wählen Sie im Startmenü von Windows 2000/NT den Punkt „Einstellungen/Systemsteuerung“. 2. Doppelklicken Sie auf das Symbol „Dienste“. Das Dialogfeld „Dienste” von Windows 2000/NT wird eingeblendet. In der Liste sehen Sie den Dienst „AVM ISDN Access Server”. Konnte er ordnungsgemäß gestartet werden, erscheint unter „Status“ die Meldung „Gestartet“. Unter „Startart“ wurde „Automatisch“ eingetragen, damit der ISDN Access Server bei jedem Start von Windows 2000/NT automatisch gestartet wird. 28 ISDN Access Server – 2 Installation und erste Schritte accserv.book Seite 29 Dienstag, 13. Juni 2000 11:52 11 Zugriff auf den ISDN Access Server 2.4 Zugriff auf den ISDN Access Server Der HTTP-Zugriff auf den ISDN Access Server kann direkt auf dem Windows 2000/NT-Rechner oder von einem Rechner im Netzwerk aus geschehen, der über TCP/IP mit dem Rechner verbunden ist. Folgende Möglichkeiten stehen Ihnen dabei zur Verfügung: l Zum Aufruf der ISDN Access Server-Oberfläche auf dem Windows 2000/NT-Rechner selbst wählen Sie den Punkt „Programme / AVM ISDN Access Server Manager“ aus dem Startmenü von Windows 2000/NT. Der von Ihnen als Standard-Browser eingerichtete Web-Browser wird gestartet und die Auswahlseite mit den unterstützten Sprachen des ISDN Access Servers angezeigt. l Wollen Sie von einem anderen Rechner im Netz auf den ISDN Access Server zugreifen, starten Sie den dort eingerichteten Standard-Web-Browser und geben Sie die URL der Startseite ein: http://<IP-Adresse>:4000/ntras.html (IP-Adresse = IP-Adresse des ISDN Access Server-Rechners) l Haben Sie in Ihrem Netz einen Name-Server installiert, können Sie den ISDN Access Server auch folgendermaßen aufrufen: http://<Name>:4000/ntras.html (Name = Name des ISDN Access Server-Rechners in der Domäne) Wählen Sie zuerst die Sprache aus, in der Sie den ISDN Access Server verwalten möchten. Es erscheint eine Sicherheitsabfrage, da der Zugriff auf den ISDN Access Server geschützt ist. Geben Sie hier den Benutzernamen und das Passwort eines Benutzers ein, der auf dem Windows 2000/NT-Rechner über Administratorrechte verfügt und klicken Sie auf „OK“. Anschließend erscheint die Startseite. Nur das Readme und die Dokumentation zum ISDN Access Server können ohne Eingabe von Name und Passwort gelesen werden. ISDN Access Server – 2 Installation und erste Schritte 29 accserv.book Seite 30 Dienstag, 13. Juni 2000 11:52 11 Zugriff auf den ISDN Access Server Die Startseite des ISDN Access Servers Über die Verknüpfungen auf der Startseite erreichen Sie alle für die Konfiguration und Administration des ISDN Access Servers benötigten Funktionen: l Konfiguration - ruft die Konfigurationsseiten auf. l Verbindungssteuerung - erlaubt das aktive Auf- und Abbauen von ISDN-Verbindungen. l Monitor - bietet detaillierte Status- und Statistikinformationen sowie eine Paket-Mitschnittfunktion. l Spezielles - ermöglicht den Neustart des ISDN Access ServerDienstes in Windows 2000/NT und den Zugriff auf die Routing and Remote Access API von AVM. l Readme - zeigt die neuesten Informationen zum ISDN Access Server an, die noch nicht im Handbuch enthalten sind. Die Readme-Datei wird in einem eigenen Browser-Fenster angezeigt. Durch Klicken auf das nebenstehende Symbol wird das zweite Browser-Fenster wieder geschlossen. l ISDN Access Server-Dokumentation - ruft die HTML-Version dieses Handbuchs auf. Das Handbuch wird in einem eigenen Browser-Fenster angezeigt. Um zum ISDN Access Server zurückzukehren, schließen Sie das Handbuch-Fenster. 30 ISDN Access Server – 2 Installation und erste Schritte accserv.book Seite 31 Dienstag, 13. Juni 2000 11:52 11 Gemeinsame Installation der „ISDN Services for Windows 2000“ Die detaillierte Online-Hilfe im HTML-Format wird über eine Schaltfläche auf jeder ISDN Access Server-Seite aufgerufen. Ein zweites Browser-Fenster wird geöffnet. Um das Hilfe-Fenster zu schließen, klicken Sie auf die nebenstehende Schaltfläche. Über den Punkt „Startseite“ gelangen Sie wieder zur Startseite der HTML-Oberfläche. Änderungen in der Konfiguration, z.B. das Hinzufügen neuer Benutzer, werden erst aktiv, nachdem der Dienst des ISDN Access Servers in Windows 2000/NT neu gestartet wurde! Wie Sie dazu vorgehen, erfahren Sie im übernächsten Abschnitt. Gemeinsame Installation der „ISDN Services for Windows 2000“ Haben Sie mehrere Produkte der Reihe „ISDN Services for Windows 2000“ installiert, z.B. den ISDN Access Server und Network Distributed ISDN (NDI), können Sie die gemeinsame Startseite der Produkte nutzen. Sie wird mit folgender URL aufgerufen: http://<Name> oder <IP-Adress>:4000/index.html Bei einer gemeinsamen Installation von ISDN MultiProtocol Router for Windows 2000 (NT/MPRI) und ISDN Access Server werden im Startmenü von Windows 2000/NT zwar zwei unterschiedliche Programmsymbole angelegt, die beiden Programme haben jedoch dieselbe Oberfläche. Einige Menüs beziehen sich dann auf beide Produkte – z.B. Server-Status, Einstellungen für die ISDN-Controller und Gebührenprofile. Andere Menüs gelten jeweils nur für ein Produkt, z.B. „Ziele“ (NT/MPRI) oder „Benutzereinstellungen“ (ISDN Access Server). Änderungen, die Sie in einem gemeinsamen Menü vornehmen, sind daher sowohl für den NT/MPRI als auch den ISDN Access Server wirksam. Haben Sie beide Fenster parallel geöffnet (NT/MPRI und ISDN Access Server) und schließen eines der beiden Fenster, wird das andere Fenster ebenfalls geschlossen. ISDN Access Server – 2 Installation und erste Schritte 31 accserv.book Seite 32 Dienstag, 13. Juni 2000 11:52 11 Dienst des ISDN Access Servers beenden und neu starten Dienst des ISDN Access Servers beenden und neu starten Damit z.B. Konfigurationsänderungen wirksam werden, muss nicht der Windows 2000/NT-Rechner neu gestartet werden. Sie brauchen nur den Dienst des ISDN Access Servers in Windows 2000/NT zu beenden und erneut zu starten. Der Dienst hat die Bezeichnung „ISDN Access Server“. Der Neustart des Dienstes kann direkt über die HTML-Oberfläche geschehen. Im Menüpunkt „Serverstatus“ („Monitor“) können Sie jederzeit überprüfen, ob Konfigurationsänderungen existieren, die noch nicht wirksam sind. Klicken Sie auf der Startseite des ISDN Access Servers oder in der oberen Navigationsleiste auf den Punkt „Spezielles“. Wählen Sie dann im linken Rahmen den Punkt „Dienste-Neustart“ an. Klicken Sie zum Neustart im rechten Rahmen auf die Schaltfläche „Dienst neu“ starten. 2.5 Deinstallation Zur Deinstallation des ISDN Access Servers gehen Sie wie folgt vor: Windows 2000 1. Rufen Sie im Startmenü von Windows 2000 den Punkt „Einstellungen / Systemsteuerung“ auf. 2. Doppelklicken Sie auf „Software“. 3. Aktivieren Sie im linken Fensterteil „Programme ändern oder entfernen“ und markieren Sie dann im rechten Fensterteil den Eintrag „AVM ISDN Access Server“ und klicken Sie auf die Schaltfläche „Ändern/Entfernen“. Es wird kein Bestätigungsdialog eingeblendet! 4. Der ISDN Access Server wird nun entfernt. Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst von anderen Programmen wie Network Distributed ISDN for Windows 2000 von AVM nicht mehr verwendet werden kann. Um den WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrieben vor und markieren Sie den entsprechenden Eintrag, bevor Sie auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken. 32 ISDN Access Server – 2 Installation und erste Schritte accserv.book Seite 33 Dienstag, 13. Juni 2000 11:52 11 Deinstallation 5. Starten Sie Windows 2000 neu. Mit dem Neustart ist die Deinstallation abgeschlossen. Windows NT 1. Rufen Sie im Startmenü von Windows NT den Punkt „Einstellungen / Systemsteuerung“ auf. 2. Doppelklicken Sie auf „Software“. 3. Markieren Sie im unteren Fenster den Eintrag „AVM ISDN Access Server“ und klicken Sie auf die Schaltfläche „Hinzufügen/Entfernen...“ 4. Der ISDN Access Server wird nun entfernt. Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst von anderen Programmen wie Network Distributed ISDN for Windows 2000 von AVM nicht mehr verwendet werden kann. Um den WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrieben vor und markieren Sie den entsprechenden Eintrag, bevor Sie auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken. 5. Starten Sie Windows NT neu. Mit dem Neustart ist die Deinstallation abgeschlossen. ISDN Access Server – 2 Installation und erste Schritte 33 accserv.book Seite 34 Dienstag, 13. Juni 2000 11:52 11 34 ISDN Access Server accserv.book Seite 35 Dienstag, 13. Juni 2000 11:52 11 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers In diesem Kapitel erhalten Sie allgemeine Hinweise zur Konfiguration sowie ausführliche Hintergrundinformationen zur Funktionsweise des ISDN Access Servers. Dabei werden wichtige Aspekten wie Benutzerverwaltung, Zugriffsschutz, Kostenbegrenzung usw. behandelt. 3.1 Globale Einstellungen vornehmen Nehmen Sie nach der Installation des ISDN Access Servers zunächst die globalen Einstellungen für den Betrieb und die Benutzerverwaltung vor. Dazu stehen Ihnen entsprechende Funktionen im Menü „Konfiguration“ zur Verfügung. Allgemeine Einstellungen In den Server-Einstellungen definieren Sie unter Punkt „Allgemein“ die Grundlagen für die Kostenberechnung. Außerdem haben Sie die Möglichkeit, spezielle Netzwerkeinstellungen vorzunehmen. Falls Sie das Netzwerkprotokoll IPX im LAN oder über ISDN verwenden wollen, müssen Sie unter „Für IPX-Routing über ISDN“ die interne IPXNetzwerknummer des ISDN Access Server-Rechners eintragen. Die Netzwerknummer darf im gesamten WAN nur einmal vergeben werden. Sie wird bei der Installation des ISDN Access Servers aus der Systemsteuerung von Windows 2000/NT abgefragt und hier als Standardvorgabe eingetragen. Haben Sie vorher in den Netzwerkeinstellungen von Windows 2000/NT keine interne Netzwerknummer angegeben, genügt es, wenn Sie sie an dieser Stelle in der ISDN Access Server-Konfiguration eintragen. In diesem Falle muss Windows 2000/NT anschließend neu gestartet werden, damit die Netzwerknummer in die Systemeinstellungen übernommen werden kann. Besteht Ihr lokales Netz aus mehreren Teilnetzen, und in einem oder mehreren IP-Teilnetzen wird kein RIP verwendet, kann das Eintragen weiterer lokaler IP-Routen erforderlich sein. Bestimmte Adressen in anderen Segmenten sind dann nur über weitere Router erreichbar, die hier als „Nächster Hop“ eingetragen werden. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 35 accserv.book Seite 36 Dienstag, 13. Juni 2000 11:52 11 Einstellungen für ISDN-Controller Einstellungen für ISDN-Controller Wenn Sie den Menüpunkt „ISDN-Controller“ wählen, werden direkt nach der Installation zunächst die Einstellungen des ISDN-Controllers 1 angezeigt. Die ISDN-Controller werden entsprechend der ControllerNummer verwaltet, die sie bei der Installation der Treibersoftware (CAPI) erhalten. Der ISDN-Controller 1 wird bei der Installation des ISDN Access Servers standardmäßig als benutzt eingetragen und für den Betrieb an einem Mehrgeräteanschluss konfiguriert. Sie können nun neue ISDN-Controller hinzufügen und die Standardeinstellungen des Controllers 1 ändern. Zuerst legen Sie fest, ob der ISDN-Controller benutzt werden soll. Geben Sie an, ob der ISDN-Controller an eine Nebenstellenanlage angeschlossen ist. Ist dies der Fall, tragen Sie die erforderlichen Angaben wie die Amtsholung und die Mindestlänge externer Rufnummern ein. Haben Sie eine andere CAPI-Anwendung von AVM (z.B. Network Distributed ISDN for Windows 2000 oder FRITZ!), die auf demselben ISDNController läuft, bereits für den Betrieb an einer Nebenstelle konfiguriert, werden die entsprechenden Einstellungen aus der Windows 2000/NT-Registrierung ausgelesen und auch für den ISDN Access Server verwendet. Außerdem können Sie angeben, ob der ISDN-Controller an einem Mehrgeräteanschluss (Punkt-zu-Mehrpunkt = Standardeinstellung) angeschlossen ist, für eine Festverbindung verwendet wird oder sich an einem Anlagenanschluss (Punkt-zu-Punkt) befindet. Wenn Sie die Einstellung „Festverbindung“ anklicken, müssen Sie aus der nebenstehenden Liste die Art der Festverbindung auswählen. Neben den Bezeichnungen der Deutschen Telekom AG enthält die Liste auch technische Angaben zur Bandbreite der Verbindung, einschließlich der Verwendung des D-Kanals. Haben Sie neben dem ISDN Access Server weitere CAPI-Anwendungen auf dem Rechner installiert oder an den gleichen S0-Bus angeschaltet, sollten Sie für die Annahme eingehender Anrufe Mehrfachrufnummern oder DDI vergeben. Nur so können Anrufe mit der Dienstekennung „Daten“ eindeutig zugeordnet werden. Die einzelnen B-Kanäle des ISDN-Anschlusses können Sie im letzten Punkt der ISDN-Controller-Einstellungen als „benutzt/nicht benutzt“ eintragen oder für die Produkte der „ISDN Services for Windows 2000“ sowie für bestimmte Benutzer reservieren. So ist es z.B. möglich, den 36 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 37 Dienstag, 13. Juni 2000 11:52 11 Schwellenwerte ersten B-Kanal eines ISDN-Anschlusses dem NT/MPRI zuzuordnen, der auf demselben Rechner wie der ISDN Access Server installiert ist. Wollen Sie, dass bestimmte Benutzer immer Zugriff auf Ihr LAN haben, können Sie für diese einen B-Kanal reservieren. Aktivieren Sie in diesem Fall die Einstellung „Reserviert für“ und wählen einen Benutzer aus der Liste aus. Beachten Sie dabei aber, dass Sie die Controller nicht exklusiv für die „ISDN Services for Windows 2000“ belegen können. Die Controller können trotzdem genauso von anderen CAPI-Anwendungen wie z.B. FRITZ! verwendet werden. Die B-Kanäle werden erst aufgeführt, nachdem Sie die anderen Einstellungen zu diesem ISDN-Controller gespeichert haben. Schwellenwerte Unter dem Punkt „Schwellenwerte“ legen Sie globale Obergrenzen für ISDN-Gebühren (Budget), die physikalische Verbindungsdauer und die Anzahl ausgehender Rufe einschl. fehlgeschlagene Versuche und Signalisierung im D-Kanal fest. Die hier festgelegten Obergrenzen gelten für alle ausgehenden Wählverbindungen des ISDN Access Servers und sollen unerwartete ISDN-Verbindungskosten vermeiden. Wird einer der globalen Schwellenwerte überschritten, baut der ISDN Access Server bestehende ausgehende physikalische Verbindungen ab und blockiert alle weiteren ausgehenden Verbindungen. Weitere Informationen zu den Schwellenwerten finden Sie in „Globale Schwellenwerte“ auf Seite 53. 3.2 Einrichten und Verwalten von Benutzern Nach Installation des ISDN Access Servers wird zuerst grundsätzlich festgelegt, wie die Benutzer, die sich über ISDN in das LAN einwählen, verwaltet werden. Grundeinstellungen zur Benutzerverwaltung Rufen Sie in den Server-Einstellungen den Menüpunkt „Benutzerverwaltung“ auf, um grundsätzliche Einstellungen zur Benutzerverwaltung vorzunehmen. Die Benutzer werden intern, d.h. in der ISDN Access Server-Datenbank NTR.MDB, oder extern verwaltet. Für die externe Verwaltung und Echtheitsbestätigung können Sie den Benutzer-Manager von Windows oder einen RADIUS-Server verwenden. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 37 accserv.book Seite 38 Dienstag, 13. Juni 2000 11:52 11 Zusätzliche Einstellungen für extern verwaltete Benutzer In dem Fenster „Benutzerverwaltung“ legen Sie auch fest, ob und in welcher Form für extern verwaltete Benutzer Kosten-/Nutzungsdaten gespeichert werden. Dies kann in der Datenbank NTREACT.MDB des ISDN Access Servers oder über einen RADIUS-Accounting-Server erfolgen. Außerdem können für extern verwaltete Benutzer Budgetdaten in einer ISDN Access Server-Datenbank (NTREBUD.MDB) abgelegt werden. Weitere Hinweise zu den Kosten-/Nutzungsdaten und Budgetinformationen finden Sie in „Verbindungssteuerung, Management- und Monitorfunktionen“ auf Seite 65. Zusätzliche Einstellungen für extern verwaltete Benutzer Da im Benutzer-Manager von Windows oder in einem RADIUS-Server keine spezifischen Parameter für den Zugriff entfernter Benutzer über ISDN festgelegt werden können, bietet der ISDN Access Server zwei Möglichkeiten für die Eingabe solcher Parameter für extern verwaltete Benutzer: Benutzergruppen und Einstellungen für Windows-Benutzer. Um Ihren Konfigurationsaufwand für die extern verwalteten Benutzer zu verringern, sollten Sie die vorgegebenen Standard-Einstellungen und die Standard-Benutzergruppe verwenden. Diese Standardvorgaben werden auf alle Benutzer angewendet, für die es keine separaten Einstellungen gibt. Zusätzliche Einstellungen für Windows-Benutzer Wenn Sie für Ihre Benutzerverwaltung den Benutzer-Manager von Windows verwenden, gehen Sie folgendermaßen vor: 38 l Im Menü „Konfiguration / Benutzerverwaltung / Benutzergruppen“ befindet sich der Eintrag „Standard“. Ändern Sie die Vorgaben in dieser Benutzergruppe entsprechend den Anforderungen in Ihrem WAN (z.B. Budget, Kostenübernahme und Zeitprofil). Sie können auch neue Benutzergruppen anlegen. l Wechseln Sie nun in das Menü „Windows-Benutzer“ und bearbeiten den Eintrag „Standard-Einstellungen“. Wählen Sie in diesen Standard-Einstellungen die eben konfigurierte Benutzergruppe aus, damit die Einstellungen in der Benutzergruppe standardmäßig für alle Windows-Benutzer gelten. Geben Sie hier das Passwort an, das bei der Echtheitsbestätigung auf der lokalen Seite verwendet werden soll. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 39 Dienstag, 13. Juni 2000 11:52 11 Zusätzliche Einstellungen für extern verwaltete Benutzer l Nun gelten für alle Windows-Benutzer dieselben Parameter für den Fernzugriff. Um z.B. verschiedene Passwörter für die Echtheitsbestätigung auf lokaler Seite zu vergeben, fügen Sie im Menü „Windows-Benutzer“ die Benutzer zusätzlich hinzu, für die andere Einstellungen gelten sollen. Sie haben auch die Möglichkeit, die im Benutzer-Manager festgelegten Passwörter zu verwenden. Aktivieren Sie dazu die entsprechende Option im Menü „Konfiguration / Benutzerverwaltung / Allgemein“. Bei Benutzern, für die es keinen gesonderten Eintrag unter „WindowsBenutzer“ gibt, werden die Standard-Einstellungen verwendet. Dabei haben die Parameter der Standard-Einstellungen Vorrang vor den Einstellungen in der Benutzergruppe. Nur wenn ein Parameter in den Standard-Einstellungen nicht definiert ist, z.B. die IP-Adressvergabe, greift der ISDN Access Server auf die Einstellungen der zugeordneten Benutzergruppe zurück. Der ISDN Access Server wendet die Einstellungen also in der folgenden Reihenfolge an: 1. Windows-Benutzer 2. Aktive Standard-Einstellungen (Menüpunkt „Windows-Benutzer“) 3. Einstellungen der zugeordneten Benutzergruppe oder der Benutzergruppe „Standard“. Zusätzliche Einstellungen für RADIUS-Benutzer Zusätzliche Parameter für den Fernzugriff von RADIUS-Benutzern werden in Benutzergruppen gespeichert. Die Zuordnung der einzelnen Benutzer zur Benutzergruppe wird im RADIUS-Server durchgeführt. Erfolgt dort keine Zuweisung einer Benutzergruppe, werden die Einstellungen der Gruppe „Standard“ verwendet. Um den Konfigurationsaufwand zu verringern, passen Sie zuerst die Einstellungen der Benutzergruppe „Standard“ an die Gegebenheiten in Ihrem WAN an („Konfiguration / Benutzerverwaltung / Benutzergruppen“). Diese Einstellungen werden für alle RADIUS-Benutzer verwendet, denen keine Benutzergruppe zugewiesen wurde. Um für einige RADIUS-Benutzer abweichende Einstellungen zu definieren, fügen Sie weitere Benutzergruppen hinzu. Weitere Informationen zur RADIUS-Benutzerverwaltung finden Sie im Readme und in der Online-Hilfe. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 39 accserv.book Seite 40 Dienstag, 13. Juni 2000 11:52 11 Einrichten von intern verwalteten Benutzern Einrichten von intern verwalteten Benutzern Der ISDN Access Server bietet zum Einrichten neuer Benutzer, die intern verwaltet werden, vordefinierte Profile für IP-Verbindungen, IPXVerbindungen und Verbindungen, bei denen beide Netzwerkprotokolle verwendet werden („Konfiguration / Benutzereinstellungen / Neuen Benutzer einrichten“). Bei diesen Profilen werden nur die Parameter angezeigt, die für diese Art von Verbindung im Standardfall von Bedeutung sind. Eine Vielzahl von Parametern ist bereits mit sinnvollen Werten belegt. Diese Profile vermindern den Konfigurationsaufwand beträchtlich. Haben Sie einen neuen Benutzer mit Hilfe eines Profils angelegt und gespeichert, können Sie die Vorgaben selbstverständlich individuell anpassen. In dem Menüpunkt „Neuen Benutzer einrichten“ finden Sie auch einen Benutzer ohne Profil, in dem alle möglichen Parameter aufgeführt sind. Zugriff der Benutzer organisieren Die B-Kanäle der ISDN-Controller, die der ISDN Access Server verwendet, werden zu einem Pool zusammengefasst und stehen allen Benutzern offen. Diese Methode ist grundsätzlich sehr flexibel und ermöglicht eine optimale Nutzung der verfügbaren Kanäle. Das Einrichten der Benutzer erfolgt damit auch unabhängig von den ISDN-B-Kanälen. Zu einem Zeitpunkt können mehr logische ISDN-Verbindungen zu Benutzern bestehen, als ISDN-B-Kanäle zur Verfügung stehen. Dies wird durch den physikalischen Verbindungsabbau möglich, der dafür sorgt, dass ungenutzte ISDN-Verbindungen automatisch abgebaut werden. So stehen die B-Kanäle des ISDN Access Servers anderen Benutzern zur Verfügung. Die physikalische Verbindung wird aufgebaut, sobald Pakete an oder vom Benutzer gesendet werden müssen. Der Systemverwalter muss sicherstellen, dass immer ausreichend BKanäle zur Verfügung stehen, wenn für die Mehrzahl der Benutzer die Möglichkeit der logischen ISDN-Verbindung konfiguriert wurde (logischer Verbindungsabbau später als physikalischer oder nie). Der ISDN Access Server bietet in diesem Zusammenhang mehrere Möglichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für „wichtige“ Benutzer zu gewährleisten: 40 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 41 Dienstag, 13. Juni 2000 11:52 11 Dynamische Vergabe von IP- und IPX-Adressen für Benutzer l Reservierung von B-Kanälen für bestimmte Benutzer, z.B. den Systemverwalter, in den Einstellungen der ISDN-Controller („Konfiguration / Server-Einstellungen / ISDN-Controller“). Diese B-Kanäle werden dann aus dem Pool von Kanälen herausgenommen. l Zuweisen einer Priorität in den Benutzereinstellungen (hoch, mittel, niedrig). So wird sichergestellt, dass Benutzer mit hoher Priorität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der Anwahl eines solchen Benutzers alle B-Kanäle belegt, wird die Verbindung zu einem Benutzer mit niedrigerer Priorität abgebaut. Um den zeitlichen Zugriff der Benutzer auf das LAN zu regeln, definieren Sie Zeitprofile (Menü „Spezielles“) und ordnen diese dann einzelnen Benutzern oder Benutzergruppen zu. So können Sie z.B. ein Zeitprofil einrichten, das den Zugriff auf Montag bis Freitag und die Geschäftszeiten beschränkt. Dieses Profil wird nun allen Außendienstmitarbeitern zugeordnet. Ein Zugriff außerhalb der festgelegten Zeiten ist nicht möglich. Dynamische Vergabe von IP- und IPX-Adressen für Benutzer In den Server-Einstellungen können Sie mit Hilfe der Menüpunkte „IPAdressvergabe“ und „IPX-Adressvergabe“ Adressbereiche definieren, aus denen Benutzer bei der Anwahl eine IP- bzw. IPX-Adresse erhalten. In den Einstellungen der einzelnen Benutzer (für intern verwaltete Benutzer) bzw. der Benutzergruppe/der Windows-Benutzer (für extern verwaltete Benutzer) legen Sie dann fest, ob diese Benutzer aus den definierten Adressbereichen statische IP-, bzw. IPX-Adresse erhalten oder dynamisch eine Adresse zugewiesen bekommen. Für die IP-Adressvergabe müssen komplette Subnetze oder einzelne IP-Adressen als Adressbereich angegeben werden (siehe „TCP/IPAdressen“ auf Seite 121 und „Subnetzmasken (Masken)“ auf Seite 118). Tragen Sie das komplette Subnetz mit seiner Start- und Endadresse und der entsprechenden Bit-Maske unter dem Menüpunkt „IPAdressvergabe“ ein („Konfiguration / Server-Einstellungen“). Der IPAdressbereich für die statische Zuordnung wird hier gesondert eingetragen. Sie können ein eigenes IP-Netz für die Benutzer wählen, es können aber auch Adressen aus dem LAN-Strang benutzt werden, in dem sich der ISDN Access Server selbst befindet. Dabei muss darauf geachtet werden, dass nur IP-Adressen und/oder IP-Adressbereiche im ISDN Access Server konfiguriert werden, die im LAN-Strang nicht verwendet ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 41 accserv.book Seite 42 Dienstag, 13. Juni 2000 11:52 11 Behandlung einkommender Rufe werden. Auch für diese Adressbereiche gilt, dass sie zusammen ein komplettes gültiges Subnetz bilden müssen. Eine Alternative hierzu ist der Eintrag einzelner IP-Adressen. 3.3 Behandlung einkommender Rufe Der ISDN Access Server nimmt prinzipiell nur Anrufe von Benutzern entgegen, die „bekannt“ sind, für die es also interne Benutzereinstellungen gibt oder die über den Benutzer-Manager von Windows bzw. einen RADIUS-Server identifiziert werden. Anrufe von unbekannten Teilnehmern werden abgelehnt. Um einem einkommenden Ruf eine lokale Benutzerkonfiguration zuordnen zu können, benutzt der ISDN Access Server eine der beiden folgenden Informationen: l die D-Kanal-Rufnummer (CLI = Calling Line Identification). Dazu muss erst einmal sichergestellt sein, dass die Rufnummer über den D-Kanal übermittelt wird. Dies können Sie bei Ihrem ISDN-Anbieter beantragen. Außerdem muss die D-Kanal-Rufnummer den Benutzereinstellungen zugeordnet werden. Das geschieht wie folgt: entweder wird sie direkt in die Benutzereinstellungen eingetragen (unter dem Parameter „D-Kanal-Rufnummer (CLI) für Zuordnung einkommender Rufe“) oder sie wird bei der Einstellung der Rufnummernüberprüfung eingetragen („Konfiguration / Sicherheit / Rufnummernüberprüfung / Zur Einwahl berechtigte Rufnummern“). Zwingend erforderlich ist die Nutzung der D-Kanal-Rufnummer zur Zuordnung immer dann, wenn in einer Benutzerkonfiguration die Kostenübernahme durch die lokale Seite oder der Sicherheitsrückruf aktiviert wurde. Es ist möglich, dass Benutzer unterschiedliche ISDN-Anschlüsse zur Einwahl verwenden, da sie z.B. mal von zu Hause, mal von der Firmenniederlassung oder von unterwegs anrufen. Lassen Sie sich alle D-Kanal-Rufnummern vom Benutzer mitteilen und tragen Sie diese im ISDN Access Server ein („ISDN-Einstellungen“ in der Benutzerkonfiguration). l 42 Angaben für die Echtheitsbestätigung über PAP oder CHAP, die die Gegenstelle bei entsprechender lokaler Konfiguration beim Verbindungsaufbau über den ISDN-B-Kanal übermitteln muss. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 43 Dienstag, 13. Juni 2000 11:52 11 Zugriffschutz und Sicherheitsmechanismen Dazu müssen Sie in der lokalen Benutzerkonfiguration die Echtheitsbestätigung auf lokaler Seite über PAP oder CHAP aktivieren und Namen sowie Passwort eintragen. Für die Identifizierung des einkommenden Rufes wird nur der Name verwendet. Achten Sie bei beiden Informationen darauf, dass die Zuordnung eindeutig ist. Die D-Kanal-Rufnummer und der Name für die Echtheitsbestätigung dürfen nur genau einem Benutzer zugeordnet sein. 3.4 Zugriffschutz und Sicherheitsmechanismen Der ISDN Access Server bietet ein mehrstufiges Sicherheitskonzept, das zuverlässig vor unerlaubten Zugriffen auf das lokale Netzwerk schützt. Die Sicherheitsfunktionen können auf verschiedenen Ebenen konfiguriert werden: l global für den gesamten ISDN Access Server (z.B. Rufnummernüberprüfung und IP-Filter) l individuell für jeden Benutzer bzw. jede Benutzergruppe (z.B. Echtheitsbestätigung) Im Folgenden werden die verschiedenen Funktionen und Konzepte erläutert und Hinweise für die Konfiguration gegeben. Rufnummernüberprüfung mit CLI Um das Netz vor unerlaubtem Zugriff zu schützen, bietet der ISDN Access Server die Möglichkeit, bei einkommenden Rufen anhand der übermittelten CLI-Nummer (D-Kanal-Rufnummer) zu prüfen, ob die Gegenseite zur Einwahl berechtigt ist. Dazu aktivieren Sie die Funktion „Rufnummernüberprüfung“ unter „Sicherheit“ in der Konfiguration. Für jeden Benutzer müssen Sie nun die Nummer, die über den D-Kanal übermittelt wird, eintragen. Wenn Sie in den Einstellungen der Benutzer bereits D-Kanal-Rufnummern eingetragen haben, werden diese Nummern ebenfalls hier aufgeführt. Wenn der Benutzer von verschiedenen Standorten aus anruft und damit mehrere D-Kanal-Rufnummern verwendet, müssen Sie natürlich alle möglichen D-Kanal-Rufnummern der Gegenstelle eingeben. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 43 accserv.book Seite 44 Dienstag, 13. Juni 2000 11:52 11 Echtheitsbestätigung mit PAP oder CHAP Bei einem eingehenden Ruf wird nun geprüft, ob die im D-Kanal übermittelte Rufnummer in der Rufnummerndatenbank gespeichert ist. Ist dies der Fall, wird der einkommende Ruf erst einmal angenommen. Anschließend können weitere Sicherheitsmechanismen greifen. Echtheitsbestätigung mit PAP oder CHAP Für jeden intern verwalteten Benutzer, jede Benutzergruppe und jeden Windows-Benutzer kann in den Einstellungen festgelegt werden, dass sich die Gegenstelle beim ISDN Access Server identifizieren muss („Echtheitsbestätigung auf lokaler Seite“). Hierfür stehen die Verfahren PAP (nach RFC 1994) und CHAP (nach RFC 1334) zur Verfügung. Beide Verfahren erfordern die Konfiguration eines Namens und eines Passworts. Genaue Informationen zu PAP und CHAP finden Sie in der Online-Hilfe und im Glossar. Bei intern verwalteten Benutzern wird die Echtheitsbestätigung durch den ISDN Access Server durchgeführt. Bei extern verwalteten Benutzern erfolgt dies mit Hilfe des Benutzer-Managers von Windows oder eines RADIUS-Servers. Falls der entfernte Benutzer eine Echtheitsbestätigung des Netzwerkes verlangt (dies ist z.B. mit NetWAYS/ISDN möglich), können Sie dafür den Namen und das Passwort eingeben, die Ihnen die Gegenseite mitgeteilt hat („Echtheitsbestätigung bei der Gegenstelle“). Die Echtheitsbestätigung dient auch der Identifizierung des Benutzers, wenn die Überprüfung der D-Kanal-Rufnummer (CLI) nicht aktiviert ist. Sicherheitsrückruf Um die Zugriffssicherheit auf das LAN weiter zu erhöhen, kann für jeden Benutzer ein Sicherheitsrückruf nach LCP Extensions (RFC 1570) oder RFC-Draft „PPP Callback Control Protocol“ erzwungen werden. Dies wird in den Einstellungen des Benutzers oder der Benutzergruppe festgelegt. Der Rückruf erfolgt nach der Rufannahme und einer eventuellen PAP/CHAP-Echtheitsbestätigung. Für den Sicherheitsrückruf wird die Rufnummer verwendet, die Sie in den Benutzereinstellungen (intern verwaltete Benutzer), in den Einstellungen des jeweiligen Windows-Benutzers oder im RADIUS-Server eingetragen haben. Bei Windows-Benutzern, die nicht über „Konfiguration / Benutzerverwaltung / Windows-Benutzer“ eingetragen sind, ist kein Sicherheitsrückruf möglich. 44 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 45 Dienstag, 13. Juni 2000 11:52 11 Filter Ist die logische ISDN-Verbindung aktiv, und die physikalische Verbindung wird nach Inaktivität abgebaut, erfolgt der Sicherheitsrückruf bei jedem erneuten Verbindungsaufbau. Filter Filter dienen zum Schutz vor unerlaubtem Eindringen in das Netzwerk sowie zur Selektion der Daten und Dienste, die für den Zugriff von außen bereitgestellt werden sollen. Durch diese Selektion tragen sie auch zur Reduzierung der Verbindungskosten auf ein Minimum bei. Über den Menüpunkt „Sicherheit“ bietet der ISDN Access Server umfangreiche Filtermöglichkeiten. Für IP können ein globaler Input-Filter, ein globaler Output-Filter sowie ein Forward-Filter für Pakete eingerichtet werden – die Möglichkeiten zum Schutz und der selektiven Bereitstellung von Daten und Diensten für Ihr IP-Netzwerk sind damit sehr weitreichend. Sie können beispielsweise festlegen, dass nur genau definierte Stationen miteinander kommunizieren können oder bestimmte Dienste, zum Beispiel „WWW“ für den Zugriff auf einen lokalen Web-Server, nur von einigen entfernten Benutzern genutzt werden können. Für IPX stehen RIP- und SAP-Filter zur Verfügung. Damit können Sie Ihr IPX-Netzwerk komplett filtern, so dass es von außen komplett oder z.B. für einen bestimmten Benutzer „unsichtbar“ ist. Außerdem ist es möglich, einzelne Dienste, z.B. lokale Druckerserver, zu filtern. Hier noch einige Hinweise zur grundsätzlichen Vorgehensweise bei der Konfiguration von Filtern: l Wichtig ist, dass Sie von vornherein beide Anforderungen – Schutz und Nutzungsmöglichkeiten – berücksichtigen. Es widerspricht sicherlich Ihrer Absicht, wenn Ihr Netzwerk durch Filter vollständig geschützt ist, dadurch jedoch auch der Zugriff externer Anwender auf eine Datenbank unmöglich geworden ist. l Sie brauchen eine klare Vorstellung davon, was vor wem geschützt werden soll und wer was nutzen können soll. Machen Sie sich am besten eine Skizze des WANs mit den Details Ihres LANs, den gewünschten Zugriffsmöglichkeiten von und nach außen und den zu schützenden Bereichen. Im Folgenden werden die unterschiedlichen Filtermöglichkeiten für IP und IPX genauer beschrieben. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 45 accserv.book Seite 46 Dienstag, 13. Juni 2000 11:52 11 Filter IP-Filter (Firewall) Für Ihr IP-Netzwerk bietet der ISDN Access Server Paketfilterung mit drei Instanzen: globaler Input-Filter, globaler Output-Filter und Forward-Filter. In jeder dieser Instanzen können Regeln festgelegt werden. Die Regeln definieren, wie der ISDN Access Server einkommende, ausgehende oder an andere Netze weiterzuleitende Pakete behandeln soll. Möglich sind die Aktionen „Verwerfen“, „Zurückweisen“ oder „Durchlassen“. Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einen sehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung im ISDN Access Server ist eine der möglichen Herangehensweisen zum Aufbau einer sogenannten Firewall, einer Schutzmauer um Ihr Unternehmen. Die folgende Abbildung veranschaulicht die drei Filterinstanzen. LAN ISDN Access Server Globaler Output-Filter ForwardFilter ISDN Globaler Input-Filter Einkommendes Paket vom ISDN in das LAN Globaler Input-Filter ForwardFilter Globaler Output-Filter Ausgehendes Paket vom LAN in das ISDN Die drei IP-Filter des ISDN Access Servers Die drei globalen IP-Filter haben folgende Aufgaben: 46 l Globaler Input-Filter: Überprüfung von Paketen, die aus einer beliebigen Richtung (vom LAN oder über ISDN) in den ISDN Access Server kommen. l Globaler Output-Filter: Überprüfung von Paketen, die den ISDN Access Server in eine beliebige Richtung verlassen (in das LAN oder über ISDN). ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 47 Dienstag, 13. Juni 2000 11:52 11 Filter l Forward-Filter: Überprüfung alle Pakete, die im ISDN Access Server von einem auf ein anderes Netz weitergeleitet werden (z.B. vom LAN auf eines der Zielnetze oder von einem Zielnetz auf ein anderes). Beispiel: Sie haben den globalen Input- und den globalen Output-Filter definiert und keinen Forward-Filter. Erreicht ein Paket, dessen Ziel im LAN liegt, über ISDN den ISDN Access Server, durchläuft es den globalen Input-Filter und sofort danach, sofern es hier durchgelassen wurde, den globalen Output-Filter. Hätten Sie einen Forward-Filter gesetzt, würde das Paket vom globalen Input-Filter zunächst an den ForwardFilter weitergeleitet und würde erst danach den globalen Output-Filter durchlaufen. Filter und Regeln: Globaler Input-Filter, Output-Filter und Forward-Filter bestehen aus folgenden Komponenten: 1. Einer geordneten Abfolge von Regeln. Eine Regel besteht immer aus einer Beschreibung des Pakettyps, für den die Regel gelten soll, und einer Aktion, die auf das Paket angewendet werden soll. Die Beschreibung des Pakettyps geschieht anhand von 3 Kriterien: – Dienst - hier können alle IP-Dienste, nur bestimmte Dienste, z.B. ftp, telnet, oder nur bestimmte Handlungen, z.B. ftp-Zugriff aus dem Internet in das LAN, als Kriterium festgelegt werden. – Quelle des Pakets - als Quelle des Pakets kann ein bestimmtes Netzwerk oder eine konkrete Station festgelegt werden. – Ziel des Pakets - hier gilt das gleiche wie für die Quelle. Für die Aktion gibt es drei Möglichkeiten: Durchlassen: Das Paket wird an die im Header angegebene Zieladresse gesendet oder dem nächsten Filter übergeben. Verwerfen: Das Paket wird nicht weitergeleitet. Zurückweisen: Das Paket wird nicht weitergeleitet. An die Quelladresse wird die Fehlermeldung „Destination not reachable“ gesendet. 2. Einer Standard-Aktion, die auf alle Pakete angewendet wird, für die beim Durchlaufen aller Regeln des Profils keine anwendbare gefunden wurde. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 47 accserv.book Seite 48 Dienstag, 13. Juni 2000 11:52 11 Filter 3. Einer Anweisung für die Protokollierung der Pakete, die von dieser Regel behandelt wurden. Dies dient vor allem dazu, „Einbruchsversuche“ in das LAN festzuhalten und gegebenenfalls die Spur zum Verursacher zurückzuverfolgen. Jedes Paket durchläuft die Regeln von der ersten bis zur letzten, bis es auf die erste anwendbare Regel trifft und entsprechend der Aktion dieser Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“ oder „Zurückweisen“, ist das Filtern für dieses Paket beendet. Wurde keine passende Regel für ein Paket gefunden und heißt die Standard-Aktion „Durchlassen“, wird das Paket der nächsten zuständigen Filterinstanz übergeben. Beachten Sie also beim Erstellen eines Filters diese beiden wichtigen Aspekte: l Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmte Pakete und die Standard-Aktion für alle anderen). l Die Reihenfolge der Regeln ist extrem wichtig! Es muss unbedingt sichergestellt werden, dass eine Regel für ein Paket, die davor im Profil steht, nicht allgemeiner gehalten ist als eine Regel danach. Die Regel, die in der Hierarchie danach steht, würde sonst nie angewendet werden. So können Sicherheitslücken entstehen oder eigentlich erwünschte Zugriffsmöglichkeiten verhindert werden. Als Grundprinzip bei der Anordnung der Regeln innerhalb eines Filterprofils gilt: Minderheiten zuerst regeln. Ein einfaches Beispiel: Sie wollen, dass von außerhalb des LANs nur Benutzer A Zugriff auf den Rechner B im LAN erhält. Dazu formulieren Sie im globalen Input-Filter die beiden folgenden Regeln: l A darf auf den Rechner zugreifen. Die Regel lautet also: Pakete mit allen Diensten, die von der IP-Adresse A kommen und an die IPAdresse von Rechner B adressiert sind, durchlassen. l Keiner darf auf den Rechner zugreifen. Die Regel lautet also: Pakete mit allen Diensten, die von allen Adressen kommen und an die IP-Adresse von Rechner B adressiert sind, verwerfen. IPX RIP/SAP-Filter Für das Protokoll IPX kann über RIP/SAP-Filterregeln der Zugriff auf bestimmte Routen und Netzwerkdienste reguliert werden. Die RIP/SAPFilter gelten global für den gesamten ISDN Access Server. 48 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 49 Dienstag, 13. Juni 2000 11:52 11 Kosten verringern und begrenzen Das Protokoll RIP (Routing Information Protocol) ermöglicht den Austausch von Routing-Informationen. Mit dem Filtern dieser Pakete kann der Zugriff auf bestimmte Routen und damit das LAN eingeschränkt werden. Wird ein Teil der RIP-Pakete bereits auf dem Weg aus dem LAN zum ISDN Access Server herausgefiltert (RIP-Input-Filter), können die Informationen in der RIP-Tabelle des ISDN Access Servers auf das Wesentliche beschränkt werden. SAP (Service Advertising Protocol) wird von Servern zur Bekanntgabe ihrer Dienste und Adressen in einem Netzwerk verwendet. Mit dem Filtern von SAP-Paketen können Sie den Zugriff auf bestimmte Dienste, z.B. Drucker oder Fileserver, einschränken. Wird ein Teil der SAP-Pakete bereits auf dem Weg aus dem LAN zum ISDN Access Server herausgefiltert (SAP-Input-Filter), können die Informationen in der SAP-Tabelle des ISDN Access Servers auf das Wesentliche beschränkt werden. Jedes ein- und ausgehende IPX-Paket wird anhand der RIP/SAP-Filter geprüft. Bei der Prüfung werden für jedes Paket die RIP/SAP-Filter nach einer passenden Regel durchsucht. Es gibt die folgenden Filter: l RIP-Input-Filter - Filter für eingehende RIP-Pakete (vom LAN oder einem Benutzer zum ISDN Access Server). l RIP-Output-Filter - Filter für ausgehende RIP-Pakete (vom ISDN Access Server zum LAN oder zu einem Benutzer). l SAP-Input-Filter - Filter für eingehende SAP-Pakete (vom LAN oder einem Benutzer zum ISDN Access Server). l SAP-Output-Filter - Filter für ausgehende SAP-Pakete (vom ISDN Access Server zum LAN oder zu einem Benutzer). 3.5 Kosten verringern und begrenzen Der entscheidende Kostenfaktor für den professionellen Fernzugriff sind in der Regel die ISDN-Verbindungsgebühren. Wenn sich die entfernten Benutzer über Mobile ISDN (GSM) einwählen, sind diese Kosten sogar in weit höherem Maße relevant. Aus diesem Grunde bietet der ISDN Access Server for Windows 2000 eine Reihe von Funktionen, mit denen Sie die ISDN-Verbindungskosten im Vergleich zu konventionellen Fernzugriffslösungen beträchtlich verringern können. Sie können außerdem Budgets einrichten, um vor unvorhergesehenen Kosten sicher zu sein. Und nicht zuletzt unterstützt der ISDN Access Server Me- ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 49 accserv.book Seite 50 Dienstag, 13. Juni 2000 11:52 11 Logische ISDN-Verbindungen chanismen zur Verlagerung der Verbindungsgebühren auf eine bestimmte Seite (zentrales LAN oder entfernter Benutzer). Die Funktionen zur Kostenbegrenzung werden im Folgenden ausführlich beschrieben. Logische ISDN-Verbindungen Der ISDN Access Server unterscheidet zwischen logischen und physikalischen ISDN-Verbindungen. Bei einer physikalisch aktiven ISDN-Verbindung ist ein B-Kanal aufgebaut, und es fallen Gebühren an. Die logische ISDN-Verbindung entsteht beim ersten Verbindungsaufbau und dauert bis zum Abmelden des Benutzers beim Server nach der letzten Aktivität. Die logische ISDN-Verbindung beinhaltet einige der ausgehandelten Verbindungsparameter wie z.B. Spoofing. Zwischen Verbindungsaufbau und Abmelden des Benutzers muss nicht die ganze Zeit eine physikalische ISDN-Verbindung bestehen. Im Vergleich zu analogen Netzen bietet ISDN einen extrem schnellen Verbindungsaufbau, so dass ungenutzte physikalische ISDN-Verbindungen aus Kostengründen kurzzeitig abgebaut werden können. Bei einem typischen Fernzugriff eines Benutzers über ISDN werden nur sporadisch Nutzdaten aus dem LAN benötigt, und auch beim Austausch von Netzwerkpaketen gibt es Pausen. Nach dem Abbau der physikalischen Verbindung kann die logische ISDN-Verbindung erhalten bleiben. Damit während der logischen ISDN-Verbindung auch physikalisch abgebaut werden kann, wird auf Benutzerseite eine Fernzugriffssoftware wie NetWAYS/ISDN von AVM benötigt, die das Konzept der logischen Verbindung unterstützt und bei Bedarf die physikalische ISDN-Verbindung wieder aufbaut. Im ISDN Access Server können Sie für jeden Benutzer einstellen, wann physikalisch abgebaut werden soll und wie lange die logische ISDNVerbindung erhalten bleiben soll. Dies wird über die Parameter „Physikalischer Abbau“ (Inactivity Timeout) und „Logischer Abbau“ in den Benutzereinstellungen realisiert. Spezielle Filter und Spoofing Mit Hilfe von Filtern und Spoofing (englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln) wird die ISDN-Übertragung von Netzwerkpaketen verhindert, die keine Nutzdaten enthalten, sondern lediglich für Netzwerkprotokolle und -betriebssysteme notwendig sind. Im 50 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 51 Dienstag, 13. Juni 2000 11:52 11 Spezielle Filter und Spoofing lokalen Netzwerk stellen diese Pakete natürlich kein Problem dar, ihre Übertragung über ISDN würde jedoch hohe Verbindungskosten verursachen. Spezielle Filter Erfahrungsgemäß tauschen einige Anwendungen ständig Pakete aus, die zu häufigen und unnötigen Verbindungsaufbauten führen können. Aus diesem Grunde enthält der ISDN Access Server einige spezielle Paketfilter, die standardmäßig aktiviert sind. So werden beispielsweise SNMP-Traps vom SNMP-Filter für IP bzw. IPX herausgefiltert, um häufige Verbindungsaufbauten über ISDN zu vermeiden. Spoofingmechanismen In Microsoft-Netzwerken tritt nach der Anmeldung eines Clients bei einem Windows 2000/NT-Server ein regelmäßiger NetBIOS-Datenverkehr auf, der nicht einfach vom ISDN Access Server herausgefiltert werden darf, da ansonsten die Client-Server-Verbindung unterbrochen wird. Der ISDN Access Server beantwortet solche Pakete lokal und täuscht so die Antworten des Clients vor. Der ISDN Access Server unterstützt das Spoofing von NetBIOS-Session-Keep-Alive-Paketen und von SMB-Echo-Paketen (SMB in NetBIOS). Auch einige Pakettypen, die in Novell NetWare-Umgebungen zwischen dem NetWare-Clienten und dem NetWare-Server bzw. dem Server/Host-Teil einer Anwendung ausgetauscht werden, verlangen eine Bestätigung der Gegenseite. Würden diese Pakete einfach herausgefiltert, würde die Kommunikationsbeziehung zwischen Client- und HostTeil eines Dienstes bzw. einer Anwendung nicht mehr funktionieren. Beispiel: Würden Watchdog-Pakete, die ein NetWare-Server zur Bestätigung an einen Client geschickt hat, gefiltert und nicht lokal vom ISDN Access Server beantwortet, würde der NetWare-Server daraus schließen, dass der Client nicht mehr angeschlossen ist. So würde der Client in der Server-Datenbank als nicht mehr existent vermerkt, obwohl er noch angeschlossen ist. Beim Spoofing in Novell NetWare-Umgebungen beantwortet der ISDN Access Server die Pakete lokal, die der Host-Teil eines Dienstes bzw. einer Anwendung schickt. So beantwortet er z.B. die IPX-Watchdog-Pakete des NetWare-Servers bzw. die SPX-Watchdog-Pakete des Host-Teils einer Anwendung. Beim NetWare-Client dagegen kann eingestellt werden, wie häufig diese IPX- und SPX-Watchdog-Pakete gesendet werden. ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 51 accserv.book Seite 52 Dienstag, 13. Juni 2000 11:52 11 Datenverschlüsselung Sobald eine ISDN-Verbindung aufgebaut ist, für die beide Seiten Spoofing ausgehandelt haben, wird für die gesamte Dauer der logischen ISDN-Verbindung Spoofing durchgeführt. Spoofing muss auf beiden Seiten (ISDN Access Server und Fernzugriffssoftware des Benutzers) unterstützt und aktiviert sein. Als Software für entfernte Benutzer kann hier NetWAYS/ISDN empfohlen werden. Datenverschlüsselung Der ISDN Access Server ermöglicht die Datenverschlüsselung, um Datenpakete während der Übertragung vor unberechtigtem Zugriff zu schützen. Die Verschlüsselung der Daten erfolgt auf der Ebene des Transportprotokolls (PPP). Die Verschlüsselung auf dieser Ebene basiert auf dem RFC-Standard und ist somit im Rahmen von PPP-over-ISDN interoperabel. Auch die Datenkompression findet auf dieser Ebene statt, so dass die Daten zuerst komprimiert und dann verschlüsselt werden können. Die umgekehrte Reihenfolge ist nicht möglich, verschlüsselte Daten können nicht komprimiert werden. Die Daten werden mit dem Twofish-Algorithmus verschlüsselt. Der Twofish-Algorithmus verschlüsselt symmetrisch nach dem Secret Key-Verfahren. Symmetrisch bedeutet, dass zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird. Nur der Sender und der Empfänger kennen den secret key. Der Schlüssel wird beim Verbindungsaufbau mit einer Länge von 128-256 Bit (Random) generiert und ist damit dem Sender bekannt. Damit auch der Empfänger den Schlüssel kennt, muss er zum Empfänger übertragen werden. Auf dem Weg vom Sender zum Empfänger muss der Schlüssel geheim bleiben, weshalb der Schlüssel selbst chiffriert wird. Die Chiffrierung des Schlüssels findet durch eine separate Anwendung, die nicht Bestandteil des ISDN Access Server ist, statt und kann somit individuell angepasst werden. Über die Crypt Provider API kann der ISDN Access Server auf externe Routinen, die den Schlüssel chiffrieren, zugreifen. Eine Beispielanwendung zur Veranschaulichung ist auf der CD vorhanden. 52 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 53 Dienstag, 13. Juni 2000 11:52 11 Globale Schwellenwerte und benutzerbezogene Budgets WINDOWS 2000 / WINDOWS NT CRYPTPROVIDER API ISDN ACCESS SERVER Architektur von ISDN Access Server und Cryptprovider Globale Schwellenwerte und benutzerbezogene Budgets Im ISDN Access Server können auf zwei Ebenen Höchstgrenzen für Verbindungsgebühren bzw. ausgehende Rufe angegeben werden: global mit Hilfe der Schwellenwerte und benutzerbezogen mit Hilfe des Budgets. Beide Einstellungen sollen unerwartet hohe ISDN-Gebühren verhindern. Globale Schwellenwerte Die Schwellenwerte dienen zur Festlegung von globalen Obergrenzen für ISDN-Gebühren (Budget), physikalische Verbindungsdauer und Anzahl ausgehender Rufe einschließlich fehlgeschlagene Versuche und Signalisierung im D-Kanal. Die hier festgelegten Obergrenzen gelten für alle ausgehenden Wählverbindungen des ISDN Access Servers. Werden an Ihrem ISDN-Anschluss bzw. Ihrer Nebenstellenanlage Tarifinformationen während der Verbindung übertragen (gemäß europäischem Standard AOCD = Advice On Charge During Call), berechnet der ISDN Access Server die angefallenen Gebühren anhand dieser Informationen und vergleicht das Ergebnis mit dem Wert für den globalen Schwellenwert „Budget“. Werden an Ihrem ISDN-Anschluss bzw. der Nebenstellenanlage keine Tarifinformationen übertragen, sollten Sie in den Benutzereinstellungen ein Gebührenprofil für die Gebührenabschätzung auswählen (ISDN-Einstellungen des Benutzers). In diesem Fall findet eine Gebührenabschätzung statt, um die angefallenen Gebühren zu berechnen. Das Ergebnis dieser Abschätzung wird dann ebenfalls mit dem globalen Schwellenwert „Budget“ verglichen. Tragen Sie einen Wert für das Budget ein, wenn die Ermittlung der angefallenen Gebühren auf Grund- ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 53 accserv.book Seite 54 Dienstag, 13. Juni 2000 11:52 11 Globale Schwellenwerte und benutzerbezogene Budgets lage der übertragenen Tarifinformationen oder der Gebührenabschätzung erfolgt. Die anderen beiden Schwellenwerte dienen zur Absicherung, falls dem ISDN Access Server diese Berechnungsgrundlagen nicht zur Verfügung stehen. Über den Menüpunkt „Spezielles / Gebührenprofile“ können neue Gebührenprofile erstellt und hinzugefügt werden. Wird einer der globalen Schwellenwerte überschritten, baut der ISDN Access Server bestehende ausgehende physikalische Verbindungen ab und blockiert alle weiteren ausgehenden Verbindungen. Um trotz überschrittener Schwellenwerte wieder ausgehende Verbindungen zu ermöglichen, setzen Sie die Werte hoch. Die Voreinstellungen für die globalen Schwellenwerte pro Tag sind: l Maximales Budget: 100,- DM l Maximale Verbindungsdauer (B-Kanäle): 2 Std 30 Min l Maximale ausgehende Rufe (B- und D-Kanal): 900 Benutzerbezogene Budgets Für jeden intern verwalteten Benutzer bzw. jede Benutzergruppe können Sie ein Budget festlegen, d.h. die maximalen Kosten pro Tag, Woche oder Monat. Damit setzen Sie Obergrenzen für Verbindungen zu diesem Benutzer. Sie müssen nicht alle drei Werte angeben, sondern können z.B. nur ein Limit pro Tag eintragen. Wenn Sie in den Einstellungen einer Benutzergruppe ein Budget festlegen, gilt dieser Wert für jeden einzelnen Benutzer, es werden nicht die Gebühren aller Benutzer zusammengerechnet. Die Gebühren werden auf Grundlage der Gebührenimpulse berechnet, die vom ISDN (bzw. der Nebenstellenanlage) übermittelt werden. Am ISDN-Anschluss muss dazu der Dienst „Übermittlung der Telefonkosten während der Verbindung“ (AOCD = Advice On Charge During Call) freigeschaltet sein. Haben Sie ein Gebührenprofil für die Gebührenabschätzung ausgewählt, schätzt der ISDN Access Server parallel zum Gebührenimpuls die Gebühren ab. Werden an Ihrem ISDN-Anschluss keine Gebühreninformationen übermittelt, sollten Sie in jedem Fall ein Gebührenprofil für die Gebührenabschätzung auswählen. Bitte beachten Sie, dass dies nur eine Abschätzung ist und die Tarife jederzeit von der Deutschen Telekom AG geändert werden können. Über den Menüpunkt „Spezielles / Gebührenprofile“ können neue Gebührenprofile erstellt und hinzugefügt werden. 54 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 55 Dienstag, 13. Juni 2000 11:52 11 Kostenübernahme (COSO, Charge One Site Only) Überschreiten die vom ISDN Access Server berechneten Gebühren einen der eingetragenen Grenzwerte, wird die physikalische ISDN-Verbindung sofort abgebaut und weitere Rufe einschl. Signalisierung im DKanal zu diesem Benutzer blockiert. Die logische ISDN-Verbindung bleibt davon zunächst unberührt. Müssen Pakete zu diesem Ziel übertragen werden, wird so oft versucht, die physikalische Verbindung wieder aufzubauen, wie Sie unter „Wahlwiederholung“ festgelegt haben. Wollen Sie trotz überschrittenem Budget wieder eine Verbindung zu diesem Ziel aufbauen, setzen Sie die Budgetwerte hoch. Kostenübernahme (COSO, Charge One Site Only) Die ISDN-Funktion „Signalisierung im D-Kanal“ ist bei den meisten ISDN-Anbietern kostenlos und wird vom ISDN Access Server zur Kostenübernahme (COSO = Charge One Site Only) verwendet. Mit Hilfe dieser Funktion können Sie für jeden Benutzer oder Benutzergruppe festlegen, welche Seite für die Verbindungskosten aufkommt. Dies kann die lokale Seite sein, die Gegenseite oder die Seite, die die physikalische Verbindung zuerst aufbaut. In Deutschland ist die Signalisierung im D-Kanal kostenlos. In anderen Ländern, z.B. in der Schweiz, ist dies nicht unbedingt der Fall. Bevor Sie diese Funktion nutzen, sollten Sie sich deshalb bei Ihrem Netzbetreiber erkundigen. Da COSO ein reines ISDN-Leistungsmerkmal und noch nicht Bestandteil eines PPP-Standards ist, muss auch die Gegenseite diese Funktion unterstützen. Eine mögliche Gegenstelle ist z.B. das AVM-Produkt NetWAYS/ISDN. Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass die Kostenübernahme auf „Lokale Seite“ eingestellt ist (ISDN Access Server übernimmt die Verbindungsgebühren). ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 55 accserv.book Seite 56 Dienstag, 13. Juni 2000 11:52 11 Kostenübernahme (COSO, Charge One Site Only) Benutzer Datenpaket für das entfernte Netzwerk ISDN D-Kanal Signalisierung des Verbindungswunsches D- und B-Kanal Annehmen des einkommenden Rufes nach evtl. Echtheitsbestätigung D- und B-Kanal Übertragung von Datenpaketen in beide Richtungen ISDN Access Server Identifizierung des Anrufers anhand D-Kanal-Rufnummer Ablehnen des Verbindungswunsches. Rückruf und dadurch Kostenübernahme durch ISDN Access Server Abbau der ISDNVerbindung nach Inaktivität D- und B-Kanal Annehmen des einkommenden Rufes nach evtl. Echtheitsbestätigung Datenpaket für den entfernten Benutzer, z.B. E-Mail D- und B-Kanal Übertragung von Datenpaketen in beide Richtungen Vorgänge bei Einstellung der Kostenübernahme auf „Lokale Seite“ 56 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers accserv.book Seite 57 Dienstag, 13. Juni 2000 11:52 11 Konfigurationshinweise für den entfernten Rechner 4 Konfigurationshinweise für den entfernten Rechner In diesem Kapitel erhalten Sie Konfigurationshinweise für entfernte Rechner in einem Microsoft-Netzwerk, die auf den ISDN Access Server zugreifen möchten. Neben allgemeinen Hinweisen zum Arbeiten in einem Microsoft-Netzwerk finden Sie hier auch Informationen zur Namensauflösung und zum Arbeiten und Anmelden in einem MicrosoftNetzwerk. 4.1 Hinweise für das Arbeiten in Microsoft-Netzwerken Nehmen Sie bei den entfernten Rechnern in einem Microsoft-Netzwerk und beim ISDN Access Servers folgende Einstellungen vor: NetBIOS-Filter und NetBIOS-Spoofing Microsoft-Netzwerke basieren auf NetBIOS, dem Standard für die Netzwerkkommunikation. NetBIOS kann sowohl über TCP/IP als auch über IPX transportiert werden. Standardmäßig wird TCP/IP als Transportprotokoll ausgewählt, darauf sind auch die Mechanismen des Netzzugriffes optimiert. Um Kosten zu sparen, sollte man deshalb NetBIOS over IP nutzen. Da die Kommunikation in diesen Netzwerken auf NetBIOS basiert, müssen die NetBIOS-Filter für das verwendete Transportprotokoll (in der Regel für TCP/IP) in der Benutzerkonfiguration des ISDN Access Servers und gegebenenfalls auch auf dem entfernten Rechner ausgeschaltet werden. Parallel dazu sollte bei der Benutzung von NetBIOS over IP das NetBIOS-Spoofing eingeschaltet werden. Dynamische Vergabe von IP-Adressen Für das Arbeiten in einem Microsoft-Netzwerk ist es einerseits notwendig, dass sich der entfernte Rechner (Client) in diesem Netzwerk anmeldet und andererseits, dass eine Zuordnung der Rechnernamen zu den entsprechenden Netzwerkadressen erfolgt. ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 57 accserv.book Seite 58 Dienstag, 13. Juni 2000 11:52 11 Namensauflösung Der administrative Aufwand kann durch die automatische Vergabe einer Netzwerkadresse erheblich minimiert werden. Es wird daher empfohlen, in den TCP/IP-Einstellungen der entfernten Rechner die dynamische Vergabe einer IP-Adresse über DHCP zu aktivieren. Zum Einstellen der dynamischen IP-Adresse wählen Sie „Start / Einstellungen / Systemsteuerung / Netzwerk“. Windows 98/95 Markieren Sie in Windows 98/95 auf der Registerkarte „Konfiguration“ das Protokoll „TCP/IP“ und klicken Sie auf die Schaltfläche „Eigenschaften“. Aktivieren Sie die Option „IP-Adresse automatisch beziehen“. Windows NT In Windows NT markieren Sie auf der Registerkarte „Protokolle“ das Protokoll „TCP/IP“ und klicken auf die Schaltfläche „Eigenschaften“. Aktivieren Sie die Option „IP-Adresse von einem DHCP-Server beziehen“. Windows 2000 In Windows 2000 markieren Sie auf der Registerkarte der entsprechenden Netzwerk- bzw. DFÜ-Verbindung („Start / Einstellungen / Netzwerk und DFÜ-Verbindungen“) das Protokoll „TCP/IP“ und klicken auf die Schaltfläche „Eigenschaften“. Aktivieren Sie die Option „IP-Adresse automatisch beziehen“. 4.2 Namensauflösung Das Protokoll NetBIOS verwendet für die Rechner (Hosts) des Netzwerkes Namen. Namen können jedoch nicht geroutet werden. Aus diesem Grunde müssen die Namen auf IP-Adressen umgesetzt werden. Diese „Namensauflösung“ kann auf verschiedene Weise erfolgen. Im Folgenden wird die Namensauflösung per LMHOSTS-Datei, WINS-Server und DNS-Server beschrieben. LMHOSTS-Datei Die LMHOSTS-Datei enthält eine Liste, in der eine eindeutige Zuordnung von Rechnernamen zu IP-Adressen gegeben ist. Diese Datei muss auf jeden Rechner kopiert werden, der auf Ressourcen anderer Rechner 58 ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner accserv.book Seite 59 Dienstag, 13. Juni 2000 11:52 11 WINS-Server zugreifen soll. Dazu gehören mindestens alle entfernten Rechner und der Domänen-Controller. Verwendet man die Namensauflösung per LMHOSTS-Datei, können nur feste IP-Adressen verwendet werden. Eine typische LMHOSTS-Datei sieht folgendermaßen aus: 192.168.30.4 NTREMOTE 192.168.30.5 W95REMOTE 193.96.242.20 IAS 0 #PRE DOM:Domain_IAS Pro Zeile erfolgt der Eintrag für einen Rechner, beginnend mit der IPAdresse und dem Rechnernamen. Der Domänen-Controller wird, soweit im Netz vorhanden, durch die Zeichenfolge #PRE #DOM:Name gekennzeichnet. In dem Beispiel oben trägt der Domänen-Controller der Domäne die Bezeichnung „Domain_IAS“. Die LMHOSTS-Datei muss sich in folgenden Verzeichnissen befinden: Windows 98/95: <Laufwerk>:\WINDOWS\ Windows 2000/NT: <Laufwerk>:\WINNT\SYSTEM32\DRIVERS\ETC\ In Windows 2000/NT muss zusätzlich in der TCP/IP-Konfiguration auf der Registerkarte „WINS-Adresse“ die Option „LMHOSTS-Abfrage aktivieren“ eingeschaltet sein. In Windows NT rufen Sie hierzu „Start / Einstellungen / Systemsteuerung / Protokolle / TCP/IP / Eigenschaften“ auf. In Windows 2000 müssen Sie in der entsprechenden Verbindung unter „Start / Einstellungen / Systemsteuerung / Netzwerk- und DFÜ Verbindungen“ die TCP/IP-Eigenschaften öffnen. Unter den erweiterten TCP/IP-Eigenschaften finden Sie die WINS-Registerkarte. Bei einer Namensanfrage durchsucht der Rechner die lokale LMHOSTSDatei, ob diesem Namen eine IP-Adresse zugeordnet werden kann. WINS-Server Die Nutzung eines WINS-Servers gewährleistet eine flexible Namensauflösung im Microsoft-Netzwerk. Im Unterschied zur Namensauflösung über LMHOSTS-Dateien oder einen DNS-Server können bei Nutzung eines WINS-Servers die Rechner mit dynamischen Adressen arbeiten. Die Anmeldung bei einem WINS-Server erfolgt während des Anmeldevorgangs am Microsoft-Netzwerk mit der aktuellen IP-Adresse. Dazu ist es lediglich erforderlich, auf dem ISDN Access Server die IP-Adresse des WINS-Servers in den Netzwerkeinstellungen einzutragen. In der ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 59 accserv.book Seite 60 Dienstag, 13. Juni 2000 11:52 11 DNS-Server Netzwerkeinstellung des entfernten Rechners ist es nicht notwendig, in der TCP/IP-Konfiguration auf der Registerkarte „WINS-Adresse“ einen WINS-Server einzutragen. Die Adresse des WINS-Servers wird während der PPP-Aushandlung vom ISDN Access Server an die entfernten Rechner übermittelt. In Windows 98/95 muss zusätzlich die Option „DHCP für WINS-Auflösung verwenden“ auf der Registerkarte „WINS-Konfiguration“ aktiviert werden. Eine Namensanfrage wird durch den Rechner an den WINS-Server geschickt, der diesem Namen eine IP-Adresse zugeordnet und die zugehörige IP-Adresse zurückschickt. DNS-Server Wenn eine Namensauflösung über LMHOSTS-Dateien oder WINS-Server nicht möglich ist, kann auch ein DNS-Server (DNS = Domain Name System) verwendet werden, um eine Namensauflösung innerhalb eines Microsoft-Netzwerkes zu realisieren. Da DNS-Server schwierig zu konfigurieren sind und nicht mit dynamischer IP-Adresszuweisung gearbeitet werden kann, wird von der Nutzung eines DNS-Servers zur Namensauflösung innerhalb eines Microsoft-Netzwerkes abgeraten. Die DNS-Server werden ebenfalls im Rahmen der PPP-Aushandlung vom ISDN Access Server an die entfernten Rechner übermittelt, müssen dort also nicht statisch, sondern lediglich in den Netzwerkeinstellungen des ISDN Access Servers konfiguriert werden. Windows 98/95 Aktivieren Sie in Windows 98/95 den DNS-Server auf der Registerkarte „DNS“ („Start / Einstellungen / Systemsteuerung / Netzwerk / TCP/IP / Eigenschaften“). Windows NT Aktivieren Sie in Windows NT auf der Registerkarte „WINS-Adresse“ („Start / Einstellungen / Systemsteuerung / Netzwerk / Protokolle / TCP/IP / Eigenschaften“) die Option „DNS für Windows-Auflösung aktivieren“. Eine Namensanfrage wird durch den Rechner an den DNS-Server geschickt, der diesem Namen eine IP-Adresse zugeordnet und die zugehörige IP-Adresse zurückschickt. Für eine Anmeldung an eine Windows-Domäne müssen auf der Registerkarte „DNS“ außerdem der Name der Domäne und das Domänensuffix in der „Suchreihenfolge für Domänensuffix“ eingetragen werden. 60 ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner accserv.book Seite 61 Dienstag, 13. Juni 2000 11:52 11 Anbindung an ein Microsoft-Netzwerk 4.3 Anbindung an ein Microsoft-Netzwerk Es gibt zwei Möglichkeiten der Anbindung von Rechnern an ein Microsoft-Netzwerk: Arbeiten in einer Arbeitsgruppe und Arbeiten in einer Domäne. Arbeiten in einer Arbeitsgruppe Das Netzwerkkonzept „Arbeitsgruppe“ ist die einfachste Methode, um Ressourcen innerhalb eines Microsoft-Netzwerkes nutzen zu können. Im Gegensatz zur Windows-Domäne verfügen Arbeitsgruppen nicht über eine zentrale Sicherheitskontrolle. Somit werden die Sicherheitsmerkmale von Windows 2000/NT nicht voll ausgeschöpft. Voraussetzung für die Anmeldung bei einer Arbeitsgruppe ist die eindeutige Zuordnung der Rechnernamen zu den IP-Adressen. Entfernter Benutzer Anmeldung erfolgt per Echtheitsbestätigung innerhalb der Arbeitsgruppe ISDN Server mit ISDN Access Server Arbeitsgruppe Anmeldung erfolgt per Echtheitsbestätigung innerhalb der Arbeitsgruppe Server für die Namensauflösung DNS-Server oder WINS-Server Anbindung an ein NT-Netzwerk über eine Arbeitsgruppe Windows 98/95 Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Systemsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den Computernamen und den Namen der Arbeitsgruppe ein. Zusätzlich muss in den Eigenschaften des „Clients für Microsoft-Netzwerke“ („Start / Einstellungen / Systemsteuerung / Netzwerk / Konfiguration“) auf der Registerkarte „Allgemein“ die Option „An Windows Domäne anmelden“ deaktiviert sein. ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 61 accserv.book Seite 62 Dienstag, 13. Juni 2000 11:52 11 Arbeiten in einer Windows NT-Domäne Windows NT Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Systemsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den Namen der Arbeitsgruppe ein. Windows 2000 Öffnen Sie unter den allgemeinen Systemeinstellungen („Start / Einstellungen / Systemsteuerung / System“) auf der Registerkarte „Netzwerkidentifikation“ die Eigenschaften und geben hier den Namen der Arbeitsgruppe ein. Arbeiten in einer Windows NT-Domäne Um alle Sicherheitsaspekte eines Microsoft-Netzwerkes optimal nutzen zu können, sollten sich die Benutzer an einer Windows-Domäne anmelden. Damit können die Rechte für einen Zugriff auf Ressourcen im LAN sehr einfach und flexibel von dem Administrator der Domäne verwaltet und vergeben werden. Entfernter Benutzer Anmeldung erfolgt per Echtheitsbestätigung am Domänen-Controller ISDN Server mit ISDN Access Server Lokale Benutzer im Netzwerk Anmeldung erfolgt per Echtheitsbestätigung am Domänen-Controller Server für die Namensauflösung DNS-Server oder WINS-Server DomänenController Anbindung an ein NT-Netzwerk über einen Domänen-Controller Für das Anmelden bei einer Domäne muss zuerst eine eindeutige Zuordnung der Rechnernamen zu den IP-Adressen erfolgen. Dazu sollte eine der drei oben beschriebenen Methoden benutzt werden. Für kleinere Netze, die sich wenig verändern, ist die LMHOSTS-Datei gut geeignet. Bei größeren Netzen sollte ein WINS-Server verwendet werden. 62 ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner accserv.book Seite 63 Dienstag, 13. Juni 2000 11:52 11 Arbeiten in einer Windows NT-Domäne Windows 98/95 Auf der Registerkarte „Identifikation“ („Start / Einstellungen / Systemsteuerung / Netzwerk“) muss unter „Arbeitsgruppe“ der Name der Windows NT-Domäne angegeben werden. Außerdem muss in den Eigenschaften des „Clients für Microsoft-Netzwerke“ unter Anmeldebestätigung „An Windows NT-Domäne anmelden“ ausgewählt und ebenfalls der Name der Windows NT-Domäne eingetragen werden. Windows NT Der Rechner muss initial einmal bei der Domäne angemeldet werden. Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver Verbindung wird in den Netzwerkeinstellungen auf der Registerkarte „Identifikation“ („Start / Einstellungen / Systemsteuerung / Netzwerk“) eingetragen, zu welcher Domäne der Rechner gehören soll. Um ein Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Administratorrechte verfügen. Windows 2000 Der Rechner muss initial einmal bei der Domäne angemeldet werden. Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver Verbindung wird in den Eigenschaften auf der Registerkarte „Netzwerkidentifikation“ („Start / Einstellungen / Systemsteuerung / System“) eingetragen, zu welcher Domäne der Rechner gehören soll. Um ein Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Administratorrechte verfügen. ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 63 accserv.book Seite 64 Dienstag, 13. Juni 2000 11:52 11 64 ISDN Access Server accserv.book Seite 65 Dienstag, 13. Juni 2000 11:52 11 Verbindungssteuerung, Management- und Monitorfunktionen 5 Verbindungssteuerung, Management- und Monitorfunktionen Für den Verwalter eines WANs ist es besonders wichtig, während des laufenden Betriebs die Funktion des ISDN Access Servers überprüfen zu können. Dazu steht Ihnen eine Vielzahl von Möglichkeiten zur Verfügung. Dank der HTTP-Steuerung können Sie von jedem Rechner des Netzwerkes auf diese Funktionen zugreifen. 5.1 Verbindungssteuerung – ISDN-Verbindungen auf- und abbauen Die Funktion „Verbindungssteuerung“ bietet einen Überblick über die aktuellen Verbindungen des ISDN Access Servers und deren Status. Außerdem können, je nach Verbindungsstatus, verschiedene Aktionen durchgeführt werden. In der Übersicht werden alle Verbindungen zu Benutzern aufgeführt, deren Einstellungen den Status „Aktivierbar“ haben. Neben dem Namen des Benutzers, der Rufnummer, dem aktuellen Status der Verbindung und den möglichen Aktionen, die für die Verbindung ausgeführt werden können, werden Konfigurations- und Statistikinformationen für diese Verbindung angezeigt. Status Für die Statusangaben werden folgende Symbole (mit dazugehörigem Netzwerkprotokoll IP oder IPX) verwendet: Symbol Status Ein automatischer Aufbau der ISDN-Verbindung durch den ISDN Access Server ist nicht möglich. Sie können die ISDN-Verbindung zu diesem Benutzer manuell aufbauen. Müssen Daten zur Gegenstelle übertragen werden, wird die ISDN-Verbindung automatisch aufgebaut. Es besteht eine logische ISDN-Verbindung zu diesem Benutzer. Die physikalische Verbindung wurde durch den ISDN Access Server oder den Benutzer nach Inaktivität abgebaut. ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen 65 accserv.book Seite 66 Dienstag, 13. Juni 2000 11:52 11 Management- und Monitorfunktionen Symbol Status Es besteht eine physikalische ISDN-Verbindung zu diesem Benutzer, d.h. der ISDN-B-Kanal ist aufgebaut. Es fallen Verbindungsgebühren an. Die Richtung des Pfeils verdeutlicht die Rufrichtung (die abgebildeten Symbole stehen für ausgehende Verbindungen). Ausgehende Rufe (einschl. Signalisierung im D-Kanal) sind nicht mehr möglich. Grund: einer der globalen Schwellenwerte wurde überschritten oder das benutzerbezogene Budget wurde erreicht. Unter „Details“ werden Konfigurations- und Statistikinformationen für diese Verbindung angezeigt, wie z.B. zugewiesene IP-Adresse, aktive B-Kanäle und Kosten. Je nach Status der Verbindung können Sie verschiedene Aktionen durchführen: Verbindung auf-/abbauen oder Ping senden etc. Im Ereignismitschnitt können Sie ISDN-Vorgänge, z.B. den manuellen Auf- oder Abbau von Verbindungen, direkt verfolgen. 5.2 Management- und Monitorfunktionen Im Menü „Monitor“ erhalten Sie detaillierte Informationen über Serverstatus, aktuelle Routing-Tabellen und Dienste, physikalisch aktive Verbindungen, den Status der Benutzer, Kosten- und Nutzungsdaten für intern und extern verwaltete Benutzer sowie Ereignisse. Außerdem bietet der ISDN Access Server eine Paketmitschnittfunktion. Unabhängig vom Management über HTTP stellt der ISDN Access Server zusätzlich Informationen über SNMP bereit. Wenn Sie den SNMP-Zugriff aktivieren, können dazu berechtigte Rechner mit einem NetzwerkManagement-System auf den ISDN Access Server zugreifen. Dabei können alle Informationen abgerufen werden, die im Beschreibungsstandard MIB II definiert sind. Aus Sicherheitsgründen ist der SNMP-Zugriff auf den ISDN Access Server standardmäßig deaktiviert (Menü „Konfiguration / Sicherheit“). Serverstatus Diese Funktion ermöglicht einen schnellen Überblick über den Zustand des ISDN Access Servers in Bezug auf die verwendeten ISDN-Controller, die Verbindungsgebühren und die Funktionen zur Kostenbegrenzung. 66 ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen accserv.book Seite 67 Dienstag, 13. Juni 2000 11:52 11 Routen und Dienste Außerdem wird hier angezeigt, wenn Sie Konfigurationsänderungen vorgenommen haben, diese aber noch nicht durch einen Neustart des ISDN Access Servers aktiviert haben. Die folgenden Informationen werden angezeigt: l Informationen zum Dienst sowie Daten über Kosten und Verbindungen, die seit Start des Dienstes aufgebaut wurden. l Benutzte ISDN-Controller und deren Betriebsstatus. l Konfigurierte globale Schwellenwerte im Vergleich mit den aktuellen Werten. Mit Hilfe dieser Übersicht können Sie auf einen Blick feststellen, ob sich die tatsächlichen Verbindungskosten den von Ihnen festgelegten Schwellenwerten nähern. Die hier angezeigten Werte gelten nur für Verbindungen, die der ISDN Access Server aufbaut (ausgehende Verbindungen). Routen und Dienste Das Menü „Routen/Dienste“ bietet Ihnen einen Überblick über alle IPund IPX-Routen, die gerade aktiv sind. Wieviele Routen Sie in diesen Fenstern sehen, hängt davon ab, ob gerade Verbindungen zu Benutzern aufgebaut sind und wie viele statische Routen im ISDN Access Server eingetragen sind oder per RIP aus dem LAN bekanntgemacht werden. Außerdem erhalten Sie Informationen zu den aktiven IPX SAP-Informationen. Es werden alle SAP-Dienste aufgeführt, die aufgrund statischer oder per RIP bekanntgemachter IPX-Routen beim ISDN Access Server bekannt sind. Sie können diese Funktion z.B. verwenden, um die verfügbaren Dienste im Netzwerk oder die Wirksamkeit des SAP-Input-Filters zu überprüfen. Physikalisch aktive Verbindungen Unter dem Menüpunkt „Physikalisch aktive Verbindungen“ werden alle zum aktuellen Zeitpunkt physikalisch aktiven ISDN-Verbindungen aufgeführt. Es werden die folgenden Informationen angezeigt: l Name des Benutzers. l ISDN-Nummer des Benutzers. l Momentaner Datendurchsatz in KBit/s. ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen 67 accserv.book Seite 68 Dienstag, 13. Juni 2000 11:52 11 Entfernte Benutzer l Richtung des Rufes (einkommend, ausgehend) und damit Angabe des Kostenträgers (Benutzer oder LAN). l CAPI-Nummer des Controllers, über den die Verbindung läuft. l Kosten der Verbindung für den ISDN Access Server und Methode der Ermittlung: „AOCD“, wenn an Ihrem ISDN-Anschluss bzw. Nebenstellenanlage Tarifinformationen während der Verbindung übertragen werden. „Nach Gebührenprofil“, wenn Sie in den Benutzereinstellungen ein Gebührenprofil für den physikalischen Abbau oder die Gebührenabschätzung („ISDN-Einstellungen“) ausgewählt haben. Der ISDN Access Server schätzt dann die Gebühren auf Grundlage des Gebührenprofils. l Geschätzte Kosten der Gegenstelle (des Benutzers) auf Grundlage des Gebührenprofils, das Sie in den „ISDN-Einstellungen“ des Benutzers auswählen. l Dauer der physikalischen Verbindung. In dem Fenster darunter wird ein Auszug aus dem Ereignisprotokoll des ISDN Access Server angezeigt, so dass Sie gerade ablaufende Ereignisse verfolgen können. Entfernte Benutzer Mit Hilfe dieser Abfrage können Sie sich einen schnellen Überblick über alle Benutzer verschaffen. Angezeigt werden alle intern verwalteten Benutzer und die externen Benutzer, zu denen gegenwärtig eine logische ISDN-Verbindung besteht. Folgende Angaben sind verfügbar: 68 l Wenn mindestens ein B-Kanal aufgebaut ist, leuchtet die LED für den ISDN-B-Kanal grün. Besteht keine physikalische Verbindung, ist die LED des B-Kanals schattiert. l Benutzername. l ISDN-Nummer des Benutzers. l Dauer der physikalischen Verbindung zu diesem Benutzer. l Momentaner Datendurchsatz in KBit/s auf der ISDN-Leitung. l Gebühren, die für die angezeigte Verbindungsdauer anfallen. Die Kosten des ISDN Access Servers und die geschätzten Kosten des Benutzers werden dafür zusammengerechnet. Die Kosten des ISDN Access Servers werden auf Grundlage des Gebührenimpul- ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen accserv.book Seite 69 Dienstag, 13. Juni 2000 11:52 11 Kosten-/Nutzungsdaten für intern verwaltete Benutzer ses (AOCD) ermittelt oder mit Hilfe eines Gebührenprofils abgeschätzt. Die geschätzten Kosten des Benutzers werden ausschließlich auf Grundlage eines Gebührenprofils ermittelt. Sie sollten deshalb in den ISDN-Einstellungen des Benutzers in jedem Falle das richtige Gebührenprofil für die Gebührenabschätzung auswählen. Kosten-/Nutzungsdaten für intern verwaltete Benutzer Unter dem Menüpunkt „Kosten-/Nutzungsdaten für Verbindungen“ werden die Daten der intern verwalteten Benutzer angezeigt. Folgende Möglichkeiten stehen Ihnen zur Verfügung: l Detaillierte Verbindungsinformationen als Tagesübersicht: Die Tagesübersicht der Kosten-/Nutzungsdaten für Verbindungen enthält genaue Informationen zu allen Verbindungen, die an diesem Tag zum und vom ISDN Access Server aufgebaut wurden. Sie erhalten Angaben zu Benutzer, Rufnummer, Kosten (einschließlich Ermittlungsmethode AOCD oder Gebührenprofil), Transfervolumen, Dauer der Verbindung sowie Anzahl der ausgehenden und einkommenden Rufe. Aktive logische ISDN-Verbindungen werden nicht aufgeführt. Diese können Sie unter dem Punkt „Verbindungssteuerung“ verfolgen. Die Kosten-/Nutzungsdaten werden als Summen pro Benutzer angegeben. l Verbindungsinformationen als Auswahl: Mit Hilfe einer Auswahl legen Sie fest, welche Kosten-/Nutzungsdaten für Verbindungen angezeigt werden sollen. Sie können die Informationen nach Benutzern oder nach Rufnummern auswählen und für einen beliebigen Zeitraum abfragen. Mit Hilfe der Funktion „Akkumulieren“ werden die Kosten-/Nutzungsdaten für jeden Benutzer als Summen pro Tag, Woche oder Monat angezeigt (sortiert nach Benutzer). Es werden dieselben Angaben wie in der Tagesübersicht angezeigt. l Aktuelle Werte der benutzerbezogenen Budgets (Budgetübersicht): Hier erhalten Sie einen direkten Vergleich der Budgets, die Sie in den Benutzereinstellungen festgelegt haben, mit den bisher verursachten Kosten. Auf diese Weise können Sie überprüfen, ob un- ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen 69 accserv.book Seite 70 Dienstag, 13. Juni 2000 11:52 11 Kosten-/Nutzungsdaten für extern verwaltete Benutzer erwartet hohe Verbindungskosten angefallen sind oder das Budget für einen Benutzer geändert werden sollte. Die Anzeige wird ständig automatisch aktualisiert. l Kostenübersicht: Die Kostenübersicht bietet Ihnen einen Überblick über die Kosten, die Verbindungen zu Benutzern verursacht haben. Neben den Kosten für den ISDN Access Server werden auch die Kosten der Gegenstelle mit Hilfe eines Gebührenprofils geschätzt. Sie sollten deshalb in den Benutzereinstellungen („ISDN-Einstellungen“) das richtige Gebührenprofil für die Gebührenabschätzung auswählen. Kosten-/Nutzungsdaten für extern verwaltete Benutzer Auch für die extern verwalteten Benutzer können Sie sich Kosten-/Nutzungsdaten anzeigen lassen. Voraussetzung dafür ist, dass Sie in der allgemeinen Benutzerverwaltung (Menü „Konfiguration“) festgelegt haben, dass die Kosten-/Nutzungsdaten und Budgetdaten extern verwalteter Benutzer in Datenbanken des ISDN Access Servers gespeichert werden sollen (Option „In Datenbank“). Es stehen Ihnen dieselben Möglichkeiten und Informationen wie bei den Kosten-/Nutzungsdaten für intern verwaltete Benutzer zur Verfügung, d.h. Tagesübersicht, Auswahl, Budget- und Kostenübersicht. Ereignisse Als Ereignisse werden alle ISDN-Meldungen und eventuellen Fehlermeldungen bezeichnet. Die Meldungen sind in Gruppen eingeteilt, die durch verschiedene Symbole gekennzeichnet sind. Es gibt die folgenden Meldungstypen: Symbol Meldung Fehler, z.B. wenn Benutzer nicht antwortet. Warnung, z.B. bei Überschreitung des benutzerbezogenen Budgets oder der globalen Schwellenwerte. Informationsmeldung, z.B. über Verbindungsaufbau und Verbindungsabbau. 70 ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen accserv.book Seite 71 Dienstag, 13. Juni 2000 11:52 11 Paketmitschnitt Symbol Meldung Einkommender Ruf. Ausgehender Ruf. Alarm, z.B. beim Protokollieren eines Verstoßes gegen die Filterregeln (Firewall). Alle ISDN-Fehlermeldungen und die Meldungen des ISDN Access Server sind in „Meldungen“ ab Seite 77 in diesem Handbuch aufgeführt. Sie können Ereignisse entweder als Tagesübersicht oder als Auswahl anzeigen. l Tagesübersicht der Ereignisse: Die Tagesübersicht der Ereignisse bietet einen genauen Überblick über alle ISDN-Meldungen und eventuellen Fehlermeldungen. Das Protokoll ist nach Zeit geordnet – die neuesten Meldungen stehen ganz oben. l Ereignisse als Auswahl: Mit dieser Eingabemaske legen Sie genau fest, welche ISDN-Ereignisse Ihnen der ISDN Access Server anzeigen soll. Sie können die Informationen nach Meldungstyp, Benutzer oder ISDN-Controller auswählen und für einen beliebigen Zeitraum abfragen. So ist es z.B. sinnvoll, bei Problemen nach Fehlermeldungen zu suchen, sich alle einkommenden oder ausgehenden Rufe anzeigen zu lassen oder alle Meldungen für einen bestimmten Benutzer bzw. Controller aufzuführen. Paketmitschnitt Mit der Funktion „Paketmitschnitt“ können Sie sich darüber informieren, welche Protokollpakete im LAN und über ISDN gesendet werden. Auf diese Weise können Sie z.B. die Ursachen für unerwünschte Verbindungsaufbauten lokalisieren, bei Verbindung zu entfernten Benutzern die PPP-Aushandlung protokollieren und die Wirksamkeit der eingestellten Spoofings überprüfen. Für den Mitschnitt können Sie verschiedene Optionen festlegen. So können Sie z.B. einstellen, auf welcher Ebene Sie Pakete protokollieren wollen. Sie können außerdem das Ziel der Pakete festlegen und auf allen oder nur einer bestimmten Netzwerkkarte mitschneiden. ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen 71 accserv.book Seite 72 Dienstag, 13. Juni 2000 11:52 11 Datenbankverwaltung des ISDN Access Servers 5.3 Datenbankverwaltung des ISDN Access Servers Durch die Unterstützung der Standard-Datenbank-Technologie von Microsoft bietet der ISDN Access Server eine solide Grundlage für die Protokollierung und Bearbeitung aller wichtigen Konfigurationsinformationen, Ereignisse sowie Kosten- und Nutzungsdaten aller ISDN-Verbindungen. Der ISDN Access Server legt, je nach Konfiguration, die folgenden Datenbanken an: Datenbank Inhalt NTR.MDB: Allgemeine Konfiguration, Daten der intern verwalteten Benutzer. NTRLOG.MDB: Ereignisse, Kosten-/Nutzungsdaten für intern verwaltete Benutzer. NTUSER.MDB Daten der Windows-Benutzer. NTRCLASS.MDB Daten der Benutzergruppen. NTREACT.MDB Kosten-/Nutzungsdaten der extern verwalteten Benutzer. NTREBUD.MDB Budgetdaten der extern verwalteten Benutzer. Die Datenbanken befinden sich im Installationsverzeichnis des ISDN Access Servers und können mit Hilfe von MS Access je nach Bedarf individuell ausgewertet werden. Die Datenbanken NTRLOG.MDB und NTREACT.MDB können im Laufe der Zeit sehr groß werden, da bei jeder Anwahl eines Benutzers ein neuer Eintrag hinzugefügt wird. Es empfiehlt sich daher, die Datei von Zeit zu Zeit unter einem anderen Namen abzuspeichern und die ursprüngliche Datei zu löschen. Um das Anlegen der Datenbank NTREACT.MDB zu verhindern, deaktivieren Sie die Kosten-/Nutzungsdaten für extern verwaltete Benutzer („Konfiguration / Benutzerverwaltung“). 72 ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen accserv.book Seite 73 Dienstag, 13. Juni 2000 11:52 11 Hinweise für den täglichen Betrieb – Troubleshooting 6 Hinweise für den täglichen Betrieb – Troubleshooting In diesem Kapitel erhalten Sie Lösungsvorschläge für allgemeine Problemen und Hinweise für den täglichen Betrieb des ISDN Access Servers. 6.1 Allgemeine Probleme Der Web-Browser zeigt keine Frames mehr auf einer Seite an. Beenden Sie den ISDN Access Server Manager (und damit den WebBrowser) und starten Sie ihn erneut. Windows zeigt an, dass kein virtueller Arbeitsspeicher mehr vorhanden ist. Beenden Sie den ISDN Access Server Manager (und damit den WebBrowser) und starten Sie ihn erneut. 6.2 Probleme beim Verbindungsaufbau Keine ISDN-Verbindung zu einem Benutzer. Bekommen Sie keine ISDN-Verbindung zu einem Benutzer, gehen Sie wie folgt vor: l Versuchen Sie zuerst, eine ISDN-Verbindung zu einem anderen Benutzer aufzubauen (Menü „Verbindungssteuerung“). l Ist dieser Verbindungsaufbau nicht erfolgreich, installieren Sie das Datenübertragungsprogramm Connect32 auf dem ISDN Access Server-Rechner. Connect32 befindet sich im Lieferumfang der AVM ISDN-Controller. Versuchen Sie mit diesem Programm, eine Verbindung zum AVM Data Call Center (Rufnummer 030 39 98 43 00) herzustellen. Die ISDN-Fehlermeldungen 3303 bzw. 3302 bei Wählverbindungen deuten auf ein Problem mit Ihrem ISDN-Anschluss hin. Die ISDN-Fehlermeldung 3403 bedeutet, dass an Ihrem ISDN-An- ISDN Access Server – 6 Hinweise für den täglichen Betrieb – Troubleshooting 73 accserv.book Seite 74 Dienstag, 13. Juni 2000 11:52 11 Probleme mit TCP/IP schluss der Dienst „Datenübertragung“ nicht freigeschaltet wurde. Setzen Sie sich in beiden Fällen mit Ihrem ISDN-Netzbetreiber in Verbindung. l Liegt das Problem nicht an Ihrem ISDN-Anschluss, benutzen Sie die Paketmitschnitt-Funktion des ISDN Access Servers, um alle Pakete auf der Aushandlungsebene PPP over ISDN mitzuschneiden. Dazu stellen Sie als Ebene die Option „ISDN-Controller /Netzwerkkarte“ ein und wählen den gewünschten Benutzer aus. Klicken Sie anschließend auf die Schaltfläche „Aufnahme“. 6.3 Probleme mit TCP/IP Bei Problemen mit TCP/IP überprüfen Sie folgende Punkte: l Haben Sie in den Netzwerkeinstellungen von Windows 2000/NT einen Standardgateway eingetragen? l Verweist die Standardroute, die Sie im ISDN Access Server eingetragen haben („Konfiguration / Server-Einstellungen / Allgemein / Lokale IP-Routen“) auf diesen Standardgateway? l Sind der Standardgateway und der ISDN Access Server im LAN per Ping erreichbar? l Sind die Netzadressen der entfernten Benutzer auch auf den im LAN befindlichen Routen bekannt? l Haben Sie unter dem Menüpunkt „IP-Adressvergabe“ Adressen aus dem lokalen LAN-Strang konfiguriert (Proxy-Arp), die tatsächlich von anderen Rechnern in Ihrem LAN schon benutzt werden? 6.4 Probleme mit IPX IPX über ISDN Stellen Sie in jedem Fall sicher, dass Sie für den ISDN Access Server eine interne IPX-Netzwerknummer vergeben haben. Die Netzwerknummer wird bei der Installation des ISDN Access Servers aus der Systemsteuerung von Windows 2000/NT abgefragt und in den Server-Einstellungen unter dem Punkt „Allgemein“ eingetragen. Haben Sie vorher in Windows 2000/NT keine interne Netzwerknummer angegeben, genügt es, wenn Sie sie an dieser Stelle in der Konfiguration eintragen. 74 ISDN Access Server – 6 Hinweise für den täglichen Betrieb – Troubleshooting accserv.book Seite 75 Dienstag, 13. Juni 2000 11:52 11 IPX im LAN Eine IPX-Verbindung zu einem entfernten Benutzer kommt nicht zustande oder der Benutzer ist nach einiger Zeit nicht mehr zu sehen. Stellen Sie sicher, dass im WAN keine doppelten IPX-Adressen vorkommen. Dies ist einer der häufigsten Fehler, die beim Aufbau eines WANs gemacht werden. Die verwendeten IPX-Adressen in einem WAN müssen eindeutig sein. IPX im LAN Keine Verbindungen im LAN möglich. Dieses Problem kann auftreten, wenn kein Novell-Server im LAN installiert ist und auf allen im LAN eingesetzten Geräten der Rahmentyp automatisch gewählt wird. Der Novell-Server gibt im Normalfall den Rahmentyp vor, und alle anderen Geräte im LAN richten sich danach. Wählen Sie in diesem Fall für den Rechner, auf dem der ISDN Access Server installiert ist, den Rahmentyp manuell aus. 6.5 Einstellungen für einkommende Rufe Wenn Sie andere CAPI 2.0-Anwendungen auf demselben Rechner installiert haben wie den ISDN Access Server, beachten Sie folgende Hinweise: Der ISDN Access Server verwendet den ISDN-Dienst „Daten“. Haben Sie weitere CAPI-Anwendungen auf dem ISDN Access Server-Rechner installiert oder an den gleichen S0-Bus angeschaltet, müssen Sie für die Annahme eingehender Anrufe Mehrfachrufnummern (MSNs) oder Nachwahlziffern (DDI) vergeben. Nur so können Anrufe mit der Dienstekennung „Daten“, die außer dem ISDN Access Server z.B. auch von ISDN-Datenübertragungssoftware benutzt wird, eindeutig zugeordnet werden. Ist dies nicht der Fall, würde z.B. die Datenübertragungssoftware versuchen, einen einkommenden Ruf anzunehmen, der eigentlich für den ISDN Access Server bestimmt ist. Befindet sich an dem S0-Bus ein weiteres Endgerät, z.B. ein ISDN-Telefon (Dienstekennung „Sprache“), brauchen Sie keine MSN oder DDI zu vergeben, da sich die Dienstekennung vom ISDN Access Server unterscheidet. ISDN Access Server – 6 Hinweise für den täglichen Betrieb – Troubleshooting 75 accserv.book Seite 76 Dienstag, 13. Juni 2000 11:52 11 76 ISDN Access Server accserv.book Seite 77 Dienstag, 13. Juni 2000 11:52 11 Meldungen 7 Meldungen In diesem Kapitel werden die Fehlermeldungen des ISDN-Netzes sowie die vom ISDN Access Server angezeigten Meldungen und Fehlermeldungen mit Erläuterungen aufgeführt. Alle Meldungen werden in das ISDN-Ereignisprotokoll geschrieben und haben folgendes Aussehen: <Datum> <Uhrzeit>, <Name des Benutzers> <Quelle> <Meldung> Beispiel: 12.05.2000 14:14:42, Administrator ISDN-Controller 1: B-Kanal-Verbindung zu ´´03039984350´´ ist aufgebaut. 7.1 Meldungen der CAPI 2.0 und des Euro-ISDN Die folgenden Meldungen sind numerisch aufsteigend sortiert. Nummer Meldungen/Erklärungen 0x0001 NCPI vom aktuellen Protokoll nicht unterstützt, NCPI ignoriert[#0001] Diese Meldung weist auf Protokollkonflikte zwischen dem sendenden und dem empfangenden Gerät hin. 0x0002 Flags (Signale) vom aktuellen Protokoll nicht unterstützt, Flags ignoriert[#0002] Diese Meldung weist darauf hin, dass spezifische Steuerinformationen der gesendeten Daten vom Protokoll des empfangenden Gerätes nicht unterstützt werden. 0x0003 Signal schon von einer anderen Anwendung gesendet[#0003] Diese Meldung verweist darauf, dass eine andere aktive Anwendung auf den eingehenden Ruf reagiert hat. 0x1104 Warteschlange ist leer[#1104] Diese Meldung weist auf interne Fehler in der Anwendung hin. ISDN Access Server – 7 Meldungen 77 accserv.book Seite 78 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x1001 Zu viele CAPI-Anwendungen[#1001] Es sind zu viele CAPI-Anwendungen aktiv. Beenden Sie nicht benötigte Anwendungen. 0x1002 Logische Blockgröße zu gering, mindestens 128 Bytes erforderlich[#1002] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x1003 Puffer überschreitet 64-kByte-Grenze[#1003] 0x1004 Nachrichtenpuffer zu klein, mindestens 1024 Bytes erforderlich[#1004] Diese Meldung weist auf interne Fehler in der Anwendung hin. Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x1005 Max. Anzahl logischer Verbindungen nicht unterstützt[#1005] Diese Meldung gibt an, dass der Controller nicht ausreichend konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. Konfigurieren Sie ihn so, dass mehr logische Verbindungen unterstützt werden. 0x1007 Wegen interner Überlastung kann die Nachricht nicht angenommen werden[#1007] Diese Meldung weist auf interne Fehler in der Anwendung hin oder auf Anwendungen, die nicht CAPI-konform sind. 0x1008 Betriebssystem-Ressourcen erschöpft (z.B. Speichermangel)[#1008] Diese Meldung gibt an, dass das Betriebssystem überlastet ist. Schließen Sie Ihre Anwendungen und starten Sie Ihr Betriebssystem erneut. 0x1009 Common-ISDN-API Version 2.0 ist nicht installiert[#1009] Diese Meldung gibt an, dass CAPI 2.0 nicht installiert ist. Laden Sie CAPI 2.0. 0x100A Controller unterstützt keine externen Geräte[#100A] Die vom Programm angeforderten Geräte werden vom ISDNTreiber nicht unterstützt. Die Meldung weist auf einen internen Fehler in der Anwendung hin. 0x100B Controller unterstützt nur externe Geräte[#100B] Die vom Programm angeforderten Geräte werden vom ISDNTreiber nicht unterstützt. Die Meldung weist auf einen internen Fehler in der Anwendung hin. 78 ISDN Access Server – 7 Meldungen accserv.book Seite 79 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x1101 Unzulässige Anwendungsnummer[#1101] Diese Meldung weist auf interne Fehler in der Anwendung hin. Die Anwendung ist abgestürzt. Setzen Sie sich mit Ihrem Softwarehersteller in Verbindung und informieren Sie sich über CAPI-konforme Anwendungen. 0x1102 Unzulässiges Kommando oder Subkommando oder Nachricht kleiner als 12 Byte[#1102] Diese Meldung weist auf interne Fehler in der Anwendung hin oder auf Anwendungen, die nicht CAPI-konform sind. 0x1103 Die Nachricht konnte wegen Überlauf der Warteschlange nicht angenommen werden! Nachrichten für andere PLCI oder NCCI sind davon nicht berührt[#1103] Diese Meldung weist auf interne Fehler in der Anwendung hin oder auf Anwendungen, die nicht CAPI-konform sind. 0x1105 Überlauf der Warteschlange, eine Nachricht ging verloren! Konfigurationsfehler, die Anwendung muss sich vom CAPI abmelden[#1105]. Diese Meldung weist auf interne Fehler in der Anwendung hin. Die Kapazitäten der Anwendung sind nicht ausreichend. 0x1106 Unbekannter Parameter[#1106] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x1107 Wegen interner Überlastung kann die Nachricht nicht angenommen werden[#1107] Diese Meldung weist auf interne Fehler in der Anwendung hin oder auf Anwendungen, die nicht CAPI-konform sind. 0x1108 Betriebssystem-Ressourcen erschöpft (z.B. Speichermangel)[#1108] Diese Meldung gibt an, dass das Betriebssystem überlastet ist. Schließen Sie Ihre Anwendungen und starten Sie Ihr Betriebssystem erneut. 0x1109 Common-ISDN-API Version 2.0 ist nicht installiert[#1109] Diese Meldung gibt an, dass CAPI 2.0 nicht mehr zur Verfügung steht. Es wurde entladen während eine Anwendung aktiv war. Laden Sie CAPI 2.0 erneut. 0x110A Controller unterstützt keine externen Geräte[#110A] Die vom Programm angeforderten Geräte werden vom ISDNTreiber nicht unterstützt. Die Meldung weist auf einen internen Fehler in der Anwendung hin. ISDN Access Server – 7 Meldungen 79 accserv.book Seite 80 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x110B Controller unterstützt nur externe Geräte[#110B] Die vom Programm angeforderten Geräte werden vom ISDNTreiber nicht unterstützt. Die Meldung weist auf einen internen Fehler in der Anwendung hin. 0x2001 Nachricht wird im aktuellem Zustand nicht unterstützt[#2001] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x2002 Ungültiger Controller / PLCI / NCCI[#2002] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x2003 Keine freien PLCI[#2003] Diese Meldung gibt an, dass der Controller nicht ausreichend konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. 0x2004 Keine freien NCCI[#2004] Diese Meldung gibt an, dass der Controller nicht ausreichend konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. 0x2005 Keine freien LISTEN[#2005] Diese Meldung gibt an, dass der Controller nicht ausreichend konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. 0x2006 Keine freien Ressourcen für FAX-Betrieb (Protokoll T.30)[#2006] Diese Meldung gibt an, dass der Controller nicht ausreichend konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. Konfigurieren Sie ihn so, dass er über mehr freie Ressourcen verfügt. 0x2007 Ungültige Nachrichtenparameter[#2007] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x3001 B1-Protokoll nicht unterstützt[#3001] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokolle nicht zur Verfügung stellt. Installieren Sie die entsprechenden Protokolle. 0x3002 B2-Protokoll nicht unterstützt[#3002] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokolle nicht zur Verfügung stellt. Installieren Sie die entsprechenden Protokolle. 80 ISDN Access Server – 7 Meldungen accserv.book Seite 81 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x3003 B3-Protokoll nicht unterstützt[#3003] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokolle nicht zur Verfügung stellt. Installieren Sie die entsprechenden Protokolle. 0x3004 B1-Protokoll Parameter nicht unterstützt[#3004] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokollausprägungen nicht zur Verfügung stellt. 0x3005 B2-Protokoll Parameter nicht unterstützt[#3005] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokollausprägungen nicht zur Verfügung stellt. 0x3006 B3-Protokoll Parameter nicht unterstützt[#3006] Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokollausprägungen nicht zur Verfügung stellt. 0x3007 Kombination der B-Protokolle nicht unterstützt[#3007] Diese Meldung weist auf interne Fehler in der Anwendung hin. Es sind Protokollkonflikte aufgetreten. Die verwendeten B-Protokolle sind nicht kombinierbar. 0x3008 NCPI nicht unterstützt[#3008] Die verwendeten Protokolle im B-Kanal sind nicht kompatibel. 0x3009 CIP-Wert unbekannt[#3009] Der von der Anwendung angeforderte Dienst ist in der Controller-Software nicht implementiert. 0x300A Flags (Signale) nicht unterstützt (reservierte Bits)[#300A] Diese Meldung weist auf interne Fehler in der Anwendung hin. Die von der Anwendung angeforderten Signale (Flags) werden vom CAPI nicht unterstützt. 0x300B Eigenschaft nicht unterstützt[#300B] Das angeforderte Zusatzmerkmal des Dienstes wird vom ISDNTreiber nicht unterstützt. Für weitergehende Informationen wenden Sie sich bitte an Ihren Softwarehersteller. 0x300C Länge der Daten vom aktuellen Protokoll nicht unterstützt[#300C] Diese Meldung weist auf interne Fehler in der Anwendung hin. ISDN Access Server – 7 Meldungen 81 accserv.book Seite 82 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x300D Rücksetzprozedur vom aktuellen Protokoll nicht unterstützt[#300D] Diese Meldung weist auf interne Fehler in der Anwendung hin. Setzen Sie sich mit Ihrem Softwarehersteller in Verbindung und informieren Sie sich über CAPI-konforme Anwendungen. 0x3301 Protokollfehler Ebene 1 (Verbindung unterbrochen oder B-Kanal vom Steuerprotokoll geschlossen)[#3301] Es konnte keine Verbindung zwischen dem Endgerät und /oder der Vermittlungsstelle aufgebaut werden. Der Verbindungsaufbau scheiterte auf Ebene 1 des ISDN-Protokolls. Es konnten somit keine Nachrichten zwischen dem Endgerät und der Vermittlungsstelle ausgetauscht werden. Mögliche Ursachen sind: keine korrekte Kabelverbindung oder Kabel nicht gesteckt; vertauschte Kabeladern oder falsche Anschlussdosen; der Netzanschluss (Network Termination) ist nicht korrekt aktiviert oder der Anschluss an der Vermittlungsstelle ist defekt; ein anderes im Bus eingestecktes Endgerät ist defekt oder blockiert den Bus. 0x3302 Protokollfehler Ebene 2[#3302] Es konnte keine Verbindung zwischen dem Endgerät und /oder der Vermittlungsstelle aufgebaut werden. Der Verbindungsaufbau scheiterte auf Ebene 2 des ISDN-Protokolls. Es konnten somit keine Nachrichten zwischen dem Endgerät und der Vermittlungsstelle ausgetauscht werden. Mögliche Ursachen sind: Anschluss an der Vermittlungsstelle nicht aktiviert; auf dem Anschluss wird ein inkompatibles D-Kanal-Protokoll verwendet. 0x3303 Protokollfehler Ebene 3[#3303] Es konnte keine Verbindung zwischen dem Endgerät und /oder der Vermittlungsstelle aufgebaut werden. 0x3304 Eine andere Anwendung erhielt den Ruf[#3304] Diese Meldung verweist darauf, dass eine andere aktive Anwendung den eingehenden Ruf erhalten hat. 0x3311 Verbindungsaufbau erfolglos (Gegenstelle ist kein FAX-G3-Gerät)[#3311] Das von Ihnen angewählte Gerät der Gegenstelle ist kein Faxgerät. 82 ISDN Access Server – 7 Meldungen accserv.book Seite 83 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x3312 Verbindungsaufbau erfolglos (Einstellungsfehler)[#3312] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme (Einstellungsfehler) nicht empfangsbereit. 0x3313 Verbindungsabbau vor der Übertragung (Gegenstelle lässt Übertragung nicht zu, z.B. falsche Auflösung)[#3313] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme nicht empfangsbereit. 0x3314 Verbindungsabbau während der Übertragung (Abbruch von Gegenstelle)[#3314] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme nicht empfangsbereit. 0x3315 Verbindungsabbau während der Übertragung (Ausführungsfehler, z.B. erfolglose Wiederholung von T.30-Befehlen[#3315] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme nicht empfangsbereit. 0x3316 Verbindungsabbau während der Übertragung (keine Daten zum Senden vorhanden)[#3316] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x3317 Verbindungsabbau während der Übertragung (Überlauf bei Datenempfang)[#3317] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme nicht empfangsbereit. 0x3318 Verbindungsabbau während der Übertragung (Abbruch von diesem Gerät)[#3318] Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund interner Probleme nicht empfangsbereit. 0x3319 Ungültige Parameter (z.B. Fehler in den SFF-Daten)[#3319] Diese Meldung weist auf interne Fehler in der Anwendung hin. 0x3400 Keine ISDN-Verbindung. Grund unbekannt[#3400] Die Verbindung wurde abgebaut. Der Grund für den Verbindungsabbau ist unbekannt. 0x3490 Normaler Verbindungsabbau[#3490] Die Verbindung wurde abgebaut, weil einer der Teilnehmer den Verbindungsabbau initiiert hat. ISDN Access Server – 7 Meldungen 83 accserv.book Seite 84 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x349A Nicht gewählte Teilnehmerfreigabe[#349A] Diese Meldung gibt an, dass dem Teilnehmer der eingehende Ruf nicht zugeordnet wurde. 0x349F Keine ISDN-Verbindung. Grund unbekannt[#349F] Die Verbindung wurde abgebaut. Der Grund für den Verbindungsabbau ist unbekannt. 0x3481 Unbekannte Nummer[#3481] Das vom Anrufenden gewünschte Ziel konnte nicht erreicht werden. Die verwendete Nummer kann im Moment nicht zugeordnet werden. 0x3482 Keine Verbindung zum angegebenen Netzwerk[#3482] Das Gerät, das diese Meldung sendet, hat eine Aufforderung erhalten, den Ruf über ein Übergangsnetz zu leiten, welches es allerdings nicht erkennt. Das Gerät erkennt dieses Übergangsnetz entweder nicht, weil es nicht existiert oder weil dieses Netz, obwohl es existiert, das sendende Gerät nicht bedient. Diese Meldung wird von einer netzwerkgebundenen Basis unterstützt. 0x3483 Keine Verbindung zur Gegenstelle[#3483] Der angerufene Teilnehmer kann nicht erreicht werden, da das Netzwerk, durch welches der Ruf geleitet wurde, nicht dem gewünschten Ziel dient. Diese Meldung wird von einer netzwerkgebundenen Basis unterstützt. 0x3486 Kanal nicht annehmbar[#3486] Diese Meldung gibt an, dass der zuletzt gekennzeichnete Kanal von der sendenden Einheit für diesen Ruf nicht angenommen wird. 0x3487 Ruf angenommen und an bestehende Verbindung weitergeleitet[#3487] Dem Teilnehmer wurde der eingehende Ruf zugeordnet, und dieser Ruf wurde mit einem Kanal verbunden, der für den Teilnehmer bereits für ähnliche Rufe aufgebaut wurde. 0x3491 Teilnehmer besetzt[#3491] Diese Meldung erscheint, wenn der gerufene Teilnehmer auf die Unmöglichkeit einer weiteren Rufannahme hingewiesen hat. Das Gerät des Teilnehmers ist kompatibel mit dem Ruf. 84 ISDN Access Server – 7 Meldungen accserv.book Seite 85 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x3492 Teilnehmer antwortet nicht[#3492] Ein Teilnehmer antwortet nicht innerhalb des vorgeschriebenen Zeitraumes auf die Rufverbindungsnachricht; weder mit einem Signal noch mit einem Verbindungszeichen. 0x3493 Teilnehmer antwortet nicht (Teilnehmer hat aber signalisiert)[#3493] Ein Teilnehmer hat in dem vorgeschriebenen Zeitraum zwar ein Signalzeichen, jedoch kein Verbindungszeichen gegeben. Diese Meldung wird im allgemeinen nicht von ETS 300 102-1-Prozeduren sondern von Netzwerkzeitgebern erstellt. 0x3495 Ruf abgewiesen[#3495] Das Gerät, das diese Meldung ausgibt, nimmt den Ruf nicht an, obwohl es dies könnte, denn das Gerät ist weder inkompatibel noch besetzt. 0x3496 Nummer hat sich geändert[#3496] Diese Meldung wird an einen rufenden Teilnehmer gesendet, wenn die gerufene Teilnehmernummer nicht mehr existiert. Die neue Teilnehmernummer wird wahlweise im Feld Diagnostik angezeigt. Wird dieses Merkmal vom Netz nicht unterstützt, dann wird Meldung 0x3481 ausgegeben. 0x349B Gegenstelle defekt[#349B] Die von dem Teilnehmer angewählte Gegenstelle kann nicht erreicht werden, da die Schnittstelle nicht korrekt funktioniert. Die Wendung ‘nicht korrekt funktioniert’ verweist darauf, dass eine signalisierende Nachricht nicht zum Fernteilnehmer übertragen wurde. Ursache mag ein Fehler in der physikalischen Ebene oder ein Datenübertragungsfehler beim Fernteilnehmer, der Vermittlungsstelle o.ä. sein. 0x349C Nummer hat ungültiges Format[#349C] Diese Meldung gibt an, dass der Teilnehmer nicht erreicht werden kann, da die gewählte Nummer entweder unvollständig ist, oder ein ungültiges Format hat. 0x349D Übermittlungseigenschaft abgewiesen[#349D] Diese Meldung wird ausgegeben, wenn eine vom Teilnehmer gefordertes Dienstmerkmal vom Netz nicht bereitgestellt werden kann. ISDN Access Server – 7 Meldungen 85 accserv.book Seite 86 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x349E Antwort auf Statusabfrage[#349E] Diese Meldung ist in der Statusnachricht enthalten, wenn der Grund für das Erstellen der Statusnachricht der vorherige Erhalt einer Statusabfrage war. 0x34A2 Kein Kanal verfügbar[#34A2] Diese Meldung gibt an, dass gegenwärtig kein geeigneter Kanal zum Senden oder Empfangen zur Verfügung steht. 0x34A6 Netzwerk defekt[#34A6] Das Netzwerk ist defekt, und dieser Zustand wird voraussichtlich länger anhalten. Eine sofortige Rufwiederholung wird wahrscheinlich nicht erfolgreich sein. 0x34A9 Vorübergehender Fehler[#34A9] Das Netzwerk ist defekt, aber dieser Zustand wird wahrscheinlich nicht lange anhalten. Eine sofortige Rufwiederholung wird wahrscheinlich erfolgreich sein. 0x34AA Überlastung der Vermittlungseinrichtung[#34AA] Die Vermittlungseinrichtung, die diese Meldung gesendet hat, wird gegenwärtig stark frequentiert. 0x34AB Zugriffsdaten abgewiesen[#34AB] Das Netzwerk konnte die vom Teilnehmer angeforderten Zugangsinformationen wie z.B. Teilnehmerinformationen, LowLayer-Kompatibilität nicht liefern. 0x34AC Angeforderter Kanal nicht verfügbar[#34AC] Der von der anfragenden Seite angegebene Kanal kann von der anderen Seite der Schnittstelle nicht zur Verfügung gestellt werden. 0x34AF Ressourcen nicht verfügbar, keine nähere Angabe[#34AF] Diese Meldung wird zur Angabe nicht verfügbarer Ressourcen ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft. 0x34B1 Dienst nicht verfügbar[#34B1] Der angeforderte Dienst, so wie in der CCITT Empfehlung X.213 definiert, kann nicht bereitgestellt werden (Durchsatz oder Durchgangsverzögerung werden nicht unterstützt. 86 ISDN Access Server – 7 Meldungen accserv.book Seite 87 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x34B2 Angefordertes Dienstmerkmal nicht verfügbar[#34B2] Das angeforderte Dienstmerkmal kann vom Netzwerk nicht zur Verfügung gestellt werden, da der Teilnehmer nicht die notwendigen administrativen Vereinbarungen erfüllt hat. 0x34B9 Übermittlungseigenschaft nicht zugelassen[#34B9] Der Teilnehmer hat eine Übermittlungseigenschaft angefordert, die zwar von dem angesprochenem Gerät realisiert wird, für das er aber keine Zulassung hat. 0x34BA Übermittlungseigenschaft zeitweilig nicht verfügbar[#34BA] Der Teilnehmer hat eine Übermittlungseigenschaft angefordert, die zwar von dem angesprochenen Gerät realisiert wird, jedoch gegenwärtig nicht verfügbar ist. 0x34BF Dienst oder Option nicht verfügbar, keine nähere Angabe[#34BF] Diese Meldung wird zur Angabe nicht verfügbarer Dienste oder Optionen ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft. 0x34C1 Übermittlungseigenschaft nicht implementiert[#34C1] Das Gerät, das diese Meldung ausgibt, unterstützt nicht die angeforderte Übermittlungseigenschaft. 0x34C2 Kanaltyp nicht implementiert[#34C2] Das Gerät, das diese Meldung ausgibt, unterstützt nicht den angeforderten Kanaltyp. 0x34C5 Angeforderte Eigenschaft nicht implementiert[#34C5] Das Gerät, das diese Meldung ausgibt, unterstützt nicht das angeforderte Dienstmerkmal. 0x34C6 Nur Übermittlungseigenschaft (Bearer Capability) für eingeschränkte (restricted) digitale Informationen verfügbar[#34C6] Diese Meldung weist darauf hin, dass ein Gerät einen uneingeschränkten Übermittlungsdienst angefordert hat, dieses Gerät jedoch nur die eingeschränkte Version des Übermittlungsdienstes unterstützt. 0x34CF Dienst oder Option nicht implementiert, keine näheren Angabe[#34CF] Diese Nachricht erscheint, wenn ein Dienst oder eine Option nicht implementiert sind und wenn keine andere Meldung zutrifft. ISDN Access Server – 7 Meldungen 87 accserv.book Seite 88 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x34D1 Ungültiger Wert der Verbindungskennung[#34D1] Das Gerät, das diese Meldung ausgibt, hat eine Nachricht mit einer Verbindungskennung erhalten, die gegenwärtig an der Teilnehmer-Netzwerk Schnittstelle nicht verwendet wird. 0x34D2 Angegebener Kanal existiert nicht[#34D2] Das Gerät, das diese Meldung ausgibt, ist aufgefordert worden, einen Kanal zu benutzen, der jedoch an der Schnittstelle für die Rufannahme nicht aktiviert ist. Diese Meldung wird z.B. ausgegeben, wenn ein Benutzer für die Kanäle einer Primäranschluss-Schnittstelle 1 bis 12 gemeldet ist, das Teilnehmergerät oder das Netzwerk hingegen versucht die Kanäle 13 bis 23 zu benutzen. 0x34D3 Ein unterbrochener Ruf existiert, diese Rufkennung aber nicht[#34D3] Es wurde versucht, einen Ruf wieder aufzunehmen, aber die dafür verwendete Rufkennung ist mit keiner Rufkennung eines gegenwärtig unterbrochenen Rufes identisch. 0x34D4 Rufkennung vergeben[#34D4] Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme erhalten. Der Rufunterbrechungsbefehl enthält eine Rufkennung, die im Schnittstellenbereich für wiederaufgenommene Rufe schon für einen anderen unterbrochenen Ruf verwendet wird. 0x34D5 Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme erhalten. Der Rufwiederaufnahmebefehl enthält Nachrichtenelemente zur Rufkennung, die nicht darauf hinweisen, dass zur Zeit im Schnittstellenbereich für wiederaufgenommene Rufe ein Ruf unterbrochen wurde. 0x34D6 Ruf mit der angeforderten Rufkennung wurde zurückgesetzt[#34D6] Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme erhalten. Der Rufwiederaufnahmebefehl enthält Nachrichtenelemente zur Rufkennung, die auf einen einst unterbrochenen Ruf hinweisen. Jedoch wurde dieser Ruf zurückgestellt (entweder aufgrund des Netzwerk Timeouts oder von einem Teilnehmer). 0x34D8 Gegenstelle nicht kompatibel[#34D8] Das Gerät, das diese Meldung ausgibt, hat eine Anforderung zum Verbindungsaufbau erhalten. Der Ruf hat jedoch Low-Layer-Kompatibilität, High-Layer-Kompatibilität oder andere Attribute, die nicht aufgenommen werden können. 88 ISDN Access Server – 7 Meldungen accserv.book Seite 89 Dienstag, 13. Juni 2000 11:52 11 Meldungen der CAPI 2.0 und des Euro-ISDN Nummer Meldungen/Erklärungen 0x34DB Ungültige Auswahl des Übertragungsnetzwerkes[#34DB] Die Kennung eines Übertragungsnetzwerks mit falschem Format ist eingegangen. 0x34DF Ungültige Nachricht, keine näheren Angaben[#34DF] Diese Meldung wird bei einer ungültige Nachricht ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft. 0x34E0 Erforderliches Nachrichtenelement nicht vorhanden[#34E0] Das Gerät, das diese Meldung ausgibt, hat eine Nachricht mit fehlenden Nachrichtenelementen erhalten. Diese Nachrichtenelemente sind zum Weiterleiten der Nachricht notwendig. 0x34E1 Nachrichtentyp existiert nicht oder ist nicht implementiert[#34E1] Das Gerät, das diese Meldung ausgibt, hat eine Nachricht erhalten. Die Befehle weisen nicht darauf hin, dass dieses eine zulässige Nachricht mit identifizierbarem Nachrichtentyp ist. Die Nachricht ist zwar definiert, aber nicht in dem Gerät implementiert, das diese Nachricht ausgibt. 0x34E2 Nachrichtentyp inkompatibel zum Rufstatus oder Nachrichtentyp existiert nicht bzw. ist nicht implementiert[#34E2] Das Gerät, das diese Meldung ausgibt, hat eine Nachricht erhalten. Die Befehle weisen nicht darauf hin, dass diese Nachricht zulässig für den Empfang im Rufstatus ist. Oder eine Statusnachricht wurde empfangen die auf einen inkompatiblen Rufstatus hinweist. 0x34E3 Nachrichtenelement existiert nicht oder ist nicht implementiert[#34E3] Das Gerät, das diese Meldung ausgibt, hat eine Nachricht mit nicht erkennbaren Nachrichtenelementen erhalten. Diese Nachrichtenelementekennung ist nicht definiert ist oder sie ist definiert, nicht aber in dem Gerät implementiert, das diese Nachricht ausgibt. 0x34E4 Ungültiger Inhalt im Nachrichtenelement[#34E4] Das Gerät, das diese Meldung ausgibt, hat ein Nachrichtenelement erhalten, das es auch implementiert hat. Jedoch ist eines oder mehrere Felder im Nachrichtenelement so codiert, wie es im Gerät nicht implementiert ist. ISDN Access Server – 7 Meldungen 89 accserv.book Seite 90 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Nummer Meldungen/Erklärungen 0x34E5 Nachrichtentyp inkompatibel zum Rufstatus[#34E5] Diese Meldung gibt den Eingang einer Nachricht an, die inkompatibel zum Rufstatus ist. 0x34E6 Abbruch nach Timeout[#34E6] Diese Nachricht verweist darauf, dass ein Vorgang durch den Ablauf eines Zeitgebers in Zugehörigkeit mit ETS 300 120-1 Fehlerbehandlungsverfahren initiiert wurde. 0x34EF Protokollfehler, keine näheren Angaben[#34EF] Diese Meldung wird zur Angabe eines Protokollfehlers ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft. 0x34FF Netzanbindung, keine näheren Angaben[#34FF] Es besteht Anbindung an ein Netzwerk, dass keine Gründe angibt für die Aktionen die es ausführt; somit können keine genauen Angaben über die Ursachen der gesendeten Nachricht gemacht werden. 7.2 Meldungen des ISDN Access Servers Bei der Auflistung dieser Meldungen werden die folgenden Platzhalter verwendet: 90 Platzhalter Bedeutung <Nummer> ISDN-Nummer bzw. D-Kanal-Rufnummer. <CLI> D-Kanal-Rufnummer. <Gerufene Nummer> Gerufene ISDN-Nummer bei einkommenden Rufen. <Benutzer> Bezeichnung der Gegenstelle (Benutzername). <Protokoll> Das verwendete Netzwerkprotokoll (IP oder IPX). <Beschreibung> Kurze Beschreibung des Paketes. <Nr.> Position der angewendeten Regel innerhalb eines Filters. <Profil-Name> Name des Filters. ISDN Access Server – 7 Meldungen accserv.book Seite 91 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Die Meldungen und Fehlermeldungen sind alphabetisch geordnet. Ein Teil der Meldungen beziehen sich sowohl auf den NT/MPRI als auch den ISDN Access Server, so dass in diesen Meldungen Doppelbezeichnungen wie z.B. „ziel/benutzerbezogenes Budget“ verwendet werden. Ausgehender Ruf an <Benutzer> wurde von der Gegenseite angenommen, obwohl die Kosten von der Gegenstelle übernommen werden sollen. Der ausgehende Ruf wurde von der Gegenseite angenommen, und es entstehen Kosten für die lokale Seite. Eigentlich sollte die Gegenseite den Ruf ablehnen und zurückrufen, um die Kosten für die Verbindung zu übernehmen (Einstellung der Kostenübernahme im ISDN Access Server auf „Gegenstelle“). Stellen Sie sicher, dass die D-Kanal-Rufnummer (CLI) des ISDN Access Servers auf der Gegenseite korrekt eingetragen hat. Ausgehender Ruf wird verhindert, da ausgehende Rufe nicht erlaubt sind. In den Einstellungen des Benutzers bzw. der Benutzergruppe wurde festgelegt, dass zu diesem Benutzer keine ausgehenden Rufe aufgebaut werden dürfen. Ausgehender Ruf zu <Benutzer> (<Nummer>) nicht möglich, da das ziel/benutzerbezogene Budget oder die globalen Schwellenwerte erreicht sind. Wurde das benutzerbezogene Budget überschritten, ist der betreffende Benutzer für alle ausgehenden Verbindungen gesperrt. Dies betrifft auch die Signalisierung im D-Kanal. Wurde einer der globalen Schwellenwerte erreicht, werden ebenfalls alle ausgehenden Verbindungen einschließlich Signalisierung im D-Kanal gesperrt. Um die Sperre aufzuheben, geben Sie jeweils einen höheren Wert ein. B-Kanal kann nicht aufgebaut werden, da alle B-Kanäle in Benutzung sind. Die physikalische Verbindung kann nicht aufgebaut werden. Alle verfügbaren B-Kanäle werden zur Zeit für andere physikalische Verbindungen genutzt oder sind fest für andere Verbindungen reserviert. ISDN Access Server – 7 Meldungen 91 accserv.book Seite 92 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers B-Kanal Verbindung zu <Benutzer> (<Nummer>) wird abgebaut, da kein passender B-Kanal mehr frei ist. Der einkommende Ruf kann nicht angenommen werden, da alle B-Kanäle belegt sind. Die B-Kanal-Verbindung wird abgebaut. B-Kanal-Verbindung zu <Benutzer> (<Nummer>) ist abgebaut. Die physikalische Verbindung zu dem benannten Benutzer ist abgebaut. B-Kanal-Verbindung zu <Benutzer> (<Nummer>) ist aufgebaut. Die physikalische Verbindung zu dem benannten Benutzer wurde erfolgreich aufgebaut. B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird abgebaut, da das ziel/benutzerbezogene Budget oder die globalen Schwellenwerte erreicht sind. Wurde das benutzerbezogene Budget überschritten, wird eine physikalisch aktive Verbindung abgebaut und der betreffende Benutzer für alle ausgehenden Verbindungen gesperrt. Dies betrifft auch die Signalisierung im D-Kanal. Wurde einer der globalen Schwellenwerte erreicht, werden alle physikalisch aktiven Verbindungen abgebaut und der ISDN Access Server für alle ausgehenden Verbindungen einschließlich Signalisierung im D-Kanal gesperrt. Um die Sperre jeweils aufzuheben, geben Sie einen höheren Wert ein. B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird aufgebaut. Es wird eine physikalische Verbindung zu dem benannten Benutzer aufgebaut. B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird abgebaut. Die physikalische Verbindung zu dem benannten Benutzer wird abgebaut. 92 ISDN Access Server – 7 Meldungen accserv.book Seite 93 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers B-Kanal-Verbindung zu <Nummer> wird abgebaut, da der B-Kanal für eine Verbindung mit höherer Priorität benötigt wird. Die ISDN-Verbindung zu diesem Benutzer wird abgebaut, weil sich ein Benutzer mit höherer Priorität in den ISDN Access Server einwählt. In diesem Fall wird eine Verbindung mit niedrigerer Priorität beendet, um einen B-Kanal freizumachen. Die Festlegung der Priorität erfolgt in den Einstellungen des Benutzers bzw. der Benutzergruppe. Die dem entfernten Benutzer statisch zugewiesene IP(IPX)-Adresse <Adresse> liegt nicht im dafür vorgesehenen Adressbereich. Die für die statische IP- bzw. IPX-Vergabe benutzten Adressen müssen innerhalb vorgesehener Adressbereiche liegen. Diese Adressbereiche definieren Sie im Menü „Konfiguration / Server-Einstellungen / IP- bzw. IPX-Adressvergabe“. Die einkommende Verbindung des Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da der Benutzer nicht im ISDN Access Server konfiguriert ist und keine externe Benutzerverwaltung aktiviert ist. Sie haben in der Konfiguration des ISDN Access Servers („Benutzerverwaltung / Allgemein“) angegeben, dass Benutzer ausschließlich im ISDN Access Server verwaltet werden („Keine externe Verwaltung“). Der Zugriff von Benutzern, die nicht im ISDN Access Server eingerichtet sind, ist daher nicht möglich. Die einkommende Verbindung des Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da der Benutzer weder im ISDN Access Server noch in einem externen Server konfiguriert ist. Der Benutzer ist nicht als intern verwalteter Benutzer im ISDN Access Server eingerichtet und konnte auch nicht über eine externe Benutzerverwaltung (Benutzer-Manager von Windows oder RADIUS-Server) identifiziert werden. Damit ist dieser Benutzer unbekannt. Der Zugriff unbekannter Benutzer auf das Netzwerk ist prinzipiell nicht möglich. Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da ein Systemfehler aufgetreten ist. Nähere Informationen finden Sie in der NT-Ereignisanzeige. Beim Verbindungsaufbau durch einen extern verwalteten Benutzer trat ein Systemfehler auf. Überprüfen Sie die Meldungen in der Ereignisanzeige von Windows NT. ISDN Access Server – 7 Meldungen 93 accserv.book Seite 94 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da der Benutzer sich nicht einwählen darf. In den Einstellungen dieses Benutzers wurde festgelegt, dass für ihn keine Einwahl erlaubt ist. Um einen Verbindungsaufbau durch den Benutzer zu ermöglichen, ändern Sie die Einstellungen entsprechend. Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da die Echtheitsbestätigung durch den RADIUS-Server nicht erfolgreich war. Die Daten für die Echtheitsbestätigung (Name und Passwort) wurde von ISDN Access Server zur Echtheitsbestätigung an einen RADIUS-Server weitergeleitet. Die Echtheitsbestätigung beim RADIUS-Server schlug jedoch fehl, z.B. aufgrund eines falschen Benutzernamen oder Passwortes. Überprüfen Sie die Angaben im RADIUS-Server und gleichen Sie die Angaben mit dem Benutzer ab. Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da ein Fehler bei der Kommunikation mit dem RADIUS-Server aufgetreten ist. Bei der Weiterleitung der Daten für die Echtheitsbestätigung vom ISDN Access Server an den RADIUS-Server trat ein Kommunikationsfehler auf. Überprüfen Sie die Angaben zum RADIUS-Server in der Konfiguration des ISDN Access Servers, z.B. die IP-Adresse des Servers und das Passwort für RADIUS-Anfragen. Für die Kommunikation mit dem RADIUS-Server werden die UDP-Ports 1812 (Echtheitsbestätigung) und 1813 (Kosten/Nutzungsdaten) verwendet. Sollten Sie abweichende Werte benötigen (Linux benutzt z.B. die Ports 1645 und 1646), müssen Sie in der Windows NT-Systemdatei „services“ (im Windows-Verzeichnis SYSTEM32\DRIVERS\ETC\) zwei Einträge erzeugen: l radius 1645/udp l radact 1646/udp Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da die zugeordnete Benutzergruppe nicht vorhanden ist. Dem extern verwalteten Benutzer wurde eine Benutzergruppe zugeordnet, die nicht im ISDN Access Server definiert ist. Überprüfen Sie den Namen der Benutzergruppe in der „Konfiguration / Benutzerverwaltung / Benutzergruppen“. 94 ISDN Access Server – 7 Meldungen accserv.book Seite 95 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da das zugeordnete Gebührenprofil nicht vorhanden ist. Dem extern verwalteten Benutzer wurde ein Gebührenprofil zugeordnet, das nicht im ISDN Access Server definiert ist. Überprüfen Sie die Angaben in der Benutzergruppe („Konfiguration / Benutzerverwaltung / Benutzergruppen“) und im Menü „Spezielles“ (Gebührenprofile). Die einkommende Verbindung des extern verwalteten Benutzers mit der Rufnummer <Nummer> wird abgelehnt, da das zugeordnete Zeitprofil nicht vorhanden ist. Dem extern verwalteten Benutzer wurde ein Zeitprofil zugeordnet, das nicht im ISDN Access Server definiert ist. Überprüfen Sie die Angaben in der Benutzergruppe („Konfiguration / Benutzerverwaltung / Benutzergruppen“) und im Menü „Spezielles“ (Zeitprofile). Die einkommende IPX-Verbindung wird abgelehnt, da keine interne IPX-Netzwerknummer konfiguriert ist. Sie haben in den Server-Einstellungen („Allgemein“) keine interne IPXNetzwerknummer des ISDN Access Server-Rechners angegeben. Tragen Sie eine Netzwerknummer ein, um IPX-Verbindungen zu ermöglichen. Die einkommende <Protokoll>-Verbindung wird abgelehnt, da IP(IPX) für das Ziel/den Benutzer nicht konfiguriert ist. In den Einstellungen dieses Benutzers wurde IP bzw. IPX deaktiviert. Um die Verbindung mit diesem Netzwerkprotokoll zu ermöglichen, aktivieren Sie die entsprechende Einstellung. Die Verbindung kann nicht aufgebaut werden, da in diesem Zeitraum keine Verbindungen erlaubt sind (Zeitprofil). In den Einstellungen dieses Benutzers bzw. der Benutzergruppe wurde ein Zeitprofil ausgewählt, das den Zugriff auf das LAN nur zu bestimmten Zeiten erlaubt. Der Aufbau einer Verbindung zu dem Benutzer außerhalb der festgelegten Zugriffszeiten ist nicht möglich. Echtheitsbestätigung bei der Gegenstelle <Benutzer> ist fehlgeschlagen. Die lokale Seite konnte sich nicht bei der Gegenstelle identifizieren. Die Echtheitsbestätigung schlug fehl. ISDN Access Server – 7 Meldungen 95 accserv.book Seite 96 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Echtheitsbestätigung der Gegenstelle <Benutzer> bei der lokalen Seite ist fehlgeschlagen. Die Gegenstelle konnte sich nicht bei der lokalen Seite identifizieren. Die Echtheitsbestätigung schlug fehl. Einkommende <Protokoll>-Verbindung wird aufgebaut. Meldung, dass eine einkommende Verbindung mit dem angegebenen Netzwerkprotokoll aufgebaut wird. Einkommende logische Verbindung zu <Benutzer> (<CLI>) ging verloren (lokal). Die lokale Seite hat die einkommende logische Verbindung zur Gegenseite verloren. Einkommende Verbindung von <Benutzer> (<Nummer>) wird abgebaut, da für die Gegenstelle keine Einstellungen gefunden wurden. Der einkommende Ruf konnte nicht angenommen werden, da für diese Gegenseite keine lokale Benutzerkonfiguration gefunden werden konnte. Der bereits aufgebaute B-Kanal wird wieder abgebaut. Einkommender Ruf für <Gerufene Nummer> wird abgelehnt, da die DKanal-Rufnummer <CLI> nicht zur Einwahl berechtigt ist. Sie haben in den Sicherheitseinstellungen angegeben, dass Sie für alle einkommenden Rufe eine Überprüfung der D-Kanal-Rufnummer durchführen wollen. Die übermittelte D-Kanal-Rufnummer konnte nicht in der lokalen Rufnummerndatenbank gefunden werden. Daher wurde der Ruf zurückgewiesen. Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da bereits mehrere Rufe für diese Verbindung bearbeitet werden. Meldung, dass die maximale Anzahl von Rufen, die zur gleichen Zeit für einen Benutzer bearbeitet werden können, erreicht ist. Der einkommende Ruf wird abgelehnt. 96 ISDN Access Server – 7 Meldungen accserv.book Seite 97 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da die max. Anzahl von gebündelten Kanälen zu diesem Ziel/Benutzer schon aufgebaut ist. Meldung, dass nicht mehr Kanäle für die Kanalbündelung zur Verfügung stehen. Die konfigurierte maximale Anzahl von B-Kanälen wird bereits für diese Verbindung benutzt. Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da die maximale Anzahl von unterstützten Verbindungen erreicht ist. Meldung, dass zu diesem Zeitpunkt nicht mehr Verbindungen unterstützt werden. Der einkommende Ruf wird abgelehnt. Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da eine Rufkollision erkannt wurde. Beide Seiten haben gleichzeitig versucht, eine Verbindung aufzubauen. Der einkommende Ruf wurde abgelehnt. Einkommender Ruf von <Benutzer> (<Nummer>) wird angenommen. Der B-Kanal wird aufgebaut. Meldung, dass ein einkommender Ruf erfolgreich angenommen wurde und die B-Kanal-Verbindung aufgebaut wird. Einkommender Ruf von <CLI> für <Gerufene Nummer> kann nicht angenommen werden, da alle B-Kanäle in Benutzung sind. Der einkommende Ruf konnte nicht angenommen werden, da alle BKanäle auf dem angerufenen ISDN-Controller schon für andere physikalische Verbindungen genutzt werden. Einkommender Ruf von <CLI> für <Gerufene Nummer> wird abgelehnt, da alle B-Kanäle in Benutzung sind. Der einkommende Ruf konnte nicht angenommen werden, da alle BKanäle auf dem angerufenen ISDN-Controller schon für andere physikalische Verbindungen genutzt werden. Einkommender Ruf von <CLI> für <Gerufene Nummer> wird nicht angenommen, da die gerufene MSN/EAZ/DDI nicht konfiguriert ist. Die angerufene MSN/EAZ oder DDI wurde nicht für den ISDN Access Server konfiguriert. Eventuell ist der Ruf für eine andere Anwendung bestimmt. Daher wurde der einkommende Ruf nicht angenommen. ISDN Access Server – 7 Meldungen 97 accserv.book Seite 98 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Einkommender Ruf von <CLI> für <Nummer> wird abgelehnt, da ein Zugriff zu dieser Zeit nicht erlaubt ist. Sie haben in den Einstellungen des Benutzers bzw. der Benutzergruppe ein Zeitprofil zugewiesen, so dass dieser Benutzer nur zu festgelegten Zeiten auf das LAN zugreifen kann. Es wurde versucht, außerhalb der Zugriffszeiten eine Verbindung zum ISDN Access Server aufzubauen. Einkommender Ruf von <CLI> wird abgebaut, da die Kosten von der lokalen Seite übernommen werden. Meldung, dass der ISDN Access Server die Kosten für die Verbindung übernimmt. Dazu wurde der einkommende Ruf abgelehnt, und der ISDN Access Server hat zurückgerufen. Einkommender Ruf von <CLI> wird abgelehnt, da der eigene Endpoint Discriminator empfangen wurde. Der ISDN Access Server hat eine Verbindung zu sich selbst aufgebaut. Einkommender Ruf wurde abgelehnt, da in diesem Zeitraum keine Verbindungen erlaubt sind (Zeitprofil). Der einkommende Ruf eines Benutzers wurde nicht angenommen, da Sie in den Einstellungen des Benutzers bzw. der Benutzergruppe ein Zeitprofil festgelegt haben, das den Zugriff auf das Netzwerk nur zu bestimmten Zeiten erlaubt. Ein Zugriff außerhalb dieser Zeiten ist nicht möglich. Entfernte Seite <Benutzer> hatte die logische Verbindung verloren. Die Gegenseite hat die logische Verbindung zur lokalen Seite verloren. Gegenseite unterstützt den Sicherheitsrückruf nicht. Meldung, dass die angewählte Gegenseite nicht den vom lokalen ISDN Access Server geforderten Sicherheitsrückruf unterstützt. Keine freie IP(IPX)-Adresse zur dynamischen Zuweisung an den Benutzer. Alle IP-Adressen aus den Bereichen für die dynamische Adressvergabe sind bereits an entfernte Benutzer vergeben. Um die Einwahl weiterer Benutzer zu ermöglichen, definieren Sie weitere Adressbereiche („Konfiguration / Server-Einstellungen / IP- bzw. IPX-Adressvergabe“). 98 ISDN Access Server – 7 Meldungen accserv.book Seite 99 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Logische Verbindung zu <Benutzer> ging verloren (lokal). Die lokale Seite hat die ausgehende logische Verbindung zur Gegenseite verloren. Logischer Abbau der Verbindung nach Inaktivität. Die logische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut. Logischer Abbau der Verbindung, da der erlaubte Zeitraum für den Zugriff (Zeitprofil) überschritten wurde. In den Einstellungen dieses Benutzers bzw. der Benutzergruppe wurde ein Zeitprofil ausgewählt, das den Zugriff auf das LAN nur zu bestimmten Zeiten erlaubt. Die erlaubte Zugriffszeit wurde überschritten und aus diesem Grunde die Verbindung zum Benutzer abgebaut. Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> durchgelassen. Meldung der IP-Firewall, dass das beschriebene Paket durchgelassen wurde. Es werden der Filter sowie die Position der angewendeten Regel innerhalb des Filters angegeben. Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> verworfen. Meldung der IP-Firewall, dass das beschriebene Paket verworfen wurde. Es werden der Filter sowie die Position der angewendeten Regel innerhalb des Filters angegeben. Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> zurückgewiesen. Meldung der IP-Firewall, dass das beschriebene Paket zurückgewiesen wurde. Es werden der Filter sowie die Position der angewendeten Regel innerhalb des Filters angegeben. Physikalischer Abbau der Verbindung nach Inaktivität (Gebührenprofil). Die physikalische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut. Der Wert für den physikalischen Abbau wurde anhand des eingestellten Gebührenprofils errechnet. ISDN Access Server – 7 Meldungen 99 accserv.book Seite 100 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Physikalischer Abbau der Verbindung nach Inaktivität. Die physikalische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut. <Protokoll>-Verbindung ist abgebaut. Die logische Netzwerkverbindung zu dem benannten Benutzer wurde abgebaut. <Protokoll>-Verbindung ist aufgebaut. Die logische Netzwerkverbindung zu dem benannten Benutzer wurde aufgebaut. <Protokoll>-Verbindung wird abgebaut, da der entfernte Benutzer die fest zugewiesene Adresse nicht akzeptiert hat. Sie haben für den Benutzer in den Einstellungen eine statische IPAdresse definiert, die beim Verbindungsaufbau zugewiesen wird. Diese wurde vom Benutzer zurückgewiesen, z.B. da bei ihm bereits eine andere feste Adresse konfiguriert ist. Auf beiden Seiten müssen identische IP-Adressen eingestellt sein. <Protokoll>-Verbindung wird abgebaut. Die logische Netzwerkverbindung zu dem benannten Benutzer wird gerade abgebaut. <Protokoll>-Verbindung wird aufgebaut. Die logische Netzwerkverbindung zu dem benannten Benutzer wird gerade aufgebaut. Verbindung ist abgebaut, da der erwartete Rückruf nicht erfolgt ist. Der vom ISDN Access Server angeforderte Sicherheitsrückruf ist nicht erfolgt, daher wird die Verbindung abgebaut. Verbindung kann nicht aufgebaut werden, da ausgehende Rufe nicht erlaubt sind. In den Einstellungen des Benutzers bzw. der Benutzergruppe wurde festgelegt, dass zu diesem Benutzer keine ausgehenden Rufe aufgebaut werden dürfen. 100 ISDN Access Server – 7 Meldungen accserv.book Seite 101 Dienstag, 13. Juni 2000 11:52 11 Meldungen des ISDN Access Servers Zeitspanne für physikalischen Abbau (selbstlernend) der Verbindung zu <Benutzer> wird auf <xx> Sekunden gesetzt. Die Zeitspanne für den physikalischen Abbau der ISDN-Verbindung nach Inaktivität wurde auf die angegebenen Sekunden gesetzt. ISDN Access Server – 7 Meldungen 101 accserv.book Seite 102 Dienstag, 13. Juni 2000 11:52 11 102 ISDN Access Server accserv.book Seite 103 Dienstag, 13. Juni 2000 11:52 11 Informationen, Updates und AVM-Support 8 Informationen, Updates und AVM-Support AVM bietet Ihnen zahlreiche Informationsquellen, die Sie bei der täglichen Arbeit mit dem ISDN Access Server for Windows 2000 nutzen können. Für den Fall, dass Sie Ihre Probleme nicht alleine lösen können, haben Sie die Möglichkeit, sich an den AVM-Support zu wenden. 8.1 Informationsquellen und Updates Dokumentation Der ISDN Access Server enthält eine umfangreiche Dokumentation in unterschiedlichen Formaten: l Im Installationsverzeichnis des ISDN Access Server finden Sie das vorliegende Handbuch auch im PDF-Format. Es kann von der Startseite des ISDN Access Server-Managers sowie aus der Online-Hilfe heraus aufgerufen werden. Das Handbuch enthält ausführliche Informationen zum Konzept und den Einsatzmöglichkeiten des ISDN Access Server, die Installationsvoraussetzungen sowie eine Installationsbeschreibung. Es vermittelt Hintergrundwissen zur Funktionsweise des ISDN Access Server und zum Routing über ISDN und ADSL allgemein. Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von PDF-Dokumenten verfügen, können Sie diesen von der CD aus dem Verzeichnis PROGRAMS\ACROBAT installieren. l Die umfassende, HTML-basierte Online-Hilfe kann von jeder „Seite“ des ISDN Access Server-Managers aus aufgerufen werden. Sie enthält detaillierte Beschreibungen aller Parameter, MonitoringFunktionen und Statistikangaben. l Das Readme-Datei zum ISDN Access Server enthält wichtige Informationen und Installationshinweise, die zum Zeitpunkt der Drucklegung des Handbuchs noch nicht zur Verfügung standen. Sie kann und sollte bereits vor der Installation von der Einführung aus eingesehen werden (INTRO.HLP). l Ausführliche Informationen zu Windows 2000/NT erhalten Sie in der Windows 2000/NT-Dokumentation. ISDN Access Server – 8 Informationen, Updates und AVM-Support 103 accserv.book Seite 104 Dienstag, 13. Juni 2000 11:52 11 Weiterführende Literatur Weiterführende Literatur Informationen zu Windows 2000/NT erhalten Sie in den folgenden Werken: l Microsoft Press (Hrsg.): Windows 2000 – Die Technische Referenz, ISBN 3-86063-273-6 l Microsoft Press (Hrsg.): Microsoft Windows NT Server Version 4, Band Netzwerk, Microsoft Press, Redmond, Washington, 1996 Informationen zu TCP/IP und IP-Firewalls finden Sie z.B. in folgenden Büchern: l D. B. Chapman/E. D. Zwicky: Building Internet Firewalls, O´Reilly & Associates, 1995 l W. R. Cheswick/S. M. Bellovin: Firewalls and Internet Security, Addison-Wessley, Reading, Massachusetts, 1994 l M. Hein/M. C. Billo (Hrsg.): TCP/IP light, FOSSIL-Verlag GmbH, Köln, 1997 Informationen zu IPX finden Sie in den verschiedenen Novell-Dokumentationen zu NetWare. Das AVM Data Call Center Über das AVM Data Call Center (ADC) erhalten Sie Zugang zu den neuesten Informationen und kostenlosen Updates bzw. Erweiterungen zu AVM-Produkten. Die URL der AVM-Homepage lautet: http://www.avm.de Sie können das ADC auch mit dem im Lieferumfang der ISDN-Controller enthaltenen Programm Connect bzw. Connect32 erreichen. Nähere Informationen dazu finden Sie im Readme des ISDN-Controllers. Über das Internet bietet AVM außerdem ausführliche Informationen und kostenlose Updates: l Unter „Products“ finden Sie detaillierte Informationen zu allen AVM-Produkten sowie Ankündigungen neuer Produkte und Produktversionen. l Über „Service“ gelangen Sie zu den FAQs. FAQs (Frequently Asked Questions) sind Listen mit Anworten auf häufig gestellte Fragen. Hier können Sie nach konkreten Hilfestellungen suchen. 104 ISDN Access Server – 8 Informationen, Updates und AVM-Support accserv.book Seite 105 Dienstag, 13. Juni 2000 11:52 11 Unterstützung durch den Support l Über „Service“ können Sie darüber hinaus aktuelle Treibersoftware für alle AVM ISDN-Controller herunterladen. Falls Sie nicht sofort eine Verbindung erhalten, versuchen Sie es erneut. Das ADC kann zu Spitzenzeiten besetzt sein. 8.2 Unterstützung durch den Support Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen, bevor Sie sich mit dem Support in Verbindung setzen! Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen Informationsquellen Ihr Problem nicht lösen können, wenden Sie sich für weitere technische Unterstützung an den AVM-Support. Sie erreichen den Support per E-Mail oder Telefax. Support per E-Mail Sie können eine Support-Anfrage per E-Mail an AVM versenden. Nutzen Sie dazu bitte unser E-Mail-Formular auf den AVM-Internet-Seiten. 1. Geben Sie die Adresse der AVM ein: http://www.avm.de/support 2. Klicken Sie auf dieser Seite auf den Sprung „Mail-Formular“. 3. Wählen Sie dann unter „Networking-/Serverprodukte“ den Sprung „Windows 2000“. Es erscheint eine Liste mit Produkten. 4. Klicken Sie hier „ISDN Access Server for Windows 2000“ an. 5. Spezifieren Sie Ihr Problem per Mausklick im rechten Teil des Fensters. Ein E-Mail-Formular erscheint. 6. Füllen Sie das Formular aus und schicken Sie es über die Schaltfläche „Senden“ zum AVM-Support. ISDN Access Server – 8 Informationen, Updates und AVM-Support 105 accserv.book Seite 106 Dienstag, 13. Juni 2000 11:52 11 Support per Telefax Support per Telefax Wenn Sie keinen Internet-Zugang haben, erreichen Sie den Support per Telefax unter folgender Rufnummer: +49/(0)30/3 99 76-2 66 Bitte geben Sie auf Ihrem Telefax Ihren Product Identification Code (PIC) an, der sich auf der CD-Hülle befindet. Bereiten Sie weiter folgende Informationen für Ihren Berater vor: l Mit welcher Version des ISDN Access Server for Windows 2000 arbeiten Sie? Die Versionsnummer können Sie in der Readme-Datei nachlesen. l Mit welchem Microsoft Service Pack arbeiten Sie? l Welches Betriebssystem ist auf dem Rechner installiert, auf dem Sie den ISDN Access Server installiert haben (Windows 2000 oder Windows NT)? l Mit welchem Netzwerkprotokoll arbeiten Sie? l Welchen ISDN-Controller verwendet der ISDN Access Server-Rechner? Mit welcher Treiberversion und mit welchem Build arbeiten Sie? Sie erhalten die Treiberversion und das Build von AVM ISDN-Controllern aus der Datei „Readme“ im Installationsverzeichnis des ISDN-Controllers. Wenn Sie FRITZ! auf dem ISDN Access ServerRechner installiert haben, erhalten Sie die Treiberversion auch durch Aufruf von „Start / Programme / FRITZ! / FRITZ!Version“. Klicken Sie dann in dem Fenster „FRITZ!Version“ auf die Schaltfläche „Systeminformationen“. l Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben? l Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testverbindung zum AVM Data Call Center (ADC) aufzubauen? l An welcher Stelle der Installation oder an welcher Stelle in der Anwendung erscheint eine Fehlermeldung? l Wie lautet die Meldung genau? 106 ISDN Access Server – 8 Informationen, Updates und AVM-Support accserv.book Seite 107 Dienstag, 13. Juni 2000 11:52 11 Glossar 1TR6 1TR6 ist das ältere nationale deutsche D-Kanal-Protokoll. Seit Dezember 1993 werden in Deutschland keine neuen ISDN-Anschlüsse mit diesem Protokoll mehr installiert. Seitdem wird nur das D-Kanal-Protokoll DSS1 für neue Anschlüsse verwendet. Amtsholung Die Amtsholung ist die Ziffer, die innerhalb einer Nebenstellenanlage vorgewählt werden muss, um eine Amtsleitung zu bekommen. In den meisten Fällen ist dies die „0“. Beim ISDN Access Server geben Sie die Amtsholung für die einzelnen ISDN-Controller an („Konfiguration / Server-Einstellungen / ISDN-Controller“). Die Amtsholung wird dann automatisch vor die Rufnummer gesetzt. B-Kanal Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermöglichen eine Übertragung mit 64 KBit/s. Um die Übertragung zu beschleunigen, können B-Kanäle auch gebündelt werden. CHAP (Challenge Handshake Authentication Protocol) Eines der beiden Protokolle für die Echtheitsbestätigung. Zur Echtheitsbestätigung muss auf der Seite, die die Echtheitsbestätigung verlangt, ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihrer Konfiguration eingetragen haben. Bei der Echtheitsbestätigung mit CHAP generiert die Seite, die die Identifizierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Algorithmus eine Meldung, die zur Gegenseite geschickt wird. Diese generiert aus der Meldung und dem Passwort – ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert, der zurückgesendet wird. Die andere Seite wiederum prüft nun, ob der von ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit dem übereinstimmt, was die Gegenseite zurückgesendet hat. Ist dies der Fall, wird die Verbindung aufgebaut. CHAP ist in RFC 1334 und RFC 1994 beschrieben. ISDN Access Server – Glossar 107 accserv.book Seite 108 Dienstag, 13. Juni 2000 11:52 11 CLIP (Calling Line Identification Presentation), Übermittlung der D-Kanal-Rufnummer Übermittlung der Rufnummer über den ISDN-D-Kanal. CLIP ist ein Leistungsmerkmal im ISDN, das vom ISDN Access Server z.B. zur Identifizierung einkommender Rufe und zum Schutz vor unberechtigten Zugriffen verwendet wird. Dieses Leistungsmerkmal muss durch den ISDNDienstleister auf der anrufenden Seite freigeschaltet sein. In Deutschland kann man dies z.B. bei der Beantragung eines ISDN-Anschlusses anmelden. COMMON-ISDN-API (CAPI) Standardisierte herstellerunabhängige Schnittstelle zwischen ISDNRechner-Karten und ISDN-Anwendungen. CAPI steht nach der Installation der AVM ISDN-Controller im gesamten System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber erhalten Sie kostenlos über den FTP-Server von AVM (ftp://ftp.avm.de). Der ISDN Access Server setzt auf der Application Level-Schnittstelle von CAPI 2.0 auf. D-Kanal Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie z.B. die Art des benutzten ISDN-Dienstes oder die Rufnummer des Kommunikationspartners. Die Bandbreite beträgt 16 KBit/s beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss. Über den DKanal können im ISDN Gebühreninformationen (AOCD) und die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Diese Leistungsmerkmale müssen in Deutschland separat beantragt werden. Domäne Eine Domäne ist eine logische Gruppierung von Netzwerk-Servern und anderen Rechnern, die über gemeinsame Sicherheitsmerkmale und Informationen der Benutzerkonten verfügen. Innerhalb der Domänen wird von den Administratoren je Benutzer ein Benutzerkonto erstellt. Die Benutzer melden sich dann nicht am Server in der Domäne, sondern an der Domäne selbst an. Die Bezeichnung Domäne bezieht sich nicht auf einen bestimmten Ort oder eine besondere Art der Netzwerkkonfiguration. Die Standorte von Computern einer einzelnen Domäne können physisch nahe beieinander, wie in einem lokalen Netzwerk (LAN), oder aber auch weit voneinander entfernt über die ganze Welt verteilt sein. Die Kommunikation ist hierbei über jegliche Art der physischen Verbindung möglich, wie z.B. 108 ISDN Access Server – Glossar accserv.book Seite 109 Dienstag, 13. Juni 2000 11:52 11 über Einwählverbindungen, ISDN, Glasfaserkabel, Ethernet, Token Ring, Frame Relay, Satellit und Standleitungen (vgl. Microsoft Corporation, „Microsoft Windows NT Server Version 4 - Netzwerk“). Domänen-Controller In Windows NT Server-Netzwerken können die Server Konteninformationen gemeinsam nutzen, falls sie in einer oder in mehreren Domänen zusammengefasst sind. Auf einem Server der Domäne, dem PDC (primären Domänen-Controller), werden sämtliche Konten gespeichert und die Änderungen an die Backup-Domänen-Controller der Domäne weitergegeben. Die Organisation in Domänen ermöglicht es den Benutzern, alle Ressourcen der Domäne mit einem einzigen Benutzername und Kennwort zu erreichen. Die Benutzerkontenverwaltung in einer Domäne wird damit vereinfacht, weil Änderungen nur auf dem Domänen-Controller vorgenommen werden müssen. DSS1 Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-Anschlüsse in Deutschland verwenden DSS1. Echtheitsbestätigung Als Echtheitsbestätigung wird das Überprüfen der Anmeldeinformationen (Name und Passwort) einer Gegenstelle bei ein- und ausgehenden Rufen bezeichnet. Diese Überprüfung dient beim ISDN Access Server der Sicherheit vor unberechtigten Zugriffen und auch der Identifizierung des Benutzers, wenn die Zuordnung einkommender Rufe anhand der D-Kanal-Rufnummer (CLI) nicht aktiviert ist. Für die Echtheitsbestätigung stehen die Verfahren PAP und CHAP zur Verfügung. Im ISDN Access Server kann für jedes Ziel festgelegt werden, ob und mit welchem Verfahren sich die Gegenstelle beim ISDN Access Server identifizieren muss („Echtheitsbestätigung auf lokaler Seite“). Für jedes Verfahren müssen ein Name und ein Passwort konfiguriert werden, die dem Benutzer mitgeteilt werden. Falls der Benutzer eine Echtheitsbestätigung des Netzwerkes verlangt („Echtheitsbestätigung bei der Gegenstelle“), können Sie dafür in den Benutzereinstellungen Namen und Passwort eingeben. Diese Angaben werden Ihnen vom Benutzer mitgeteilt. ISDN Access Server – Glossar 109 accserv.book Seite 110 Dienstag, 13. Juni 2000 11:52 11 Extern verwaltete Benutzer Als extern verwaltete Benutzer werden alle Benutzer bezeichnet, deren Echtheitsbestätigung und Verwaltung nicht ausschließlich über den ISDN Access Server, sondern über eine externe Datenbank (z.B. Benutzer-Manager von Windows auf dem ISDN Access Server-Rechner) oder einen externen Server (Benutzer-Manager auf einem anderen Server oder RADIUS-Server) erfolgt. Spezifische Parameter für den Fernzugriff über ISDN wie z.B. Spoofing-Einstellungen, physikalischer Verbindungsabbau usw. können Sie im ISDN Access Server in Benutzergruppen und Einstellungen für Windows-Benutzer speichern. Filter (speziell) Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigen und unnötigen Verbindungsaufbauten führen können. Aus diesem Grunde enthält der ISDN Access Server einige spezielle Paketfilter, um solche Pakete abzufangen. So können z.B. SNMP-Pakete in UDP und TCP oder NetBIOS-Broadcasts in IP und IPX gefiltert und nicht über ISDN übertragen werden. Das Filtern erfolgt entsprechend den Angaben zu Quellund Zielport. Die Filtermechanismen werden nicht mit der Gegenstelle ausgehandelt, sondern im ISDN Access Server fest gesetzt. Firewall Die Firewall-Filter des ISDN Access Servers dienen zum Schutz vor unerlaubtem Eindringen in das Netzwerk sowie zur Selektion der Daten und Dienste, die für den Zugriff von außen bereitgestellt werden. Für die Implementierung von Firewalls gibt es verschiedene Mechanismen. Beim ISDN Access Server wird die Firewall durch einen Paketfilter realisiert: Der ISDN Access Server überprüft bei jedem ein- und ausgehenden Datenpaket, ob es dem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Zieladresse des Paketes (Netzwerkadresse und Maske) sowie der Dienst (z.B. FTP). Die Sicherheitsregeln werden in globalen IP-Filtern gespeichert. Die Regeln entscheiden darüber, welche Aktion bei einem Paket durchgeführt wird: Paket durchlassen, verwerfen oder mit einer Fehlermeldung zurückweisen. 110 ISDN Access Server – Glossar accserv.book Seite 111 Dienstag, 13. Juni 2000 11:52 11 FTP (File Transfer Protocol) FTP ist ein herstellerneutrales Protokoll, d.h. es ist unabhängig von Bauweise und Betriebssystem der Rechner, auf denen es die Dateiverwaltung und den Datenaustausch regelt. Das FTP setzt unmittelbar auf dem TCP der Schicht 4 des OSI-Referenzmodells (Transport Layer/Transportschicht) auf. Das Protokoll ist in RFC 959 dokumentiert. Gebührenprofil Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakte abhängig von Tarifzeiten und vom Tarifbereich, z.B. „City“. Jedes Profil besteht aus zwei Listen mit Gebührentakten über einen Zeitraum von 24 Stunden: eine Liste gilt für Werktage (Montag-Freitag), die andere für die Wochenenden und (optional) Feiertage. Der ISDN Access Server verwendet Gebührenprofile zur Steuerung des physikalischen Abbaus ungenutzter ISDN-Verbindungen. Wird in den Benutzereinstellungen für den physikalischen Abbau ein Gebührenprofil ausgewählt, wird die Verbindung drei Sekunden vor Ende des Gebührentaktes abgebaut, wenn vorher drei Sekunden lang keine Daten übertragen wurden. Auf diese Weise wird der Gebührentakt optimal ausgenutzt. Das ausgewählte Gebührenprofil wird außerdem zur Abschätzung der angefallenen Gebühren verwendet. Die vom ISDN Access Server auf dieser Grundlage berechneten Gebühren werden dann mit dem benutzerbezogenen Budget und dem Budgetwert der globalen Schwellenwerte verglichen. Auf diese Weise werden unerwartet hohe ISDN-Kosten vermieden. Sie sollten auf jeden Fall in den ISDN-Einstellungen aller Benutzer ein Gebührenprofil auswählen, wenn an Ihrem ISDN-Anschluss bzw. Ihrer Nebenstellenanlage keine Gebühreninformationen während der Verbindung übertragen werden (nach AOCD). Stehen dem ISDN Access Server diese Gebühreninformationen nicht zur Verfügung, ist das Gebührenprofil die einzige Möglichkeit, die angefallenen Gebühren zu berechnen und mit den Budgets zu vergleichen. Der ISDN Access Server nutzt die Gebührenprofile außerdem, um die Kosten des Benutzers zu schätzen. ICMP (Internet Control Message Protocol) ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells (Network Layer/Vermittlungsschicht). Es dient zum Austausch von Fehler- und Informationsmeldungen (z.B. Informationen über Routen und Zieladressen). Ein Beispiel für einen weitverbreiteten Dienst auf der Basis von ICMP ist Ping. ICMP setzt auf dem Internet Protocol (IP) auf und wird ISDN Access Server – Glossar 111 accserv.book Seite 112 Dienstag, 13. Juni 2000 11:52 11 von IP behandelt, als sei es ein Protokoll einer höheren Schicht. ICMPDaten werden vor dem Versand immer mit einem vollständigen IP-Header versehen; der folgende Datenteil enthält die ICMP-Meldungen. Intern verwalteter Benutzer Als intern verwaltete Benutzer werden alle Benutzer bezeichnet, die über das Menü „Benutzereinstellungen“ in der Konfiguration des ISDN Access Servers eingetragen werden. Die Einstellungen der intern verwalteten Benutzer wie z.B. IP/IPX-Adresse, Zeitspanne für den physikalischen Abbau usw. werden in der ISDN Access Server-Datenbank NTR.MDB gespeichert. Bei intern verwalteten Benutzern erfolgt die gesamte Konfiguration, Echtheitsbestätigung und Verwaltung ausschließlich über den ISDN Access Server. IP (Internet Protocol) Innerhalb der TCP/IP-Protokollfamilie ist IP für die Weiterleitung von Daten zuständig. Es hat generell die Aufgabe, die Datenübertragung zwischen verschiedenen Netzwerken sicherzustellen. Zu den Aufgabengebieten des IP zählen: l Datenpaketdienst l Fragmentierung von Datenpaketen l Wahl der Übertragungsparameter l Adressfunktion l Routing zwischen Netzwerken l Spezifikation höherer Protokolle IP stellt keine gesicherte Verbindung zur Verfügung (keine Ende-zu-Ende-Kontrolle), es verlässt sich in dieser Hinsicht auf die Protokolle der höheren Schichten. Es kann keine verlorenen oder abgelehnten Datenpakete neu generieren und erneut übertragen. Es ist auch nicht seine Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger abzuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht (Schicht 4) des OSI-Referenzmodells. IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link Layer/Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben. 112 ISDN Access Server – Glossar accserv.book Seite 113 Dienstag, 13. Juni 2000 11:52 11 IP-Adressen, siehe TCP/IP-Adressen IP-Maske, siehe TCP/IP-Adressen IPX (Internetworking Packet Exchange Protocol) Von Novell entwickeltes Netzwerkprotokoll, mit dem Datenpakete im Netzwerk schnell und sicher zwischen zwei Netzwerkrechnern ausgetauscht werden. IPX-Adressen Hexadezimale Nummer zur Identifizierung eines Servers in einem Netzwerk. Jeder Server muss eine eindeutige interne IPX-Netzwerknummer haben. Diese Nummer besteht aus acht hexadezimalen Ziffern (1 bis FFFFFFFE). Um mehrere aufeinanderfolgende IPX-Adressen zusammenzufassen (z.B. bei der Bearbeitung der RIP-Filter im ISDN Access Server), können Sie auch eine Maske definieren. Um z.B. die aufeinanderfolgenden IPX-Adressen 11111111 bis 1111111F zusammenzufassen, geben Sie als Adresse 11111110 und als Maske FFFFFFF0 an. Um die IPX-Adressen 11111110 bis 11111113 zusammenzufassen, geben Sie als Adresse 11111110 und als Maske FFFFFFFC an. Keep-Alive-Pakete Keep-Alive-Pakete werden periodisch im gesamten Netzwerk versendet, um zu überprüfen, ob z.B. ein Client noch aktiv ist. Erhält die sendende Station keine Antwort, unterbricht sie die logische Verbindung. Logische ISDN-Verbindung Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau über ISDN, mit dem auch die Verbindungsparameter ausgehandelt werden. Diese Verbindungsparameter gelten für die Dauer der logischen ISDN-Verbindung. Dazu gehören das verwendete Netzwerkprotokoll, ob Echtheitsbestätigung durchgeführt wird sowie Verbindungsmanagement-Parameter wie z.B. durchgeführte Spoofingmechanismen oder Kanalbündelung. Je nach Konfiguration wird die logische ISDN-Verbindung zusammen mit der physikalischen abgebaut oder kann darüber hinaus bestehen bleiben, wenn dies mit der Gegenstelle ausgehandelt werden konnte. ISDN Access Server – Glossar 113 accserv.book Seite 114 Dienstag, 13. Juni 2000 11:52 11 Metrik Mit dem Wert für die Metrik nehmen Sie eine Gewichtung von Routen vor. Wenn mehrere Routen zu einem Ziel definiert und verfügbar sind, wählt der ISDN Access Server die Route mit dem niedrigsten MetrikWert, da diese als „beste Route“ eingestuft wurde. MSN (Multiple Subscriber Number=Mehrfachrufnummer) Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1) zur Unterscheidung von mehreren Endgeräten an demselben S0-Bus oder mehreren CAPI-Anwendungen auf demselben Rechner. Im Bereich der Deutschen Telekom AG werden einem ISDN-Standardanschluss standardmäßig drei Mehrfachrufnummern zugewiesen. NCP (NetWare Core Protocol) Protokoll zur Steuerung der Kommunikation zwischen den Klienten und dem Server in einem Novell-Netzwerk. NetBIOS (Network Basic Input/Output System) Standard für die Unterstützung der Netzwerkkommunikation, der unabhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als auch IPX transportiert werden. NetBIOS versendet zahlreiche Broadcasts (Rundsendungen), die mit Hilfe der speziellen Filter des ISDN Access Servers abgefangen werden können, um die Verbindungskosten zu reduzieren. PAP (Password Authentication Protocol) Eines der beiden Protokolle für die Echtheitsbestätigung. Auf der Seite, die die Echtheitsbestätigung verlangt, müssen ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihren Einstellungen eingetragen haben. Bei der Echtheitsbestätigung mit PAP werden der Name und das Passwort im Klartext übertragen, und die Gegenseite prüft, ob diese mit den eigenen Einstellungen übereinstimmen. Ist dies der Fall, wird die Verbindung aufgebaut. 114 ISDN Access Server – Glossar accserv.book Seite 115 Dienstag, 13. Juni 2000 11:52 11 Physikalische ISDN-Verbindung Bei der physikalischen ISDN-Verbindung ist tatsächlich ein oder mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren. Die physikalische ISDN-Verbindung baut immer auf der logischen ISDNVerbindung auf, d.h. die ausgehandelten Verbindungsparameter werden verwendet. Ping (Packet InterNet Grouper) Programm zum Testen, ob ein Host erreicht werden kann. Das Programm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eine entsprechende Antwort. Mit Hilfe der Option -w nach dem Befehl ping können Sie festlegen, wie viele Millisekunden das Programm auf eine Antwort warten soll (Timeout). Da der Verbindungsaufbau über ISDN und die Aushandlung der Gegenstelle einige Sekunden dauern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben. PPP (Point-to-Point-Protocol) Übertragungsprotokoll auf verbindungsorientierten Netzen wie z.B. ISDN, das eine protokollunabhängige Übertragung zur Verfügung stellt. Das Protokoll besteht aus einer Reihe von Standards und Unterprotokollen. Diese beschreiben für verschiedene Netze den Aufbau der übertragenen Daten. Dadurch soll gewährleistet werden, dass die Kommunikationsgeräte verschiedener Hersteller einheitliche Verfahren zur Kommunikation verwenden. PPP over ISDN ist in RFC 1618 beschrieben. RADIUS (Remote Authentification Dial In User Service) Standard-Dienst auf der Basis von IP zur Echtheitsbestätigung und Erfassung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählende Benutzer. Bei der Einwahl eines entfernten Benutzers leitet der ISDN Access Server eine Anfrage mit Benutzernamen und Passwort des Benutzers an den RADIUS-Server weiter. Dieser führt die Echtheitsbestätigung durch und sendet die Bestätigung sowie eine Reihe von Konfigurationsinformationen (z.B. IP-Adresse für den Benutzer) zurück. Das RADIUS-Protokoll ist in RFC 2058, das RADIUS-Accounting in RFC 2139 definiert. ISDN Access Server – Glossar 115 accserv.book Seite 116 Dienstag, 13. Juni 2000 11:52 11 RIP (Routing Information Protocol) Das Routing Information Protocol (RIP) dient zum Austausch von Routing-Informationen zwischen Netzwerken (IP und IPX). Ein RIP-Router ist ein Computer oder eine andere Hardware-Komponente, die RoutingInformationen (wie z.B. Netzwerkadressen) überträgt und IP-Rahmen in verbundenen Netzwerken weiterleitet. RIP ermöglicht einem Router, Routing-Informationen mit Routern in der Netzwerkumgebung auszutauschen. Wenn ein Router irgendeine Veränderung in der Struktur des Netzwerkverbundes erkennt (z.B. einen nichtverfügbaren Router), leitet er die Informationen an die Router in der Netzwerkumgebung weiter. Router versenden außerdem regelmäßig RIP-Rundsendungspakete mit den gesamten Routing-Informationen, über die der Router verfügt. Durch diese Übertragungen werden alle Router des Netzwerkverbundes synchronisiert. Route Eine Route beschreibt den Weg, den ein Datenpaket zurücklegen muss, um sein Ziel zu erreichen. Beim Empfänger der Datenpakete muss eine Rückroute definiert sein, damit die Antwortpakete an den Absender geschickt werden können. SAP (Service Advertising Protocol) Protokoll in NetWare-Umgebungen. Mit Hilfe von SAP teilen NetWareServer allen Stationen im Netzwerk mit, welche Dienste sie zur Verfügung stellen. Short-Hold-Modus Unter Short-Hold-Modus versteht man den physikalischen Abbau inaktiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physikalisch aktive ISDN-Verbindungen fallen Gebühren an, egal, ob gerade Daten übertragen werden oder nicht. Da der Verbindungsaufbau über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es sich an, die physikalische ISDN-Verbindung abzubauen, wenn längere Zeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Verbindung bleibt je nach Konfiguration bestehen. Sobald dann Daten zur Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Anwender im Netzwerk transparent. 116 ISDN Access Server – Glossar accserv.book Seite 117 Dienstag, 13. Juni 2000 11:52 11 SMTP (Simple Mail Transfer Protocol) SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post (E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821 definiert. SNMP = Simple Network Management Protocol Zu Beginn der achtziger Jahre veröffentlichte die ISO (International Organisation for Standardisation) ein Managementmodell, das im OSI Management Framework (DIS 7498-4) dokumentiert wurde. Oberste Prämisse dieses Modells ist es, die reibungslose Zusammenarbeit zwischen Netzwerkmanagementprodukten verschiedener Hersteller zu ermöglichen. Innerhalb des Standards werden Hilfsmittel definiert, um Informationen über den aktuellen Zustand des Netzwerkes zu erhalten und um die einzelnen Komponenten zu kontrollieren. Die ISO beschreibt die Managementbereiche als Objekte und Attribute. Die Summe aller Objekte, die verwaltet werden können, bildet die Management Information Base (MIB). Die Kommunikation einer Netzwerkmanagement-Station (NM-Station) und der managebaren Objekte erfolgt mittelbar über Agent-Stationen. SNMP regelt die Datenübertragung zwischen der Agent-Station und der NM-Station. Zur Kommunikation zwischen beiden Stationen werden die Protokolle TCP/IP eingesetzt. Der ISDN Access Server bietet zusätzlich zur HTTP-Verwaltung die Möglichkeit, Standardinformationen über SNMP bereitzustellen. Den SNMP-Zugriff regeln Sie mit Hilfe der Funktion im Menü „Sicherheit“. Spoofing Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln. Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigen und unnötigen Verbindungsaufbauten führen können. Manche Pakettypen, vor allem von Anwendungen in NetWare-Umgebungen, wie z.B. Watchdog-Pakete, verlangen eine Bestätigung der Gegenseite und dürfen deshalb vom ISDN Access Server nicht einfach aus dem Datenstrom herausgefiltert werden, da sonst die Anwendung nicht mehr am Server angemeldet ist. Unter Spoofing versteht man das lokale Beantworten von Paketen. ISDN Access Server – Glossar 117 accserv.book Seite 118 Dienstag, 13. Juni 2000 11:52 11 Die verwendeten Spoofing-Mechanismen werden beim Verbindungsaufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert. SPX (Sequenced Packet Exchange) Protokoll, mit dessen Hilfe zwei Arbeitsplatzrechner oder Anwendungen über ein Netzwerk kommunizieren. SPX befindet sich wie TCP auf Schicht 4 des OSI-Referenzmodells (Transport Layer/Transportschicht) und sorgt für eine gesicherte Ende-zu-Ende-Kommunikation. SPX greift zur Übermittlung von Nachrichten auf NetWare IPX zurück. Die eigentliche Nachrichtenübermittlung wird aber von SPX sichergestellt. SPX sorgt dabei für die Einhaltung der Reihenfolge der Nachrichten im Paketstrom. Eine Weiterentwicklung von SPX stellt SPX II dar. Subnetzmasken (Masken) Durch die Verwendung von Subnetzmasken kann der „Rechnerteil“ einer Adressklasse in einen Subnetzteil umgewandelt werden. Dieser unterscheidet sich dann nicht in der Behandlung durch andere Rechner oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetzund welche als Rechneradresse interpretiert werden. So wird z.B. eine Klasse-A-Adresse, die eine Standard-Subnetzmaske von 8 (255.0.0.0) hat, durch die Subnetzmaske 16 (255.255.0.0) zu einer quasi Klasse-BAdresse und durch eine 24 (255.255.255.0) zu einer quasi Klasse-CAdresse. Die folgende Tabelle gibt einen Überblick über diese Umsetzung: 118 ISDN Access Server – Glossar accserv.book Seite 119 Dienstag, 13. Juni 2000 11:52 11 Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske 000-255 256 /24 255.255.255.0 000-127 128-255 128 /25 255.255.255.128 000-063 064-127 128-191 192-255 64 /26 255.255.255.192 000-031 032-063 064-095 096-127 128-159 160-191 192-223 224-255 32 /27 255.255.255.224 000-015 016-031 032-047 048-063 064-079 080-095 096-111 112-127 128-143 144-159 160-175 176-191 192-207 208-223 224-239 240-255 16 /28 255.255.255.240 ISDN Access Server – Glossar 119 accserv.book Seite 120 Dienstag, 13. Juni 2000 11:52 11 000-007 008-015 016-023 024-031 032-039 040-047 048-055 056-063 064-071 072-079 080-087 088-095 096-103 104-111 112-119 120-127 128-135 136-143 144-151 152-159 160-167 168-175 176-183 184-191 192-199 200-207 208-215 216-223 224-231 232-239 240-247 248-255 8 /29 255.255.255.248 Subnetzmasken im ISDN Access Server Eine einzelne IP-Adresse wird mit der Maske 255.255.255.255 bzw. /32 beschrieben. TCP (Transmission Control Protocol) TCP ist für den Einsatz von paketvermittelten Netzwerken geeignet. Es setzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelle Verbindungsdienste zur gesicherten Übertragung der Anwenderdaten in der richtigen Reihenfolge. Es gewährleistet eine zuverlässige Verbindung zwischen zwei Kommunkationspartnern. TCP ist als RFC 793 veröffentlicht. 120 ISDN Access Server – Glossar accserv.book Seite 121 Dienstag, 13. Juni 2000 11:52 11 TCP/IP-Adressen Die TCP/IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Die Darstellung der Internet-Adressen erfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. Der ISDN Access Server verwendet die dezimale Schreibweise, bei der die einzelnen Bytes zur Kenntlichmachung der Zusammengehörigkeit durch Punkte voneinander getrennt werden. Die Gesamtmenge der Internet-Adressen, der Adressraum, wird in Klassen (A, B, C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten drei Klassen genutzt. Diese Klassen sind durch folgende Merkmale gekennzeichnet: Klassen Merkmale Netzadresse, dezimaler Wert Klasse-A-Adresse Wenig Netzwerke, viele Netzknoten 0-127 Klasse-B-Adresse Mittlere Verteilung von Netzwerken und Netzknoten 128-191 Klasse-C-Adresse Viele Netzwerke, wenig Netzknoten 192-223 Merkmale der IP-Adressklassen Jede IP-Adresse besteht aus zwei Teilen: der Netzwerkadresse und der Rechneradresse. Die Bereichsgrößen der Netzwerkadresse und der Rechneradresse sind variabel, sie werden durch die ersten vier Bit (des ersten Byte) einer IP-Adresse bestimmt. Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse und drei Byte Rechneradresse: X._._._ Netzwerkadresse Rechneradresse Klasse-A-Adresse Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse, 120.5.120 die Rechneradresse). Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei Byte Rechneradresse: ISDN Access Server – Glossar 121 accserv.book Seite 122 Dienstag, 13. Juni 2000 11:52 11 X.X._._ Netzwerkadresse Rechneradresse Klasse-B-Adresse Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die Rechneradresse). Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Rechneradresse: X.X.X._ Rechneradresse Netzwerkadresse Klasse-C-Adresse Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die Rechneradresse). UDP (User Datagram Protocol) Dieses Protokoll ist auf Schicht 4 des OSI-Referenzmodells (Transport Layer/Transportschicht) beheimatet und bietet den höheren Protokollen einen definierten Dienst zum transaktionsorientierten Versand von Datenpaketen. UDP verfügt nur über minimale Protokollmechanismen zur Datenübertragung zwischen Kommunikationspartnern. Da es – anders als TCP – keine Ende-zu-Ende-Kontrolle garantiert, sind weder Ablieferung eines Datenpakets beim Empfänger, das Erkennen von Duplikaten oder die reihenfolgerichtige Übermittlung der Datenpakete gewährleistet. UDP ist im RFC 768 definiert. 122 ISDN Access Server – Glossar accserv.book Seite 123 Dienstag, 13. Juni 2000 11:52 11 Index A C ADC. Siehe AVM Data Call Center Aktionen in Filterregeln 47 Amtsholung, Glossareintrag 107 Anforderungen Hardware 19 ISDN-Anschluss 21 Software 20 Anzeige der entfernten Benutzer 68 API 18 Arbeitsgruppe Konfigurationshinweise 61 Auswahl Ereignisse 71 Kosten/Nutzungsdaten 69 Verbindungsinformationen 69 AVM Data Call Center (ADC) 104 AVM-Support Informationsquellen 103 Support per E-Mail 105 Support per Telefax 106 Updates 103 CAPI, Glossareintrag 108 CAPI-Anwendungen 11 CAPI-Meldungen 77 CHAP, Glossareintrag 107 CLI 42, 43 allgemein 10 CLIP, Glossareintrag 108 COSO 55 B B1 Server Edition 10 Beenden und Starten des Dienstes 32 Begrenzung der Gebühren allgemein 12 konkrete Einstellungen 49 Behandlung einkommender Rufe 42 Benutzer, Überblick 68 Benutzerbezogene Budgets 54 Benutzerverwaltung allgemein 11 Einstellungen 37 Prioritäten 41 Zugriff organisieren 40 B-Kanal-Reservierung 41 Budgets, benutzerbezogen 54 Budgetübersicht Kosten/Nutzungsdaten 69 D Datenbanken des ISDN Access Servers 72 Deinstallation 32 Dienst beenden und neu starten 32 D-Kanal-Rufnummer Überprüfung 42, 43 D-Kanal-Rufnummer, Überprüfung allgemein 10 DNS-Server Konfigurationshinweise 60 Domänen-Controller, Glossareintrag 109 Dynamische Vergabe von Adressen 41 Dynamische Vergabe von IP-Adressen Konfigurationshinweise 57 E Echtheitsbestätigung 43, 44 Echtheitsbestätigung, Glossareintrag 109 Einkommende Rufe, Behandlung 42 Einrichten von Benutzern allgemein 11 Grundeinstellungen 37 Einstellungen global für ISDN Access Server 35 Nebenstellenanlage 36 Entfernte Benutzer, Anzeige 68 Ereignisse 70 Extern verwaltete Benutzer einrichten 37 Kosten/Nutzungsdaten 70 zusätzliche Einstellungen 38 ISDN Access Server – Index 123 accserv.book Seite 124 Dienstag, 13. Juni 2000 11:52 11 F Fehlermeldungen des ISDN Access Servers Festverbindungsarten 10 Filter 45 Filter, spezielle 51 Glossareintrag 110 Filterregeln 47 Firewall 46 Glossareintrag 110 Forward-Filter 47 77 G Gebühren sparen allgemein 12 konkrete Einstellungen 49 Gebührenprofil 111 Gemeinsame Startseite der ISDN Services Globale Einstellungen 35 Globale IP-Filter 46 Globale Schwellenwerte 53 Globaler Input-Filter 46 Globaler Output-Filter 46 GSM 11 I Input-Filter 46 Installation Vorbereitungen ISDN-Controller 25 Lokales Netzwerk 23 Installation des ISDN Access Servers Installation mit anderen CAPIAnwendungen 11 Intern verwaltete Benutzer einrichten 40 Kosten/Nutzungsdaten 69 Interoperabilität 17 IP-Adressvergabe 41 IP-Adressvergabe, dynamisch 41 IP-Filter 46 IP-Routen eintragen 35 IPX RIP/SAP-Filter 48 IPX-Adressvergabe 41 IPX-Adressvergabe, dynamisch 41 IPX-Filter 45, 48 124 ISDN Access Server – Index 26 31 IPX-Netzwerknummer des Access ServerPCs 35 ISDN Access Server 11 Datenbanken 72 deinstallieren 32 Einsatzmöglichkeiten 8 installieren 26 Meldungen 77 starten 29 Startseite 30 ISDN Service Wrapper 28 ISDN Services for Windows 2000 7 ISDN-Anschluss Anforderungen 21 Einstellungen 36 ISDN-Controller, Einstellungen 36 ISDN-Meldungen 77 ISDN-Nutzung 10 K Komponenten von Filtern 47 Konfiguration, global 35 Konfigurationshinweise entfernter Rechner 57 Kontrolle der Verbindungskosten 67 Kosten begrenzen 49 Kosten/Nutzungsdaten Extern verwaltete Benutzer 70 Intern verwaltete Benutzer 69 Kostenübernahme 55 Kostenübersicht Kosten/Nutzungsdaten 70 L Lieferumfang 19 Literatur 104 LMHOSTS-Datei Konfigurationshinweise Lokale IP-Routen eintragen 58 35 M Management- und Monitorfunktionen Meldungen CAPI 77 ISDN 77 66 accserv.book Seite 125 Dienstag, 13. Juni 2000 11:52 11 ISDN Access Server 77 Mitschnitt von Paketen 71 Mobile ISDN-Standard 11 Monitoring allgemein 16 S N Namensauflösung Konfigurationshinweise 58 NDI 7 Nebenstellenanlage, Einstellungen 36 Netzwerknummer (IPX) eintragen 35 NT/MPRI 7 O Output-Filter 46 P Paketmitschnitt 71 PAP und CHAP 42, 44 PAP, Glossareintrag 114 Physikalisch aktive Verbindungen Physikalische ISDN-Verbindung, Glossareintrag 115 Prioritäten der Benutzer 41 Protokoll in Filterregeln 48 67 R RADIUS,Glossareintrag 115 RADIUS-Benutzer 39 Reduzierung der Gebühren allgemein 12 Reservierung von B-Kanälen 41 RFCs 17 RIP, Glossareintrag 116 RIP/SAP-Filter 48 RIP-Input-Filter 49 RIP-Output-Filter 49 Route, Glossareintrag 116 Routen und Dienste 67 Routing and Remote Access API 18 Rufnummernüberprüfung 43 SAP, Glossareintrag 116 SAP-Input-Filter 49 SAP-Output-Filter 49 Schwellenwerte, globale 53 Serverstatus 66 Sicherheit allgemein 14 Sicherheitsrückruf 44 Spezielle Filter 51 Spezielle Filter, Glossareintrag 110 Spoofing 51 Glossareintrag 117 Standards 17 Startseite des ISDN Access Servers 30 Statistik- und Protokollfunktionen allgemein 16 Status des Servers 66 Support 103 Systemvoraussetzungen 19 T Tagesübersicht Ereignisse 71 Kosten/Nutzungsdaten 69 TCP/IP-Adressen, Glossareintrag 121 Treibersoftware für ISDN-Controller 10 U Überblick über Benutzer 68 Ereignisse 70 Kosten/Nutzungsdaten extern verwalteter Benutzer 70 Kosten/Nutzungsdaten intern verwalteter Benutzer 69 Physikalisch aktive Verbindungen 67 Routen und Dienste 67 Übernahme der Kosten 55 Überprüfung der D-Kanal-Rufnummer 43 Überwachung der ISDN-Verbindungen 66 URL für Zugriff auf den ISDN Access Server 29 V Verbindungssteuerung ISDN Access Server – Index 125 accserv.book Seite 126 Dienstag, 13. Juni 2000 11:52 11 allgemein 65 W Windows Domäne Konfigurationshinweise Windows-Benutzer 38 WINS-Server Konfigurationshinweise 62 59 Z Zeitprofile 41 Zugriff auf den ISDN Access Server 29 Zugriff der Benutzer organisieren 40 126 ISDN Access Server – Index