starten

Transcription

starten

ISDN SERVICES FOR WINDOWS 2000
AVM
ISDN Access® Server
for Windows 2000
H a n d b u c h
High-Performance ISDN by . . .
accserv.book Seite 2 Dienstag, 13. Juni 2000 11:52 11
ISDN Access Server for Windows 2000
Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt.
Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die
sich bei Einsatz des Produktes eventuell ergeben.
Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise
in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verändert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt
werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persönlichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Dritte ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.
Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach
dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit sowie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die
Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin
weder ausdrücklich noch implizit die Gewähr oder Verantwortung.
Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder
der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist
AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen.
Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge
direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich Kosten
für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den gelieferten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM
nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche ausdrücklich ausgeschlossen.
Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Programme können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts geändert werden.
Der CD-Key ist Bestandteil der Lizenzvereinbarung.
© AVM Vertriebs KG 2000. Alle Rechte vorbehalten.
Stand der Dokumentation 06/2000
AVM Audiovisuelles Marketing
und Computersysteme GmbH
Alt-Moabit 95
AVM Computersysteme
Vertriebs GmbH & Co.KG
Alt-Moabit 95
10559 Berlin
10559 Berlin
AVM im Internet: http://www.avm.de
Warenzeichen: AVM und FRITZ! sind eingetragene Warenzeichen der AVM Vertriebs KG.
Windows ist eingetragenes Warenzeichen der Microsoft Corporation. Alle anderen Warenzeichen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer.
2
ISDN Access Server
Inhalt
1
1.1
1.2
1.3
1.4
2
2.1
2.2
2.3
2.4
2.5
3
3.1
3.2
3.3
3.4
3.5
4
Einleitung
7
Was bietet der ISDN Access Server for Windows 2000? . . . . . . . . . . . . . . . . . . 8
Die Merkmale des ISDN Access Servers im Einzelnen . . . . . . . . . . . . . . . . . . 10
Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Voraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Installation und erste Schritte
23
Vorbereitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Installation des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Durchgeführte Modifikationen in Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Zugriff auf den ISDN Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Deinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Grundlagen zur Konfiguration und Funktionsweise des ISDN
Access Servers
35
Globale Einstellungen vornehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Einrichten und Verwalten von Benutzern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Behandlung einkommender Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Zugriffschutz und Sicherheitsmechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Kosten verringern und begrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Konfigurationshinweise für den entfernten Rechner
57
4.1
4.2
4.3
Hinweise für das Arbeiten in Microsoft-Netzwerken . . . . . . . . . . . . . . . . . . . . 57
Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Anbindung an ein Microsoft-Netzwerk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5
Verbindungssteuerung, Management- und Monitorfunktionen 65
5.1
5.2
5.3
Verbindungssteuerung – ISDN-Verbindungen aufund abbauen . . . . . . . . . 65
Management- und Monitorfunktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Datenbankverwaltung des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . 72
ISDN Access Server – Inhalt
3
6
6.1
6.2
6.3
6.4
6.5
7
7.1
7.2
8
8.1
8.2
4
Hinweise für den täglichen Betrieb – Troubleshooting
73
Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Probleme beim Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Probleme mit TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Probleme mit IPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Einstellungen für einkommende Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Meldungen
77
Meldungen der CAPI 2.0 und des Euro-ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Meldungen des ISDN Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
Informationen, Updates und AVM-Support
103
Informationsquellen und Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Unterstützung durch den Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Glossar
107
Index
123
ISDN Access Server – Inhalt
Konventionen im Handbuch
Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet:
Hervorhebungen
Nachfolgend finden Sie einen kurzen Überblick über die in diesem
Handbuch verwendeten Hervorhebungen.
Hervorhebung
Funktion
Beispiel
Anführungszeichen
Tasten, Schaltflächen, Programmsymbole, Registerkarten,
Menüs, Befehle
„Start / Programme“
„Eingabe“
Großbuchstaben
Pfadangaben und Dateinamen
im Fließtext
DOKU\ACCSERV.PDF
oder CAPIPORT.HLP
spitze Klammern
Variablen
<CD-ROM-Laufwerk>
Schreibmaschinenschrift
Eingaben, die Sie über die
Tastatur vornehmen
a:\setup
grau und kursiv
Informationen, Hinweise und
Warnungen; immer in Verbindung mit den zugehörigen Symbolen
... Es kann jeweils
nur ein Controller
entfernt werden ...
Symbole
Im Handbuch werden die folgenden grafischen Symbole verwendet,
die immer in Verbindung mit grau und kursiv gedrucktem Text erscheinen:
Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Informationen hin.
Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informationen enthalten.
Dieses Zeichen markiert besonders wichtige Hinweise, die Sie auf jeden Fall befolgen sollten, um Fehlfunktionen zu vermeiden.
ISDN Access Server – Konventionen im Handbuch
5
6
ISDN Access Server – Konventionen im Handbuch
Einleitung
1 Einleitung
ISDN (Integrated Services Digital Network = diensteintegrierendes digitales Netz) spielt eine tragende Rolle bei der Verschmelzung zweier
Schlüsseltechnologien in der heutigen Zeit – Computernetze und Telekommunikation. Windows NT, das mit seinen leicht zu bedienenden
und benutzerfreundlichen Konfigurations- und Managementfunktionen
als Netzwerkbetriebssystem zunehmend an Bedeutung gewinnt, bietet
für das Zusammenwirken dieser beiden Technologien eine ideale Plattform.
Mit der Produktreihe „ISDN Services for Windows 2000“ trägt AVM dieser Entwicklung Rechnung und bietet ihren Kunden professionelle
ISDN-Lösungen für Windows NT, die modular aufeinander abgestimmt
sind und unterschiedliche Anwendungsbereiche abdecken. Die ISDN
Services for NT Networks umfassen folgende Produkte:
Der ISDN MultiProtocol Router for Windows 2000 (NT/MPRI) bietet professionelles ISDN-Routing für Microsoft-Netzwerke und ermöglicht den
Aufbau von Weitverkehrsnetzen (WANs=Wide Area Networks) und die
Internet-Anbindung.
Mit Network Distributed ISDN for Windows 2000 (NDI) können alle Anwender im Microsoft-Netzwerk die ISDN-Hardware und -Ressourcen
nutzen, die zentral im Server verwaltet werden. So stehen den Anwendern ISDN-Funktionen wie Fax, Datenübertragung, Internet-Zugang
oder Online-Dienste zur Verfügung, ohne dass auf den einzelnen Rechnern zusätzliche ISDN-Hardware installiert werden muss.
Der ISDN Access Server for Windows 2000 (ISDN Access Server) gewährleistet den schnellen und kostensparenden Zugriff entfernter
Rechner auf das Unternehmensnetz. Auf diese Weise können Telearbeiter oder Außendienstmitarbeiter mit den Ressourcen des zentralen
Unternehmensnetzes arbeiten.
Die ISDN Services for NT Networks zeichnen sich durch konsequente
Nutzung der ISDN-Technologie, einfache Installation, flexible Verwaltung und wirksamen Zugriffsschutz aus. Die Produkte sind server-basierte Anwendungen auf Basis von CAPI 2.0, der standardisierten Anwendungsschnittstelle für ISDN-Controller. Wenn der Kommunikationsbedarf Ihres Unternehmens steigt, werden einfach zusätzliche ISDN-
ISDN Access Server – 1 Einleitung
7
Was bietet der ISDN Access Server for Windows 2000?
Controller in den Server eingebaut, die dank CAPI automatisch erkannt
und verwendet werden. So werden Ihre ISDN-Investitionen langfristig
gesichert und die Kapazitäten des Servers optimal genutzt.
1.1 Was bietet der ISDN Access Server for Windows 2000?
Die Anbindung von Außendienstmitarbeitern, Telearbeitern, ServiceTechnikern oder Firmenniederlassungen ohne eigenes Netzwerk gewinnt für viele Unternehmen zunehmend an Bedeutung. Der ISDN Access Server for Windows 2000 bietet Ihnen eine leistungsstarke Lösung für die Anbindung entfernter Rechner und mobiler Laptops über
ISDN oder GSM an Ihr Unternehmensnetz. Die entfernten Benutzer
können auf diese Weise LAN-Funktionen und Daten so nutzen, als würden sie direkt im Netz arbeiten. Zu den möglichen Anwendungen gehören z.B. Client/Server-Anwendungen, Datenbankprogramme, SAP R/3
oder E-Mail.
Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des
ISDN Access Servers:
Niederlassung Frankfurt
Zentrale Berlin
PC mit Windows 2000/NT
und ISDN-Controller
Telearbeiter in Berlin
PC mit Windows 95/98
und ISDN-Controller
ISDN
GSM
Windows 2000/NT
+ ISDN Access Server
+ ISDN-Controller B1
Außendienstmitarbeiter
Laptop mit Windows 95/98
und Mobile ISDN-Controller
Einsatzmöglichkeiten des ISDN Access Servers for Windows 2000
Netzwerkseite
Der ISDN Access Server wird einfach auf einem Windows 2000/NTRechner im Netzwerk installiert, der mit einem oder mehreren aktiven
AVM ISDN-Controllern und damit der Anwendungsschnittstelle CAPI
2.0 ausgerüstet ist.
8
Was bietet der ISDN Access Server for Windows 2000?
Die Steuerung des ISDN Access Servers erfolgt mit dem Protokoll HTTP,
einem Standard für das Management. So kann der ISDN Access Server
lokal oder entfernt über einen Standard-Web-Browser (MS Internet Explorer oder Netscape Navigator ab v3.0) gesteuert, konfiguriert und
überwacht werden.
Entfernte Seite
Der ISDN Access Server for Windows 2000 unterstützt den offenen
Standard PPP over ISDN (Point-to-Point Protocol) für die Anbindung
von Einzelplatzrechnern über ISDN/GSM, so dass auf den entfernten
Rechnern verschiedene ISDN-Produkte für den Fernzugriff eingesetzt
werden können. Im Rahmen des DFÜ-Netzwerkes von Windows 98/95
oder Windows 2000/NT bieten Hersteller wie AVM diese Funktionalität
grundsätzlich für ISDN-Controller an. Der ISDN Access Server unterstützt jedoch darüber hinausgehende Funktionen, die erst durch professionelle Software für den Fernzugriff über ISDN auf der Basis von
CAPI 2.0 gewährleistet werden. AVM bietet für diesen Zweck das Produkt „NetWAYS/ISDN“ an, das für diverse Betriebssysteme zur Verfügung steht.
Die folgende Abbildung veranschaulicht die Netzwerkkomponenten,
die auf den lokalen Rechnern im Netzwerk und auf dem entfernten
Rechner installiert sein müssen:
Entfernter Benutzer
z.B. PC mit ISDN-Controller
und NetWAYS/ISDN
Anwendungssoftware
IPX/SPX
ISDN
TCP/IP
NDIS
NetWAYS/ISDN
Server mit ISDN Access Server
PC mit Netzwerkkarte und ISDN-Controller
Lokale Benutzer im Netzwerk
PCs mit Netzwerkkarten und
Client-Software für Netzzugriff
Anwendungssoftware
IPX/SPX
TCP/IP
NDIS
Netzwerkkartentreiber
Netzwerkkomponenten auf dem lokalen und dem entfernten Rechner
9
Die Merkmale des ISDN Access Servers im Einzelnen
1.2 Die Merkmale des ISDN Access Servers im
Einzelnen
Im Folgenden erhalten Sie einen kurzen Überblick über die Leistungsmerkmale des ISDN Access Servers for Windows 2000, die Ihnen eine
kostengünstige, schnelle und zuverlässige Anbindung externer Benutzer gewährleisten.
Optimale Nutzung von ISDN
Der ISDN Access Server nutzt die Vorteile, die das Kommunikationsnetz
ISDN für den Aufbau von Netzwerkverbindungen bietet. Dazu gehören
z.B. die gute Verfügbarkeit von ISDN in ganz Europa, die hohe Bandbreite und nicht zuletzt der schnelle Verbindungsaufbau von weniger
als 1 Sekunde, der den dynamischen und kostensparenden Auf- und
Abbau von ISDN-Verbindungen im Hintergrund ermöglicht. Die AVMProdukte gewährleisten außerdem einen nahtlosen Übergang in das
Mobilfunknetz GSM.
Das ISDN-Leistungsmerkmal „CLIP“ (Calling Line Identification Presentation), die Übermittlung der ISDN-Nummer des Anrufers über den DKanal, wird vom ISDN Access Server zur Überprüfung der Identität des
Anrufers benutzt.
Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-BKanäle gebündelt werden — auch über mehrere ISDN-Controller hinweg. Durch die Unterstützung von ein bis vier AVM ISDN-Controllern B1
oder einem ISDN-Controller C4 am Basisanschluss (BRI = Basic Rate Interface) lässt sich der ISDN Access Server in der BRI-Variante bis auf 8
Kanäle ausbauen. In der Ausführung für den Primärmultiplexanschluss
(PRI = Primary Rate Interface) sind 120 B-Kanäle nutzbar.
Die Treibersoftware für die AVM ISDN-Controller in Windows 2000/NT
ist im Lieferumfang des ISDN Access Servers auf einer separaten CDROM mit dem Namen „B1 Server Edition“ enthalten. Die Treibersoftware unterstützt die D-Kanal-Protokolle DSS1 (Euro-ISDN), 1TR6 (Deutschland), 5ESS und NI1 (USA). Außerdem werden die folgenden Festverbindungsarten unterstützt (Bezeichnungen der Deutschen Telekom AG):
10
l
Digital 64S (B-Kanal 1x64 KBit/s)
l
Digital 64S2 (B-Kanal 2x64 KBit/s)
l
Doppelanschaltung Digital 64S (B-Kanal 2x64 KBit/s, gesplittet
auf 2 Benutzer mit je 1x64 KBit/s)
l
Digital S02/TS02 (B-Kanal 2x64 KBit/s + D-Kanal 1x16 KBit/s)
Komfortable Benutzerkonfiguration und -verwaltung
Der ISDN Access Server kann über die AVM ISDN-Controller sowohl direkt am öffentlichen ISDN (Mehrgeräte- oder Anlagenanschluss) und
an einer Nebenstellenanlage betrieben werden.
Die AVM ISDN-Controller B1, C4 und T1-B bieten die Unterstützung von
GSM nach dem Mobile ISDN-Standard (GSM 07.08). Damit ist eine zuverlässige und nahtlose ISDN-Anbindung von entfernten Rechnern
über GSM an den ISDN Access Server möglich.
Installation zusammen mit anderen CAPI 2.0-Anwendungen
Im Zusammenspiel mit den beiden anderen „ISDN Services for Windows 2000“ (NT/MPRI und NDI) ist eine sinnvolle und kosteneffektive
Mehrfachnutzung der installierten ISDN-Controller gewährleistet. Für
die Produkte der „ISDN Services for Windows 2000“ können bestimmte B-Kanäle reserviert werden, so dass bei gleichzeitiger Verwendung
dieser Produkte eine reibungslose Zuordnung der ISDN-Leitungen erfolgt.
Die ISDN-Controller können außerdem von weiteren CAPI 2.0-Anwendungen verwendet werden, z.B. für den Faxversand. Der ISDN Access
Server verwendet die ISDN-Dienstekennung „Daten“. Sind andere CAPI
2.0-Anwendungen mit derselben Dienstekennung, z.B. Datenübertragungssoftware im Server-Modus, auf demselben Rechner installiert,
muss sichergestellt sein, dass einkommende Rufe eindeutig zugeordnet werden. Im CAPI 2.0-Standard sind für solche Fälle am Mehrgeräteanschluss die sogenannten Mehrfachrufnummern (MSNs = Multiple
Subscriber Numbers) und am Primärmultiplexanschluss Nachwahlziffern (DDI = Direct Dialing-In) vorgesehen.
Komfortable Benutzerkonfiguration und -verwaltung
Die Verwaltung und Echtheitsbestätigung der entfernten Benutzer, die
sich über ISDN in das LAN einwählen, kann intern über die ISDN Access
Server-Datenbank oder extern erfolgen.
Die externe Verwaltung bietet Ihnen die Möglichkeit, Ihre bestehende
Benutzerverwaltung für den ISDN Access Server zu nutzen. Dies erspart
Ihnen zusätzlichen Konfigurationsaufwand. Sie können folgende externe Systeme für die Benutzerverwaltung verwenden:
l
Benutzer-Manager von Windows. ISDN-spezifische Parameter für
die Anbindung entfernter Benutzer werden in Benutzergruppen
und speziellen Einstellungen für Windows-Benutzer gespeichert.
11
Reduzierung und Begrenzung der Verbindungsgebühren
l
Nutzung eines RADIUS-Servers. Wenn sich ein entfernter Benutzer
einwählt, werden die Angaben zur Echtheitsbestätigung (Name
und Passwort) vom ISDN Access Server an den RADIUS-Server
weitergeleitet, der die Prüfung der Angaben übernimmt. ISDNspezifische Parameter für die Anbindung entfernter Benutzer werden in Benutzergruppen gespeichert.
Das Einrichten intern verwalteter Benutzer wird erleichtert durch vorgegebene Profile für Verbindungen mit IP, IPX oder beiden Netzwerkprotokollen.
Adressvergabe
Die entfernten Benutzer und Benutzergruppen können dynamisch zugewiesene oder statische IP- bzw. IPX-Adressen verwenden. Für die
Adressvergabe werden im ISDN Access Server Adressbereiche definiert.
Zeitprofile
Sie können Zeitbeschränkungen für die Benutzer festlegen, die den Zugriff auf das Netzwerk nur zu bestimmten Zeiten erlauben. Die Zeitbeschränkungen werden zentral in Profilen gespeichert, die dann den
einzelnen Benutzern oder Benutzergruppen zugewiesen werden.
Priorität
Bestimmte Benutzer oder Benutzergruppen können Vorrang vor anderen haben, so dass auch bei vollständiger Auslastung aller ISDN-B-Kanäle eine Leitung freigemacht wird, sobald sich ein Benutzer mit hoher
Priorität wie beispielsweise der Systemverwalter einwählt. Außerdem
ist es möglich, ISDN-B-Kanäle für Benutzer zu reservieren.
Der ISDN Access Server for Windows 2000 sorgt durch sein intelligentes Verbindungsmanagement dafür, dass die Kosten für die ISDN-Anbindung der entfernten Benutzer auf das Notwendige beschränkt werden. Folgende Leistungsmerkmale gewährleisten dies:
l
12
Der ISDN Access Server unterscheidet zwischen logischen und
physikalischen ISDN-Verbindungen. Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau
über ISDN, bei dem auch die Verbindungsparameter ausgehan-
delt werden. Dazu gehören z.B. die Netzwerkprotokolle, die
Durchführung einer Echtheitsbestätigung, Spoofing-Mechanismen und Kanalbündelung.
Bei der physikalischen ISDN-Verbindung ist tatsächlich einer oder
sind mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren. Wenn keine Daten auf der ISDN-Leitung übertragen
werden, kann der ISDN Access Server die von ihm aufgebaute
physikalische Verbindung abbauen, um die Verbindungskosten
zu senken. Je nach Konfiguration des Benutzers im ISDN Access
Server kann dabei die logische Verbindung erhalten bleiben, so
dass der entfernte Benutzer weiterhin im Netz angemeldet ist und
Ressourcen für ihn reserviert sind. Sobald wieder Daten zu übertragen sind, baut der ISDN Access Server oder die Fernzugriffssoftware des Benutzers die physikalische Verbindung wieder auf.
Die Zeitspanne bis zum physikalischen Abbau kann mit Hilfe von
Gebührenprofilen dynamisch an den aktuellen Gebührentakt angepasst werden. Gebührenprofile enthalten Informationen zu den
unterschiedlichen Gebührentakten abhängig von Tarifzone und
Tageszeit. Außerdem kann der physikalische Abbau mit Hilfe des
am ISDN-Anschluss übertragenen Gebührenimpulses gesteuert
oder fest eingestellt werden.
l
Praxiserprobte Filter- und Spoofingmechanismen fangen bestimmte Protokollpakete ab und verhindern deren unnötige Übertragung über ISDN. Auf diese Weise wird die physikalische Verbindungsdauer verkürzt. Der ISDN Access Server sorgt so dafür, dass
die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und
der Hintergrunddatenverkehr im LAN weitgehend vom ISDN ferngehalten wird.
l
Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maximales Budget, maximale physikalische Verbindungsdauer und
maximale Anzahl ausgehender Rufe.
l
Definierbare Budgets für die entfernten Benutzer.
l
Kostenzuweisung (COSO=Charge One Site Only) ermöglicht z.B.
die Übernahme der gesamten Kosten für die Netzwerkanbindung
durch die Firmenzentrale.
Die Leistungsmerkmale logische Verbindung, Spoofing und Kostenzuweisung werden z.B. vom AVM-Produkt NetWAYS/ISDN unterstützt, das
sich damit auf Benutzerseite als optimales Produkt für den ISDN-Fernzugriff anbietet.
13
Sicherheitsfunktionen
Sicherheitsfunktionen
Der ISDN Access Server sorgt durch einen ausgefeilten Zugriffsschutz
dafür, dass nur berechtigte Benutzer über ISDN auf das LAN zugreifen
können. Dazu dienen die folgenden Funktionen:
l
Überprüfung der ISDN-Nummer des Anrufers, die über den D-Kanal gesendet wird (CLIP = Calling Line Identification Presentation).
l
Echtheitsbestätigung mit den PPP-Protokollen PAP oder CHAP. Die
Daten der Benutzer (Name und Passwort) können in der Benutzerdatenbank von Windows 2000/NT, bei einem RADIUS-Server oder
direkt im ISDN Access Server gespeichert und verwaltet werden.
Der ISDN Access Server unterstützt die Echtheitsbestätigung sowohl durch die lokale Seite als auch durch die Gegenstelle. Dabei
können unterschiedliche Passwörter verwenden werden.
l
Sicherheitsrückruf bei einkommenden Rufen.
l
Firewall-Funktionalität durch voreingestellte, aber konfigurierbare
IP-Filterprofile.
l
Einstellbare RIP/SAP-Filter für IPX.
Die Sicherheitsüberprüfungen, die bei einem eingehenden Anruf eines
entfernten Benutzers greifen können, werden durch die folgende Abbildung veranschaulicht:
14
Einfache Installation und Bedienung
Benutzer
ISDN
Vorgang
D-Kanal
Überprüfung der
D-Kanal-Rufnummer
B-Kanal
Nach Rufannahme
Echtheitsbestätigung
mit PAP oder CHAP
Name/Passwort
D- u. B-Kanal
ISDN Access Server
Ggf. Weiterleitung der
Anmeldeinformationen
an RADIUS-Server oder
Windows 2000-/NTServer mit BenutzerManager
Ggf. Verbindungsabbau und Sicherheitsrückruf durch
ISDN Access Server
B-Kanal
Weitere PPP-Aushandlungen, z.B. IPAdresse, Spoofing,
Kanalbündelung.
B-Kanal
Übertragung von
Nutzdaten, z.B.
E-Mail, Datenbankinformationen.
Ggf. Verschlüsselung
und Paketfilterung.
Dynamischer Aufund Abbau der
ISDN-Verbindung
Sicherheitsmechanismen des ISDN ISDN Access Servers
Datenschutz:
Der ISDN Access Server bietet die Möglichkeit der Datenverschlüsselung, um Datenpakete während der Übertragung vor unberechtigtem
Zugriff zu schützen. Mit dem ECP (Encryption Control Protocol), dem
symmetrischen Twofish-Verschlüsselungsalgorithmus und der um die
Crypt Provider API erweiterten Routing- und Remote-Access-API ist ein
sehr hoher Datenschutz auf der ISDN-Leitung gewährleistet.
Einfache Installation und Bedienung
Die Installation des ISDN Access Servers ist einfach und menügeführt.
Die Konfiguration und Verwaltung des ISDN Access Servers erfolgt
komplett über HTTP mit Hilfe eines Standard-Web-Browsers wie z.B.
MS Internet Explorer oder Netscape Navigator ab Version 3.0. Dadurch
kann der ISDN Access Server jederzeit von jedem Rechner im lokalen
Netzwerk oder im WAN bedient und verwaltet werden. Der HTTP-Zugriff
ist passwortgeschützt.
15
Übertragungsleistung
Mit Hilfe von vordefinierten Profilen (IP, IPX und IP+IPX) für intern verwaltete Benutzer sowie vorgegebenen Benutzergruppen und WindowsBenutzer-Einstellungen wird dem Administrator ein Teil des Konfigurationsaufwands abgenommen.
Alle Konfigurationsinformationen werden in eine eigene Konfigurationsdatenbank, NTR.MDB, geschrieben. Sie befindet sich im Installationsverzeichnis des ISDN Access Servers und kann bei Bedarf mit Hilfe
von MS Access angesehen werden.
Übertragungsleistung
Zur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung der
Übertragungsleistung bietet der ISDN Access Server die folgenden
Funktionen:
l
Datenkompression (nach CAPI-Standard V.42bis, nach Stac LZS
oder MPPC).
l
Headerkompression für IP und IPX (Van Jacobson TCP/IP Header
Compression, CIPX Header Compression).
l
Kanalbündelung (statisch und dynamisch über PPP Multilink).
Statistik- und Protokollfunktionen
Umfassende Statistik- und Protokollfunktionen erlauben eine exakte
Auswertung aller Aktionen auf dem ISDN Access Server:
16
l
Statusinformationen über den ISDN Access Server und die ISDNController, die physikalisch aktiven ISDN-Verbindungen und die
aktuell angemeldeten entfernten Benutzer.
l
Kosten-/Nutzungsdaten für Verbindungen als Tagesübersicht oder
ausgewählt nach bestimmten Kriterien wie z.B. einzelnen Benutzern.
l
Budgetinformationen für einzelne Benutzer.
l
Ereignismitschnitt als Tagesübersicht oder ausgewählt nach bestimmten Kriterien wie z.B. dem Meldungstyp „Information“.
l
Paketmitschnitt mit PPP-Decodierung.
Verbindungssteuerung
ISDN-Verbindungen können aus der ISDN Access Server-Oberfläche
heraus bei Bedarf aktiv aufund abgebaut werden. Außerdem erhalten
Sie detaillierte Informationen zu den gerade aktiven logischen ISDNVerbindungen und den ausgehandelten Verbindungsparametern.
Weitere Hinweise dazu finden Sie in „Verbindungssteuerung, Management- und Monitorfunktionen“ ab Seite 65.
Interoperabilität über ISDN
Durch die Unterstützung des Interoperabilitätsstandards PPP over
ISDN sowie vieler weiterer PPP-Standards – beschrieben in so genannten RFCs (Requests for Comments) – sind Verbindungen zu allen Gegenstellen möglich, die diese Standards ebenfalls unterstützen.
Zusätzlich zu den RFCs sind im ISDN Access Server auch schon neuere,
noch in Entstehung begriffene PPP-Standards (solche werden als
„Drafts“ bezeichnet) verwirklicht. In diesem Zusammenhang soll die
Umsetzung verschiedener von AVM entwickelter Spoofing-Verfahren erwähnt werden, die im ISDN Access Server auf Basis des PSCP-Drafts
implementiert sind.
Der ISDN Access Server unterstützt die folgenden RFCs und RFC-Drafts:
RFC 1144
Compressing TCP/IP Headers for Low-Speed Serial Links
RFC 1332
The PPP Internet Protocol Control Protocol (IPCP)
RFC 1334
PPP Authentication Protocols (PAP)
RFC 1552
The PPP Internetwork Packet Exchange Control Protocol (IPXCP)
RFC 1553
Compressing IPX Headers Over WAN Media (CIPX)
RFC 1570
PPP LCP Extensions
RFC 1618
PPP over ISDN
RFC 1661
The Point-to-Point Protocol (PPP)
RFC 1662
PPP in HDLC-like Framing
RFC 1962
The PPP Compression Control Protocol (CCP)
RFC 1974
PPP Stac LZS Compression Protocol
RFC 1990
The PPP Multilink Protocol (MP)
RFC 1994
PPP Challenge Handshake Authentication Protocol (CHAP)
RFC 2118
Microsoft Point-to-Point Compression (MPPC) Protocol
Draft
PPP Callback Control Protocol
Draft
PPP Protocol Spoofing Control Protocol (PSCP)
17
Routing and Remote Access API
Außerdem benutzt der ISDN Access Server ISDN-spezifische Standards
und Funktionen, wenn sie mehr Komfort oder Effizienz beim Aufbau
von Netzwerkverbindungen über ISDN bringen. Dies gilt auch, wenn
diese spezifischen Funktionen nicht oder noch nicht in RFCs bzw.
Drafts eingeflossen sind. Aber auch hier wird auf Interoperabilität nicht
verzichtet, da ja ebenfalls Standards – eben ISDN-spezifische – genutzt werden. Dies gilt z.B. für die ISDN-Funktion „Signalisierung über
den D-Kanal“, die vom ISDN Access Server für die Kostenzuweisung
verwendet wird.
Informationen zu den Produkten, mit denen der ISDN Access Server
getestet wurde, Drafts und RFCs finden Sie in der Readme-Datei, die
über die Startseite des ISDN Access Servers aufgerufen werden kann.
Routing and Remote Access API
Die Routing and Remote Access API von AVM bietet eine Beschreibung,
wie über HTTP auf die Konfiguration zugegriffen werden kann. Damit
können bestimmte Aufgaben bzw. Abläufe mit Funktionen des ISDN
Access Servers kombiniert und automatisiert werden.
So können z.B. Rundruf-Routinen zum automatischen Transfer von Datenbankupdates an Außenstellen zum günstigsten Tarif definiert werden. Ein weiteres Beispiel ist die Einbindung von zusätzlichen Sicherheitsmechanismen wie Chip-Karten und damit der Eingriff in die PPPEchtheitsbestätigung.
Crypt Provider API
Die Crypt Provider API ist eine Programmierschnittstelle und dient der
anwenderspezifischen Anpassung der Datenverschlüsselung. Die
Schlüssel, die zur Codierung der zu übertragenden Daten benutzt werden, werden mit jedem Verbindungsaufbau neu erzeugt und zur Gegenstelle übertragen. Diese Schlüssel müssen aus Sicherheitsgründen
chiffriert übertragen werden. Die Chiffrierung erfolgt im Crypt Provider,
der anwendungsspezifisch programmiert wird (Smart Card, PIN, Biometrie usw.). Die Crypt Provider API ist die Schnittstelle zum ISDN Access Server, der auf die Algorithmen im Crypt Provider zugreift.
Umfangreiche Zusatzinformationen zur Nutzung der Crypt Provider API
(Testprogramme inkl. Source und Libraries) finden Sie auf der CD-ROM
im Verzeichnis „\UTILS\API\AVMNWAPI“.
18
Lieferumfang
1.3 Lieferumfang
Folgendes ist im Lieferumfang des ISDN Access Servers for Windows
2000 enthalten:
l
1 CD-ROM „ISDN Access Server for Windows 2000“.
l
1 CD-ROM mit Installation der ISDN-Controller B1, C4 und T1/T1B in
Windows 2000/NT „B1 Server-Edition“.
l
1 Handbuch ISDN Access Server for Windows 2000.
Sollte eines dieser Teile fehlen, wenden Sie sich bitte an Ihren Händler.
1.4 Voraussetzungen
Für die Installation und Konfiguration des ISDN Access Servers sind
Kenntnisse über LANs und WANs sowie Windows 2000/NT erforderlich.
Sie sollten ebenfalls mit ISDN und der verwendeten ISDN-Fernzugriffssoftware auf Benutzerseite wie z.B. NetWAYS/ISDN vertraut sein.
Anforderungen an die Hardware
l
Intel® 486 oder höher. Empfohlen wird ein Intel Pentium® ab
90 MHz.
l
Mindestens 50 MB freier Festplattenspeicher.
l
Mindestens 32 MB RAM.
l
CD-ROM-Laufwerk für die Installation.
l
Für Windows 2000/NT zertifizierte Ethernet- oder Token-RingNetzwerkkarten.
Die Netzwerkkarten müssen bereits betriebsbereit, d.h. vollständig in Windows 2000/NT installiert und konfiguriert sein.
l
1 bis 4 AVM ISDN-Controller B1 oder 1 AVM ISDN-Controller C4
(BRI-Variante) oder AVM ISDN-Controller T1 (PRI-Variante).
Installieren Sie die Treibersoftware für den/die ISDN-Controller
B1, C4 von der mitgelieferten CD-ROM „B1 Server-Edition“. Diese
Treiber bieten auch Unterstützung für Festverbindungen (= Standleitungen).
Die jeweils aktuellen Treiber finden Sie auf dem AVM Data Call
Center im Verzeichnis
19
Anforderungen an die Software
\CARDWARE\SERVER.B1\B1\WINDOWS.NT bzw.
\CARDWARE\\SERVER.B1\B1_PCI\WINDOWS.NT.
Die Treiber für den ISDN-Controller T1 befinden sich auf dem AVM
Data Call Center im Verzeichnis
\CARDWARE\T1\WINDOWS.NT.
Notieren Sie sich bei der Installation der Treibersoftware die Controller-Nummer der ISDN-Controller sowie die Rufnummer des jeweiligen ISDN-Anschlusses.
Die Treibersoftware für den/die AVM ISDN-Controller muss beim Starten von Windows 2000/NT automatisch geladen werden! Informationen dazu finden Sie in Ihrem Controller-Handbuch.
Nachdem Sie den/die ISDN-Controller installiert haben, bauen Sie mit
dem Programm Connect32, das im Lieferumfang aller AVM ISDN-Controller enthalten ist, eine Testverbindung zum AVM Data Call Center
(ADC) auf, um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses
und der ISDN-Controller sicherzustellen. Nähere Informationen zu
Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch.
Anforderungen an die Software
l
Windows 2000/NT Server oder Workstation mit dem aktuellen
Service Pack.
l
TCP/IP-Protokoll, gebunden an die Netzwerkkarte mit fester IPAdresse, eingetragener Subnet Mask und angegebenem Standardgateway.
l
Falls Sie IPX verwenden wollen: NWLink IPX/SPX-kompatibler
Transport, konfiguriert mit eindeutiger interner Netzwerknummer
für den Windows 2000/NT-Rechner.
Bei den Bindungen werden die folgenden Einstellungen vom ISDN
Access Server erkannt: „Rahmentyp automatisch erkennen“ und
„Rahmentyp manuell erkennen“.
l
20
Web-Browser: MS Internet Explorer ab v3.0 oder Netscape Navigator ab v3.0.
ISDN-Anschluss
ISDN-Anschluss
Um alle Funktionen des ISDN Access Servers zu nutzen, sollten an Ihrem ISDN-Anschluss die folgenden Merkmale freigeschaltet sein:
l
Datenübertragung („Unrestricted Digital Information“).
l
Tarifinformation während der Verbindung gemäß europäischem
Standard AOCD – Advice On Charge During Call (wird benutzt für
den automatischen physikalischen Verbindungsabbau und die
Kostenüberwachung mit Budgets).
Bekommen Sie keine Tarifinformationen während der Verbindung, kann stattdessen auch die Gebührenabschätzung über ein
Gebührenprofil eingesetzt werden.
l
Übermittlung der Rufnummer im D-Kanal, CLIP (wird benutzt für
die Rufnummernüberprüfung sowie für die Identifizierung einkommender Rufe).
21
22
ISDN Access Server
Installation und erste Schritte
2 Installation und erste Schritte
In diesem Kapitel erfahren Sie, wie Sie Ihr lokales Netzwerk für die Installation des ISDN Access Servers vorbereiten. Anschließend werden
Installation und Bedienung des ISDN Access Servers beschrieben.
2.1 Vorbereitungen
Die Installationsvoraussetzungen sowie die Anforderungen an die
Hard- und Software finden Sie in „Voraussetzungen“ auf Seite 19.
Ihr lokales Netzwerk muss schon vor der Installation des ISDN Access
Servers funktionsfähig sein. Alle Server und Arbeitsstationen müssen
eindeutig adressiert und der störungsfreie Austausch von Informationen gewährleistet sein.
TCP/IP-Einstellungen
Wenn Sie TCP/IP im lokalen Netzwerk verwenden, benötigt jede Arbeitsstation und der Rechner, auf dem der ISDN Access Server installiert werden soll, eine eindeutige IP-Adresse. Wichtig ist hierbei, dass
der ISDN Access Server-Rechner eine feste IP-Adresse zugewiesen bekommt, auch wenn sonst im Netz DHCP verwendet wird.
TCP/IP-Einstellungen in Windows 2000 (ISDN Access Server-Rechner)
ISDN Access Server – 2 Installation und erste Schritte
23
TCP/IP-Einstellungen
Besteht Ihr lokales Netzwerk aus nur einem Netzwerkstrang, dann tragen Sie auf allen Arbeitsstationen neben der IP-Adresse die IP-Adresse
des ISDN Access Servers als Standardgateway ein. Erst so haben alle
entfernten Rechner die Möglichkeit, über ISDN auf alle Ressourcen zuzugreifen.
IP-Adresse: 192.168.1.1
Standardgateway: 192.168.1.3 IP-Adresse: 192.168.1.3
Access Server
Arbeitsstation
Arbeitsstation
IP-Adresse: 192.168.1.2
Standardgateway: 192.168.1.3
IP-Adressierung vor der Installation des ISDN Access Servers – kleines Netzwerk
Besteht Ihr Netz aus mehreren Segmenten, die untereinander über
Router verbunden sind, tragen Sie auf allen Rechnern im Netz die IPAdresse des Routers im jeweiligen Segment als Standardgateway ein.
IP-Adresse: 192.168.1.1
ISDN
Access Server
Arbeitsstation
IP-Adresse: 192.168.1.4
Router
IP-Adresse: 192.168.2.1
IP-Adresse: 192.168.1.3
Arbeitsstation
IP-Adresse: 192.168.1.2
IP-Adresse: 192.168.2.4
Arbeitsstation
Arbeitsstation
IP-Adresse: 192.168.2.3
Arbeitsstation
IP-Adresse: 192.168.2.2
IP-Adressierung vor der Installation des ISDN Access Servers – großes Netzwerk
Bei der Konfiguration des LANs ist hier wichtig, dass der Router im LAN
die später über ISDN verfügbaren Netze kennt.
24
IPX-Einstellungen
Wird RIP im LAN verwendet, lernt der Router die zur Verfügung stehenden Routen dynamisch vom ISDN Access Server. Ansonsten müssen
statische Routen definiert werden.
Außerdem muss dem ISDN Access Server das Netz, das hinter dem
Router liegt, bekannt sein. Auch hier gilt, wenn kein RIP verwendet
wird, muss die Route später im ISDN Access Server statisch konfiguriert werden.
IPX-Einstellungen
Wenn Sie IPX im LAN verwenden, benötigt der Rechner, auf dem der
ISDN Access Server installiert werden soll, eine eindeutige interne
Netzwerknummer. Die interne Netzwerknummer kann auch nach der
Installation des ISDN Access Servers im ISDN Access Server-Manager
eingetragen werden. Beim Rahmentyp werden die Einstellungen „Rahmentyp automatisch erkennen“ sowie „Rahmentyp manuell erkennen“
vom ISDN Access Server akzeptiert.
ISDN-Controller
Installieren Sie die Treibersoftware für Ihre(n) ISDN-Controller immer
von der mitgelieferten CD-ROM „B1 Server-Edition“.
Die ISDN-Controller werden im ISDN Access Server entsprechend der
Controller-Nummer verwaltet, die sie bei der Installation der Treibersoftware (CAPI) erhalten. Wollen Sie mehrere ISDN-Controller verwenden, notieren Sie sich daher bei der Installation der ISDN-Controller immer die jeweilige Controller-Nummer. Schreiben Sie außerdem auf,
welcher Controller z.B. für eine Festverbindung verwendet wird; dies
müssen Sie später im ISDN Access Server angeben.
Die Treibersoftware für den/die AVM ISDN-Controller muss beim Starten von Windows 2000/NT automatisch geladen werden! Informationen dazu finden Sie in Ihrem Controller-Handbuch bzw. im zugehörigen Readme.
Nachdem Sie den/die Controller installiert haben, bauen Sie mit dem
Programm Connect32, das im Lieferumfang aller AVM ISDN-Controller
enthalten ist, eine Testverbindung zum AVM Data Call Center (ADC) auf,
um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses und
des/der Controller(s) sicherzustellen. Nähere Informationen zu
Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch.
Sind diese Vorbereitungen getroffen, können Sie den ISDN Access Server installieren.
25
Installation des ISDN Access Servers
2.2 Installation des ISDN Access Servers
Bei der Installation werden die folgenden Komponenten auf Ihrem
Rechner installiert:
l
AVM ISDN Access Server for Windows 2000.
l
AVM WebServer (dient zur HTTP-Kommunikation zwischen WebBrowser und ISDN Access Server).
Außerdem werden die Netzwerkeinstellungen von Windows 2000/NT
modifiziert und zwei spezifische Komponenten für den ISDN Access
Server hinzugefügt.
Zur Installation des ISDN Access Servers for Windows 2000 gehen Sie
wie folgt vor:
1.
Legen Sie die ISDN Access Server-CD in Ihr CD-ROM-Laufwerk ein.
Eine CD-Einführung wird automatisch gestartet.
Sie können die CD-ROM auch manuell starten. Begeben Sie sich
dazu in den Explorer und klicken Sie im Stammverzeichnis der CDROM doppelt auf die Datei INTRO.HLP.
2.
Folgen Sie den Anweisungen in der Einführung und starten Sie die
Installation.
Der Begrüßungsbildschirm des Installationsprogramms erscheint.
3.
Klicken Sie auf „Weiter“, um die Installation fortzusetzen.
4.
Sie werden aufgefordert, den CD-Key einzugeben. Dieser befindet
sich auf der CD-Hülle.
Zur Bestätigung Ihrer Angaben klicken Sie auf „OK“.
5.
Bestätigen Sie die Installation des ISDN Access Servers mit erneutem Klicken auf „OK“.
6.
Als nächstes geben Sie den Ordner an, in den die Dateien des
ISDN Access Servers installiert werden sollen. Ist auf dem Rechner
bereits der ISDN MultiProtocol Router for Windows 2000
(NT/MPRI) installiert, werden die Dateien des ISDN Access Servers
in denselben Ordner kopiert.
Ansonsten wird standardmäßig der Pfad C:\PROGRAMME\AVM\
ISDN Access Server vorgeschlagen. Sie können aber auch jeden
anderen Pfad angeben. Bestätigen Sie den Installationspfad
durch Klicken auf „Weiter“.
26
7.
Geben Sie jetzt den Pfad an, in den der AVM WebServer installiert
werden soll.
Standardmäßig wird der Pfad C:\PROGRAMME\AVM\WEBSERVER
vorgeschlagen. Wenn Sie auf dem Rechner auch Network Distributed ISDN for Windows 2000 (NDI) oder den NT/MPRI installiert
haben, werden die Dateien in denselben Ordner kopiert. Bestätigen Sie durch Klicken auf „Weiter“.
Nun werden die Programmdateien für den WebServer und anschließend die Programmdateien für den ISDN Access Server installiert.
Zum Abschluss der Installation wird im allgemeinen Teil des Startmenüs ein neues Programm mit dem Namen „AVM ISDN Access
Server Manager“ hinzugefügt. Mit diesem Programmsymbol wird
der von Ihnen eingerichtete Standard-Web-Browser gestartet und
die HTML-Oberfläche des ISDN Access Servers angezeigt.
8.
Um die Installation abzuschließen, starten Sie Windows 2000/NT
neu.
In Windows 2000 kann der Netzwerktreiber nicht automatisch installiert werden. Daher sind nach der Standard-Installation des
NT/MPRI die nachfolgend aufgeführten Schritte notwendig.
9.
Klicken Sie im Windows Explorer mit der rechten Maustaste auf
„Netzwerkumgebung“ und wählen Sie „Eigenschaften“ aus.
10. Wählen Sie „Installieren / Dienst / Hinzufügen“.
11.
Klicken Sie auf die Schaltfläche „Datenträger“ und wählen Sie auf
der CD-ROM das Verzeichnis „ntmpri\deutsch“. Bestätigen Sie
mit „OK“.
12. Wählen Sie „ISDN Services Wrapper“ und bestätigen Sie die Auswahl mit „OK“.
13. Bestätigen Sie alle Hinweise bezüglich „Treiber Signatur“ mit
„OK“.
14. Beenden Sie die Installation mit „Schließen“.
Der NTRNDIS.SYS wird automatisch gestartet und ist aktiv.
15. Rufen Sie „net start ntmpri“ oder „net start webserver“ auf oder
starten Sie Windows 2000 neu.
27
Durchgeführte Modifikationen in Windows
2.3 Durchgeführte Modifikationen in Windows
In Windows 2000/NT wurden die folgenden Änderungen vorgenommen:
l
Die Dienste „AVM ISDN Access Server“, „AVM WebServer“, „AVM
ISDN Access Server External Accounting“ und „AVM ISDN Access
Server External Database“ wurden in Windows NT integriert (in
„Systemsteuerung / Dienste“).
l
Das Protokoll „ISDN Service Wrapper“ wurde hinzugefügt. In Windows NT erfolgt dies automatisch, in Windows 2000 müssen Sie
„ISDN Services Wrapper“ manuell hinzufügen (s.o.).
Der ISDN Service Wrapper vermittelt zwischen den Netzwerkkarten, den Netzwerkprotokollen und dem Windows 2000/NT-Dienst
„AVM ISDN Access Server“.
l
Die bestehenden Protokollbindungen von TCP/IP und IPX an die
Netzwerkkarten wurden aufgehoben. Dafür wurden TCP/IP und
IPX an den ISDN Service Wrapper gebunden.
Dienst gestartet?
Um zu überprüfen, ob der ISDN Access Server gestartet wurde, gehen
Sie wie folgt vor:
1.
Wählen Sie im Startmenü von Windows 2000/NT den Punkt „Einstellungen/Systemsteuerung“.
2.
Doppelklicken Sie auf das Symbol „Dienste“.
Das Dialogfeld „Dienste” von Windows 2000/NT wird eingeblendet.
In der Liste sehen Sie den Dienst „AVM ISDN Access Server”.
Konnte er ordnungsgemäß gestartet werden, erscheint unter „Status“ die Meldung „Gestartet“.
Unter „Startart“ wurde „Automatisch“ eingetragen, damit der
ISDN Access Server bei jedem Start von Windows 2000/NT automatisch gestartet wird.
28
Zugriff auf den ISDN Access Server
2.4 Zugriff auf den ISDN Access Server
Der HTTP-Zugriff auf den ISDN Access Server kann direkt auf dem Windows 2000/NT-Rechner oder von einem Rechner im Netzwerk aus geschehen, der über TCP/IP mit dem Rechner verbunden ist. Folgende
Möglichkeiten stehen Ihnen dabei zur Verfügung:
l
Zum Aufruf der ISDN Access Server-Oberfläche auf dem Windows
2000/NT-Rechner selbst wählen Sie den Punkt „Programme /
AVM ISDN Access Server Manager“ aus dem Startmenü von Windows 2000/NT. Der von Ihnen als Standard-Browser eingerichtete
Web-Browser wird gestartet und die Auswahlseite mit den unterstützten Sprachen des ISDN Access Servers angezeigt.
l
Wollen Sie von einem anderen Rechner im Netz auf den ISDN Access Server zugreifen, starten Sie den dort eingerichteten Standard-Web-Browser und geben Sie die URL der Startseite ein:
http://<IP-Adresse>:4000/ntras.html
(IP-Adresse = IP-Adresse des ISDN Access Server-Rechners)
l
Haben Sie in Ihrem Netz einen Name-Server installiert, können
Sie den ISDN Access Server auch folgendermaßen aufrufen:
http://<Name>:4000/ntras.html
(Name = Name des ISDN Access Server-Rechners in der Domäne)
Wählen Sie zuerst die Sprache aus, in der Sie den ISDN Access Server
verwalten möchten. Es erscheint eine Sicherheitsabfrage, da der Zugriff auf den ISDN Access Server geschützt ist. Geben Sie hier den Benutzernamen und das Passwort eines Benutzers ein, der auf dem Windows 2000/NT-Rechner über Administratorrechte verfügt und klicken
Sie auf „OK“. Anschließend erscheint die Startseite.
Nur das Readme und die Dokumentation zum ISDN Access Server können ohne Eingabe von Name und Passwort gelesen werden.
29
Zugriff auf den ISDN Access Server
Die Startseite des ISDN Access Servers
Über die Verknüpfungen auf der Startseite erreichen Sie alle für die
Konfiguration und Administration des ISDN Access Servers benötigten
Funktionen:
l
Konfiguration - ruft die Konfigurationsseiten auf.
l
Verbindungssteuerung - erlaubt das aktive Auf- und Abbauen von
ISDN-Verbindungen.
l
Monitor - bietet detaillierte Status- und Statistikinformationen sowie eine Paket-Mitschnittfunktion.
l
Spezielles - ermöglicht den Neustart des ISDN Access ServerDienstes in Windows 2000/NT und den Zugriff auf die Routing
and Remote Access API von AVM.
l
Readme - zeigt die neuesten Informationen zum ISDN Access Server an, die noch nicht im Handbuch enthalten sind.
Die Readme-Datei wird in einem eigenen Browser-Fenster angezeigt. Durch Klicken auf das nebenstehende Symbol wird das
zweite Browser-Fenster wieder geschlossen.
l
ISDN Access Server-Dokumentation - ruft die HTML-Version dieses
Handbuchs auf.
Das Handbuch wird in einem eigenen Browser-Fenster angezeigt.
Um zum ISDN Access Server zurückzukehren, schließen Sie das
Handbuch-Fenster.
30
Gemeinsame Installation der „ISDN Services for Windows 2000“
Die detaillierte Online-Hilfe im HTML-Format wird über eine Schaltfläche auf jeder ISDN Access Server-Seite aufgerufen. Ein zweites Browser-Fenster wird geöffnet.
Um das Hilfe-Fenster zu schließen, klicken Sie auf die nebenstehende
Schaltfläche.
Über den Punkt „Startseite“ gelangen Sie wieder zur Startseite der
HTML-Oberfläche.
Änderungen in der Konfiguration, z.B. das Hinzufügen neuer Benutzer,
werden erst aktiv, nachdem der Dienst des ISDN Access Servers in
Windows 2000/NT neu gestartet wurde! Wie Sie dazu vorgehen, erfahren Sie im übernächsten Abschnitt.
Gemeinsame Installation der „ISDN Services for Windows 2000“
Haben Sie mehrere Produkte der Reihe „ISDN Services for Windows
2000“ installiert, z.B. den ISDN Access Server und Network Distributed
ISDN (NDI), können Sie die gemeinsame Startseite der Produkte nutzen. Sie wird mit folgender URL aufgerufen:
http://<Name> oder <IP-Adress>:4000/index.html
Bei einer gemeinsamen Installation von ISDN MultiProtocol Router for
Windows 2000 (NT/MPRI) und ISDN Access Server werden im Startmenü von Windows 2000/NT zwar zwei unterschiedliche Programmsymbole angelegt, die beiden Programme haben jedoch dieselbe Oberfläche. Einige Menüs beziehen sich dann auf beide Produkte – z.B. Server-Status, Einstellungen für die ISDN-Controller und Gebührenprofile.
Andere Menüs gelten jeweils nur für ein Produkt, z.B. „Ziele“
(NT/MPRI) oder „Benutzereinstellungen“ (ISDN Access Server).
Änderungen, die Sie in einem gemeinsamen Menü vornehmen, sind
daher sowohl für den NT/MPRI als auch den ISDN Access Server wirksam.
Haben Sie beide Fenster parallel geöffnet (NT/MPRI und ISDN Access
Server) und schließen eines der beiden Fenster, wird das andere Fenster ebenfalls geschlossen.
31
Dienst des ISDN Access Servers beenden und neu starten
Dienst des ISDN Access Servers beenden und neu starten
Damit z.B. Konfigurationsänderungen wirksam werden, muss nicht der
Windows 2000/NT-Rechner neu gestartet werden. Sie brauchen nur
den Dienst des ISDN Access Servers in Windows 2000/NT zu beenden
und erneut zu starten. Der Dienst hat die Bezeichnung „ISDN Access
Server“. Der Neustart des Dienstes kann direkt über die HTML-Oberfläche geschehen.
Im Menüpunkt „Serverstatus“ („Monitor“) können Sie jederzeit überprüfen, ob Konfigurationsänderungen existieren, die noch nicht wirksam sind.
Klicken Sie auf der Startseite des ISDN Access Servers oder in der oberen Navigationsleiste auf den Punkt „Spezielles“. Wählen Sie dann im
linken Rahmen den Punkt „Dienste-Neustart“ an. Klicken Sie zum Neustart im rechten Rahmen auf die Schaltfläche „Dienst neu“ starten.
2.5 Deinstallation
Zur Deinstallation des ISDN Access Servers gehen Sie wie folgt vor:
Windows 2000
1.
Rufen Sie im Startmenü von Windows 2000 den Punkt „Einstellungen / Systemsteuerung“ auf.
2.
Doppelklicken Sie auf „Software“.
3.
Aktivieren Sie im linken Fensterteil „Programme ändern oder entfernen“ und markieren Sie dann im rechten Fensterteil den Eintrag „AVM ISDN Access Server“ und klicken Sie auf die Schaltfläche „Ändern/Entfernen“.
Es wird kein Bestätigungsdialog eingeblendet!
4.
Der ISDN Access Server wird nun entfernt.
Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst
von anderen Programmen wie Network Distributed ISDN for Windows 2000 von AVM nicht mehr verwendet werden kann. Um den
WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrieben vor und markieren Sie den entsprechenden Eintrag, bevor Sie
auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken.
32
Deinstallation
5.
Starten Sie Windows 2000 neu. Mit dem Neustart ist die Deinstallation abgeschlossen.
Windows NT
1.
Rufen Sie im Startmenü von Windows NT den Punkt „Einstellungen / Systemsteuerung“ auf.
2.
Doppelklicken Sie auf „Software“.
3.
Markieren Sie im unteren Fenster den Eintrag „AVM ISDN Access
Server“ und klicken Sie auf die Schaltfläche „Hinzufügen/Entfernen...“
4.
Der ISDN Access Server wird nun entfernt.
Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst
von anderen Programmen wie Network Distributed ISDN for Windows 2000 von AVM nicht mehr verwendet werden kann. Um den
WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrieben vor und markieren Sie den entsprechenden Eintrag, bevor Sie
auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken.
5.
Starten Sie Windows NT neu. Mit dem Neustart ist die Deinstallation abgeschlossen.
33
34
ISDN Access Server
Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers
3 Grundlagen zur Konfiguration und
Funktionsweise des ISDN Access
Servers
In diesem Kapitel erhalten Sie allgemeine Hinweise zur Konfiguration
sowie ausführliche Hintergrundinformationen zur Funktionsweise des
ISDN Access Servers. Dabei werden wichtige Aspekten wie Benutzerverwaltung, Zugriffsschutz, Kostenbegrenzung usw. behandelt.
3.1 Globale Einstellungen vornehmen
Nehmen Sie nach der Installation des ISDN Access Servers zunächst
die globalen Einstellungen für den Betrieb und die Benutzerverwaltung
vor. Dazu stehen Ihnen entsprechende Funktionen im Menü „Konfiguration“ zur Verfügung.
Allgemeine Einstellungen
In den Server-Einstellungen definieren Sie unter Punkt „Allgemein“ die
Grundlagen für die Kostenberechnung. Außerdem haben Sie die Möglichkeit, spezielle Netzwerkeinstellungen vorzunehmen.
Falls Sie das Netzwerkprotokoll IPX im LAN oder über ISDN verwenden
wollen, müssen Sie unter „Für IPX-Routing über ISDN“ die interne IPXNetzwerknummer des ISDN Access Server-Rechners eintragen. Die
Netzwerknummer darf im gesamten WAN nur einmal vergeben werden.
Sie wird bei der Installation des ISDN Access Servers aus der Systemsteuerung von Windows 2000/NT abgefragt und hier als Standardvorgabe eingetragen. Haben Sie vorher in den Netzwerkeinstellungen von
Windows 2000/NT keine interne Netzwerknummer angegeben, genügt
es, wenn Sie sie an dieser Stelle in der ISDN Access Server-Konfiguration eintragen. In diesem Falle muss Windows 2000/NT anschließend
neu gestartet werden, damit die Netzwerknummer in die Systemeinstellungen übernommen werden kann.
Besteht Ihr lokales Netz aus mehreren Teilnetzen, und in einem oder
mehreren IP-Teilnetzen wird kein RIP verwendet, kann das Eintragen
weiterer lokaler IP-Routen erforderlich sein. Bestimmte Adressen in anderen Segmenten sind dann nur über weitere Router erreichbar, die
hier als „Nächster Hop“ eingetragen werden.
ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers
35
Einstellungen für ISDN-Controller
Einstellungen für ISDN-Controller
Wenn Sie den Menüpunkt „ISDN-Controller“ wählen, werden direkt
nach der Installation zunächst die Einstellungen des ISDN-Controllers 1
angezeigt. Die ISDN-Controller werden entsprechend der ControllerNummer verwaltet, die sie bei der Installation der Treibersoftware
(CAPI) erhalten.
Der ISDN-Controller 1 wird bei der Installation des ISDN Access Servers
standardmäßig als benutzt eingetragen und für den Betrieb an einem
Mehrgeräteanschluss konfiguriert. Sie können nun neue ISDN-Controller hinzufügen und die Standardeinstellungen des Controllers 1 ändern.
Zuerst legen Sie fest, ob der ISDN-Controller benutzt werden soll. Geben Sie an, ob der ISDN-Controller an eine Nebenstellenanlage angeschlossen ist. Ist dies der Fall, tragen Sie die erforderlichen Angaben
wie die Amtsholung und die Mindestlänge externer Rufnummern ein.
Haben Sie eine andere CAPI-Anwendung von AVM (z.B. Network Distributed ISDN for Windows 2000 oder FRITZ!), die auf demselben ISDNController läuft, bereits für den Betrieb an einer Nebenstelle konfiguriert, werden die entsprechenden Einstellungen aus der Windows
2000/NT-Registrierung ausgelesen und auch für den ISDN Access Server verwendet.
Außerdem können Sie angeben, ob der ISDN-Controller an einem
Mehrgeräteanschluss (Punkt-zu-Mehrpunkt = Standardeinstellung) angeschlossen ist, für eine Festverbindung verwendet wird oder sich an
einem Anlagenanschluss (Punkt-zu-Punkt) befindet. Wenn Sie die Einstellung „Festverbindung“ anklicken, müssen Sie aus der nebenstehenden Liste die Art der Festverbindung auswählen. Neben den Bezeichnungen der Deutschen Telekom AG enthält die Liste auch technische Angaben zur Bandbreite der Verbindung, einschließlich der Verwendung des D-Kanals.
Haben Sie neben dem ISDN Access Server weitere CAPI-Anwendungen
auf dem Rechner installiert oder an den gleichen S0-Bus angeschaltet,
sollten Sie für die Annahme eingehender Anrufe Mehrfachrufnummern
oder DDI vergeben. Nur so können Anrufe mit der Dienstekennung „Daten“ eindeutig zugeordnet werden.
Die einzelnen B-Kanäle des ISDN-Anschlusses können Sie im letzten
Punkt der ISDN-Controller-Einstellungen als „benutzt/nicht benutzt“
eintragen oder für die Produkte der „ISDN Services for Windows 2000“
sowie für bestimmte Benutzer reservieren. So ist es z.B. möglich, den
36
Schwellenwerte
ersten B-Kanal eines ISDN-Anschlusses dem NT/MPRI zuzuordnen, der
auf demselben Rechner wie der ISDN Access Server installiert ist. Wollen Sie, dass bestimmte Benutzer immer Zugriff auf Ihr LAN haben,
können Sie für diese einen B-Kanal reservieren. Aktivieren Sie in diesem Fall die Einstellung „Reserviert für“ und wählen einen Benutzer
aus der Liste aus.
Beachten Sie dabei aber, dass Sie die Controller nicht exklusiv für die
„ISDN Services for Windows 2000“ belegen können. Die Controller
können trotzdem genauso von anderen CAPI-Anwendungen wie z.B.
FRITZ! verwendet werden.
Die B-Kanäle werden erst aufgeführt, nachdem Sie die anderen Einstellungen zu diesem ISDN-Controller gespeichert haben.
Schwellenwerte
Unter dem Punkt „Schwellenwerte“ legen Sie globale Obergrenzen für
ISDN-Gebühren (Budget), die physikalische Verbindungsdauer und die
Anzahl ausgehender Rufe einschl. fehlgeschlagene Versuche und Signalisierung im D-Kanal fest. Die hier festgelegten Obergrenzen gelten
für alle ausgehenden Wählverbindungen des ISDN Access Servers und
sollen unerwartete ISDN-Verbindungskosten vermeiden. Wird einer der
globalen Schwellenwerte überschritten, baut der ISDN Access Server
bestehende ausgehende physikalische Verbindungen ab und blockiert
alle weiteren ausgehenden Verbindungen.
Weitere Informationen zu den Schwellenwerten finden Sie in „Globale
Schwellenwerte“ auf Seite 53.
3.2 Einrichten und Verwalten von Benutzern
Nach Installation des ISDN Access Servers wird zuerst grundsätzlich
festgelegt, wie die Benutzer, die sich über ISDN in das LAN einwählen,
verwaltet werden.
Grundeinstellungen zur Benutzerverwaltung
Rufen Sie in den Server-Einstellungen den Menüpunkt „Benutzerverwaltung“ auf, um grundsätzliche Einstellungen zur Benutzerverwaltung
vorzunehmen. Die Benutzer werden intern, d.h. in der ISDN Access Server-Datenbank NTR.MDB, oder extern verwaltet. Für die externe Verwaltung und Echtheitsbestätigung können Sie den Benutzer-Manager von
Windows oder einen RADIUS-Server verwenden.
37
Zusätzliche Einstellungen für extern verwaltete Benutzer
In dem Fenster „Benutzerverwaltung“ legen Sie auch fest, ob und in
welcher Form für extern verwaltete Benutzer Kosten-/Nutzungsdaten
gespeichert werden. Dies kann in der Datenbank NTREACT.MDB des
ISDN Access Servers oder über einen RADIUS-Accounting-Server erfolgen. Außerdem können für extern verwaltete Benutzer Budgetdaten in
einer ISDN Access Server-Datenbank (NTREBUD.MDB) abgelegt werden.
Weitere Hinweise zu den Kosten-/Nutzungsdaten und Budgetinformationen finden Sie in „Verbindungssteuerung, Management- und Monitorfunktionen“ auf Seite 65.
Da im Benutzer-Manager von Windows oder in einem RADIUS-Server
keine spezifischen Parameter für den Zugriff entfernter Benutzer über
ISDN festgelegt werden können, bietet der ISDN Access Server zwei
Möglichkeiten für die Eingabe solcher Parameter für extern verwaltete
Benutzer: Benutzergruppen und Einstellungen für Windows-Benutzer.
Um Ihren Konfigurationsaufwand für die extern verwalteten Benutzer
zu verringern, sollten Sie die vorgegebenen Standard-Einstellungen
und die Standard-Benutzergruppe verwenden. Diese Standardvorgaben werden auf alle Benutzer angewendet, für die es keine separaten
Einstellungen gibt.
Zusätzliche Einstellungen für Windows-Benutzer
Wenn Sie für Ihre Benutzerverwaltung den Benutzer-Manager von Windows verwenden, gehen Sie folgendermaßen vor:
38
l
Im Menü „Konfiguration / Benutzerverwaltung / Benutzergruppen“ befindet sich der Eintrag „Standard“. Ändern Sie die Vorgaben in dieser Benutzergruppe entsprechend den Anforderungen
in Ihrem WAN (z.B. Budget, Kostenübernahme und Zeitprofil). Sie
können auch neue Benutzergruppen anlegen.
l
Wechseln Sie nun in das Menü „Windows-Benutzer“ und bearbeiten den Eintrag „Standard-Einstellungen“. Wählen Sie in diesen
Standard-Einstellungen die eben konfigurierte Benutzergruppe
aus, damit die Einstellungen in der Benutzergruppe standardmäßig für alle Windows-Benutzer gelten. Geben Sie hier das Passwort an, das bei der Echtheitsbestätigung auf der lokalen Seite
verwendet werden soll.
l
Nun gelten für alle Windows-Benutzer dieselben Parameter für
den Fernzugriff. Um z.B. verschiedene Passwörter für die Echtheitsbestätigung auf lokaler Seite zu vergeben, fügen Sie im Menü „Windows-Benutzer“ die Benutzer zusätzlich hinzu, für die andere Einstellungen gelten sollen.
Sie haben auch die Möglichkeit, die im Benutzer-Manager festgelegten Passwörter zu verwenden. Aktivieren Sie dazu die entsprechende
Option im Menü „Konfiguration / Benutzerverwaltung / Allgemein“.
Bei Benutzern, für die es keinen gesonderten Eintrag unter „WindowsBenutzer“ gibt, werden die Standard-Einstellungen verwendet. Dabei
haben die Parameter der Standard-Einstellungen Vorrang vor den Einstellungen in der Benutzergruppe. Nur wenn ein Parameter in den Standard-Einstellungen nicht definiert ist, z.B. die IP-Adressvergabe, greift
der ISDN Access Server auf die Einstellungen der zugeordneten Benutzergruppe zurück. Der ISDN Access Server wendet die Einstellungen
also in der folgenden Reihenfolge an:
1.
Windows-Benutzer
2.
Aktive Standard-Einstellungen (Menüpunkt „Windows-Benutzer“)
3.
Einstellungen der zugeordneten Benutzergruppe oder der Benutzergruppe „Standard“.
Zusätzliche Einstellungen für RADIUS-Benutzer
Zusätzliche Parameter für den Fernzugriff von RADIUS-Benutzern werden in Benutzergruppen gespeichert. Die Zuordnung der einzelnen Benutzer zur Benutzergruppe wird im RADIUS-Server durchgeführt. Erfolgt
dort keine Zuweisung einer Benutzergruppe, werden die Einstellungen
der Gruppe „Standard“ verwendet.
Um den Konfigurationsaufwand zu verringern, passen Sie zuerst die
Einstellungen der Benutzergruppe „Standard“ an die Gegebenheiten in
Ihrem WAN an („Konfiguration / Benutzerverwaltung / Benutzergruppen“). Diese Einstellungen werden für alle RADIUS-Benutzer verwendet, denen keine Benutzergruppe zugewiesen wurde.
Um für einige RADIUS-Benutzer abweichende Einstellungen zu definieren, fügen Sie weitere Benutzergruppen hinzu.
Weitere Informationen zur RADIUS-Benutzerverwaltung finden Sie im
Readme und in der Online-Hilfe.
39
Einrichten von intern verwalteten Benutzern
Einrichten von intern verwalteten Benutzern
Der ISDN Access Server bietet zum Einrichten neuer Benutzer, die intern verwaltet werden, vordefinierte Profile für IP-Verbindungen, IPXVerbindungen und Verbindungen, bei denen beide Netzwerkprotokolle
verwendet werden („Konfiguration / Benutzereinstellungen / Neuen
Benutzer einrichten“). Bei diesen Profilen werden nur die Parameter
angezeigt, die für diese Art von Verbindung im Standardfall von Bedeutung sind. Eine Vielzahl von Parametern ist bereits mit sinnvollen Werten belegt.
Diese Profile vermindern den Konfigurationsaufwand beträchtlich. Haben Sie einen neuen Benutzer mit Hilfe eines Profils angelegt und gespeichert, können Sie die Vorgaben selbstverständlich individuell anpassen.
In dem Menüpunkt „Neuen Benutzer einrichten“ finden Sie auch einen
Benutzer ohne Profil, in dem alle möglichen Parameter aufgeführt sind.
Zugriff der Benutzer organisieren
Die B-Kanäle der ISDN-Controller, die der ISDN Access Server verwendet, werden zu einem Pool zusammengefasst und stehen allen Benutzern offen. Diese Methode ist grundsätzlich sehr flexibel und ermöglicht eine optimale Nutzung der verfügbaren Kanäle. Das Einrichten der
Benutzer erfolgt damit auch unabhängig von den ISDN-B-Kanälen.
Zu einem Zeitpunkt können mehr logische ISDN-Verbindungen zu Benutzern bestehen, als ISDN-B-Kanäle zur Verfügung stehen. Dies wird
durch den physikalischen Verbindungsabbau möglich, der dafür sorgt,
dass ungenutzte ISDN-Verbindungen automatisch abgebaut werden.
So stehen die B-Kanäle des ISDN Access Servers anderen Benutzern
zur Verfügung. Die physikalische Verbindung wird aufgebaut, sobald
Pakete an oder vom Benutzer gesendet werden müssen.
Der Systemverwalter muss sicherstellen, dass immer ausreichend BKanäle zur Verfügung stehen, wenn für die Mehrzahl der Benutzer die
Möglichkeit der logischen ISDN-Verbindung konfiguriert wurde (logischer Verbindungsabbau später als physikalischer oder nie).
Der ISDN Access Server bietet in diesem Zusammenhang mehrere Möglichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für
„wichtige“ Benutzer zu gewährleisten:
40
Dynamische Vergabe von IP- und IPX-Adressen für Benutzer
l
Reservierung von B-Kanälen für bestimmte Benutzer, z.B. den
Systemverwalter, in den Einstellungen der ISDN-Controller („Konfiguration / Server-Einstellungen / ISDN-Controller“). Diese B-Kanäle werden dann aus dem Pool von Kanälen herausgenommen.
l
Zuweisen einer Priorität in den Benutzereinstellungen (hoch, mittel, niedrig). So wird sichergestellt, dass Benutzer mit hoher Priorität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der Anwahl eines solchen Benutzers alle B-Kanäle belegt, wird die Verbindung zu einem Benutzer mit niedrigerer Priorität abgebaut.
Um den zeitlichen Zugriff der Benutzer auf das LAN zu regeln, definieren Sie Zeitprofile (Menü „Spezielles“) und ordnen diese dann einzelnen Benutzern oder Benutzergruppen zu. So können Sie z.B. ein Zeitprofil einrichten, das den Zugriff auf Montag bis Freitag und die Geschäftszeiten beschränkt. Dieses Profil wird nun allen Außendienstmitarbeitern zugeordnet. Ein Zugriff außerhalb der festgelegten Zeiten ist
nicht möglich.
Dynamische Vergabe von IP- und IPX-Adressen für Benutzer
In den Server-Einstellungen können Sie mit Hilfe der Menüpunkte „IPAdressvergabe“ und „IPX-Adressvergabe“ Adressbereiche definieren,
aus denen Benutzer bei der Anwahl eine IP- bzw. IPX-Adresse erhalten.
In den Einstellungen der einzelnen Benutzer (für intern verwaltete Benutzer) bzw. der Benutzergruppe/der Windows-Benutzer (für extern
verwaltete Benutzer) legen Sie dann fest, ob diese Benutzer aus den
definierten Adressbereichen statische IP-, bzw. IPX-Adresse erhalten
oder dynamisch eine Adresse zugewiesen bekommen.
Für die IP-Adressvergabe müssen komplette Subnetze oder einzelne
IP-Adressen als Adressbereich angegeben werden (siehe „TCP/IPAdressen“ auf Seite 121 und „Subnetzmasken (Masken)“ auf
Seite 118). Tragen Sie das komplette Subnetz mit seiner Start- und Endadresse und der entsprechenden Bit-Maske unter dem Menüpunkt „IPAdressvergabe“ ein („Konfiguration / Server-Einstellungen“). Der IPAdressbereich für die statische Zuordnung wird hier gesondert eingetragen.
Sie können ein eigenes IP-Netz für die Benutzer wählen, es können
aber auch Adressen aus dem LAN-Strang benutzt werden, in dem sich
der ISDN Access Server selbst befindet. Dabei muss darauf geachtet
werden, dass nur IP-Adressen und/oder IP-Adressbereiche im ISDN Access Server konfiguriert werden, die im LAN-Strang nicht verwendet
41
Behandlung einkommender Rufe
werden. Auch für diese Adressbereiche gilt, dass sie zusammen ein
komplettes gültiges Subnetz bilden müssen. Eine Alternative hierzu ist
der Eintrag einzelner IP-Adressen.
3.3 Behandlung einkommender Rufe
Der ISDN Access Server nimmt prinzipiell nur Anrufe von Benutzern
entgegen, die „bekannt“ sind, für die es also interne Benutzereinstellungen gibt oder die über den Benutzer-Manager von Windows bzw. einen RADIUS-Server identifiziert werden. Anrufe von unbekannten Teilnehmern werden abgelehnt.
Um einem einkommenden Ruf eine lokale Benutzerkonfiguration zuordnen zu können, benutzt der ISDN Access Server eine der beiden folgenden Informationen:
l
die D-Kanal-Rufnummer (CLI = Calling Line Identification).
Dazu muss erst einmal sichergestellt sein, dass die Rufnummer
über den D-Kanal übermittelt wird. Dies können Sie bei Ihrem
ISDN-Anbieter beantragen. Außerdem muss die D-Kanal-Rufnummer den Benutzereinstellungen zugeordnet werden. Das geschieht wie folgt: entweder wird sie direkt in die Benutzereinstellungen eingetragen (unter dem Parameter „D-Kanal-Rufnummer
(CLI) für Zuordnung einkommender Rufe“) oder sie wird bei der
Einstellung der Rufnummernüberprüfung eingetragen („Konfiguration / Sicherheit / Rufnummernüberprüfung / Zur Einwahl berechtigte Rufnummern“).
Zwingend erforderlich ist die Nutzung der D-Kanal-Rufnummer zur
Zuordnung immer dann, wenn in einer Benutzerkonfiguration die
Kostenübernahme durch die lokale Seite oder der Sicherheitsrückruf aktiviert wurde.
Es ist möglich, dass Benutzer unterschiedliche ISDN-Anschlüsse
zur Einwahl verwenden, da sie z.B. mal von zu Hause, mal von der
Firmenniederlassung oder von unterwegs anrufen. Lassen Sie
sich alle D-Kanal-Rufnummern vom Benutzer mitteilen und tragen
Sie diese im ISDN Access Server ein („ISDN-Einstellungen“ in der
Benutzerkonfiguration).
l
42
Angaben für die Echtheitsbestätigung über PAP oder CHAP, die die
Gegenstelle bei entsprechender lokaler Konfiguration beim Verbindungsaufbau über den ISDN-B-Kanal übermitteln muss.
Zugriffschutz und Sicherheitsmechanismen
Dazu müssen Sie in der lokalen Benutzerkonfiguration die Echtheitsbestätigung auf lokaler Seite über PAP oder CHAP aktivieren
und Namen sowie Passwort eintragen. Für die Identifizierung des
einkommenden Rufes wird nur der Name verwendet.
Achten Sie bei beiden Informationen darauf, dass die Zuordnung eindeutig ist. Die D-Kanal-Rufnummer und der Name für die Echtheitsbestätigung dürfen nur genau einem Benutzer zugeordnet sein.
3.4 Zugriffschutz und Sicherheitsmechanismen
Der ISDN Access Server bietet ein mehrstufiges Sicherheitskonzept,
das zuverlässig vor unerlaubten Zugriffen auf das lokale Netzwerk
schützt.
Die Sicherheitsfunktionen können auf verschiedenen Ebenen konfiguriert werden:
l
global für den gesamten ISDN Access Server (z.B. Rufnummernüberprüfung und IP-Filter)
l
individuell für jeden Benutzer bzw. jede Benutzergruppe (z.B.
Echtheitsbestätigung)
Im Folgenden werden die verschiedenen Funktionen und Konzepte erläutert und Hinweise für die Konfiguration gegeben.
Rufnummernüberprüfung mit CLI
Um das Netz vor unerlaubtem Zugriff zu schützen, bietet der ISDN Access Server die Möglichkeit, bei einkommenden Rufen anhand der
übermittelten CLI-Nummer (D-Kanal-Rufnummer) zu prüfen, ob die Gegenseite zur Einwahl berechtigt ist.
Dazu aktivieren Sie die Funktion „Rufnummernüberprüfung“ unter „Sicherheit“ in der Konfiguration. Für jeden Benutzer müssen Sie nun die
Nummer, die über den D-Kanal übermittelt wird, eintragen. Wenn Sie in
den Einstellungen der Benutzer bereits D-Kanal-Rufnummern eingetragen haben, werden diese Nummern ebenfalls hier aufgeführt.
Wenn der Benutzer von verschiedenen Standorten aus anruft und damit mehrere D-Kanal-Rufnummern verwendet, müssen Sie natürlich
alle möglichen D-Kanal-Rufnummern der Gegenstelle eingeben.
43
Echtheitsbestätigung mit PAP oder CHAP
Bei einem eingehenden Ruf wird nun geprüft, ob die im D-Kanal übermittelte Rufnummer in der Rufnummerndatenbank gespeichert ist. Ist
dies der Fall, wird der einkommende Ruf erst einmal angenommen. Anschließend können weitere Sicherheitsmechanismen greifen.
Echtheitsbestätigung mit PAP oder CHAP
Für jeden intern verwalteten Benutzer, jede Benutzergruppe und jeden
Windows-Benutzer kann in den Einstellungen festgelegt werden, dass
sich die Gegenstelle beim ISDN Access Server identifizieren muss
(„Echtheitsbestätigung auf lokaler Seite“). Hierfür stehen die Verfahren
PAP (nach RFC 1994) und CHAP (nach RFC 1334) zur Verfügung. Beide
Verfahren erfordern die Konfiguration eines Namens und eines Passworts.
Genaue Informationen zu PAP und CHAP finden Sie in der Online-Hilfe
und im Glossar.
Bei intern verwalteten Benutzern wird die Echtheitsbestätigung durch
den ISDN Access Server durchgeführt. Bei extern verwalteten Benutzern erfolgt dies mit Hilfe des Benutzer-Managers von Windows oder
eines RADIUS-Servers.
Falls der entfernte Benutzer eine Echtheitsbestätigung des Netzwerkes
verlangt (dies ist z.B. mit NetWAYS/ISDN möglich), können Sie dafür
den Namen und das Passwort eingeben, die Ihnen die Gegenseite mitgeteilt hat („Echtheitsbestätigung bei der Gegenstelle“).
Die Echtheitsbestätigung dient auch der Identifizierung des Benutzers,
wenn die Überprüfung der D-Kanal-Rufnummer (CLI) nicht aktiviert ist.
Sicherheitsrückruf
Um die Zugriffssicherheit auf das LAN weiter zu erhöhen, kann für jeden Benutzer ein Sicherheitsrückruf nach LCP Extensions (RFC 1570)
oder RFC-Draft „PPP Callback Control Protocol“ erzwungen werden.
Dies wird in den Einstellungen des Benutzers oder der Benutzergruppe
festgelegt.
Der Rückruf erfolgt nach der Rufannahme und einer eventuellen
PAP/CHAP-Echtheitsbestätigung. Für den Sicherheitsrückruf wird die
Rufnummer verwendet, die Sie in den Benutzereinstellungen (intern
verwaltete Benutzer), in den Einstellungen des jeweiligen Windows-Benutzers oder im RADIUS-Server eingetragen haben. Bei Windows-Benutzern, die nicht über „Konfiguration / Benutzerverwaltung / Windows-Benutzer“ eingetragen sind, ist kein Sicherheitsrückruf möglich.
44
Filter
Ist die logische ISDN-Verbindung aktiv, und die physikalische Verbindung wird nach Inaktivität abgebaut, erfolgt der Sicherheitsrückruf bei
jedem erneuten Verbindungsaufbau.
Filter
Filter dienen zum Schutz vor unerlaubtem Eindringen in das Netzwerk
sowie zur Selektion der Daten und Dienste, die für den Zugriff von außen bereitgestellt werden sollen. Durch diese Selektion tragen sie auch
zur Reduzierung der Verbindungskosten auf ein Minimum bei. Über
den Menüpunkt „Sicherheit“ bietet der ISDN Access Server umfangreiche Filtermöglichkeiten.
Für IP können ein globaler Input-Filter, ein globaler Output-Filter sowie
ein Forward-Filter für Pakete eingerichtet werden – die Möglichkeiten
zum Schutz und der selektiven Bereitstellung von Daten und Diensten
für Ihr IP-Netzwerk sind damit sehr weitreichend. Sie können beispielsweise festlegen, dass nur genau definierte Stationen miteinander kommunizieren können oder bestimmte Dienste, zum Beispiel „WWW“ für
den Zugriff auf einen lokalen Web-Server, nur von einigen entfernten
Benutzern genutzt werden können.
Für IPX stehen RIP- und SAP-Filter zur Verfügung. Damit können Sie Ihr
IPX-Netzwerk komplett filtern, so dass es von außen komplett oder z.B.
für einen bestimmten Benutzer „unsichtbar“ ist. Außerdem ist es möglich, einzelne Dienste, z.B. lokale Druckerserver, zu filtern.
Hier noch einige Hinweise zur grundsätzlichen Vorgehensweise bei der
Konfiguration von Filtern:
l
Wichtig ist, dass Sie von vornherein beide Anforderungen –
Schutz und Nutzungsmöglichkeiten – berücksichtigen. Es widerspricht sicherlich Ihrer Absicht, wenn Ihr Netzwerk durch Filter
vollständig geschützt ist, dadurch jedoch auch der Zugriff externer
Anwender auf eine Datenbank unmöglich geworden ist.
l
Sie brauchen eine klare Vorstellung davon, was vor wem geschützt werden soll und wer was nutzen können soll. Machen Sie
sich am besten eine Skizze des WANs mit den Details Ihres LANs,
den gewünschten Zugriffsmöglichkeiten von und nach außen und
den zu schützenden Bereichen.
Im Folgenden werden die unterschiedlichen Filtermöglichkeiten für IP
und IPX genauer beschrieben.
45
Filter
IP-Filter (Firewall)
Für Ihr IP-Netzwerk bietet der ISDN Access Server Paketfilterung mit
drei Instanzen: globaler Input-Filter, globaler Output-Filter und Forward-Filter. In jeder dieser Instanzen können Regeln festgelegt werden.
Die Regeln definieren, wie der ISDN Access Server einkommende, ausgehende oder an andere Netze weiterzuleitende Pakete behandeln
soll. Möglich sind die Aktionen „Verwerfen“, „Zurückweisen“ oder
„Durchlassen“.
Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einen
sehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung im
ISDN Access Server ist eine der möglichen Herangehensweisen zum
Aufbau einer sogenannten Firewall, einer Schutzmauer um Ihr Unternehmen. Die folgende Abbildung veranschaulicht die drei Filterinstanzen.
LAN
ISDN Access Server
Globaler
Output-Filter
ForwardFilter
ISDN
Globaler
Input-Filter
Einkommendes Paket vom ISDN in das LAN
Globaler
Input-Filter
ForwardFilter
Globaler
Output-Filter
Ausgehendes Paket vom LAN in das ISDN
Die drei IP-Filter des ISDN Access Servers
Die drei globalen IP-Filter haben folgende Aufgaben:
46
l
Globaler Input-Filter: Überprüfung von Paketen, die aus einer beliebigen Richtung (vom LAN oder über ISDN) in den ISDN Access
Server kommen.
l
Globaler Output-Filter: Überprüfung von Paketen, die den ISDN
Access Server in eine beliebige Richtung verlassen (in das LAN
oder über ISDN).
Filter
l
Forward-Filter: Überprüfung alle Pakete, die im ISDN Access Server von einem auf ein anderes Netz weitergeleitet werden (z.B.
vom LAN auf eines der Zielnetze oder von einem Zielnetz auf ein
anderes).
Beispiel: Sie haben den globalen Input- und den globalen Output-Filter
definiert und keinen Forward-Filter. Erreicht ein Paket, dessen Ziel im
LAN liegt, über ISDN den ISDN Access Server, durchläuft es den globalen Input-Filter und sofort danach, sofern es hier durchgelassen wurde,
den globalen Output-Filter. Hätten Sie einen Forward-Filter gesetzt,
würde das Paket vom globalen Input-Filter zunächst an den ForwardFilter weitergeleitet und würde erst danach den globalen Output-Filter
durchlaufen.
Filter und Regeln: Globaler Input-Filter, Output-Filter und Forward-Filter
bestehen aus folgenden Komponenten:
1.
Einer geordneten Abfolge von Regeln. Eine Regel besteht immer
aus einer Beschreibung des Pakettyps, für den die Regel gelten
soll, und einer Aktion, die auf das Paket angewendet werden soll.
Die Beschreibung des Pakettyps geschieht anhand von 3 Kriterien:
– Dienst - hier können alle IP-Dienste, nur bestimmte Dienste,
z.B. ftp, telnet, oder nur bestimmte Handlungen, z.B. ftp-Zugriff aus dem Internet in das LAN, als Kriterium festgelegt werden.
– Quelle des Pakets - als Quelle des Pakets kann ein bestimmtes
Netzwerk oder eine konkrete Station festgelegt werden.
– Ziel des Pakets - hier gilt das gleiche wie für die Quelle.
Für die Aktion gibt es drei Möglichkeiten:
Durchlassen: Das Paket wird an die im Header angegebene Zieladresse gesendet oder dem nächsten Filter übergeben.
Verwerfen: Das Paket wird nicht weitergeleitet.
Zurückweisen: Das Paket wird nicht weitergeleitet. An die Quelladresse wird die Fehlermeldung „Destination not reachable“ gesendet.
2.
Einer Standard-Aktion, die auf alle Pakete angewendet wird, für
die beim Durchlaufen aller Regeln des Profils keine anwendbare
gefunden wurde.
47
Filter
3.
Einer Anweisung für die Protokollierung der Pakete, die von dieser
Regel behandelt wurden. Dies dient vor allem dazu, „Einbruchsversuche“ in das LAN festzuhalten und gegebenenfalls die Spur
zum Verursacher zurückzuverfolgen.
Jedes Paket durchläuft die Regeln von der ersten bis zur letzten, bis es
auf die erste anwendbare Regel trifft und entsprechend der Aktion dieser Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“
oder „Zurückweisen“, ist das Filtern für dieses Paket beendet.
Wurde keine passende Regel für ein Paket gefunden und heißt die
Standard-Aktion „Durchlassen“, wird das Paket der nächsten zuständigen Filterinstanz übergeben.
Beachten Sie also beim Erstellen eines Filters diese beiden wichtigen
Aspekte:
l
Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmte
Pakete und die Standard-Aktion für alle anderen).
l
Die Reihenfolge der Regeln ist extrem wichtig! Es muss unbedingt
sichergestellt werden, dass eine Regel für ein Paket, die davor im
Profil steht, nicht allgemeiner gehalten ist als eine Regel danach.
Die Regel, die in der Hierarchie danach steht, würde sonst nie angewendet werden. So können Sicherheitslücken entstehen oder
eigentlich erwünschte Zugriffsmöglichkeiten verhindert werden.
Als Grundprinzip bei der Anordnung der Regeln innerhalb eines
Filterprofils gilt: Minderheiten zuerst regeln.
Ein einfaches Beispiel: Sie wollen, dass von außerhalb des LANs nur
Benutzer A Zugriff auf den Rechner B im LAN erhält. Dazu formulieren
Sie im globalen Input-Filter die beiden folgenden Regeln:
l
A darf auf den Rechner zugreifen. Die Regel lautet also: Pakete mit
allen Diensten, die von der IP-Adresse A kommen und an die IPAdresse von Rechner B adressiert sind, durchlassen.
l
Keiner darf auf den Rechner zugreifen. Die Regel lautet also: Pakete mit allen Diensten, die von allen Adressen kommen und an die
IP-Adresse von Rechner B adressiert sind, verwerfen.
IPX RIP/SAP-Filter
Für das Protokoll IPX kann über RIP/SAP-Filterregeln der Zugriff auf bestimmte Routen und Netzwerkdienste reguliert werden. Die RIP/SAPFilter gelten global für den gesamten ISDN Access Server.
48
Kosten verringern und begrenzen
Das Protokoll RIP (Routing Information Protocol) ermöglicht den Austausch von Routing-Informationen. Mit dem Filtern dieser Pakete kann
der Zugriff auf bestimmte Routen und damit das LAN eingeschränkt
werden. Wird ein Teil der RIP-Pakete bereits auf dem Weg aus dem LAN
zum ISDN Access Server herausgefiltert (RIP-Input-Filter), können die
Informationen in der RIP-Tabelle des ISDN Access Servers auf das Wesentliche beschränkt werden.
SAP (Service Advertising Protocol) wird von Servern zur Bekanntgabe
ihrer Dienste und Adressen in einem Netzwerk verwendet. Mit dem Filtern von SAP-Paketen können Sie den Zugriff auf bestimmte Dienste,
z.B. Drucker oder Fileserver, einschränken. Wird ein Teil der SAP-Pakete
bereits auf dem Weg aus dem LAN zum ISDN Access Server herausgefiltert (SAP-Input-Filter), können die Informationen in der SAP-Tabelle des
ISDN Access Servers auf das Wesentliche beschränkt werden.
Jedes ein- und ausgehende IPX-Paket wird anhand der RIP/SAP-Filter
geprüft. Bei der Prüfung werden für jedes Paket die RIP/SAP-Filter nach
einer passenden Regel durchsucht.
Es gibt die folgenden Filter:
l
RIP-Input-Filter - Filter für eingehende RIP-Pakete (vom LAN oder
einem Benutzer zum ISDN Access Server).
l
RIP-Output-Filter - Filter für ausgehende RIP-Pakete (vom ISDN Access Server zum LAN oder zu einem Benutzer).
l
SAP-Input-Filter - Filter für eingehende SAP-Pakete (vom LAN oder
einem Benutzer zum ISDN Access Server).
l
SAP-Output-Filter - Filter für ausgehende SAP-Pakete (vom ISDN
Access Server zum LAN oder zu einem Benutzer).
3.5 Kosten verringern und begrenzen
Der entscheidende Kostenfaktor für den professionellen Fernzugriff
sind in der Regel die ISDN-Verbindungsgebühren. Wenn sich die entfernten Benutzer über Mobile ISDN (GSM) einwählen, sind diese Kosten sogar in weit höherem Maße relevant. Aus diesem Grunde bietet
der ISDN Access Server for Windows 2000 eine Reihe von Funktionen,
mit denen Sie die ISDN-Verbindungskosten im Vergleich zu konventionellen Fernzugriffslösungen beträchtlich verringern können. Sie können außerdem Budgets einrichten, um vor unvorhergesehenen Kosten
sicher zu sein. Und nicht zuletzt unterstützt der ISDN Access Server Me-
49
Logische ISDN-Verbindungen
chanismen zur Verlagerung der Verbindungsgebühren auf eine bestimmte Seite (zentrales LAN oder entfernter Benutzer). Die Funktionen
zur Kostenbegrenzung werden im Folgenden ausführlich beschrieben.
Logische ISDN-Verbindungen
Der ISDN Access Server unterscheidet zwischen logischen und physikalischen ISDN-Verbindungen. Bei einer physikalisch aktiven ISDN-Verbindung ist ein B-Kanal aufgebaut, und es fallen Gebühren an. Die logische ISDN-Verbindung entsteht beim ersten Verbindungsaufbau und
dauert bis zum Abmelden des Benutzers beim Server nach der letzten
Aktivität. Die logische ISDN-Verbindung beinhaltet einige der ausgehandelten Verbindungsparameter wie z.B. Spoofing.
Zwischen Verbindungsaufbau und Abmelden des Benutzers muss
nicht die ganze Zeit eine physikalische ISDN-Verbindung bestehen. Im
Vergleich zu analogen Netzen bietet ISDN einen extrem schnellen Verbindungsaufbau, so dass ungenutzte physikalische ISDN-Verbindungen aus Kostengründen kurzzeitig abgebaut werden können. Bei einem typischen Fernzugriff eines Benutzers über ISDN werden nur sporadisch Nutzdaten aus dem LAN benötigt, und auch beim Austausch
von Netzwerkpaketen gibt es Pausen. Nach dem Abbau der physikalischen Verbindung kann die logische ISDN-Verbindung erhalten bleiben.
Damit während der logischen ISDN-Verbindung auch physikalisch abgebaut werden kann, wird auf Benutzerseite eine Fernzugriffssoftware
wie NetWAYS/ISDN von AVM benötigt, die das Konzept der logischen
Verbindung unterstützt und bei Bedarf die physikalische ISDN-Verbindung wieder aufbaut.
Im ISDN Access Server können Sie für jeden Benutzer einstellen, wann
physikalisch abgebaut werden soll und wie lange die logische ISDNVerbindung erhalten bleiben soll. Dies wird über die Parameter „Physikalischer Abbau“ (Inactivity Timeout) und „Logischer Abbau“ in den
Benutzereinstellungen realisiert.
Spezielle Filter und Spoofing
Mit Hilfe von Filtern und Spoofing (englisch „to spoof“ = verballhornen,
hier im Sinne von vorgaukeln) wird die ISDN-Übertragung von Netzwerkpaketen verhindert, die keine Nutzdaten enthalten, sondern lediglich für Netzwerkprotokolle und -betriebssysteme notwendig sind. Im
50
Spezielle Filter und Spoofing
lokalen Netzwerk stellen diese Pakete natürlich kein Problem dar, ihre
Übertragung über ISDN würde jedoch hohe Verbindungskosten verursachen.
Spezielle Filter
Erfahrungsgemäß tauschen einige Anwendungen ständig Pakete aus,
die zu häufigen und unnötigen Verbindungsaufbauten führen können.
Aus diesem Grunde enthält der ISDN Access Server einige spezielle Paketfilter, die standardmäßig aktiviert sind. So werden beispielsweise
SNMP-Traps vom SNMP-Filter für IP bzw. IPX herausgefiltert, um häufige Verbindungsaufbauten über ISDN zu vermeiden.
Spoofingmechanismen
In Microsoft-Netzwerken tritt nach der Anmeldung eines Clients bei einem Windows 2000/NT-Server ein regelmäßiger NetBIOS-Datenverkehr auf, der nicht einfach vom ISDN Access Server herausgefiltert werden darf, da ansonsten die Client-Server-Verbindung unterbrochen
wird. Der ISDN Access Server beantwortet solche Pakete lokal und
täuscht so die Antworten des Clients vor. Der ISDN Access Server unterstützt das Spoofing von NetBIOS-Session-Keep-Alive-Paketen und von
SMB-Echo-Paketen (SMB in NetBIOS).
Auch einige Pakettypen, die in Novell NetWare-Umgebungen zwischen
dem NetWare-Clienten und dem NetWare-Server bzw. dem Server/Host-Teil einer Anwendung ausgetauscht werden, verlangen eine Bestätigung der Gegenseite. Würden diese Pakete einfach herausgefiltert, würde die Kommunikationsbeziehung zwischen Client- und HostTeil eines Dienstes bzw. einer Anwendung nicht mehr funktionieren.
Beispiel: Würden Watchdog-Pakete, die ein NetWare-Server zur Bestätigung an einen Client geschickt hat, gefiltert und nicht lokal vom ISDN
Access Server beantwortet, würde der NetWare-Server daraus schließen, dass der Client nicht mehr angeschlossen ist. So würde der Client
in der Server-Datenbank als nicht mehr existent vermerkt, obwohl er
noch angeschlossen ist.
Beim Spoofing in Novell NetWare-Umgebungen beantwortet der ISDN
Access Server die Pakete lokal, die der Host-Teil eines Dienstes bzw. einer Anwendung schickt. So beantwortet er z.B. die IPX-Watchdog-Pakete des NetWare-Servers bzw. die SPX-Watchdog-Pakete des Host-Teils
einer Anwendung. Beim NetWare-Client dagegen kann eingestellt werden, wie häufig diese IPX- und SPX-Watchdog-Pakete gesendet werden.
51
Datenverschlüsselung
Sobald eine ISDN-Verbindung aufgebaut ist, für die beide Seiten Spoofing ausgehandelt haben, wird für die gesamte Dauer der logischen
ISDN-Verbindung Spoofing durchgeführt.
Spoofing muss auf beiden Seiten (ISDN Access Server und Fernzugriffssoftware des Benutzers) unterstützt und aktiviert sein. Als Software für entfernte Benutzer kann hier NetWAYS/ISDN empfohlen werden.
Datenverschlüsselung
Der ISDN Access Server ermöglicht die Datenverschlüsselung, um Datenpakete während der Übertragung vor unberechtigtem Zugriff zu
schützen.
Die Verschlüsselung der Daten erfolgt auf der Ebene des Transportprotokolls (PPP). Die Verschlüsselung auf dieser Ebene basiert auf dem
RFC-Standard und ist somit im Rahmen von PPP-over-ISDN interoperabel. Auch die Datenkompression findet auf dieser Ebene statt, so dass
die Daten zuerst komprimiert und dann verschlüsselt werden können.
Die umgekehrte Reihenfolge ist nicht möglich, verschlüsselte Daten
können nicht komprimiert werden.
Die Daten werden mit dem Twofish-Algorithmus verschlüsselt. Der Twofish-Algorithmus verschlüsselt symmetrisch nach dem Secret Key-Verfahren. Symmetrisch bedeutet, dass zum Ver- und Entschlüsseln der
gleiche Schlüssel verwendet wird. Nur der Sender und der Empfänger
kennen den secret key. Der Schlüssel wird beim Verbindungsaufbau
mit einer Länge von 128-256 Bit (Random) generiert und ist damit dem
Sender bekannt. Damit auch der Empfänger den Schlüssel kennt, muss
er zum Empfänger übertragen werden. Auf dem Weg vom Sender zum
Empfänger muss der Schlüssel geheim bleiben, weshalb der Schlüssel
selbst chiffriert wird. Die Chiffrierung des Schlüssels findet durch eine
separate Anwendung, die nicht Bestandteil des ISDN Access Server ist,
statt und kann somit individuell angepasst werden. Über die Crypt Provider API kann der ISDN Access Server auf externe Routinen, die den
Schlüssel chiffrieren, zugreifen. Eine Beispielanwendung zur Veranschaulichung ist auf der CD vorhanden.
52
Globale Schwellenwerte und benutzerbezogene Budgets
WINDOWS 2000 /
WINDOWS NT
CRYPTPROVIDER
API
ISDN
ACCESS
SERVER
Architektur von ISDN Access Server und Cryptprovider
Im ISDN Access Server können auf zwei Ebenen Höchstgrenzen für Verbindungsgebühren bzw. ausgehende Rufe angegeben werden: global
mit Hilfe der Schwellenwerte und benutzerbezogen mit Hilfe des Budgets. Beide Einstellungen sollen unerwartet hohe ISDN-Gebühren verhindern.
Globale Schwellenwerte
Die Schwellenwerte dienen zur Festlegung von globalen Obergrenzen
für ISDN-Gebühren (Budget), physikalische Verbindungsdauer und Anzahl ausgehender Rufe einschließlich fehlgeschlagene Versuche und
Signalisierung im D-Kanal. Die hier festgelegten Obergrenzen gelten für
alle ausgehenden Wählverbindungen des ISDN Access Servers.
Werden an Ihrem ISDN-Anschluss bzw. Ihrer Nebenstellenanlage Tarifinformationen während der Verbindung übertragen (gemäß europäischem Standard AOCD = Advice On Charge During Call), berechnet der
ISDN Access Server die angefallenen Gebühren anhand dieser Informationen und vergleicht das Ergebnis mit dem Wert für den globalen
Schwellenwert „Budget“.
Werden an Ihrem ISDN-Anschluss bzw. der Nebenstellenanlage keine
Tarifinformationen übertragen, sollten Sie in den Benutzereinstellungen ein Gebührenprofil für die Gebührenabschätzung auswählen
(ISDN-Einstellungen des Benutzers). In diesem Fall findet eine Gebührenabschätzung statt, um die angefallenen Gebühren zu berechnen.
Das Ergebnis dieser Abschätzung wird dann ebenfalls mit dem globalen Schwellenwert „Budget“ verglichen. Tragen Sie einen Wert für das
Budget ein, wenn die Ermittlung der angefallenen Gebühren auf Grund-
53
lage der übertragenen Tarifinformationen oder der Gebührenabschätzung erfolgt. Die anderen beiden Schwellenwerte dienen zur Absicherung, falls dem ISDN Access Server diese Berechnungsgrundlagen
nicht zur Verfügung stehen.
Über den Menüpunkt „Spezielles / Gebührenprofile“ können neue Gebührenprofile erstellt und hinzugefügt werden.
Wird einer der globalen Schwellenwerte überschritten, baut der ISDN
Access Server bestehende ausgehende physikalische Verbindungen
ab und blockiert alle weiteren ausgehenden Verbindungen.
Um trotz überschrittener Schwellenwerte wieder ausgehende Verbindungen zu ermöglichen, setzen Sie die Werte hoch.
Die Voreinstellungen für die globalen Schwellenwerte pro Tag sind:
l
Maximales Budget: 100,- DM
l
Maximale Verbindungsdauer (B-Kanäle): 2 Std 30 Min
l
Maximale ausgehende Rufe (B- und D-Kanal): 900
Benutzerbezogene Budgets
Für jeden intern verwalteten Benutzer bzw. jede Benutzergruppe können Sie ein Budget festlegen, d.h. die maximalen Kosten pro Tag, Woche oder Monat. Damit setzen Sie Obergrenzen für Verbindungen zu
diesem Benutzer. Sie müssen nicht alle drei Werte angeben, sondern
können z.B. nur ein Limit pro Tag eintragen. Wenn Sie in den Einstellungen einer Benutzergruppe ein Budget festlegen, gilt dieser Wert für
jeden einzelnen Benutzer, es werden nicht die Gebühren aller Benutzer
zusammengerechnet.
Die Gebühren werden auf Grundlage der Gebührenimpulse berechnet,
die vom ISDN (bzw. der Nebenstellenanlage) übermittelt werden. Am
ISDN-Anschluss muss dazu der Dienst „Übermittlung der Telefonkosten während der Verbindung“ (AOCD = Advice On Charge During Call)
freigeschaltet sein. Haben Sie ein Gebührenprofil für die Gebührenabschätzung ausgewählt, schätzt der ISDN Access Server parallel zum
Gebührenimpuls die Gebühren ab. Werden an Ihrem ISDN-Anschluss
keine Gebühreninformationen übermittelt, sollten Sie in jedem Fall ein
Gebührenprofil für die Gebührenabschätzung auswählen.
Bitte beachten Sie, dass dies nur eine Abschätzung ist und die Tarife
jederzeit von der Deutschen Telekom AG geändert werden können.
Über den Menüpunkt „Spezielles / Gebührenprofile“ können neue Gebührenprofile erstellt und hinzugefügt werden.
54
Kostenübernahme (COSO, Charge One Site Only)
Überschreiten die vom ISDN Access Server berechneten Gebühren einen der eingetragenen Grenzwerte, wird die physikalische ISDN-Verbindung sofort abgebaut und weitere Rufe einschl. Signalisierung im DKanal zu diesem Benutzer blockiert. Die logische ISDN-Verbindung
bleibt davon zunächst unberührt. Müssen Pakete zu diesem Ziel übertragen werden, wird so oft versucht, die physikalische Verbindung wieder aufzubauen, wie Sie unter „Wahlwiederholung“ festgelegt haben.
Wollen Sie trotz überschrittenem Budget wieder eine Verbindung zu
diesem Ziel aufbauen, setzen Sie die Budgetwerte hoch.
Die ISDN-Funktion „Signalisierung im D-Kanal“ ist bei den meisten
ISDN-Anbietern kostenlos und wird vom ISDN Access Server zur Kostenübernahme (COSO = Charge One Site Only) verwendet.
Mit Hilfe dieser Funktion können Sie für jeden Benutzer oder Benutzergruppe festlegen, welche Seite für die Verbindungskosten aufkommt.
Dies kann die lokale Seite sein, die Gegenseite oder die Seite, die die
physikalische Verbindung zuerst aufbaut.
In Deutschland ist die Signalisierung im D-Kanal kostenlos. In anderen
Ländern, z.B. in der Schweiz, ist dies nicht unbedingt der Fall. Bevor
Sie diese Funktion nutzen, sollten Sie sich deshalb bei Ihrem Netzbetreiber erkundigen.
Da COSO ein reines ISDN-Leistungsmerkmal und noch nicht Bestandteil eines PPP-Standards ist, muss auch die Gegenseite diese Funktion
unterstützen. Eine mögliche Gegenstelle ist z.B. das AVM-Produkt NetWAYS/ISDN.
Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass die
Kostenübernahme auf „Lokale Seite“ eingestellt ist (ISDN Access Server übernimmt die Verbindungsgebühren).
55
Benutzer
Datenpaket für
das entfernte
Netzwerk
ISDN
D-Kanal
Signalisierung des
Verbindungswunsches
D- und B-Kanal
Annehmen des
einkommenden
Rufes nach evtl.
D- und B-Kanal
Übertragung von
Datenpaketen in
beide Richtungen
ISDN Access Server
Identifizierung des
Anrufers anhand
D-Kanal-Rufnummer
Ablehnen des
Verbindungswunsches.
Rückruf und dadurch
Kostenübernahme durch
ISDN Access Server
Abbau der ISDNVerbindung nach
Inaktivität
D- und B-Kanal
Annehmen des
einkommenden
Rufes nach evtl.
Datenpaket für
den entfernten
Benutzer, z.B. E-Mail
D- und B-Kanal
Übertragung von
Datenpaketen in
beide Richtungen
Vorgänge bei Einstellung der Kostenübernahme auf „Lokale Seite“
56
Konfigurationshinweise für den entfernten Rechner
4 Konfigurationshinweise für den
entfernten Rechner
In diesem Kapitel erhalten Sie Konfigurationshinweise für entfernte
Rechner in einem Microsoft-Netzwerk, die auf den ISDN Access Server
zugreifen möchten. Neben allgemeinen Hinweisen zum Arbeiten in einem Microsoft-Netzwerk finden Sie hier auch Informationen zur Namensauflösung und zum Arbeiten und Anmelden in einem MicrosoftNetzwerk.
4.1 Hinweise für das Arbeiten in Microsoft-Netzwerken
Nehmen Sie bei den entfernten Rechnern in einem Microsoft-Netzwerk
und beim ISDN Access Servers folgende Einstellungen vor:
NetBIOS-Filter und NetBIOS-Spoofing
Microsoft-Netzwerke basieren auf NetBIOS, dem Standard für die Netzwerkkommunikation. NetBIOS kann sowohl über TCP/IP als auch über
IPX transportiert werden. Standardmäßig wird TCP/IP als Transportprotokoll ausgewählt, darauf sind auch die Mechanismen des Netzzugriffes optimiert. Um Kosten zu sparen, sollte man deshalb NetBIOS over
IP nutzen.
Da die Kommunikation in diesen Netzwerken auf NetBIOS basiert,
müssen die NetBIOS-Filter für das verwendete Transportprotokoll (in
der Regel für TCP/IP) in der Benutzerkonfiguration des ISDN Access
Servers und gegebenenfalls auch auf dem entfernten Rechner ausgeschaltet werden. Parallel dazu sollte bei der Benutzung von NetBIOS
over IP das NetBIOS-Spoofing eingeschaltet werden.
Dynamische Vergabe von IP-Adressen
Für das Arbeiten in einem Microsoft-Netzwerk ist es einerseits notwendig, dass sich der entfernte Rechner (Client) in diesem Netzwerk anmeldet und andererseits, dass eine Zuordnung der Rechnernamen zu
den entsprechenden Netzwerkadressen erfolgt.
ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner
57
Namensauflösung
Der administrative Aufwand kann durch die automatische Vergabe einer Netzwerkadresse erheblich minimiert werden. Es wird daher empfohlen, in den TCP/IP-Einstellungen der entfernten Rechner die dynamische Vergabe einer IP-Adresse über DHCP zu aktivieren.
Zum Einstellen der dynamischen IP-Adresse wählen Sie „Start / Einstellungen / Systemsteuerung / Netzwerk“.
Windows 98/95
Markieren Sie in Windows 98/95 auf der Registerkarte „Konfiguration“
das Protokoll „TCP/IP“ und klicken Sie auf die Schaltfläche „Eigenschaften“. Aktivieren Sie die Option „IP-Adresse automatisch beziehen“.
Windows NT
In Windows NT markieren Sie auf der Registerkarte „Protokolle“ das
Protokoll „TCP/IP“ und klicken auf die Schaltfläche „Eigenschaften“.
Aktivieren Sie die Option „IP-Adresse von einem DHCP-Server beziehen“.
Windows 2000
In Windows 2000 markieren Sie auf der Registerkarte der entsprechenden Netzwerk- bzw. DFÜ-Verbindung („Start / Einstellungen / Netzwerk
und DFÜ-Verbindungen“) das Protokoll „TCP/IP“ und klicken auf die
Schaltfläche „Eigenschaften“. Aktivieren Sie die Option „IP-Adresse
automatisch beziehen“.
4.2 Namensauflösung
Das Protokoll NetBIOS verwendet für die Rechner (Hosts) des Netzwerkes Namen. Namen können jedoch nicht geroutet werden. Aus diesem
Grunde müssen die Namen auf IP-Adressen umgesetzt werden. Diese
„Namensauflösung“ kann auf verschiedene Weise erfolgen. Im Folgenden wird die Namensauflösung per LMHOSTS-Datei, WINS-Server und
DNS-Server beschrieben.
LMHOSTS-Datei
Die LMHOSTS-Datei enthält eine Liste, in der eine eindeutige Zuordnung von Rechnernamen zu IP-Adressen gegeben ist. Diese Datei muss
auf jeden Rechner kopiert werden, der auf Ressourcen anderer Rechner
58
WINS-Server
zugreifen soll. Dazu gehören mindestens alle entfernten Rechner und
der Domänen-Controller. Verwendet man die Namensauflösung per
LMHOSTS-Datei, können nur feste IP-Adressen verwendet werden.
Eine typische LMHOSTS-Datei sieht folgendermaßen aus:
192.168.30.4
NTREMOTE
192.168.30.5
W95REMOTE
193.96.242.20 IAS
0
#PRE
DOM:Domain_IAS
Pro Zeile erfolgt der Eintrag für einen Rechner, beginnend mit der IPAdresse und dem Rechnernamen. Der Domänen-Controller wird, soweit
im Netz vorhanden, durch die Zeichenfolge #PRE #DOM:Name gekennzeichnet. In dem Beispiel oben trägt der Domänen-Controller der Domäne die Bezeichnung „Domain_IAS“.
Die LMHOSTS-Datei muss sich in folgenden Verzeichnissen befinden:
Windows 98/95: <Laufwerk>:\WINDOWS\
Windows 2000/NT: <Laufwerk>:\WINNT\SYSTEM32\DRIVERS\ETC\
In Windows 2000/NT muss zusätzlich in der TCP/IP-Konfiguration auf
der Registerkarte „WINS-Adresse“ die Option „LMHOSTS-Abfrage aktivieren“ eingeschaltet sein. In Windows NT rufen Sie hierzu „Start / Einstellungen / Systemsteuerung / Protokolle / TCP/IP / Eigenschaften“
auf. In Windows 2000 müssen Sie in der entsprechenden Verbindung
unter „Start / Einstellungen / Systemsteuerung / Netzwerk- und DFÜ
Verbindungen“ die TCP/IP-Eigenschaften öffnen. Unter den erweiterten
TCP/IP-Eigenschaften finden Sie die WINS-Registerkarte.
Bei einer Namensanfrage durchsucht der Rechner die lokale LMHOSTSDatei, ob diesem Namen eine IP-Adresse zugeordnet werden kann.
WINS-Server
Die Nutzung eines WINS-Servers gewährleistet eine flexible Namensauflösung im Microsoft-Netzwerk. Im Unterschied zur Namensauflösung über LMHOSTS-Dateien oder einen DNS-Server können bei Nutzung eines WINS-Servers die Rechner mit dynamischen Adressen arbeiten.
Die Anmeldung bei einem WINS-Server erfolgt während des Anmeldevorgangs am Microsoft-Netzwerk mit der aktuellen IP-Adresse. Dazu ist
es lediglich erforderlich, auf dem ISDN Access Server die IP-Adresse
des WINS-Servers in den Netzwerkeinstellungen einzutragen. In der
59
DNS-Server
Netzwerkeinstellung des entfernten Rechners ist es nicht notwendig, in
der TCP/IP-Konfiguration auf der Registerkarte „WINS-Adresse“ einen
WINS-Server einzutragen. Die Adresse des WINS-Servers wird während
der PPP-Aushandlung vom ISDN Access Server an die entfernten Rechner übermittelt. In Windows 98/95 muss zusätzlich die Option „DHCP
für WINS-Auflösung verwenden“ auf der Registerkarte „WINS-Konfiguration“ aktiviert werden.
Eine Namensanfrage wird durch den Rechner an den WINS-Server geschickt, der diesem Namen eine IP-Adresse zugeordnet und die zugehörige IP-Adresse zurückschickt.
DNS-Server
Wenn eine Namensauflösung über LMHOSTS-Dateien oder WINS-Server nicht möglich ist, kann auch ein DNS-Server (DNS = Domain Name
System) verwendet werden, um eine Namensauflösung innerhalb eines Microsoft-Netzwerkes zu realisieren. Da DNS-Server schwierig zu
konfigurieren sind und nicht mit dynamischer IP-Adresszuweisung gearbeitet werden kann, wird von der Nutzung eines DNS-Servers zur Namensauflösung innerhalb eines Microsoft-Netzwerkes abgeraten. Die
DNS-Server werden ebenfalls im Rahmen der PPP-Aushandlung vom
ISDN Access Server an die entfernten Rechner übermittelt, müssen dort
also nicht statisch, sondern lediglich in den Netzwerkeinstellungen
des ISDN Access Servers konfiguriert werden.
Windows 98/95
Aktivieren Sie in Windows 98/95 den DNS-Server auf der Registerkarte
„DNS“ („Start / Einstellungen / Systemsteuerung / Netzwerk / TCP/IP /
Eigenschaften“).
Windows NT
Aktivieren Sie in Windows NT auf der Registerkarte „WINS-Adresse“
(„Start / Einstellungen / Systemsteuerung / Netzwerk / Protokolle /
TCP/IP / Eigenschaften“) die Option „DNS für Windows-Auflösung aktivieren“.
Eine Namensanfrage wird durch den Rechner an den DNS-Server geschickt, der diesem Namen eine IP-Adresse zugeordnet und die zugehörige IP-Adresse zurückschickt. Für eine Anmeldung an eine Windows-Domäne müssen auf der Registerkarte „DNS“ außerdem der Name der Domäne und das Domänensuffix in der „Suchreihenfolge für
Domänensuffix“ eingetragen werden.
60
Anbindung an ein Microsoft-Netzwerk
4.3 Anbindung an ein Microsoft-Netzwerk
Es gibt zwei Möglichkeiten der Anbindung von Rechnern an ein Microsoft-Netzwerk: Arbeiten in einer Arbeitsgruppe und Arbeiten in einer
Domäne.
Arbeiten in einer Arbeitsgruppe
Das Netzwerkkonzept „Arbeitsgruppe“ ist die einfachste Methode, um
Ressourcen innerhalb eines Microsoft-Netzwerkes nutzen zu können.
Im Gegensatz zur Windows-Domäne verfügen Arbeitsgruppen nicht
über eine zentrale Sicherheitskontrolle. Somit werden die Sicherheitsmerkmale von Windows 2000/NT nicht voll ausgeschöpft.
Voraussetzung für die Anmeldung bei einer Arbeitsgruppe ist die eindeutige Zuordnung der Rechnernamen zu den IP-Adressen.
Entfernter Benutzer
Anmeldung erfolgt per Echtheitsbestätigung
innerhalb der Arbeitsgruppe
ISDN
Arbeitsgruppe
Anmeldung erfolgt per Echtheitsbestätigung innerhalb der Arbeitsgruppe
Server für die
Namensauflösung
DNS-Server oder WINS-Server
Anbindung an ein NT-Netzwerk über eine Arbeitsgruppe
Windows 98/95
Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Systemsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den
Computernamen und den Namen der Arbeitsgruppe ein.
Zusätzlich muss in den Eigenschaften des „Clients für Microsoft-Netzwerke“ („Start / Einstellungen / Systemsteuerung / Netzwerk / Konfiguration“) auf der Registerkarte „Allgemein“ die Option „An Windows Domäne anmelden“ deaktiviert sein.
61
Arbeiten in einer Windows NT-Domäne
Windows NT
Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Systemsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den
Namen der Arbeitsgruppe ein.
Windows 2000
Öffnen Sie unter den allgemeinen Systemeinstellungen („Start / Einstellungen / Systemsteuerung / System“) auf der Registerkarte „Netzwerkidentifikation“ die Eigenschaften und geben hier den Namen der
Arbeitsgruppe ein.
Um alle Sicherheitsaspekte eines Microsoft-Netzwerkes optimal nutzen zu können, sollten sich die Benutzer an einer Windows-Domäne
anmelden. Damit können die Rechte für einen Zugriff auf Ressourcen
im LAN sehr einfach und flexibel von dem Administrator der Domäne
verwaltet und vergeben werden.
Entfernter Benutzer
am Domänen-Controller
ISDN
Lokale Benutzer im Netzwerk
am Domänen-Controller
Server für die
Namensauflösung
DNS-Server oder WINS-Server
DomänenController
Anbindung an ein NT-Netzwerk über einen Domänen-Controller
Für das Anmelden bei einer Domäne muss zuerst eine eindeutige Zuordnung der Rechnernamen zu den IP-Adressen erfolgen. Dazu sollte
eine der drei oben beschriebenen Methoden benutzt werden. Für kleinere Netze, die sich wenig verändern, ist die LMHOSTS-Datei gut geeignet. Bei größeren Netzen sollte ein WINS-Server verwendet werden.
62
Windows 98/95
Auf der Registerkarte „Identifikation“ („Start / Einstellungen / Systemsteuerung / Netzwerk“) muss unter „Arbeitsgruppe“ der Name der Windows NT-Domäne angegeben werden. Außerdem muss in den Eigenschaften des „Clients für Microsoft-Netzwerke“ unter Anmeldebestätigung „An Windows NT-Domäne anmelden“ ausgewählt und ebenfalls
der Name der Windows NT-Domäne eingetragen werden.
Windows NT
Der Rechner muss initial einmal bei der Domäne angemeldet werden.
Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine
Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver
Verbindung wird in den Netzwerkeinstellungen auf der Registerkarte
„Identifikation“ („Start / Einstellungen / Systemsteuerung / Netzwerk“) eingetragen, zu welcher Domäne der Rechner gehören soll. Um
ein Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Administratorrechte verfügen.
Windows 2000
Der Rechner muss initial einmal bei der Domäne angemeldet werden.
Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine
Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver
Verbindung wird in den Eigenschaften auf der Registerkarte „Netzwerkidentifikation“ („Start / Einstellungen / Systemsteuerung / System“)
eingetragen, zu welcher Domäne der Rechner gehören soll. Um ein
Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Administratorrechte verfügen.
63
64
ISDN Access Server
Verbindungssteuerung, Management- und Monitorfunktionen
5 Verbindungssteuerung, Management- und Monitorfunktionen
Für den Verwalter eines WANs ist es besonders wichtig, während des
laufenden Betriebs die Funktion des ISDN Access Servers überprüfen
zu können. Dazu steht Ihnen eine Vielzahl von Möglichkeiten zur Verfügung. Dank der HTTP-Steuerung können Sie von jedem Rechner des
Netzwerkes auf diese Funktionen zugreifen.
5.1 Verbindungssteuerung – ISDN-Verbindungen
aufund abbauen
Die Funktion „Verbindungssteuerung“ bietet einen Überblick über die
aktuellen Verbindungen des ISDN Access Servers und deren Status.
Außerdem können, je nach Verbindungsstatus, verschiedene Aktionen
durchgeführt werden. In der Übersicht werden alle Verbindungen zu
Benutzern aufgeführt, deren Einstellungen den Status „Aktivierbar“ haben.
Neben dem Namen des Benutzers, der Rufnummer, dem aktuellen Status der Verbindung und den möglichen Aktionen, die für die Verbindung ausgeführt werden können, werden Konfigurations- und Statistikinformationen für diese Verbindung angezeigt.
Status
Für die Statusangaben werden folgende Symbole (mit dazugehörigem
Netzwerkprotokoll IP oder IPX) verwendet:
Symbol
Status
Ein automatischer Aufbau der ISDN-Verbindung durch den ISDN
Access Server ist nicht möglich. Sie können die ISDN-Verbindung
zu diesem Benutzer manuell aufbauen.
Müssen Daten zur Gegenstelle übertragen werden, wird die
ISDN-Verbindung automatisch aufgebaut.
Es besteht eine logische ISDN-Verbindung zu diesem Benutzer.
Die physikalische Verbindung wurde durch den ISDN Access Server oder den Benutzer nach Inaktivität abgebaut.
ISDN Access Server – 5 Verbindungssteuerung, Management- und Monitorfunktionen
65
Management- und Monitorfunktionen
Symbol
Status
Es besteht eine physikalische ISDN-Verbindung zu diesem Benutzer, d.h. der ISDN-B-Kanal ist aufgebaut. Es fallen Verbindungsgebühren an. Die Richtung des Pfeils verdeutlicht die
Rufrichtung (die abgebildeten Symbole stehen für ausgehende
Verbindungen).
Ausgehende Rufe (einschl. Signalisierung im D-Kanal) sind nicht
mehr möglich. Grund: einer der globalen Schwellenwerte wurde
überschritten oder das benutzerbezogene Budget wurde erreicht.
Unter „Details“ werden Konfigurations- und Statistikinformationen für
diese Verbindung angezeigt, wie z.B. zugewiesene IP-Adresse, aktive
B-Kanäle und Kosten.
Je nach Status der Verbindung können Sie verschiedene Aktionen
durchführen: Verbindung auf-/abbauen oder Ping senden etc.
Im Ereignismitschnitt können Sie ISDN-Vorgänge, z.B. den manuellen
Auf- oder Abbau von Verbindungen, direkt verfolgen.
5.2 Management- und Monitorfunktionen
Im Menü „Monitor“ erhalten Sie detaillierte Informationen über Serverstatus, aktuelle Routing-Tabellen und Dienste, physikalisch aktive Verbindungen, den Status der Benutzer, Kosten- und Nutzungsdaten für
intern und extern verwaltete Benutzer sowie Ereignisse. Außerdem bietet der ISDN Access Server eine Paketmitschnittfunktion.
Unabhängig vom Management über HTTP stellt der ISDN Access Server
zusätzlich Informationen über SNMP bereit. Wenn Sie den SNMP-Zugriff aktivieren, können dazu berechtigte Rechner mit einem NetzwerkManagement-System auf den ISDN Access Server zugreifen. Dabei können alle Informationen abgerufen werden, die im Beschreibungsstandard MIB II definiert sind. Aus Sicherheitsgründen ist der SNMP-Zugriff
auf den ISDN Access Server standardmäßig deaktiviert (Menü „Konfiguration / Sicherheit“).
Serverstatus
Diese Funktion ermöglicht einen schnellen Überblick über den Zustand
des ISDN Access Servers in Bezug auf die verwendeten ISDN-Controller, die Verbindungsgebühren und die Funktionen zur Kostenbegrenzung.
66
Routen und Dienste
Außerdem wird hier angezeigt, wenn Sie Konfigurationsänderungen
vorgenommen haben, diese aber noch nicht durch einen Neustart des
ISDN Access Servers aktiviert haben. Die folgenden Informationen werden angezeigt:
l
Informationen zum Dienst sowie Daten über Kosten und Verbindungen, die seit Start des Dienstes aufgebaut wurden.
l
Benutzte ISDN-Controller und deren Betriebsstatus.
l
Konfigurierte globale Schwellenwerte im Vergleich mit den aktuellen Werten. Mit Hilfe dieser Übersicht können Sie auf einen Blick
feststellen, ob sich die tatsächlichen Verbindungskosten den von
Ihnen festgelegten Schwellenwerten nähern.
Die hier angezeigten Werte gelten nur für Verbindungen, die der ISDN
Access Server aufbaut (ausgehende Verbindungen).
Routen und Dienste
Das Menü „Routen/Dienste“ bietet Ihnen einen Überblick über alle IPund IPX-Routen, die gerade aktiv sind. Wieviele Routen Sie in diesen
Fenstern sehen, hängt davon ab, ob gerade Verbindungen zu Benutzern aufgebaut sind und wie viele statische Routen im ISDN Access
Server eingetragen sind oder per RIP aus dem LAN bekanntgemacht
werden.
Außerdem erhalten Sie Informationen zu den aktiven IPX SAP-Informationen. Es werden alle SAP-Dienste aufgeführt, die aufgrund statischer
oder per RIP bekanntgemachter IPX-Routen beim ISDN Access Server
bekannt sind. Sie können diese Funktion z.B. verwenden, um die verfügbaren Dienste im Netzwerk oder die Wirksamkeit des SAP-Input-Filters zu überprüfen.
Physikalisch aktive Verbindungen
Unter dem Menüpunkt „Physikalisch aktive Verbindungen“ werden alle
zum aktuellen Zeitpunkt physikalisch aktiven ISDN-Verbindungen aufgeführt.
Es werden die folgenden Informationen angezeigt:
l
Name des Benutzers.
l
ISDN-Nummer des Benutzers.
l
Momentaner Datendurchsatz in KBit/s.
67
Entfernte Benutzer
l
Richtung des Rufes (einkommend, ausgehend) und damit Angabe
des Kostenträgers (Benutzer oder LAN).
l
CAPI-Nummer des Controllers, über den die Verbindung läuft.
l
Kosten der Verbindung für den ISDN Access Server und Methode
der Ermittlung: „AOCD“, wenn an Ihrem ISDN-Anschluss bzw. Nebenstellenanlage Tarifinformationen während der Verbindung
übertragen werden. „Nach Gebührenprofil“, wenn Sie in den Benutzereinstellungen ein Gebührenprofil für den physikalischen
Abbau oder die Gebührenabschätzung („ISDN-Einstellungen“)
ausgewählt haben. Der ISDN Access Server schätzt dann die Gebühren auf Grundlage des Gebührenprofils.
l
Geschätzte Kosten der Gegenstelle (des Benutzers) auf Grundlage
des Gebührenprofils, das Sie in den „ISDN-Einstellungen“ des Benutzers auswählen.
l
Dauer der physikalischen Verbindung.
In dem Fenster darunter wird ein Auszug aus dem Ereignisprotokoll des
ISDN Access Server angezeigt, so dass Sie gerade ablaufende Ereignisse verfolgen können.
Entfernte Benutzer
Mit Hilfe dieser Abfrage können Sie sich einen schnellen Überblick
über alle Benutzer verschaffen. Angezeigt werden alle intern verwalteten Benutzer und die externen Benutzer, zu denen gegenwärtig eine logische ISDN-Verbindung besteht.
Folgende Angaben sind verfügbar:
68
l
Wenn mindestens ein B-Kanal aufgebaut ist, leuchtet die LED für
den ISDN-B-Kanal grün. Besteht keine physikalische Verbindung,
ist die LED des B-Kanals schattiert.
l
Benutzername.
l
ISDN-Nummer des Benutzers.
l
Dauer der physikalischen Verbindung zu diesem Benutzer.
l
Momentaner Datendurchsatz in KBit/s auf der ISDN-Leitung.
l
Gebühren, die für die angezeigte Verbindungsdauer anfallen. Die
Kosten des ISDN Access Servers und die geschätzten Kosten des
Benutzers werden dafür zusammengerechnet. Die Kosten des
ISDN Access Servers werden auf Grundlage des Gebührenimpul-
Kosten-/Nutzungsdaten für intern verwaltete Benutzer
ses (AOCD) ermittelt oder mit Hilfe eines Gebührenprofils abgeschätzt. Die geschätzten Kosten des Benutzers werden ausschließlich auf Grundlage eines Gebührenprofils ermittelt. Sie
sollten deshalb in den ISDN-Einstellungen des Benutzers in jedem Falle das richtige Gebührenprofil für die Gebührenabschätzung auswählen.
Kosten-/Nutzungsdaten für intern verwaltete Benutzer
Unter dem Menüpunkt „Kosten-/Nutzungsdaten für Verbindungen“
werden die Daten der intern verwalteten Benutzer angezeigt. Folgende
Möglichkeiten stehen Ihnen zur Verfügung:
l
Detaillierte Verbindungsinformationen als Tagesübersicht:
Die Tagesübersicht der Kosten-/Nutzungsdaten für Verbindungen
enthält genaue Informationen zu allen Verbindungen, die an diesem Tag zum und vom ISDN Access Server aufgebaut wurden. Sie
erhalten Angaben zu Benutzer, Rufnummer, Kosten (einschließlich Ermittlungsmethode AOCD oder Gebührenprofil), Transfervolumen, Dauer der Verbindung sowie Anzahl der ausgehenden und
einkommenden Rufe.
Aktive logische ISDN-Verbindungen werden nicht aufgeführt. Diese können Sie unter dem Punkt „Verbindungssteuerung“ verfolgen. Die Kosten-/Nutzungsdaten werden als Summen pro Benutzer angegeben.
l
Verbindungsinformationen als Auswahl:
Mit Hilfe einer Auswahl legen Sie fest, welche Kosten-/Nutzungsdaten für Verbindungen angezeigt werden sollen. Sie können die
Informationen nach Benutzern oder nach Rufnummern auswählen
und für einen beliebigen Zeitraum abfragen. Mit Hilfe der Funktion
„Akkumulieren“ werden die Kosten-/Nutzungsdaten für jeden Benutzer als Summen pro Tag, Woche oder Monat angezeigt (sortiert
nach Benutzer). Es werden dieselben Angaben wie in der Tagesübersicht angezeigt.
l
Aktuelle Werte der benutzerbezogenen Budgets (Budgetübersicht):
Hier erhalten Sie einen direkten Vergleich der Budgets, die Sie in
den Benutzereinstellungen festgelegt haben, mit den bisher verursachten Kosten. Auf diese Weise können Sie überprüfen, ob un-
69
Kosten-/Nutzungsdaten für extern verwaltete Benutzer
erwartet hohe Verbindungskosten angefallen sind oder das Budget für einen Benutzer geändert werden sollte. Die Anzeige wird
ständig automatisch aktualisiert.
l
Kostenübersicht:
Die Kostenübersicht bietet Ihnen einen Überblick über die Kosten,
die Verbindungen zu Benutzern verursacht haben. Neben den
Kosten für den ISDN Access Server werden auch die Kosten der
Gegenstelle mit Hilfe eines Gebührenprofils geschätzt. Sie sollten
deshalb in den Benutzereinstellungen („ISDN-Einstellungen“) das
richtige Gebührenprofil für die Gebührenabschätzung auswählen.
Kosten-/Nutzungsdaten für extern verwaltete Benutzer
Auch für die extern verwalteten Benutzer können Sie sich Kosten-/Nutzungsdaten anzeigen lassen. Voraussetzung dafür ist, dass Sie in der
allgemeinen Benutzerverwaltung (Menü „Konfiguration“) festgelegt
haben, dass die Kosten-/Nutzungsdaten und Budgetdaten extern verwalteter Benutzer in Datenbanken des ISDN Access Servers gespeichert werden sollen (Option „In Datenbank“).
Es stehen Ihnen dieselben Möglichkeiten und Informationen wie bei
den Kosten-/Nutzungsdaten für intern verwaltete Benutzer zur Verfügung, d.h. Tagesübersicht, Auswahl, Budget- und Kostenübersicht.
Ereignisse
Als Ereignisse werden alle ISDN-Meldungen und eventuellen Fehlermeldungen bezeichnet.
Die Meldungen sind in Gruppen eingeteilt, die durch verschiedene
Symbole gekennzeichnet sind. Es gibt die folgenden Meldungstypen:
Symbol Meldung
Fehler, z.B. wenn Benutzer nicht antwortet.
Warnung, z.B. bei Überschreitung des benutzerbezogenen Budgets
oder der globalen Schwellenwerte.
Informationsmeldung, z.B. über Verbindungsaufbau und Verbindungsabbau.
70
Paketmitschnitt
Symbol Meldung
Einkommender Ruf.
Ausgehender Ruf.
Alarm, z.B. beim Protokollieren eines Verstoßes gegen die Filterregeln (Firewall).
Alle ISDN-Fehlermeldungen und die Meldungen des ISDN Access Server sind in „Meldungen“ ab Seite 77 in diesem Handbuch aufgeführt.
Sie können Ereignisse entweder als Tagesübersicht oder als Auswahl
anzeigen.
l
Tagesübersicht der Ereignisse:
Die Tagesübersicht der Ereignisse bietet einen genauen Überblick
über alle ISDN-Meldungen und eventuellen Fehlermeldungen. Das
Protokoll ist nach Zeit geordnet – die neuesten Meldungen stehen
ganz oben.
l
Ereignisse als Auswahl:
Mit dieser Eingabemaske legen Sie genau fest, welche ISDN-Ereignisse Ihnen der ISDN Access Server anzeigen soll. Sie können die
Informationen nach Meldungstyp, Benutzer oder ISDN-Controller
auswählen und für einen beliebigen Zeitraum abfragen. So ist es
z.B. sinnvoll, bei Problemen nach Fehlermeldungen zu suchen,
sich alle einkommenden oder ausgehenden Rufe anzeigen zu lassen oder alle Meldungen für einen bestimmten Benutzer bzw.
Controller aufzuführen.
Paketmitschnitt
Mit der Funktion „Paketmitschnitt“ können Sie sich darüber informieren, welche Protokollpakete im LAN und über ISDN gesendet werden.
Auf diese Weise können Sie z.B. die Ursachen für unerwünschte Verbindungsaufbauten lokalisieren, bei Verbindung zu entfernten Benutzern die PPP-Aushandlung protokollieren und die Wirksamkeit der eingestellten Spoofings überprüfen.
Für den Mitschnitt können Sie verschiedene Optionen festlegen. So
können Sie z.B. einstellen, auf welcher Ebene Sie Pakete protokollieren wollen. Sie können außerdem das Ziel der Pakete festlegen und auf
allen oder nur einer bestimmten Netzwerkkarte mitschneiden.
71
Datenbankverwaltung des ISDN Access Servers
5.3 Datenbankverwaltung des ISDN Access
Servers
Durch die Unterstützung der Standard-Datenbank-Technologie von Microsoft bietet der ISDN Access Server eine solide Grundlage für die Protokollierung und Bearbeitung aller wichtigen Konfigurationsinformationen, Ereignisse sowie Kosten- und Nutzungsdaten aller ISDN-Verbindungen. Der ISDN Access Server legt, je nach Konfiguration, die folgenden Datenbanken an:
Datenbank
Inhalt
NTR.MDB:
Allgemeine Konfiguration, Daten der intern verwalteten Benutzer.
NTRLOG.MDB:
Ereignisse, Kosten-/Nutzungsdaten für intern verwaltete
Benutzer.
NTUSER.MDB
Daten der Windows-Benutzer.
NTRCLASS.MDB
Daten der Benutzergruppen.
NTREACT.MDB
Kosten-/Nutzungsdaten der extern verwalteten Benutzer.
NTREBUD.MDB
Budgetdaten der extern verwalteten Benutzer.
Die Datenbanken befinden sich im Installationsverzeichnis des ISDN
Access Servers und können mit Hilfe von MS Access je nach Bedarf individuell ausgewertet werden.
Die Datenbanken NTRLOG.MDB und NTREACT.MDB können im Laufe
der Zeit sehr groß werden, da bei jeder Anwahl eines Benutzers ein
neuer Eintrag hinzugefügt wird. Es empfiehlt sich daher, die Datei von
Zeit zu Zeit unter einem anderen Namen abzuspeichern und die ursprüngliche Datei zu löschen. Um das Anlegen der Datenbank
NTREACT.MDB zu verhindern, deaktivieren Sie die Kosten-/Nutzungsdaten für extern verwaltete Benutzer („Konfiguration / Benutzerverwaltung“).
72
Hinweise für den täglichen Betrieb – Troubleshooting
6 Hinweise für den täglichen Betrieb – Troubleshooting
In diesem Kapitel erhalten Sie Lösungsvorschläge für allgemeine Problemen und Hinweise für den täglichen Betrieb des ISDN Access
Servers.
6.1 Allgemeine Probleme
Der Web-Browser zeigt keine Frames mehr auf einer Seite an.
Beenden Sie den ISDN Access Server Manager (und damit den WebBrowser) und starten Sie ihn erneut.
Windows zeigt an, dass kein virtueller Arbeitsspeicher mehr
vorhanden ist.
Beenden Sie den ISDN Access Server Manager (und damit den WebBrowser) und starten Sie ihn erneut.
6.2 Probleme beim Verbindungsaufbau
Keine ISDN-Verbindung zu einem Benutzer.
Bekommen Sie keine ISDN-Verbindung zu einem Benutzer, gehen Sie
wie folgt vor:
l
Versuchen Sie zuerst, eine ISDN-Verbindung zu einem anderen
Benutzer aufzubauen (Menü „Verbindungssteuerung“).
l
Ist dieser Verbindungsaufbau nicht erfolgreich, installieren Sie
das Datenübertragungsprogramm Connect32 auf dem ISDN Access Server-Rechner. Connect32 befindet sich im Lieferumfang
der AVM ISDN-Controller. Versuchen Sie mit diesem Programm, eine Verbindung zum AVM Data Call Center (Rufnummer 030 39 98
43 00) herzustellen.
Die ISDN-Fehlermeldungen 3303 bzw. 3302 bei Wählverbindungen deuten auf ein Problem mit Ihrem ISDN-Anschluss hin. Die
ISDN-Fehlermeldung 3403 bedeutet, dass an Ihrem ISDN-An-
ISDN Access Server – 6 Hinweise für den täglichen Betrieb – Troubleshooting
73
Probleme mit TCP/IP
schluss der Dienst „Datenübertragung“ nicht freigeschaltet wurde. Setzen Sie sich in beiden Fällen mit Ihrem ISDN-Netzbetreiber
in Verbindung.
l
Liegt das Problem nicht an Ihrem ISDN-Anschluss, benutzen Sie
die Paketmitschnitt-Funktion des ISDN Access Servers, um alle
Pakete auf der Aushandlungsebene PPP over ISDN mitzuschneiden. Dazu stellen Sie als Ebene die Option „ISDN-Controller
/Netzwerkkarte“ ein und wählen den gewünschten Benutzer aus.
Klicken Sie anschließend auf die Schaltfläche „Aufnahme“.
6.3 Probleme mit TCP/IP
Bei Problemen mit TCP/IP überprüfen Sie folgende Punkte:
l
Haben Sie in den Netzwerkeinstellungen von Windows 2000/NT
einen Standardgateway eingetragen?
l
Verweist die Standardroute, die Sie im ISDN Access Server eingetragen haben („Konfiguration / Server-Einstellungen / Allgemein /
Lokale IP-Routen“) auf diesen Standardgateway?
l
Sind der Standardgateway und der ISDN Access Server im LAN per
Ping erreichbar?
l
Sind die Netzadressen der entfernten Benutzer auch auf den im
LAN befindlichen Routen bekannt?
l
Haben Sie unter dem Menüpunkt „IP-Adressvergabe“ Adressen
aus dem lokalen LAN-Strang konfiguriert (Proxy-Arp), die tatsächlich von anderen Rechnern in Ihrem LAN schon benutzt werden?
6.4 Probleme mit IPX
IPX über ISDN
Stellen Sie in jedem Fall sicher, dass Sie für den ISDN Access Server eine interne IPX-Netzwerknummer vergeben haben. Die Netzwerknummer wird bei der Installation des ISDN Access Servers aus der Systemsteuerung von Windows 2000/NT abgefragt und in den Server-Einstellungen unter dem Punkt „Allgemein“ eingetragen. Haben Sie vorher in
Windows 2000/NT keine interne Netzwerknummer angegeben, genügt
es, wenn Sie sie an dieser Stelle in der Konfiguration eintragen.
74
IPX im LAN
Eine IPX-Verbindung zu einem entfernten Benutzer kommt nicht
zustande oder der Benutzer ist nach einiger Zeit nicht mehr zu sehen.
Stellen Sie sicher, dass im WAN keine doppelten IPX-Adressen vorkommen. Dies ist einer der häufigsten Fehler, die beim Aufbau eines WANs
gemacht werden. Die verwendeten IPX-Adressen in einem WAN müssen eindeutig sein.
IPX im LAN
Keine Verbindungen im LAN möglich.
Dieses Problem kann auftreten, wenn kein Novell-Server im LAN installiert ist und auf allen im LAN eingesetzten Geräten der Rahmentyp automatisch gewählt wird.
Der Novell-Server gibt im Normalfall den Rahmentyp vor, und alle anderen Geräte im LAN richten sich danach.
Wählen Sie in diesem Fall für den Rechner, auf dem der ISDN Access
Server installiert ist, den Rahmentyp manuell aus.
6.5 Einstellungen für einkommende Rufe
Wenn Sie andere CAPI 2.0-Anwendungen auf demselben Rechner installiert haben wie den ISDN Access Server, beachten Sie folgende Hinweise:
Der ISDN Access Server verwendet den ISDN-Dienst „Daten“. Haben
Sie weitere CAPI-Anwendungen auf dem ISDN Access Server-Rechner
installiert oder an den gleichen S0-Bus angeschaltet, müssen Sie für
die Annahme eingehender Anrufe Mehrfachrufnummern (MSNs) oder
Nachwahlziffern (DDI) vergeben. Nur so können Anrufe mit der Dienstekennung „Daten“, die außer dem ISDN Access Server z.B. auch von
ISDN-Datenübertragungssoftware benutzt wird, eindeutig zugeordnet
werden. Ist dies nicht der Fall, würde z.B. die Datenübertragungssoftware versuchen, einen einkommenden Ruf anzunehmen, der eigentlich
für den ISDN Access Server bestimmt ist.
Befindet sich an dem S0-Bus ein weiteres Endgerät, z.B. ein ISDN-Telefon (Dienstekennung „Sprache“), brauchen Sie keine MSN oder DDI zu
vergeben, da sich die Dienstekennung vom ISDN Access Server unterscheidet.
75
76
ISDN Access Server
Meldungen
7 Meldungen
In diesem Kapitel werden die Fehlermeldungen des ISDN-Netzes sowie
die vom ISDN Access Server angezeigten Meldungen und Fehlermeldungen mit Erläuterungen aufgeführt.
Alle Meldungen werden in das ISDN-Ereignisprotokoll geschrieben und
haben folgendes Aussehen:
<Datum> <Uhrzeit>, <Name des Benutzers>
<Quelle> <Meldung>
Beispiel:
12.05.2000 14:14:42, Administrator
ISDN-Controller 1: B-Kanal-Verbindung zu
´´03039984350´´ ist aufgebaut.
7.1 Meldungen der CAPI 2.0 und des Euro-ISDN
Die folgenden Meldungen sind numerisch aufsteigend sortiert.
Nummer
Meldungen/Erklärungen
0x0001
NCPI vom aktuellen Protokoll nicht unterstützt, NCPI ignoriert[#0001]
Diese Meldung weist auf Protokollkonflikte zwischen dem sendenden und dem empfangenden Gerät hin.
0x0002
Flags (Signale) vom aktuellen Protokoll nicht unterstützt,
Flags ignoriert[#0002]
Diese Meldung weist darauf hin, dass spezifische Steuerinformationen der gesendeten Daten vom Protokoll des empfangenden Gerätes nicht unterstützt werden.
0x0003
Signal schon von einer anderen Anwendung gesendet[#0003]
Diese Meldung verweist darauf, dass eine andere aktive Anwendung auf den eingehenden Ruf reagiert hat.
0x1104
Warteschlange ist leer[#1104]
Diese Meldung weist auf interne Fehler in der Anwendung hin.
ISDN Access Server – 7 Meldungen
77
Meldungen der CAPI 2.0 und des Euro-ISDN
Nummer
0x1001
Zu viele CAPI-Anwendungen[#1001]
Es sind zu viele CAPI-Anwendungen aktiv. Beenden Sie nicht
benötigte Anwendungen.
0x1002
Logische Blockgröße zu gering, mindestens 128 Bytes erforderlich[#1002]
0x1003
Puffer überschreitet 64-kByte-Grenze[#1003]
0x1004
Nachrichtenpuffer zu klein, mindestens 1024 Bytes erforderlich[#1004]
0x1005
Max. Anzahl logischer Verbindungen nicht unterstützt[#1005]
Diese Meldung gibt an, dass der Controller nicht ausreichend
konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. Konfigurieren Sie ihn so, dass mehr logische Verbindungen unterstützt werden.
0x1007
Wegen interner Überlastung kann die Nachricht nicht angenommen werden[#1007]
Diese Meldung weist auf interne Fehler in der Anwendung hin
oder auf Anwendungen, die nicht CAPI-konform sind.
0x1008
Betriebssystem-Ressourcen erschöpft (z.B. Speichermangel)[#1008]
Diese Meldung gibt an, dass das Betriebssystem überlastet ist.
Schließen Sie Ihre Anwendungen und starten Sie Ihr Betriebssystem erneut.
0x1009
Common-ISDN-API Version 2.0 ist nicht installiert[#1009]
Diese Meldung gibt an, dass CAPI 2.0 nicht installiert ist. Laden Sie CAPI 2.0.
0x100A
Controller unterstützt keine externen Geräte[#100A]
Die vom Programm angeforderten Geräte werden vom ISDNTreiber nicht unterstützt. Die Meldung weist auf einen internen
Fehler in der Anwendung hin.
0x100B
Controller unterstützt nur externe Geräte[#100B]
78
Nummer
0x1101
Unzulässige Anwendungsnummer[#1101]
Die Anwendung ist abgestürzt. Setzen Sie sich mit Ihrem Softwarehersteller in Verbindung und informieren Sie sich über CAPI-konforme Anwendungen.
0x1102
Unzulässiges Kommando oder Subkommando oder Nachricht
kleiner als 12 Byte[#1102]
0x1103
Die Nachricht konnte wegen Überlauf der Warteschlange nicht
angenommen werden! Nachrichten für andere PLCI oder NCCI
sind davon nicht berührt[#1103]
0x1105
Überlauf der Warteschlange, eine Nachricht ging verloren!
Konfigurationsfehler, die Anwendung muss sich vom CAPI abmelden[#1105].
Die Kapazitäten der Anwendung sind nicht ausreichend.
0x1106
Unbekannter Parameter[#1106]
0x1107
Wegen interner Überlastung kann die Nachricht nicht angenommen werden[#1107]
0x1108
Betriebssystem-Ressourcen erschöpft (z.B. Speichermangel)[#1108]
Diese Meldung gibt an, dass das Betriebssystem überlastet ist.
Schließen Sie Ihre Anwendungen und starten Sie Ihr Betriebssystem erneut.
0x1109
Common-ISDN-API Version 2.0 ist nicht installiert[#1109]
Diese Meldung gibt an, dass CAPI 2.0 nicht mehr zur Verfügung
steht. Es wurde entladen während eine Anwendung aktiv war.
Laden Sie CAPI 2.0 erneut.
0x110A
Controller unterstützt keine externen Geräte[#110A]
79
Nummer
0x110B
Controller unterstützt nur externe Geräte[#110B]
0x2001
Nachricht wird im aktuellem Zustand nicht unterstützt[#2001]
0x2002
Ungültiger Controller / PLCI / NCCI[#2002]
0x2003
Keine freien PLCI[#2003]
konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers.
0x2004
Keine freien NCCI[#2004]
0x2005
Keine freien LISTEN[#2005]
0x2006
Keine freien Ressourcen für FAX-Betrieb (Protokoll
T.30)[#2006]
konfiguriert ist. Überprüfen Sie die Konfiguration Ihres Controllers. Konfigurieren Sie ihn so, dass er über mehr freie Ressourcen verfügt.
0x2007
Ungültige Nachrichtenparameter[#2007]
0x3001
B1-Protokoll nicht unterstützt[#3001]
Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokolle nicht zur Verfügung stellt. Installieren Sie die entsprechenden Protokolle.
0x3002
80
Nummer
0x3003
0x3004
B1-Protokoll Parameter nicht unterstützt[#3004]
Diese Meldung gibt an, dass der Treiber die von der Anwendung geforderten Protokollausprägungen nicht zur Verfügung
stellt.
0x3005
stellt.
0x3006
stellt.
0x3007
Kombination der B-Protokolle nicht unterstützt[#3007]
Es sind Protokollkonflikte aufgetreten. Die verwendeten B-Protokolle sind nicht kombinierbar.
0x3008
NCPI nicht unterstützt[#3008]
Die verwendeten Protokolle im B-Kanal sind nicht kompatibel.
0x3009
CIP-Wert unbekannt[#3009]
Der von der Anwendung angeforderte Dienst ist in der Controller-Software nicht implementiert.
0x300A
Flags (Signale) nicht unterstützt (reservierte Bits)[#300A]
Die von der Anwendung angeforderten Signale (Flags) werden
vom CAPI nicht unterstützt.
0x300B
Eigenschaft nicht unterstützt[#300B]
Das angeforderte Zusatzmerkmal des Dienstes wird vom ISDNTreiber nicht unterstützt. Für weitergehende Informationen
wenden Sie sich bitte an Ihren Softwarehersteller.
0x300C
Länge der Daten vom aktuellen Protokoll nicht unterstützt[#300C]
81
Nummer
0x300D
Rücksetzprozedur vom aktuellen Protokoll nicht unterstützt[#300D]
Setzen Sie sich mit Ihrem Softwarehersteller in Verbindung
und informieren Sie sich über CAPI-konforme Anwendungen.
0x3301
Protokollfehler Ebene 1 (Verbindung unterbrochen oder B-Kanal vom Steuerprotokoll geschlossen)[#3301]
Es konnte keine Verbindung zwischen dem Endgerät und /oder
der Vermittlungsstelle aufgebaut werden. Der Verbindungsaufbau scheiterte auf Ebene 1 des ISDN-Protokolls. Es konnten somit keine Nachrichten zwischen dem Endgerät und der Vermittlungsstelle ausgetauscht werden. Mögliche Ursachen sind:
keine korrekte Kabelverbindung oder Kabel nicht gesteckt; vertauschte Kabeladern oder falsche Anschlussdosen; der Netzanschluss (Network Termination) ist nicht korrekt aktiviert oder
der Anschluss an der Vermittlungsstelle ist defekt; ein anderes
im Bus eingestecktes Endgerät ist defekt oder blockiert den
Bus.
0x3302
Protokollfehler Ebene 2[#3302]
der Vermittlungsstelle aufgebaut werden. Der Verbindungsaufbau scheiterte auf Ebene 2 des ISDN-Protokolls. Es konnten
somit keine Nachrichten zwischen dem Endgerät und der Vermittlungsstelle ausgetauscht werden. Mögliche Ursachen sind:
Anschluss an der Vermittlungsstelle nicht aktiviert; auf dem
Anschluss wird ein inkompatibles D-Kanal-Protokoll verwendet.
0x3303
Protokollfehler Ebene 3[#3303]
der Vermittlungsstelle aufgebaut werden.
0x3304
Eine andere Anwendung erhielt den Ruf[#3304]
Diese Meldung verweist darauf, dass eine andere aktive Anwendung den eingehenden Ruf erhalten hat.
0x3311
Verbindungsaufbau erfolglos (Gegenstelle ist kein FAX-G3-Gerät)[#3311]
Das von Ihnen angewählte Gerät der Gegenstelle ist kein Faxgerät.
82
Nummer
0x3312
Verbindungsaufbau erfolglos (Einstellungsfehler)[#3312]
Das von Ihnen angewählte Gerät der Gegenstelle ist aufgrund
interner Probleme (Einstellungsfehler) nicht empfangsbereit.
0x3313
Verbindungsabbau vor der Übertragung (Gegenstelle lässt
Übertragung nicht zu, z.B. falsche Auflösung)[#3313]
interner Probleme nicht empfangsbereit.
0x3314
Verbindungsabbau während der Übertragung (Abbruch von
Gegenstelle)[#3314]
0x3315
Verbindungsabbau während der Übertragung (Ausführungsfehler, z.B. erfolglose Wiederholung von T.30-Befehlen[#3315]
0x3316
Verbindungsabbau während der Übertragung (keine Daten
zum Senden vorhanden)[#3316]
0x3317
Verbindungsabbau während der Übertragung (Überlauf bei
Datenempfang)[#3317]
0x3318
Verbindungsabbau während der Übertragung (Abbruch von
diesem Gerät)[#3318]
0x3319
Ungültige Parameter (z.B. Fehler in den SFF-Daten)[#3319]
0x3400
Keine ISDN-Verbindung. Grund unbekannt[#3400]
Die Verbindung wurde abgebaut. Der Grund für den Verbindungsabbau ist unbekannt.
0x3490
Normaler Verbindungsabbau[#3490]
Die Verbindung wurde abgebaut, weil einer der Teilnehmer den
Verbindungsabbau initiiert hat.
83
Nummer
0x349A
Nicht gewählte Teilnehmerfreigabe[#349A]
Diese Meldung gibt an, dass dem Teilnehmer der eingehende
Ruf nicht zugeordnet wurde.
0x349F
Keine ISDN-Verbindung. Grund unbekannt[#349F]
Die Verbindung wurde abgebaut. Der Grund für den Verbindungsabbau ist unbekannt.
0x3481
Unbekannte Nummer[#3481]
Das vom Anrufenden gewünschte Ziel konnte nicht erreicht
werden. Die verwendete Nummer kann im Moment nicht zugeordnet werden.
0x3482
Keine Verbindung zum angegebenen Netzwerk[#3482]
Das Gerät, das diese Meldung sendet, hat eine Aufforderung
erhalten, den Ruf über ein Übergangsnetz zu leiten, welches es
allerdings nicht erkennt. Das Gerät erkennt dieses Übergangsnetz entweder nicht, weil es nicht existiert oder weil dieses
Netz, obwohl es existiert, das sendende Gerät nicht bedient.
Diese Meldung wird von einer netzwerkgebundenen Basis unterstützt.
0x3483
Keine Verbindung zur Gegenstelle[#3483]
Der angerufene Teilnehmer kann nicht erreicht werden, da das
Netzwerk, durch welches der Ruf geleitet wurde, nicht dem gewünschten Ziel dient. Diese Meldung wird von einer netzwerkgebundenen Basis unterstützt.
0x3486
Kanal nicht annehmbar[#3486]
Diese Meldung gibt an, dass der zuletzt gekennzeichnete Kanal von der sendenden Einheit für diesen Ruf nicht angenommen wird.
0x3487
Ruf angenommen und an bestehende Verbindung weitergeleitet[#3487]
Dem Teilnehmer wurde der eingehende Ruf zugeordnet, und
dieser Ruf wurde mit einem Kanal verbunden, der für den Teilnehmer bereits für ähnliche Rufe aufgebaut wurde.
0x3491
Teilnehmer besetzt[#3491]
Diese Meldung erscheint, wenn der gerufene Teilnehmer auf
die Unmöglichkeit einer weiteren Rufannahme hingewiesen
hat. Das Gerät des Teilnehmers ist kompatibel mit dem Ruf.
84
Nummer
0x3492
Teilnehmer antwortet nicht[#3492]
Ein Teilnehmer antwortet nicht innerhalb des vorgeschriebenen Zeitraumes auf die Rufverbindungsnachricht; weder mit einem Signal noch mit einem Verbindungszeichen.
0x3493
Teilnehmer antwortet nicht (Teilnehmer hat aber signalisiert)[#3493]
Ein Teilnehmer hat in dem vorgeschriebenen Zeitraum zwar ein
Signalzeichen, jedoch kein Verbindungszeichen gegeben. Diese Meldung wird im allgemeinen nicht von ETS 300 102-1-Prozeduren sondern von Netzwerkzeitgebern erstellt.
0x3495
Ruf abgewiesen[#3495]
Das Gerät, das diese Meldung ausgibt, nimmt den Ruf nicht
an, obwohl es dies könnte, denn das Gerät ist weder inkompatibel noch besetzt.
0x3496
Nummer hat sich geändert[#3496]
Diese Meldung wird an einen rufenden Teilnehmer gesendet,
wenn die gerufene Teilnehmernummer nicht mehr existiert. Die
neue Teilnehmernummer wird wahlweise im Feld Diagnostik
angezeigt. Wird dieses Merkmal vom Netz nicht unterstützt,
dann wird Meldung 0x3481 ausgegeben.
0x349B
Gegenstelle defekt[#349B]
Die von dem Teilnehmer angewählte Gegenstelle kann nicht erreicht werden, da die Schnittstelle nicht korrekt funktioniert.
Die Wendung ‘nicht korrekt funktioniert’ verweist darauf, dass
eine signalisierende Nachricht nicht zum Fernteilnehmer übertragen wurde. Ursache mag ein Fehler in der physikalischen
Ebene oder ein Datenübertragungsfehler beim Fernteilnehmer,
der Vermittlungsstelle o.ä. sein.
0x349C
Nummer hat ungültiges Format[#349C]
Diese Meldung gibt an, dass der Teilnehmer nicht erreicht werden kann, da die gewählte Nummer entweder unvollständig
ist, oder ein ungültiges Format hat.
0x349D
Übermittlungseigenschaft abgewiesen[#349D]
Diese Meldung wird ausgegeben, wenn eine vom Teilnehmer
gefordertes Dienstmerkmal vom Netz nicht bereitgestellt werden kann.
85
Nummer
0x349E
Antwort auf Statusabfrage[#349E]
Diese Meldung ist in der Statusnachricht enthalten, wenn der
Grund für das Erstellen der Statusnachricht der vorherige Erhalt einer Statusabfrage war.
0x34A2
Kein Kanal verfügbar[#34A2]
Diese Meldung gibt an, dass gegenwärtig kein geeigneter Kanal zum Senden oder Empfangen zur Verfügung steht.
0x34A6
Netzwerk defekt[#34A6]
Das Netzwerk ist defekt, und dieser Zustand wird voraussichtlich länger anhalten. Eine sofortige Rufwiederholung wird
wahrscheinlich nicht erfolgreich sein.
0x34A9
Vorübergehender Fehler[#34A9]
Das Netzwerk ist defekt, aber dieser Zustand wird wahrscheinlich nicht lange anhalten. Eine sofortige Rufwiederholung wird
wahrscheinlich erfolgreich sein.
0x34AA
Überlastung der Vermittlungseinrichtung[#34AA]
Die Vermittlungseinrichtung, die diese Meldung gesendet hat,
wird gegenwärtig stark frequentiert.
0x34AB
Zugriffsdaten abgewiesen[#34AB]
Das Netzwerk konnte die vom Teilnehmer angeforderten Zugangsinformationen wie z.B. Teilnehmerinformationen, LowLayer-Kompatibilität nicht liefern.
0x34AC
Angeforderter Kanal nicht verfügbar[#34AC]
Der von der anfragenden Seite angegebene Kanal kann von der
anderen Seite der Schnittstelle nicht zur Verfügung gestellt
werden.
0x34AF
Ressourcen nicht verfügbar, keine nähere Angabe[#34AF]
Diese Meldung wird zur Angabe nicht verfügbarer Ressourcen
ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft.
0x34B1
Dienst nicht verfügbar[#34B1]
Der angeforderte Dienst, so wie in der CCITT Empfehlung X.213
definiert, kann nicht bereitgestellt werden (Durchsatz oder
Durchgangsverzögerung werden nicht unterstützt.
86
Nummer
0x34B2
Angefordertes Dienstmerkmal nicht verfügbar[#34B2]
Das angeforderte Dienstmerkmal kann vom Netzwerk nicht zur
Verfügung gestellt werden, da der Teilnehmer nicht die notwendigen administrativen Vereinbarungen erfüllt hat.
0x34B9
Übermittlungseigenschaft nicht zugelassen[#34B9]
Der Teilnehmer hat eine Übermittlungseigenschaft angefordert, die zwar von dem angesprochenem Gerät realisiert wird,
für das er aber keine Zulassung hat.
0x34BA
Übermittlungseigenschaft zeitweilig nicht verfügbar[#34BA]
Der Teilnehmer hat eine Übermittlungseigenschaft angefordert, die zwar von dem angesprochenen Gerät realisiert wird,
jedoch gegenwärtig nicht verfügbar ist.
0x34BF
Dienst oder Option nicht verfügbar, keine nähere Angabe[#34BF]
Diese Meldung wird zur Angabe nicht verfügbarer Dienste oder
Optionen ausgegeben, wenn keine andere Meldung aus dieser
Meldungsgruppe zutrifft.
0x34C1
Übermittlungseigenschaft nicht implementiert[#34C1]
Das Gerät, das diese Meldung ausgibt, unterstützt nicht die
angeforderte Übermittlungseigenschaft.
0x34C2
Kanaltyp nicht implementiert[#34C2]
Das Gerät, das diese Meldung ausgibt, unterstützt nicht den
angeforderten Kanaltyp.
0x34C5
Angeforderte Eigenschaft nicht implementiert[#34C5]
Das Gerät, das diese Meldung ausgibt, unterstützt nicht das
angeforderte Dienstmerkmal.
0x34C6
Nur Übermittlungseigenschaft (Bearer Capability) für eingeschränkte (restricted) digitale Informationen verfügbar[#34C6]
Diese Meldung weist darauf hin, dass ein Gerät einen uneingeschränkten Übermittlungsdienst angefordert hat, dieses Gerät
jedoch nur die eingeschränkte Version des Übermittlungsdienstes unterstützt.
0x34CF
Dienst oder Option nicht implementiert, keine näheren Angabe[#34CF]
Diese Nachricht erscheint, wenn ein Dienst oder eine Option
nicht implementiert sind und wenn keine andere Meldung zutrifft.
87
Nummer
0x34D1
Ungültiger Wert der Verbindungskennung[#34D1]
Das Gerät, das diese Meldung ausgibt, hat eine Nachricht mit
einer Verbindungskennung erhalten, die gegenwärtig an der
Teilnehmer-Netzwerk Schnittstelle nicht verwendet wird.
0x34D2
Angegebener Kanal existiert nicht[#34D2]
Das Gerät, das diese Meldung ausgibt, ist aufgefordert worden, einen Kanal zu benutzen, der jedoch an der Schnittstelle
für die Rufannahme nicht aktiviert ist. Diese Meldung wird z.B.
ausgegeben, wenn ein Benutzer für die Kanäle einer Primäranschluss-Schnittstelle 1 bis 12 gemeldet ist, das Teilnehmergerät oder das Netzwerk hingegen versucht die Kanäle 13 bis 23
zu benutzen.
0x34D3
Ein unterbrochener Ruf existiert, diese Rufkennung aber
nicht[#34D3]
Es wurde versucht, einen Ruf wieder aufzunehmen, aber die
dafür verwendete Rufkennung ist mit keiner Rufkennung eines
gegenwärtig unterbrochenen Rufes identisch.
0x34D4
Rufkennung vergeben[#34D4]
Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme erhalten. Der Rufunterbrechungsbefehl enthält eine Rufkennung,
die im Schnittstellenbereich für wiederaufgenommene Rufe
schon für einen anderen unterbrochenen Ruf verwendet wird.
0x34D5
Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme
erhalten. Der Rufwiederaufnahmebefehl enthält Nachrichtenelemente zur Rufkennung, die nicht darauf hinweisen, dass
zur Zeit im Schnittstellenbereich für wiederaufgenommene
Rufe ein Ruf unterbrochen wurde.
0x34D6
Ruf mit der angeforderten Rufkennung wurde zurückgesetzt[#34D6]
Das Netzwerk hat eine Anforderung zur Rufwiederaufnahme erhalten. Der Rufwiederaufnahmebefehl enthält Nachrichtenelemente zur Rufkennung, die auf einen einst unterbrochenen Ruf
hinweisen. Jedoch wurde dieser Ruf zurückgestellt (entweder
aufgrund des Netzwerk Timeouts oder von einem Teilnehmer).
0x34D8
Gegenstelle nicht kompatibel[#34D8]
Das Gerät, das diese Meldung ausgibt, hat eine Anforderung
zum Verbindungsaufbau erhalten. Der Ruf hat jedoch Low-Layer-Kompatibilität, High-Layer-Kompatibilität oder andere Attribute, die nicht aufgenommen werden können.
88
Nummer
0x34DB
Ungültige Auswahl des Übertragungsnetzwerkes[#34DB]
Die Kennung eines Übertragungsnetzwerks mit falschem Format ist eingegangen.
0x34DF
Ungültige Nachricht, keine näheren Angaben[#34DF]
Diese Meldung wird bei einer ungültige Nachricht ausgegeben,
wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft.
0x34E0
Erforderliches Nachrichtenelement nicht vorhanden[#34E0]
fehlenden Nachrichtenelementen erhalten. Diese Nachrichtenelemente sind zum Weiterleiten der Nachricht notwendig.
0x34E1
Nachrichtentyp existiert nicht oder ist nicht implementiert[#34E1]
Das Gerät, das diese Meldung ausgibt, hat eine Nachricht erhalten. Die Befehle weisen nicht darauf hin, dass dieses eine
zulässige Nachricht mit identifizierbarem Nachrichtentyp ist.
Die Nachricht ist zwar definiert, aber nicht in dem Gerät implementiert, das diese Nachricht ausgibt.
0x34E2
Nachrichtentyp inkompatibel zum Rufstatus oder Nachrichtentyp existiert nicht bzw. ist nicht implementiert[#34E2]
Das Gerät, das diese Meldung ausgibt, hat eine Nachricht erhalten. Die Befehle weisen nicht darauf hin, dass diese Nachricht zulässig für den Empfang im Rufstatus ist. Oder eine Statusnachricht wurde empfangen die auf einen inkompatiblen
Rufstatus hinweist.
0x34E3
Nachrichtenelement existiert nicht oder ist nicht implementiert[#34E3]
nicht erkennbaren Nachrichtenelementen erhalten. Diese
Nachrichtenelementekennung ist nicht definiert ist oder sie ist
definiert, nicht aber in dem Gerät implementiert, das diese
Nachricht ausgibt.
0x34E4
Ungültiger Inhalt im Nachrichtenelement[#34E4]
Das Gerät, das diese Meldung ausgibt, hat ein Nachrichtenelement erhalten, das es auch implementiert hat. Jedoch ist eines
oder mehrere Felder im Nachrichtenelement so codiert, wie es
im Gerät nicht implementiert ist.
89
Meldungen des ISDN Access Servers
Nummer
0x34E5
Nachrichtentyp inkompatibel zum Rufstatus[#34E5]
Diese Meldung gibt den Eingang einer Nachricht an, die inkompatibel zum Rufstatus ist.
0x34E6
Abbruch nach Timeout[#34E6]
Diese Nachricht verweist darauf, dass ein Vorgang durch den
Ablauf eines Zeitgebers in Zugehörigkeit mit ETS 300 120-1
Fehlerbehandlungsverfahren initiiert wurde.
0x34EF
Protokollfehler, keine näheren Angaben[#34EF]
Diese Meldung wird zur Angabe eines Protokollfehlers ausgegeben, wenn keine andere Meldung aus dieser Meldungsgruppe zutrifft.
0x34FF
Netzanbindung, keine näheren Angaben[#34FF]
Es besteht Anbindung an ein Netzwerk, dass keine Gründe angibt für die Aktionen die es ausführt; somit können keine genauen Angaben über die Ursachen der gesendeten Nachricht
gemacht werden.
7.2 Meldungen des ISDN Access Servers
Bei der Auflistung dieser Meldungen werden die folgenden Platzhalter
verwendet:
90
Platzhalter
Bedeutung
<Nummer>
ISDN-Nummer bzw. D-Kanal-Rufnummer.
<CLI>
D-Kanal-Rufnummer.
<Gerufene Nummer>
Gerufene ISDN-Nummer bei einkommenden Rufen.
<Benutzer>
Bezeichnung der Gegenstelle (Benutzername).
<Protokoll>
Das verwendete Netzwerkprotokoll (IP
oder IPX).
<Beschreibung>
Kurze Beschreibung des Paketes.
<Nr.>
Position der angewendeten Regel innerhalb eines Filters.
<Profil-Name>
Name des Filters.
Die Meldungen und Fehlermeldungen sind alphabetisch geordnet. Ein
Teil der Meldungen beziehen sich sowohl auf den NT/MPRI als auch
den ISDN Access Server, so dass in diesen Meldungen Doppelbezeichnungen wie z.B. „ziel/benutzerbezogenes Budget“ verwendet werden.
Ausgehender Ruf an <Benutzer> wurde von der Gegenseite angenommen, obwohl die Kosten von der Gegenstelle übernommen werden sollen.
Der ausgehende Ruf wurde von der Gegenseite angenommen, und es
entstehen Kosten für die lokale Seite. Eigentlich sollte die Gegenseite
den Ruf ablehnen und zurückrufen, um die Kosten für die Verbindung
zu übernehmen (Einstellung der Kostenübernahme im ISDN Access
Server auf „Gegenstelle“). Stellen Sie sicher, dass die D-Kanal-Rufnummer (CLI) des ISDN Access Servers auf der Gegenseite korrekt eingetragen hat.
Ausgehender Ruf wird verhindert, da ausgehende Rufe nicht erlaubt
sind.
In den Einstellungen des Benutzers bzw. der Benutzergruppe wurde
festgelegt, dass zu diesem Benutzer keine ausgehenden Rufe aufgebaut werden dürfen.
Ausgehender Ruf zu <Benutzer> (<Nummer>) nicht möglich, da das
ziel/benutzerbezogene Budget oder die globalen Schwellenwerte erreicht sind.
Wurde das benutzerbezogene Budget überschritten, ist der betreffende Benutzer für alle ausgehenden Verbindungen gesperrt. Dies betrifft
auch die Signalisierung im D-Kanal.
Wurde einer der globalen Schwellenwerte erreicht, werden ebenfalls
alle ausgehenden Verbindungen einschließlich Signalisierung im D-Kanal gesperrt.
Um die Sperre aufzuheben, geben Sie jeweils einen höheren Wert ein.
B-Kanal kann nicht aufgebaut werden, da alle B-Kanäle in Benutzung
sind.
Die physikalische Verbindung kann nicht aufgebaut werden. Alle verfügbaren B-Kanäle werden zur Zeit für andere physikalische Verbindungen genutzt oder sind fest für andere Verbindungen reserviert.
91
B-Kanal Verbindung zu <Benutzer> (<Nummer>) wird abgebaut, da kein
passender B-Kanal mehr frei ist.
Der einkommende Ruf kann nicht angenommen werden, da alle B-Kanäle belegt sind. Die B-Kanal-Verbindung wird abgebaut.
B-Kanal-Verbindung zu <Benutzer> (<Nummer>) ist abgebaut.
Die physikalische Verbindung zu dem benannten Benutzer ist abgebaut.
B-Kanal-Verbindung zu <Benutzer> (<Nummer>) ist aufgebaut.
Die physikalische Verbindung zu dem benannten Benutzer wurde erfolgreich aufgebaut.
B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird abgebaut, da das
ziel/benutzerbezogene Budget oder die globalen Schwellenwerte erreicht sind.
Wurde das benutzerbezogene Budget überschritten, wird eine physikalisch aktive Verbindung abgebaut und der betreffende Benutzer für alle
ausgehenden Verbindungen gesperrt. Dies betrifft auch die Signalisierung im D-Kanal.
Wurde einer der globalen Schwellenwerte erreicht, werden alle physikalisch aktiven Verbindungen abgebaut und der ISDN Access Server für
alle ausgehenden Verbindungen einschließlich Signalisierung im D-Kanal gesperrt.
Um die Sperre jeweils aufzuheben, geben Sie einen höheren Wert ein.
B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird aufgebaut.
Es wird eine physikalische Verbindung zu dem benannten Benutzer
aufgebaut.
B-Kanal-Verbindung zu <Benutzer> (<Nummer>) wird abgebaut.
Die physikalische Verbindung zu dem benannten Benutzer wird abgebaut.
92
B-Kanal-Verbindung zu <Nummer> wird abgebaut, da der B-Kanal für
eine Verbindung mit höherer Priorität benötigt wird.
Die ISDN-Verbindung zu diesem Benutzer wird abgebaut, weil sich ein
Benutzer mit höherer Priorität in den ISDN Access Server einwählt. In
diesem Fall wird eine Verbindung mit niedrigerer Priorität beendet, um
einen B-Kanal freizumachen. Die Festlegung der Priorität erfolgt in den
Einstellungen des Benutzers bzw. der Benutzergruppe.
Die dem entfernten Benutzer statisch zugewiesene IP(IPX)-Adresse
<Adresse> liegt nicht im dafür vorgesehenen Adressbereich.
Die für die statische IP- bzw. IPX-Vergabe benutzten Adressen müssen
innerhalb vorgesehener Adressbereiche liegen. Diese Adressbereiche
definieren Sie im Menü „Konfiguration / Server-Einstellungen / IP- bzw.
IPX-Adressvergabe“.
Die einkommende Verbindung des Benutzers mit der Rufnummer
<Nummer> wird abgelehnt, da der Benutzer nicht im ISDN Access Server konfiguriert ist und keine externe Benutzerverwaltung aktiviert
ist.
Sie haben in der Konfiguration des ISDN Access Servers („Benutzerverwaltung / Allgemein“) angegeben, dass Benutzer ausschließlich im
ISDN Access Server verwaltet werden („Keine externe Verwaltung“). Der
Zugriff von Benutzern, die nicht im ISDN Access Server eingerichtet
sind, ist daher nicht möglich.
Die einkommende Verbindung des Benutzers mit der Rufnummer
<Nummer> wird abgelehnt, da der Benutzer weder im ISDN Access Server noch in einem externen Server konfiguriert ist.
Der Benutzer ist nicht als intern verwalteter Benutzer im ISDN Access
Server eingerichtet und konnte auch nicht über eine externe Benutzerverwaltung (Benutzer-Manager von Windows oder RADIUS-Server)
identifiziert werden. Damit ist dieser Benutzer unbekannt. Der Zugriff
unbekannter Benutzer auf das Netzwerk ist prinzipiell nicht möglich.
Die einkommende Verbindung des extern verwalteten Benutzers mit
der Rufnummer <Nummer> wird abgelehnt, da ein Systemfehler aufgetreten ist. Nähere Informationen finden Sie in der NT-Ereignisanzeige.
Beim Verbindungsaufbau durch einen extern verwalteten Benutzer trat
ein Systemfehler auf. Überprüfen Sie die Meldungen in der Ereignisanzeige von Windows NT.
93
der Rufnummer <Nummer> wird abgelehnt, da der Benutzer sich nicht
einwählen darf.
In den Einstellungen dieses Benutzers wurde festgelegt, dass für ihn
keine Einwahl erlaubt ist. Um einen Verbindungsaufbau durch den Benutzer zu ermöglichen, ändern Sie die Einstellungen entsprechend.
der Rufnummer <Nummer> wird abgelehnt, da die Echtheitsbestätigung durch den RADIUS-Server nicht erfolgreich war.
Die Daten für die Echtheitsbestätigung (Name und Passwort) wurde
von ISDN Access Server zur Echtheitsbestätigung an einen RADIUS-Server weitergeleitet. Die Echtheitsbestätigung beim RADIUS-Server
schlug jedoch fehl, z.B. aufgrund eines falschen Benutzernamen oder
Passwortes. Überprüfen Sie die Angaben im RADIUS-Server und gleichen Sie die Angaben mit dem Benutzer ab.
der Rufnummer <Nummer> wird abgelehnt, da ein Fehler bei der Kommunikation mit dem RADIUS-Server aufgetreten ist.
Bei der Weiterleitung der Daten für die Echtheitsbestätigung vom ISDN
Access Server an den RADIUS-Server trat ein Kommunikationsfehler
auf. Überprüfen Sie die Angaben zum RADIUS-Server in der Konfiguration des ISDN Access Servers, z.B. die IP-Adresse des Servers und das
Passwort für RADIUS-Anfragen. Für die Kommunikation mit dem RADIUS-Server werden die UDP-Ports 1812 (Echtheitsbestätigung) und 1813
(Kosten/Nutzungsdaten) verwendet. Sollten Sie abweichende Werte
benötigen (Linux benutzt z.B. die Ports 1645 und 1646), müssen Sie in
der Windows NT-Systemdatei „services“ (im Windows-Verzeichnis
SYSTEM32\DRIVERS\ETC\) zwei Einträge erzeugen:
l
radius 1645/udp
l
radact 1646/udp
der Rufnummer <Nummer> wird abgelehnt, da die zugeordnete Benutzergruppe nicht vorhanden ist.
Dem extern verwalteten Benutzer wurde eine Benutzergruppe zugeordnet, die nicht im ISDN Access Server definiert ist. Überprüfen Sie den
Namen der Benutzergruppe in der „Konfiguration / Benutzerverwaltung / Benutzergruppen“.
94
der Rufnummer <Nummer> wird abgelehnt, da das zugeordnete Gebührenprofil nicht vorhanden ist.
Dem extern verwalteten Benutzer wurde ein Gebührenprofil zugeordnet, das nicht im ISDN Access Server definiert ist. Überprüfen Sie die
Angaben in der Benutzergruppe („Konfiguration / Benutzerverwaltung
/ Benutzergruppen“) und im Menü „Spezielles“ (Gebührenprofile).
der Rufnummer <Nummer> wird abgelehnt, da das zugeordnete Zeitprofil nicht vorhanden ist.
Dem extern verwalteten Benutzer wurde ein Zeitprofil zugeordnet, das
nicht im ISDN Access Server definiert ist. Überprüfen Sie die Angaben
in der Benutzergruppe („Konfiguration / Benutzerverwaltung / Benutzergruppen“) und im Menü „Spezielles“ (Zeitprofile).
Die einkommende IPX-Verbindung wird abgelehnt, da keine interne
IPX-Netzwerknummer konfiguriert ist.
Sie haben in den Server-Einstellungen („Allgemein“) keine interne IPXNetzwerknummer des ISDN Access Server-Rechners angegeben. Tragen Sie eine Netzwerknummer ein, um IPX-Verbindungen zu ermöglichen.
Die einkommende <Protokoll>-Verbindung wird abgelehnt, da IP(IPX)
für das Ziel/den Benutzer nicht konfiguriert ist.
In den Einstellungen dieses Benutzers wurde IP bzw. IPX deaktiviert.
Um die Verbindung mit diesem Netzwerkprotokoll zu ermöglichen, aktivieren Sie die entsprechende Einstellung.
Die Verbindung kann nicht aufgebaut werden, da in diesem Zeitraum
keine Verbindungen erlaubt sind (Zeitprofil).
In den Einstellungen dieses Benutzers bzw. der Benutzergruppe wurde
ein Zeitprofil ausgewählt, das den Zugriff auf das LAN nur zu bestimmten Zeiten erlaubt. Der Aufbau einer Verbindung zu dem Benutzer außerhalb der festgelegten Zugriffszeiten ist nicht möglich.
Echtheitsbestätigung bei der Gegenstelle <Benutzer> ist fehlgeschlagen.
Die lokale Seite konnte sich nicht bei der Gegenstelle identifizieren.
Die Echtheitsbestätigung schlug fehl.
95
Echtheitsbestätigung der Gegenstelle <Benutzer> bei der lokalen Seite
ist fehlgeschlagen.
Die Gegenstelle konnte sich nicht bei der lokalen Seite identifizieren.
Die Echtheitsbestätigung schlug fehl.
Einkommende <Protokoll>-Verbindung wird aufgebaut.
Meldung, dass eine einkommende Verbindung mit dem angegebenen
Netzwerkprotokoll aufgebaut wird.
Einkommende logische Verbindung zu <Benutzer> (<CLI>) ging verloren (lokal).
Die lokale Seite hat die einkommende logische Verbindung zur Gegenseite verloren.
Einkommende Verbindung von <Benutzer> (<Nummer>) wird abgebaut,
da für die Gegenstelle keine Einstellungen gefunden wurden.
Der einkommende Ruf konnte nicht angenommen werden, da für diese
Gegenseite keine lokale Benutzerkonfiguration gefunden werden
konnte. Der bereits aufgebaute B-Kanal wird wieder abgebaut.
Einkommender Ruf für <Gerufene Nummer> wird abgelehnt, da die DKanal-Rufnummer <CLI> nicht zur Einwahl berechtigt ist.
Sie haben in den Sicherheitseinstellungen angegeben, dass Sie für alle einkommenden Rufe eine Überprüfung der D-Kanal-Rufnummer
durchführen wollen. Die übermittelte D-Kanal-Rufnummer konnte nicht
in der lokalen Rufnummerndatenbank gefunden werden. Daher wurde
der Ruf zurückgewiesen.
Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da bereits
mehrere Rufe für diese Verbindung bearbeitet werden.
Meldung, dass die maximale Anzahl von Rufen, die zur gleichen Zeit für
einen Benutzer bearbeitet werden können, erreicht ist. Der einkommende Ruf wird abgelehnt.
96
Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da die max.
Anzahl von gebündelten Kanälen zu diesem Ziel/Benutzer schon aufgebaut ist.
Meldung, dass nicht mehr Kanäle für die Kanalbündelung zur Verfügung stehen. Die konfigurierte maximale Anzahl von B-Kanälen wird
bereits für diese Verbindung benutzt.
Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da die maximale Anzahl von unterstützten Verbindungen erreicht ist.
Meldung, dass zu diesem Zeitpunkt nicht mehr Verbindungen unterstützt werden. Der einkommende Ruf wird abgelehnt.
Einkommender Ruf von <Benutzer> (<CLI>) wird abgelehnt, da eine Rufkollision erkannt wurde.
Beide Seiten haben gleichzeitig versucht, eine Verbindung aufzubauen. Der einkommende Ruf wurde abgelehnt.
Einkommender Ruf von <Benutzer> (<Nummer>) wird angenommen.
Der B-Kanal wird aufgebaut.
Meldung, dass ein einkommender Ruf erfolgreich angenommen wurde
und die B-Kanal-Verbindung aufgebaut wird.
Einkommender Ruf von <CLI> für <Gerufene Nummer> kann nicht angenommen werden, da alle B-Kanäle in Benutzung sind.
Der einkommende Ruf konnte nicht angenommen werden, da alle BKanäle auf dem angerufenen ISDN-Controller schon für andere physikalische Verbindungen genutzt werden.
Einkommender Ruf von <CLI> für <Gerufene Nummer> wird abgelehnt,
da alle B-Kanäle in Benutzung sind.
Der einkommende Ruf konnte nicht angenommen werden, da alle BKanäle auf dem angerufenen ISDN-Controller schon für andere physikalische Verbindungen genutzt werden.
Einkommender Ruf von <CLI> für <Gerufene Nummer> wird nicht angenommen, da die gerufene MSN/EAZ/DDI nicht konfiguriert ist.
Die angerufene MSN/EAZ oder DDI wurde nicht für den ISDN Access
Server konfiguriert. Eventuell ist der Ruf für eine andere Anwendung
bestimmt. Daher wurde der einkommende Ruf nicht angenommen.
97
Einkommender Ruf von <CLI> für <Nummer> wird abgelehnt, da ein Zugriff zu dieser Zeit nicht erlaubt ist.
Sie haben in den Einstellungen des Benutzers bzw. der Benutzergruppe ein Zeitprofil zugewiesen, so dass dieser Benutzer nur zu festgelegten Zeiten auf das LAN zugreifen kann. Es wurde versucht, außerhalb
der Zugriffszeiten eine Verbindung zum ISDN Access Server aufzubauen.
Einkommender Ruf von <CLI> wird abgebaut, da die Kosten von der lokalen Seite übernommen werden.
Meldung, dass der ISDN Access Server die Kosten für die Verbindung
übernimmt. Dazu wurde der einkommende Ruf abgelehnt, und der
ISDN Access Server hat zurückgerufen.
Einkommender Ruf von <CLI> wird abgelehnt, da der eigene Endpoint
Discriminator empfangen wurde.
Der ISDN Access Server hat eine Verbindung zu sich selbst aufgebaut.
Einkommender Ruf wurde abgelehnt, da in diesem Zeitraum keine Verbindungen erlaubt sind (Zeitprofil).
Der einkommende Ruf eines Benutzers wurde nicht angenommen, da
Sie in den Einstellungen des Benutzers bzw. der Benutzergruppe ein
Zeitprofil festgelegt haben, das den Zugriff auf das Netzwerk nur zu bestimmten Zeiten erlaubt. Ein Zugriff außerhalb dieser Zeiten ist nicht
möglich.
Entfernte Seite <Benutzer> hatte die logische Verbindung verloren.
Die Gegenseite hat die logische Verbindung zur lokalen Seite verloren.
Gegenseite unterstützt den Sicherheitsrückruf nicht.
Meldung, dass die angewählte Gegenseite nicht den vom lokalen ISDN
Access Server geforderten Sicherheitsrückruf unterstützt.
Keine freie IP(IPX)-Adresse zur dynamischen Zuweisung an den Benutzer.
Alle IP-Adressen aus den Bereichen für die dynamische Adressvergabe
sind bereits an entfernte Benutzer vergeben. Um die Einwahl weiterer
Benutzer zu ermöglichen, definieren Sie weitere Adressbereiche („Konfiguration / Server-Einstellungen / IP- bzw. IPX-Adressvergabe“).
98
Logische Verbindung zu <Benutzer> ging verloren (lokal).
Die lokale Seite hat die ausgehende logische Verbindung zur Gegenseite verloren.
Logischer Abbau der Verbindung nach Inaktivität.
Die logische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut.
Logischer Abbau der Verbindung, da der erlaubte Zeitraum für den Zugriff (Zeitprofil) überschritten wurde.
In den Einstellungen dieses Benutzers bzw. der Benutzergruppe wurde
ein Zeitprofil ausgewählt, das den Zugriff auf das LAN nur zu bestimmten Zeiten erlaubt. Die erlaubte Zugriffszeit wurde überschritten und
aus diesem Grunde die Verbindung zum Benutzer abgebaut.
Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> durchgelassen.
Meldung der IP-Firewall, dass das beschriebene Paket durchgelassen
wurde. Es werden der Filter sowie die Position der angewendeten Regel
innerhalb des Filters angegeben.
Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> verworfen.
Meldung der IP-Firewall, dass das beschriebene Paket verworfen wurde. Es werden der Filter sowie die Position der angewendeten Regel innerhalb des Filters angegeben.
Paket <Beschreibung> wegen Regel <Nr.> aus <Profil-Name> zurückgewiesen.
Meldung der IP-Firewall, dass das beschriebene Paket zurückgewiesen
wurde. Es werden der Filter sowie die Position der angewendeten Regel
innerhalb des Filters angegeben.
Physikalischer Abbau der Verbindung nach Inaktivität (Gebührenprofil).
Die physikalische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut. Der Wert für den physikalischen Abbau wurde anhand des eingestellten Gebührenprofils errechnet.
99
Physikalischer Abbau der Verbindung nach Inaktivität.
Die physikalische ISDN-Verbindung wurde aufgrund von Inaktivität abgebaut.
<Protokoll>-Verbindung ist abgebaut.
Die logische Netzwerkverbindung zu dem benannten Benutzer wurde
abgebaut.
<Protokoll>-Verbindung ist aufgebaut.
Die logische Netzwerkverbindung zu dem benannten Benutzer wurde
aufgebaut.
<Protokoll>-Verbindung wird abgebaut, da der entfernte Benutzer die
fest zugewiesene Adresse nicht akzeptiert hat.
Sie haben für den Benutzer in den Einstellungen eine statische IPAdresse definiert, die beim Verbindungsaufbau zugewiesen wird. Diese wurde vom Benutzer zurückgewiesen, z.B. da bei ihm bereits eine
andere feste Adresse konfiguriert ist. Auf beiden Seiten müssen identische IP-Adressen eingestellt sein.
<Protokoll>-Verbindung wird abgebaut.
Die logische Netzwerkverbindung zu dem benannten Benutzer wird gerade abgebaut.
<Protokoll>-Verbindung wird aufgebaut.
Die logische Netzwerkverbindung zu dem benannten Benutzer wird gerade aufgebaut.
Verbindung ist abgebaut, da der erwartete Rückruf nicht erfolgt ist.
Der vom ISDN Access Server angeforderte Sicherheitsrückruf ist nicht
erfolgt, daher wird die Verbindung abgebaut.
Verbindung kann nicht aufgebaut werden, da ausgehende Rufe nicht
erlaubt sind.
In den Einstellungen des Benutzers bzw. der Benutzergruppe wurde
festgelegt, dass zu diesem Benutzer keine ausgehenden Rufe aufgebaut werden dürfen.
100 ISDN Access Server – 7 Meldungen
Zeitspanne für physikalischen Abbau (selbstlernend) der Verbindung
zu <Benutzer> wird auf <xx> Sekunden gesetzt.
Die Zeitspanne für den physikalischen Abbau der ISDN-Verbindung
nach Inaktivität wurde auf die angegebenen Sekunden gesetzt.
ISDN Access Server – 7 Meldungen 101
102 ISDN Access Server
Informationen, Updates und AVM-Support
8 Informationen, Updates und
AVM-Support
AVM bietet Ihnen zahlreiche Informationsquellen, die Sie bei der täglichen Arbeit mit dem ISDN Access Server for Windows 2000 nutzen können. Für den Fall, dass Sie Ihre Probleme nicht alleine lösen können,
haben Sie die Möglichkeit, sich an den AVM-Support zu wenden.
8.1 Informationsquellen und Updates
Dokumentation
Der ISDN Access Server enthält eine umfangreiche Dokumentation in
unterschiedlichen Formaten:
l
Im Installationsverzeichnis des ISDN Access Server finden Sie das
vorliegende Handbuch auch im PDF-Format. Es kann von der
Startseite des ISDN Access Server-Managers sowie aus der Online-Hilfe heraus aufgerufen werden.
Das Handbuch enthält ausführliche Informationen zum Konzept
und den Einsatzmöglichkeiten des ISDN Access Server, die Installationsvoraussetzungen sowie eine Installationsbeschreibung. Es
vermittelt Hintergrundwissen zur Funktionsweise des ISDN Access
Server und zum Routing über ISDN und ADSL allgemein.
Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von
PDF-Dokumenten verfügen, können Sie diesen von der CD aus
dem Verzeichnis PROGRAMS\ACROBAT installieren.
l
Die umfassende, HTML-basierte Online-Hilfe kann von jeder „Seite“ des ISDN Access Server-Managers aus aufgerufen werden. Sie
enthält detaillierte Beschreibungen aller Parameter, MonitoringFunktionen und Statistikangaben.
l
Das Readme-Datei zum ISDN Access Server enthält wichtige Informationen und Installationshinweise, die zum Zeitpunkt der Drucklegung des Handbuchs noch nicht zur Verfügung standen. Sie
kann und sollte bereits vor der Installation von der Einführung aus
eingesehen werden (INTRO.HLP).
l
Ausführliche Informationen zu Windows 2000/NT erhalten Sie in
der Windows 2000/NT-Dokumentation.
ISDN Access Server – 8 Informationen, Updates und AVM-Support 103
Weiterführende Literatur
Weiterführende Literatur
Informationen zu Windows 2000/NT erhalten Sie in den folgenden
Werken:
l
Microsoft Press (Hrsg.): Windows 2000 – Die Technische Referenz, ISBN 3-86063-273-6
l
Microsoft Press (Hrsg.): Microsoft Windows NT Server Version 4,
Band Netzwerk, Microsoft Press, Redmond, Washington, 1996
Informationen zu TCP/IP und IP-Firewalls finden Sie z.B. in folgenden
Büchern:
l
D. B. Chapman/E. D. Zwicky: Building Internet Firewalls, O´Reilly &
Associates, 1995
l
W. R. Cheswick/S. M. Bellovin: Firewalls and Internet Security, Addison-Wessley, Reading, Massachusetts, 1994
l
M. Hein/M. C. Billo (Hrsg.): TCP/IP light, FOSSIL-Verlag GmbH,
Köln, 1997
Informationen zu IPX finden Sie in den verschiedenen Novell-Dokumentationen zu NetWare.
Das AVM Data Call Center
Über das AVM Data Call Center (ADC) erhalten Sie Zugang zu den neuesten Informationen und kostenlosen Updates bzw. Erweiterungen zu
AVM-Produkten. Die URL der AVM-Homepage lautet:
http://www.avm.de
Sie können das ADC auch mit dem im Lieferumfang der ISDN-Controller enthaltenen Programm Connect bzw. Connect32 erreichen. Nähere
Informationen dazu finden Sie im Readme des ISDN-Controllers.
Über das Internet bietet AVM außerdem ausführliche Informationen
und kostenlose Updates:
l
Unter „Products“ finden Sie detaillierte Informationen zu allen
AVM-Produkten sowie Ankündigungen neuer Produkte und Produktversionen.
l
Über „Service“ gelangen Sie zu den FAQs. FAQs (Frequently Asked
Questions) sind Listen mit Anworten auf häufig gestellte Fragen.
Hier können Sie nach konkreten Hilfestellungen suchen.
104 ISDN Access Server – 8 Informationen, Updates und AVM-Support
Unterstützung durch den Support
l
Über „Service“ können Sie darüber hinaus aktuelle Treibersoftware für alle AVM ISDN-Controller herunterladen.
Falls Sie nicht sofort eine Verbindung erhalten, versuchen Sie es erneut. Das ADC kann zu Spitzenzeiten besetzt sein.
8.2 Unterstützung durch den Support
Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen,
bevor Sie sich mit dem Support in Verbindung setzen!
Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen Informationsquellen Ihr Problem nicht lösen können, wenden Sie sich für
weitere technische Unterstützung an den AVM-Support. Sie erreichen
den Support per E-Mail oder Telefax.
Support per E-Mail
Sie können eine Support-Anfrage per E-Mail an AVM versenden. Nutzen Sie dazu bitte unser E-Mail-Formular auf den AVM-Internet-Seiten.
1.
Geben Sie die Adresse der AVM ein:
http://www.avm.de/support
2.
Klicken Sie auf dieser Seite auf den Sprung „Mail-Formular“.
3.
Wählen Sie dann unter „Networking-/Serverprodukte“ den
Sprung „Windows 2000“. Es erscheint eine Liste mit Produkten.
4.
Klicken Sie hier „ISDN Access Server for Windows 2000“ an.
5.
Spezifieren Sie Ihr Problem per Mausklick im rechten Teil des
Fensters. Ein E-Mail-Formular erscheint.
6.
Füllen Sie das Formular aus und schicken Sie es über die Schaltfläche „Senden“ zum AVM-Support.
ISDN Access Server – 8 Informationen, Updates und AVM-Support 105
Support per Telefax
Support per Telefax
Wenn Sie keinen Internet-Zugang haben, erreichen Sie den Support per
Telefax unter folgender Rufnummer:
+49/(0)30/3 99 76-2 66
Bitte geben Sie auf Ihrem Telefax Ihren Product Identification Code
(PIC) an, der sich auf der CD-Hülle befindet. Bereiten Sie weiter folgende Informationen für Ihren Berater vor:
l
Mit welcher Version des ISDN Access Server for Windows 2000 arbeiten Sie? Die Versionsnummer können Sie in der Readme-Datei
nachlesen.
l
Mit welchem Microsoft Service Pack arbeiten Sie?
l
Welches Betriebssystem ist auf dem Rechner installiert, auf dem
Sie den ISDN Access Server installiert haben (Windows 2000 oder
Windows NT)?
l
Mit welchem Netzwerkprotokoll arbeiten Sie?
l
Welchen ISDN-Controller verwendet der ISDN Access Server-Rechner? Mit welcher Treiberversion und mit welchem Build arbeiten
Sie?
Sie erhalten die Treiberversion und das Build von AVM ISDN-Controllern aus der Datei „Readme“ im Installationsverzeichnis des
ISDN-Controllers. Wenn Sie FRITZ! auf dem ISDN Access ServerRechner installiert haben, erhalten Sie die Treiberversion auch
durch Aufruf von „Start / Programme / FRITZ! / FRITZ!Version“. Klicken Sie dann in dem Fenster „FRITZ!Version“ auf die Schaltfläche
„Systeminformationen“.
l
Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben?
l
Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testverbindung zum AVM Data Call Center (ADC) aufzubauen?
l
An welcher Stelle der Installation oder an welcher Stelle in der Anwendung erscheint eine Fehlermeldung?
l
Wie lautet die Meldung genau?
106 ISDN Access Server – 8 Informationen, Updates und AVM-Support
Glossar
1TR6
1TR6 ist das ältere nationale deutsche D-Kanal-Protokoll. Seit Dezember 1993 werden in Deutschland keine neuen ISDN-Anschlüsse mit diesem Protokoll mehr installiert. Seitdem wird nur das D-Kanal-Protokoll
DSS1 für neue Anschlüsse verwendet.
Amtsholung
Die Amtsholung ist die Ziffer, die innerhalb einer Nebenstellenanlage
vorgewählt werden muss, um eine Amtsleitung zu bekommen. In den
meisten Fällen ist dies die „0“. Beim ISDN Access Server geben Sie die
Amtsholung für die einzelnen ISDN-Controller an („Konfiguration / Server-Einstellungen / ISDN-Controller“). Die Amtsholung wird dann automatisch vor die Rufnummer gesetzt.
B-Kanal
Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermöglichen
eine Übertragung mit 64 KBit/s. Um die Übertragung zu beschleunigen,
können B-Kanäle auch gebündelt werden.
CHAP (Challenge Handshake Authentication Protocol)
Eines der beiden Protokolle für die Echtheitsbestätigung. Zur Echtheitsbestätigung muss auf der Seite, die die Echtheitsbestätigung verlangt, ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihrer
Konfiguration eingetragen haben. Bei der Echtheitsbestätigung mit
CHAP generiert die Seite, die die Identifizierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Algorithmus eine
Meldung, die zur Gegenseite geschickt wird. Diese generiert aus der
Meldung und dem Passwort – ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert, der zurückgesendet wird. Die andere Seite wiederum prüft nun, ob der von ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit dem übereinstimmt, was die Gegenseite zurückgesendet hat. Ist dies der Fall, wird die Verbindung aufgebaut.
CHAP ist in RFC 1334 und RFC 1994 beschrieben.
ISDN Access Server – Glossar 107
CLIP (Calling Line Identification Presentation), Übermittlung der D-Kanal-Rufnummer
Übermittlung der Rufnummer über den ISDN-D-Kanal. CLIP ist ein Leistungsmerkmal im ISDN, das vom ISDN Access Server z.B. zur Identifizierung einkommender Rufe und zum Schutz vor unberechtigten Zugriffen verwendet wird. Dieses Leistungsmerkmal muss durch den ISDNDienstleister auf der anrufenden Seite freigeschaltet sein. In Deutschland kann man dies z.B. bei der Beantragung eines ISDN-Anschlusses
anmelden.
COMMON-ISDN-API (CAPI)
Standardisierte herstellerunabhängige Schnittstelle zwischen ISDNRechner-Karten und ISDN-Anwendungen. CAPI steht nach der Installation der AVM ISDN-Controller im gesamten System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber erhalten Sie kostenlos über den
FTP-Server von AVM (ftp://ftp.avm.de). Der ISDN Access Server setzt
auf der Application Level-Schnittstelle von CAPI 2.0 auf.
D-Kanal
Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie
z.B. die Art des benutzten ISDN-Dienstes oder die Rufnummer des
Kommunikationspartners. Die Bandbreite beträgt 16 KBit/s beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss. Über den DKanal können im ISDN Gebühreninformationen (AOCD) und die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Diese Leistungsmerkmale müssen in Deutschland separat beantragt werden.
Domäne
Eine Domäne ist eine logische Gruppierung von Netzwerk-Servern und
anderen Rechnern, die über gemeinsame Sicherheitsmerkmale und Informationen der Benutzerkonten verfügen. Innerhalb der Domänen
wird von den Administratoren je Benutzer ein Benutzerkonto erstellt.
Die Benutzer melden sich dann nicht am Server in der Domäne, sondern an der Domäne selbst an.
Die Bezeichnung Domäne bezieht sich nicht auf einen bestimmten Ort
oder eine besondere Art der Netzwerkkonfiguration. Die Standorte von
Computern einer einzelnen Domäne können physisch nahe beieinander, wie in einem lokalen Netzwerk (LAN), oder aber auch weit voneinander entfernt über die ganze Welt verteilt sein. Die Kommunikation ist
hierbei über jegliche Art der physischen Verbindung möglich, wie z.B.
108 ISDN Access Server – Glossar
über Einwählverbindungen, ISDN, Glasfaserkabel, Ethernet, Token
Ring, Frame Relay, Satellit und Standleitungen (vgl. Microsoft Corporation, „Microsoft Windows NT Server Version 4 - Netzwerk“).
Domänen-Controller
In Windows NT Server-Netzwerken können die Server Konteninformationen gemeinsam nutzen, falls sie in einer oder in mehreren Domänen
zusammengefasst sind. Auf einem Server der Domäne, dem PDC (primären Domänen-Controller), werden sämtliche Konten gespeichert
und die Änderungen an die Backup-Domänen-Controller der Domäne
weitergegeben.
Die Organisation in Domänen ermöglicht es den Benutzern, alle Ressourcen der Domäne mit einem einzigen Benutzername und Kennwort
zu erreichen. Die Benutzerkontenverwaltung in einer Domäne wird damit vereinfacht, weil Änderungen nur auf dem Domänen-Controller vorgenommen werden müssen.
DSS1
Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-Anschlüsse in Deutschland verwenden DSS1.
Als Echtheitsbestätigung wird das Überprüfen der Anmeldeinformationen (Name und Passwort) einer Gegenstelle bei ein- und ausgehenden
Rufen bezeichnet. Diese Überprüfung dient beim ISDN Access Server
der Sicherheit vor unberechtigten Zugriffen und auch der Identifizierung des Benutzers, wenn die Zuordnung einkommender Rufe anhand
der D-Kanal-Rufnummer (CLI) nicht aktiviert ist. Für die Echtheitsbestätigung stehen die Verfahren PAP und CHAP zur Verfügung. Im ISDN Access Server kann für jedes Ziel festgelegt werden, ob und mit welchem
Verfahren sich die Gegenstelle beim ISDN Access Server identifizieren
muss („Echtheitsbestätigung auf lokaler Seite“). Für jedes Verfahren
müssen ein Name und ein Passwort konfiguriert werden, die dem Benutzer mitgeteilt werden. Falls der Benutzer eine Echtheitsbestätigung
des Netzwerkes verlangt („Echtheitsbestätigung bei der Gegenstelle“),
können Sie dafür in den Benutzereinstellungen Namen und Passwort
eingeben. Diese Angaben werden Ihnen vom Benutzer mitgeteilt.
Extern verwaltete Benutzer
Als extern verwaltete Benutzer werden alle Benutzer bezeichnet, deren
Echtheitsbestätigung und Verwaltung nicht ausschließlich über den
ISDN Access Server, sondern über eine externe Datenbank (z.B. Benutzer-Manager von Windows auf dem ISDN Access Server-Rechner) oder
einen externen Server (Benutzer-Manager auf einem anderen Server
oder RADIUS-Server) erfolgt. Spezifische Parameter für den Fernzugriff
über ISDN wie z.B. Spoofing-Einstellungen, physikalischer Verbindungsabbau usw. können Sie im ISDN Access Server in Benutzergruppen und Einstellungen für Windows-Benutzer speichern.
Filter (speziell)
Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigen und
unnötigen Verbindungsaufbauten führen können. Aus diesem Grunde
enthält der ISDN Access Server einige spezielle Paketfilter, um solche
Pakete abzufangen. So können z.B. SNMP-Pakete in UDP und TCP oder
NetBIOS-Broadcasts in IP und IPX gefiltert und nicht über ISDN übertragen werden. Das Filtern erfolgt entsprechend den Angaben zu Quellund Zielport. Die Filtermechanismen werden nicht mit der Gegenstelle
ausgehandelt, sondern im ISDN Access Server fest gesetzt.
Firewall
Die Firewall-Filter des ISDN Access Servers dienen zum Schutz vor unerlaubtem Eindringen in das Netzwerk sowie zur Selektion der Daten
und Dienste, die für den Zugriff von außen bereitgestellt werden. Für
die Implementierung von Firewalls gibt es verschiedene Mechanismen.
Beim ISDN Access Server wird die Firewall durch einen Paketfilter realisiert: Der ISDN Access Server überprüft bei jedem ein- und ausgehenden Datenpaket, ob es dem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Zieladresse des Paketes (Netzwerkadresse und
Maske) sowie der Dienst (z.B. FTP). Die Sicherheitsregeln werden in
globalen IP-Filtern gespeichert. Die Regeln entscheiden darüber, welche Aktion bei einem Paket durchgeführt wird: Paket durchlassen, verwerfen oder mit einer Fehlermeldung zurückweisen.
FTP (File Transfer Protocol)
FTP ist ein herstellerneutrales Protokoll, d.h. es ist unabhängig von
Bauweise und Betriebssystem der Rechner, auf denen es die Dateiverwaltung und den Datenaustausch regelt. Das FTP setzt unmittelbar auf
dem TCP der Schicht 4 des OSI-Referenzmodells (Transport
Layer/Transportschicht) auf. Das Protokoll ist in RFC 959 dokumentiert.
Gebührenprofil
Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakte
abhängig von Tarifzeiten und vom Tarifbereich, z.B. „City“. Jedes Profil
besteht aus zwei Listen mit Gebührentakten über einen Zeitraum von
24 Stunden: eine Liste gilt für Werktage (Montag-Freitag), die andere
für die Wochenenden und (optional) Feiertage. Der ISDN Access Server
verwendet Gebührenprofile zur Steuerung des physikalischen Abbaus
ungenutzter ISDN-Verbindungen. Wird in den Benutzereinstellungen
für den physikalischen Abbau ein Gebührenprofil ausgewählt, wird die
Verbindung drei Sekunden vor Ende des Gebührentaktes abgebaut,
wenn vorher drei Sekunden lang keine Daten übertragen wurden. Auf
diese Weise wird der Gebührentakt optimal ausgenutzt. Das ausgewählte Gebührenprofil wird außerdem zur Abschätzung der angefallenen Gebühren verwendet. Die vom ISDN Access Server auf dieser
Grundlage berechneten Gebühren werden dann mit dem benutzerbezogenen Budget und dem Budgetwert der globalen Schwellenwerte
verglichen. Auf diese Weise werden unerwartet hohe ISDN-Kosten vermieden. Sie sollten auf jeden Fall in den ISDN-Einstellungen aller Benutzer ein Gebührenprofil auswählen, wenn an Ihrem ISDN-Anschluss
bzw. Ihrer Nebenstellenanlage keine Gebühreninformationen während
der Verbindung übertragen werden (nach AOCD). Stehen dem ISDN Access Server diese Gebühreninformationen nicht zur Verfügung, ist das
Gebührenprofil die einzige Möglichkeit, die angefallenen Gebühren zu
berechnen und mit den Budgets zu vergleichen. Der ISDN Access Server nutzt die Gebührenprofile außerdem, um die Kosten des Benutzers
zu schätzen.
ICMP (Internet Control Message Protocol)
ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells (Network
Layer/Vermittlungsschicht). Es dient zum Austausch von Fehler- und Informationsmeldungen (z.B. Informationen über Routen und Zieladressen). Ein Beispiel für einen weitverbreiteten Dienst auf der Basis von
ICMP ist Ping. ICMP setzt auf dem Internet Protocol (IP) auf und wird
von IP behandelt, als sei es ein Protokoll einer höheren Schicht. ICMPDaten werden vor dem Versand immer mit einem vollständigen IP-Header versehen; der folgende Datenteil enthält die ICMP-Meldungen.
Intern verwalteter Benutzer
Als intern verwaltete Benutzer werden alle Benutzer bezeichnet, die
über das Menü „Benutzereinstellungen“ in der Konfiguration des ISDN
Access Servers eingetragen werden. Die Einstellungen der intern verwalteten Benutzer wie z.B. IP/IPX-Adresse, Zeitspanne für den physikalischen Abbau usw. werden in der ISDN Access Server-Datenbank
NTR.MDB gespeichert. Bei intern verwalteten Benutzern erfolgt die gesamte Konfiguration, Echtheitsbestätigung und Verwaltung ausschließlich über den ISDN Access Server.
IP (Internet Protocol)
Innerhalb der TCP/IP-Protokollfamilie ist IP für die Weiterleitung von
Daten zuständig. Es hat generell die Aufgabe, die Datenübertragung
zwischen verschiedenen Netzwerken sicherzustellen. Zu den Aufgabengebieten des IP zählen:
l
Datenpaketdienst
l
Fragmentierung von Datenpaketen
l
Wahl der Übertragungsparameter
l
Adressfunktion
l
Routing zwischen Netzwerken
l
Spezifikation höherer Protokolle
IP stellt keine gesicherte Verbindung zur Verfügung (keine Ende-zu-Ende-Kontrolle), es verlässt sich in dieser Hinsicht auf die Protokolle der
höheren Schichten. Es kann keine verlorenen oder abgelehnten Datenpakete neu generieren und erneut übertragen. Es ist auch nicht seine
Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger abzuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht
(Schicht 4) des OSI-Referenzmodells.
IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link
Layer/Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben.
IP-Adressen, siehe TCP/IP-Adressen
IP-Maske, siehe TCP/IP-Adressen
IPX (Internetworking Packet Exchange Protocol)
Von Novell entwickeltes Netzwerkprotokoll, mit dem Datenpakete im
Netzwerk schnell und sicher zwischen zwei Netzwerkrechnern ausgetauscht werden.
IPX-Adressen
Hexadezimale Nummer zur Identifizierung eines Servers in einem Netzwerk. Jeder Server muss eine eindeutige interne IPX-Netzwerknummer
haben. Diese Nummer besteht aus acht hexadezimalen Ziffern (1 bis
FFFFFFFE). Um mehrere aufeinanderfolgende IPX-Adressen zusammenzufassen (z.B. bei der Bearbeitung der RIP-Filter im ISDN Access Server), können Sie auch eine Maske definieren.
Um z.B. die aufeinanderfolgenden IPX-Adressen 11111111 bis 1111111F
zusammenzufassen, geben Sie als Adresse 11111110 und als Maske
FFFFFFF0 an. Um die IPX-Adressen 11111110 bis 11111113 zusammenzufassen, geben Sie als Adresse 11111110 und als Maske FFFFFFFC an.
Keep-Alive-Pakete
Keep-Alive-Pakete werden periodisch im gesamten Netzwerk versendet, um zu überprüfen, ob z.B. ein Client noch aktiv ist. Erhält die sendende Station keine Antwort, unterbricht sie die logische Verbindung.
Logische ISDN-Verbindung
Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen
Verbindungsaufbau über ISDN, mit dem auch die Verbindungsparameter ausgehandelt werden. Diese Verbindungsparameter gelten für die
Dauer der logischen ISDN-Verbindung. Dazu gehören das verwendete
Netzwerkprotokoll, ob Echtheitsbestätigung durchgeführt wird sowie
Verbindungsmanagement-Parameter wie z.B. durchgeführte Spoofingmechanismen oder Kanalbündelung. Je nach Konfiguration wird die logische ISDN-Verbindung zusammen mit der physikalischen abgebaut
oder kann darüber hinaus bestehen bleiben, wenn dies mit der Gegenstelle ausgehandelt werden konnte.
Metrik
Mit dem Wert für die Metrik nehmen Sie eine Gewichtung von Routen
vor. Wenn mehrere Routen zu einem Ziel definiert und verfügbar sind,
wählt der ISDN Access Server die Route mit dem niedrigsten MetrikWert, da diese als „beste Route“ eingestuft wurde.
MSN (Multiple Subscriber Number=Mehrfachrufnummer)
Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1)
zur Unterscheidung von mehreren Endgeräten an demselben S0-Bus
oder mehreren CAPI-Anwendungen auf demselben Rechner. Im Bereich
der Deutschen Telekom AG werden einem ISDN-Standardanschluss
standardmäßig drei Mehrfachrufnummern zugewiesen.
NCP (NetWare Core Protocol)
Protokoll zur Steuerung der Kommunikation zwischen den Klienten und
dem Server in einem Novell-Netzwerk.
NetBIOS (Network Basic Input/Output System)
Standard für die Unterstützung der Netzwerkkommunikation, der unabhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als
auch IPX transportiert werden. NetBIOS versendet zahlreiche Broadcasts (Rundsendungen), die mit Hilfe der speziellen Filter des ISDN
Access Servers abgefangen werden können, um die Verbindungskosten zu reduzieren.
PAP (Password Authentication Protocol)
Eines der beiden Protokolle für die Echtheitsbestätigung. Auf der Seite,
die die Echtheitsbestätigung verlangt, müssen ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihren Einstellungen eingetragen haben. Bei der Echtheitsbestätigung mit PAP werden der Name und das
Passwort im Klartext übertragen, und die Gegenseite prüft, ob diese
mit den eigenen Einstellungen übereinstimmen. Ist dies der Fall, wird
die Verbindung aufgebaut.
Physikalische ISDN-Verbindung
Bei der physikalischen ISDN-Verbindung ist tatsächlich ein oder mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren. Die
physikalische ISDN-Verbindung baut immer auf der logischen ISDNVerbindung auf, d.h. die ausgehandelten Verbindungsparameter werden verwendet.
Ping (Packet InterNet Grouper)
Programm zum Testen, ob ein Host erreicht werden kann. Das Programm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eine
entsprechende Antwort. Mit Hilfe der Option -w nach dem Befehl ping
können Sie festlegen, wie viele Millisekunden das Programm auf eine
Antwort warten soll (Timeout). Da der Verbindungsaufbau über ISDN
und die Aushandlung der Gegenstelle einige Sekunden dauern kann,
sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben.
PPP (Point-to-Point-Protocol)
Übertragungsprotokoll auf verbindungsorientierten Netzen wie z.B.
ISDN, das eine protokollunabhängige Übertragung zur Verfügung stellt.
Das Protokoll besteht aus einer Reihe von Standards und Unterprotokollen. Diese beschreiben für verschiedene Netze den Aufbau der übertragenen Daten. Dadurch soll gewährleistet werden, dass die Kommunikationsgeräte verschiedener Hersteller einheitliche Verfahren zur
Kommunikation verwenden. PPP over ISDN ist in RFC 1618 beschrieben.
RADIUS (Remote Authentification Dial In User Service)
Standard-Dienst auf der Basis von IP zur Echtheitsbestätigung und Erfassung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählende Benutzer. Bei der Einwahl eines entfernten Benutzers leitet der
ISDN Access Server eine Anfrage mit Benutzernamen und Passwort des
Benutzers an den RADIUS-Server weiter. Dieser führt die Echtheitsbestätigung durch und sendet die Bestätigung sowie eine Reihe von Konfigurationsinformationen (z.B. IP-Adresse für den Benutzer) zurück.
Das RADIUS-Protokoll ist in RFC 2058, das RADIUS-Accounting in RFC
2139 definiert.
RIP (Routing Information Protocol)
Das Routing Information Protocol (RIP) dient zum Austausch von Routing-Informationen zwischen Netzwerken (IP und IPX). Ein RIP-Router
ist ein Computer oder eine andere Hardware-Komponente, die RoutingInformationen (wie z.B. Netzwerkadressen) überträgt und IP-Rahmen
in verbundenen Netzwerken weiterleitet. RIP ermöglicht einem Router,
Routing-Informationen mit Routern in der Netzwerkumgebung auszutauschen. Wenn ein Router irgendeine Veränderung in der Struktur des
Netzwerkverbundes erkennt (z.B. einen nichtverfügbaren Router), leitet er die Informationen an die Router in der Netzwerkumgebung weiter. Router versenden außerdem regelmäßig RIP-Rundsendungspakete
mit den gesamten Routing-Informationen, über die der Router verfügt.
Durch diese Übertragungen werden alle Router des Netzwerkverbundes synchronisiert.
Route
Eine Route beschreibt den Weg, den ein Datenpaket zurücklegen muss,
um sein Ziel zu erreichen. Beim Empfänger der Datenpakete muss eine
Rückroute definiert sein, damit die Antwortpakete an den Absender geschickt werden können.
SAP (Service Advertising Protocol)
Protokoll in NetWare-Umgebungen. Mit Hilfe von SAP teilen NetWareServer allen Stationen im Netzwerk mit, welche Dienste sie zur Verfügung stellen.
Short-Hold-Modus
Unter Short-Hold-Modus versteht man den physikalischen Abbau inaktiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physikalisch aktive ISDN-Verbindungen fallen Gebühren an, egal, ob gerade
Daten übertragen werden oder nicht. Da der Verbindungsaufbau über
ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es sich an, die physikalische ISDN-Verbindung abzubauen, wenn längere Zeit keine Daten
mehr über die Leitung gehen. Die logische ISDN-Verbindung bleibt je
nach Konfiguration bestehen. Sobald dann Daten zur Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Anwender im Netzwerk transparent.
SMTP (Simple Mail Transfer Protocol)
SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post
(E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar
auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den
Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821
definiert.
SNMP = Simple Network Management Protocol
Zu Beginn der achtziger Jahre veröffentlichte die ISO (International Organisation for Standardisation) ein Managementmodell, das im OSI
Management Framework (DIS 7498-4) dokumentiert wurde. Oberste
Prämisse dieses Modells ist es, die reibungslose Zusammenarbeit zwischen Netzwerkmanagementprodukten verschiedener Hersteller zu ermöglichen. Innerhalb des Standards werden Hilfsmittel definiert, um
Informationen über den aktuellen Zustand des Netzwerkes zu erhalten
und um die einzelnen Komponenten zu kontrollieren.
Die ISO beschreibt die Managementbereiche als Objekte und Attribute.
Die Summe aller Objekte, die verwaltet werden können, bildet die Management Information Base (MIB). Die Kommunikation einer Netzwerkmanagement-Station (NM-Station) und der managebaren Objekte erfolgt mittelbar über Agent-Stationen. SNMP regelt die Datenübertragung zwischen der Agent-Station und der NM-Station. Zur Kommunikation zwischen beiden Stationen werden die Protokolle TCP/IP
eingesetzt.
Der ISDN Access Server bietet zusätzlich zur HTTP-Verwaltung die Möglichkeit, Standardinformationen über SNMP bereitzustellen. Den
SNMP-Zugriff regeln Sie mit Hilfe der Funktion im Menü „Sicherheit“.
Spoofing
Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln.
Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigen und
unnötigen Verbindungsaufbauten führen können. Manche Pakettypen,
vor allem von Anwendungen in NetWare-Umgebungen, wie z.B. Watchdog-Pakete, verlangen eine Bestätigung der Gegenseite und dürfen
deshalb vom ISDN Access Server nicht einfach aus dem Datenstrom
herausgefiltert werden, da sonst die Anwendung nicht mehr am Server
angemeldet ist. Unter Spoofing versteht man das lokale Beantworten
von Paketen.
Die verwendeten Spoofing-Mechanismen werden beim Verbindungsaufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt
die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert.
SPX (Sequenced Packet Exchange)
Protokoll, mit dessen Hilfe zwei Arbeitsplatzrechner oder Anwendungen über ein Netzwerk kommunizieren. SPX befindet sich wie TCP auf
Schicht 4 des OSI-Referenzmodells (Transport Layer/Transportschicht)
und sorgt für eine gesicherte Ende-zu-Ende-Kommunikation. SPX greift
zur Übermittlung von Nachrichten auf NetWare IPX zurück. Die eigentliche Nachrichtenübermittlung wird aber von SPX sichergestellt. SPX
sorgt dabei für die Einhaltung der Reihenfolge der Nachrichten im Paketstrom. Eine Weiterentwicklung von SPX stellt SPX II dar.
Subnetzmasken (Masken)
Durch die Verwendung von Subnetzmasken kann der „Rechnerteil“ einer Adressklasse in einen Subnetzteil umgewandelt werden. Dieser unterscheidet sich dann nicht in der Behandlung durch andere Rechner
oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetzund welche als Rechneradresse interpretiert werden. So wird z.B. eine
Klasse-A-Adresse, die eine Standard-Subnetzmaske von 8 (255.0.0.0)
hat, durch die Subnetzmaske 16 (255.255.0.0) zu einer quasi Klasse-BAdresse und durch eine 24 (255.255.255.0) zu einer quasi Klasse-CAdresse.
Die folgende Tabelle gibt einen Überblick über diese Umsetzung:
Bereich
Anzahl IP-Adressen
Bitmaske (von 32)
Subnetzmaske
000-255
256
/24
255.255.255.0
000-127
128-255
128
/25
255.255.255.128
000-063
064-127
128-191
192-255
64
/26
255.255.255.192
000-031
032-063
064-095
096-127
128-159
160-191
192-223
224-255
32
/27
255.255.255.224
000-015
016-031
032-047
048-063
064-079
080-095
096-111
112-127
128-143
144-159
160-175
176-191
192-207
208-223
224-239
240-255
16
/28
255.255.255.240
000-007
008-015
016-023
024-031
032-039
040-047
048-055
056-063
064-071
072-079
080-087
088-095
096-103
104-111
112-119
120-127
128-135
136-143
144-151
152-159
160-167
168-175
176-183
184-191
192-199
200-207
208-215
216-223
224-231
232-239
240-247
248-255
8
/29
255.255.255.248
Subnetzmasken im ISDN Access Server
Eine einzelne IP-Adresse wird mit der Maske 255.255.255.255 bzw. /32
beschrieben.
TCP (Transmission Control Protocol)
TCP ist für den Einsatz von paketvermittelten Netzwerken geeignet. Es
setzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelle
Verbindungsdienste zur gesicherten Übertragung der Anwenderdaten
in der richtigen Reihenfolge. Es gewährleistet eine zuverlässige Verbindung zwischen zwei Kommunkationspartnern. TCP ist als RFC 793 veröffentlicht.
TCP/IP-Adressen
Die TCP/IP-Adressierung ist fester Bestandteil des Internet Protocols
(IP). Die Darstellung der Internet-Adressen erfolgt in dezimaler, oktaler
oder hexadezimaler Schreibweise. Der ISDN Access Server verwendet
die dezimale Schreibweise, bei der die einzelnen Bytes zur Kenntlichmachung der Zusammengehörigkeit durch Punkte voneinander getrennt werden. Die Gesamtmenge der Internet-Adressen, der Adressraum, wird in Klassen (A, B, C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten drei Klassen genutzt. Diese Klassen sind
durch folgende Merkmale gekennzeichnet:
Klassen
Merkmale
Netzadresse, dezimaler
Wert
Klasse-A-Adresse
Wenig Netzwerke, viele
Netzknoten
0-127
Klasse-B-Adresse
Mittlere Verteilung von
Netzwerken und Netzknoten
128-191
Klasse-C-Adresse
Viele Netzwerke, wenig
Netzknoten
192-223
Merkmale der IP-Adressklassen
Jede IP-Adresse besteht aus zwei Teilen: der Netzwerkadresse und der
Rechneradresse. Die Bereichsgrößen der Netzwerkadresse und der
Rechneradresse sind variabel, sie werden durch die ersten vier Bit (des
ersten Byte) einer IP-Adresse bestimmt.
Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse und
drei Byte Rechneradresse:
X._._._
Netzwerkadresse
Rechneradresse
Klasse-A-Adresse
Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse, 120.5.120
die Rechneradresse).
Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei
Byte Rechneradresse:
X.X._._
Netzwerkadresse
Rechneradresse
Klasse-B-Adresse
Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die
Rechneradresse).
Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Rechneradresse:
X.X.X._
Rechneradresse
Netzwerkadresse
Klasse-C-Adresse
Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die Rechneradresse).
UDP (User Datagram Protocol)
Dieses Protokoll ist auf Schicht 4 des OSI-Referenzmodells (Transport
Layer/Transportschicht) beheimatet und bietet den höheren Protokollen einen definierten Dienst zum transaktionsorientierten Versand von
Datenpaketen. UDP verfügt nur über minimale Protokollmechanismen
zur Datenübertragung zwischen Kommunikationspartnern. Da es – anders als TCP – keine Ende-zu-Ende-Kontrolle garantiert, sind weder Ablieferung eines Datenpakets beim Empfänger, das Erkennen von Duplikaten oder die reihenfolgerichtige Übermittlung der Datenpakete gewährleistet. UDP ist im RFC 768 definiert.
Index
A
C
ADC. Siehe AVM Data Call Center
Aktionen in Filterregeln 47
Amtsholung, Glossareintrag 107
Anforderungen
Hardware 19
ISDN-Anschluss 21
Software 20
Anzeige der entfernten Benutzer 68
API 18
Arbeitsgruppe
Konfigurationshinweise 61
Auswahl
Ereignisse 71
Kosten/Nutzungsdaten 69
Verbindungsinformationen 69
AVM Data Call Center (ADC) 104
AVM-Support
Informationsquellen 103
Support per E-Mail 105
Support per Telefax 106
Updates 103
CAPI, Glossareintrag 108
CAPI-Anwendungen 11
CAPI-Meldungen 77
CHAP, Glossareintrag 107
CLI 42, 43
allgemein 10
CLIP, Glossareintrag 108
COSO 55
B
B1 Server Edition 10
Beenden und Starten des Dienstes 32
Begrenzung der Gebühren
allgemein 12
konkrete Einstellungen 49
Behandlung einkommender Rufe 42
Benutzer, Überblick 68
Benutzerbezogene Budgets 54
Benutzerverwaltung
allgemein 11
Einstellungen 37
Prioritäten 41
Zugriff organisieren 40
B-Kanal-Reservierung 41
Budgets, benutzerbezogen 54
Budgetübersicht
D
Datenbanken des ISDN Access Servers 72
Deinstallation 32
Dienst beenden und neu starten 32
D-Kanal-Rufnummer
Überprüfung 42, 43
D-Kanal-Rufnummer, Überprüfung
allgemein 10
DNS-Server
Domänen-Controller, Glossareintrag 109
Dynamische Vergabe von Adressen 41
Dynamische Vergabe von IP-Adressen
E
Echtheitsbestätigung 43, 44
Echtheitsbestätigung, Glossareintrag 109
Einkommende Rufe, Behandlung 42
Einrichten von Benutzern
allgemein 11
Grundeinstellungen 37
Einstellungen
global für ISDN Access Server 35
Nebenstellenanlage 36
Entfernte Benutzer, Anzeige 68
Ereignisse 70
Extern verwaltete Benutzer
einrichten 37
zusätzliche Einstellungen 38
ISDN Access Server – Index 123
F
Fehlermeldungen des ISDN Access Servers
Festverbindungsarten 10
Filter 45
Filter, spezielle 51
Glossareintrag 110
Filterregeln 47
Firewall 46
Glossareintrag 110
Forward-Filter 47
77
G
Gebühren sparen
allgemein 12
konkrete Einstellungen 49
Gebührenprofil 111
Gemeinsame Startseite der ISDN Services
Globale Einstellungen 35
Globale IP-Filter 46
Globale Schwellenwerte 53
Globaler Input-Filter 46
Globaler Output-Filter 46
GSM 11
I
Input-Filter 46
Installation
Vorbereitungen
ISDN-Controller 25
Lokales Netzwerk 23
Installation mit anderen CAPIAnwendungen 11
Intern verwaltete Benutzer
einrichten 40
Interoperabilität 17
IP-Adressvergabe 41
IP-Adressvergabe, dynamisch 41
IP-Filter 46
IP-Routen eintragen 35
IPX RIP/SAP-Filter 48
IPX-Adressvergabe 41
IPX-Adressvergabe, dynamisch 41
IPX-Filter 45, 48
124 ISDN Access Server – Index
26
31
IPX-Netzwerknummer des Access ServerPCs 35
ISDN Access Server 11
Datenbanken 72
deinstallieren 32
Einsatzmöglichkeiten 8
installieren 26
Meldungen 77
starten 29
Startseite 30
ISDN Service Wrapper 28
ISDN Services for Windows 2000 7
ISDN-Anschluss
Anforderungen 21
Einstellungen 36
ISDN-Controller, Einstellungen 36
ISDN-Meldungen 77
ISDN-Nutzung 10
K
Komponenten von Filtern 47
Konfiguration, global 35
Konfigurationshinweise
entfernter Rechner 57
Kontrolle der Verbindungskosten 67
Kosten begrenzen 49
Kosten/Nutzungsdaten
Extern verwaltete Benutzer 70
Intern verwaltete Benutzer 69
Kostenübernahme 55
Kostenübersicht
L
Lieferumfang 19
Literatur 104
LMHOSTS-Datei
Lokale IP-Routen eintragen
58
35
M
Management- und Monitorfunktionen
Meldungen
CAPI 77
ISDN 77
66
ISDN Access Server 77
Mitschnitt von Paketen 71
Mobile ISDN-Standard 11
Monitoring
allgemein 16
S
N
Namensauflösung
NDI 7
Nebenstellenanlage, Einstellungen 36
Netzwerknummer (IPX) eintragen 35
NT/MPRI 7
O
Output-Filter
46
P
Paketmitschnitt 71
PAP und CHAP 42, 44
PAP, Glossareintrag 114
Physikalisch aktive Verbindungen
Physikalische ISDN-Verbindung,
Glossareintrag 115
Prioritäten der Benutzer 41
Protokoll in Filterregeln 48
67
R
RADIUS,Glossareintrag 115
RADIUS-Benutzer 39
Reduzierung der Gebühren
allgemein 12
Reservierung von B-Kanälen 41
RFCs 17
RIP, Glossareintrag 116
RIP/SAP-Filter 48
RIP-Input-Filter 49
RIP-Output-Filter 49
Route, Glossareintrag 116
Routen und Dienste 67
Routing and Remote Access API 18
Rufnummernüberprüfung 43
SAP, Glossareintrag 116
SAP-Input-Filter 49
SAP-Output-Filter 49
Schwellenwerte, globale 53
Serverstatus 66
Sicherheit
allgemein 14
Sicherheitsrückruf 44
Spezielle Filter 51
Spezielle Filter, Glossareintrag 110
Spoofing 51
Glossareintrag 117
Standards 17
Startseite des ISDN Access Servers 30
Statistik- und Protokollfunktionen
allgemein 16
Status des Servers 66
Support 103
Systemvoraussetzungen 19
T
Tagesübersicht
Ereignisse 71
TCP/IP-Adressen, Glossareintrag 121
Treibersoftware für ISDN-Controller 10
U
Überblick über
Benutzer 68
Ereignisse 70
Kosten/Nutzungsdaten extern verwalteter
Benutzer 70
Kosten/Nutzungsdaten intern verwalteter
Benutzer 69
Physikalisch aktive Verbindungen 67
Routen und Dienste 67
Übernahme der Kosten 55
Überprüfung der D-Kanal-Rufnummer 43
Überwachung der ISDN-Verbindungen 66
URL für Zugriff auf den ISDN Access Server 29
V
ISDN Access Server – Index 125
allgemein
65
W
Windows Domäne
Windows-Benutzer 38
WINS-Server
62
59
Z
Zeitprofile 41
Zugriff auf den ISDN Access Server 29
Zugriff der Benutzer organisieren 40
126 ISDN Access Server – Index

starten

Transcription

Similar documents

Silvesterkonzert - Staatskapelle Dresden

starten

SUA Telenet GmbH - PhonEX ONE

Der beharrliche Kampf gegen schmutziges Geld

HiPath 3000 Real Time IP System - MKS

Summer School - Hochschule für Musik Saar

Mobile Application Development

starten

AVM ISDN-Controller B1 v3.0

NerWare Connect for ISDN 2.1