Manual AVM ISDN Access Server for Windows 2000 (page 17 of 126) (German)

559552

Zoom out

Zoom in

1/126

Handbuch

AVM

ISDN Access Server

for Windows

2000

ISDN SERVICES FOR WINDOWS 2000

High-Performance ISDN by . . .

2 ISDN Access Server

ISDN Access Server for Windows 2000

Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt.

Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenz-

vertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet wer-

den. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die

sich bei Einsatz des Produktes eventuell ergeben.

Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise

in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verän-

dert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt

werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persön-

lichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Drit-

te ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.

Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach

dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit so-

wie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die

Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin

weder ausdrücklich noch implizit die Gewähr oder Verantwortung.

Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder

der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist

AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen.

Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge

direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich Kosten

für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den gelieferten Pro-

grammen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM

nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche aus-

drücklich ausgeschlossen.

Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Program-

me können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts ge-

ändert werden.

Der CD-Key ist Bestandteil der Lizenzvereinbarung.

Stand der Dokumentation 06/2000

AVM im Internet: http://www.avm.de

Warenzeichen: AVM und FRITZ! sind eingetragene Warenzeichen der AVM Vertriebs KG.

Windows ist eingetragenes Warenzeichen der Microsoft Corporation. Alle anderen Waren-

zeichen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer.

AVM Audiovisuelles Marketing

und Computersysteme GmbH

Alt-Moabit 95

AVM Computersysteme

Vertriebs GmbH & Co.KG

Alt-Moabit 95

10559 Berlin 10559 Berlin

accserv.book Seite 2 Dienstag, 13. Juni 2000 11:52 11

ISDN Access Server – Inhalt 3

Inhalt

1 Einleitung 7

1.1 Was bietet der ISDN Access Server for Windows 2000? . . . . . . . . . . . . . . . . . . 8

1.2 Die Merkmale des ISDN Access Servers im Einzelnen . . . . . . . . . . . . . . . . . . 10

1.3 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.4 Voraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2 Installation und erste Schritte 23

2.1 Vorbereitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.2 Installation des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.3 Durchgeführte Modifikationen in Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.4 Zugriff auf den ISDN Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.5 Deinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Grundlagen zur Konfiguration und Funktionsweise des ISDN

Access Servers 35

3.1 Globale Einstellungen vornehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

3.2 Einrichten und Verwalten von Benutzern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

3.3 Behandlung einkommender Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

3.4 Zugriffschutz und Sicherheitsmechanismen. . . . . . . . . . . . . . . . . . . . . . . . . . 43

3.5 Kosten verringern und begrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

4 Konfigurationshinweise für den entfernten Rechner 57

4.1 Hinweise für das Arbeiten in Microsoft-Netzwerken. . . . . . . . . . . . . . . . . . . . 57

4.2 Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

4.3 Anbindung an ein Microsoft-Netzwerk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Verbindungssteuerung, Management- und Monitorfunktionen 65

5.1 Verbindungssteuerung – ISDN-Verbindungen auf- und abbauen . . . . . . . . . 65

5.2 Management- und Monitorfunktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

5.3 Datenbankverwaltung des ISDN Access Servers. . . . . . . . . . . . . . . . . . . . . . . 72

accserv.book Seite 3 Dienstag, 13. Juni 2000 11:52 11

4 ISDN Access Server – Inhalt

6 Hinweise für den täglichen Betrieb – Troubleshooting 73

6.1 Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

6.2 Probleme beim Verbindungsaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73

6.3 Probleme mit TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.4 Probleme mit IPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

6.5 Einstellungen für einkommende Rufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

7Meldungen 77

7.1 Meldungen der CAPI 2.0 und des Euro-ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . 77

7.2 Meldungen des ISDN Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90

8 Informationen, Updates und AVM-Support 103

8.1 Informationsquellen und Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

8.2 Unterstützung durch den Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Glossar 107

Index 123

accserv.book Seite 4 Dienstag, 13. Juni 2000 11:52 11

ISDN Access Server – Konventionen im Handbuch 5

Konventionen im Handbuch

Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichti-

ge Informationen hervorzuheben, wurden folgende typografische Her-

vorhebungen und Symbole verwendet:

Hervorhebungen

Nachfolgend finden Sie einen kurzen Überblick über die in diesem

Handbuch verwendeten Hervorhebungen.

Symbole

Im Handbuch werden die folgenden grafischen Symbole verwendet,

die immer in Verbindung mit grau und kursiv gedrucktem Text erschei-

nen:

Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Infor-

mationen hin.

Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informatio-

nen enthalten.

Dieses Zeichen markiert besonders wichtige Hinweise, die Sie auf je-

den Fall befolgen sollten, um Fehlfunktionen zu vermeiden.

Hervorhebung Funktion Beispiel

Anführungszeichen Tasten, Schaltflächen, Pro-

grammsymbole, Registerkarten,

Menüs, Befehle

„Start / Programme“

„Eingabe“

Großbuchstaben Pfadangaben und Dateinamen

im Fließtext

DOKU\ACCSERV.PDF

oder CAPIPORT.HLP

spitze Klammern Variablen <CD-ROM-Laufwerk>

Schreibmaschinen-

schrift

Eingaben, die Sie über die

Tastatur vornehmen

a:\setup

grau und kursiv Informationen, Hinweise und

Warnungen; immer in Verbin-

dung mit den zugehörigen Sym-

bolen

... Es kann jeweils

nur ein Controller

entfernt werden ...

accserv.book Seite 5 Dienstag, 13. Juni 2000 11:52 11

6 ISDN Access Server – Konventionen im Handbuch

accserv.book Seite 6 Dienstag, 13. Juni 2000 11:52 11

Einleitung

ISDN Access Server – 1 Einleitung 7

1 Einleitung

ISDN (Integrated Services Digital Network = diensteintegrierendes digi-

tales Netz) spielt eine tragende Rolle bei der Verschmelzung zweier

Schlüsseltechnologien in der heutigen Zeit – Computernetze und Tele-

kommunikation. Windows NT, das mit seinen leicht zu bedienenden

und benutzerfreundlichen Konfigurations- und Managementfunktionen

als Netzwerkbetriebssystem zunehmend an Bedeutung gewinnt, bietet

für das Zusammenwirken dieser beiden Technologien eine ideale Platt-

form.

Mit der Produktreihe „ISDN Services for Windows 2000“ trägt AVM die-

ser Entwicklung Rechnung und bietet ihren Kunden professionelle

ISDN-Lösungen für Windows NT, die modular aufeinander abgestimmt

sind und unterschiedliche Anwendungsbereiche abdecken. Die ISDN

Services for NT Networks umfassen folgende Produkte:

Der ISDN MultiProtocol Router for Windows 2000 (NT/MPRI) bietet pro-

fessionelles ISDN-Routing für Microsoft-Netzwerke und ermöglicht den

Aufbau von Weitverkehrsnetzen (WANs=Wide Area Networks) und die

Internet-Anbindung.

Mit Network Distributed ISDN for Windows 2000 (NDI) können alle An-

wender im Microsoft-Netzwerk die ISDN-Hardware und -Ressourcen

nutzen, die zentral im Server verwaltet werden. So stehen den Anwen-

dern ISDN-Funktionen wie Fax, Datenübertragung, Internet-Zugang

oder Online-Dienste zur Verfügung, ohne dass auf den einzelnen Rech-

nern zusätzliche ISDN-Hardware installiert werden muss.

Der ISDN Access Server for Windows 2000 (ISDN Access Server) ge-

währleistet den schnellen und kostensparenden Zugriff entfernter

Rechner auf das Unternehmensnetz. Auf diese Weise können Telear-

beiter oder Außendienstmitarbeiter mit den Ressourcen des zentralen

Unternehmensnetzes arbeiten.

Die ISDN Services for NT Networks zeichnen sich durch konsequente

Nutzung der ISDN-Technologie, einfache Installation, flexible Verwal-

tung und wirksamen Zugriffsschutz aus. Die Produkte sind server-ba-

sierte Anwendungen auf Basis von CAPI 2.0, der standardisierten An-

wendungsschnittstelle für ISDN-Controller. Wenn der Kommunikations-

bedarf Ihres Unternehmens steigt, werden einfach zusätzliche ISDN-

accserv.book Seite 7 Dienstag, 13. Juni 2000 11:52 11

Was bietet der ISDN Access Server for Windows 2000?

8 ISDN Access Server – 1 Einleitung

Controller in den Server eingebaut, die dank CAPI automatisch erkannt

und verwendet werden. So werden Ihre ISDN-Investitionen langfristig

gesichert und die Kapazitäten des Servers optimal genutzt.

1.1 Was bietet der ISDN Access Server for Win-

dows 2000?

Die Anbindung von Außendienstmitarbeitern, Telearbeitern, Service-

Technikern oder Firmenniederlassungen ohne eigenes Netzwerk ge-

winnt für viele Unternehmen zunehmend an Bedeutung. Der ISDN Ac-

cess Server for Windows 2000 bietet Ihnen eine leistungsstarke Lö-

sung für die Anbindung entfernter Rechner und mobiler Laptops über

ISDN oder GSM an Ihr Unternehmensnetz. Die entfernten Benutzer

können auf diese Weise LAN-Funktionen und Daten so nutzen, als wür-

den sie direkt im Netz arbeiten. Zu den möglichen Anwendungen gehö-

ren z.B. Client/Server-Anwendungen, Datenbankprogramme, SAP R/3

oder E-Mail.

Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des

ISDN Access Servers:

Einsatzmöglichkeiten des ISDN Access Servers for Windows 2000

Netzwerkseite

Der ISDN Access Server wird einfach auf einem Windows 2000/NT-

Rechner im Netzwerk installiert, der mit einem oder mehreren aktiven

AVM ISDN-Controllern und damit der Anwendungsschnittstelle CAPI

2.0 ausgerüstet ist.

Windows 2000/NT

+ ISDN Access Server

+ ISDN-Controller B1

Zentrale Berlin

ISDN

Niederlassung Frankfurt

GSM

PC mit Windows 2000/NT

und ISDN-Controller

Telearbeiter in Berlin

PC mit Windows 95/98

und ISDN-Controller

Außendienstmitarbeiter

Laptop mit Windows 95/98

und Mobile ISDN-Controller

accserv.book Seite 8 Dienstag, 13. Juni 2000 11:52 11

Was bietet der ISDN Access Server for Windows 2000?

ISDN Access Server – 1 Einleitung 9

Die Steuerung des ISDN Access Servers erfolgt mit dem Protokoll HTTP,

einem Standard für das Management. So kann der ISDN Access Server

lokal oder entfernt über einen Standard-Web-Browser (MS Internet Ex-

plorer oder Netscape Navigator ab v3.0) gesteuert, konfiguriert und

überwacht werden.

Entfernte Seite

Der ISDN Access Server for Windows 2000 unterstützt den offenen

Standard PPP over ISDN (Point-to-Point Protocol) für die Anbindung

von Einzelplatzrechnern über ISDN/GSM, so dass auf den entfernten

Rechnern verschiedene ISDN-Produkte für den Fernzugriff eingesetzt

werden können. Im Rahmen des DFÜ-Netzwerkes von Windows 98/95

oder Windows 2000/NT bieten Hersteller wie AVM diese Funktionalität

grundsätzlich für ISDN-Controller an. Der ISDN Access Server unter-

stützt jedoch darüber hinausgehende Funktionen, die erst durch pro-

fessionelle Software für den Fernzugriff über ISDN auf der Basis von

CAPI 2.0 gewährleistet werden. AVM bietet für diesen Zweck das Pro-

dukt „NetWAYS/ISDN“ an, das für diverse Betriebssysteme zur Verfü-

gung steht.

Die folgende Abbildung veranschaulicht die Netzwerkkomponenten,

die auf den lokalen Rechnern im Netzwerk und auf dem entfernten

Rechner installiert sein müssen:

Netzwerkkomponenten auf dem lokalen und dem entfernten Rechner

Lokale Benutzer im Netzwerk

PCs mit Netzwerkkarten und

Client-Software für Netzzugriff

Server mit ISDN Access Server

PC mit Netzwerkkarte und ISDN-Controller

ISDN

Entfernter Benutzer

z.B. PC mit ISDN-Controller

und NetWAYS/ISDN

Anwendungssoftware

IPX/SPX TCP/IP

NDIS

Netzwerkkartentreiber

Anwendungssoftware

IPX/SPX TCP/IP

NDIS

NetWAYS/ISDN

accserv.book Seite 9 Dienstag, 13. Juni 2000 11:52 11

Die Merkmale des ISDN Access Servers im Einzelnen

10 ISDN Access Server – 1 Einleitung

1.2 Die Merkmale des ISDN Access Servers im

Einzelnen

Im Folgenden erhalten Sie einen kurzen Überblick über die Leistungs-

merkmale des ISDN Access Servers for Windows 2000, die Ihnen eine

kostengünstige, schnelle und zuverlässige Anbindung externer Benut-

zer gewährleisten.

Optimale Nutzung von ISDN

Der ISDN Access Server nutzt die Vorteile, die das Kommunikationsnetz

ISDN für den Aufbau von Netzwerkverbindungen bietet. Dazu gehören

z.B. die gute Verfügbarkeit von ISDN in ganz Europa, die hohe Band-

breite und nicht zuletzt der schnelle Verbindungsaufbau von weniger

als 1 Sekunde, der den dynamischen und kostensparenden Auf- und

Abbau von ISDN-Verbindungen im Hintergrund ermöglicht. Die AVM-

Produkte gewährleisten außerdem einen nahtlosen Übergang in das

Mobilfunknetz GSM.

Das ISDN-Leistungsmerkmal „CLIP“ (Calling Line Identification Presen-

tation), die Übermittlung der ISDN-Nummer des Anrufers über den D-

Kanal, wird vom ISDN Access Server zur Überprüfung der Identität des

Anrufers benutzt.

Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-B-

Kanäle gebündelt werden — auch über mehrere ISDN-Controller hin-

weg. Durch die Unterstützung von ein bis vier AVM ISDN-Controllern B1

oder einem ISDN-Controller C4 am Basisanschluss (BRI = Basic Rate In-

terface) lässt sich der ISDN Access Server in der BRI-Variante bis auf 8

Kanäle ausbauen. In der Ausführung für den Primärmultiplexanschluss

(PRI = Primary Rate Interface) sind 120 B-Kanäle nutzbar.

Die Treibersoftware für die AVM ISDN-Controller in Windows 2000/NT

ist im Lieferumfang des ISDN Access Servers auf einer separaten CD-

ROM mit dem Namen „B1 Server Edition“ enthalten. Die Treibersoftwa-

re unterstützt die D-Kanal-Protokolle DSS1 (Euro-ISDN), 1TR6 (Deutsch-

land), 5ESS und NI1 (USA). Außerdem werden die folgenden Festverbin-

dungsarten unterstützt (Bezeichnungen der Deutschen Telekom AG):

l Digital 64S (B-Kanal 1x64 KBit/s)

l Digital 64S2 (B-Kanal 2x64 KBit/s)

l Doppelanschaltung Digital 64S (B-Kanal 2x64 KBit/s, gesplittet

auf 2 Benutzer mit je 1x64 KBit/s)

l Digital S02/TS02 (B-Kanal 2x64 KBit/s + D-Kanal 1x16 KBit/s)

accserv.book Seite 10 Dienstag, 13. Juni 2000 11:52 11

Komfortable Benutzerkonfiguration und -verwaltung

ISDN Access Server – 1 Einleitung 11

Der ISDN Access Server kann über die AVM ISDN-Controller sowohl di-

rekt am öffentlichen ISDN (Mehrgeräte- oder Anlagenanschluss) und

an einer Nebenstellenanlage betrieben werden.

Die AVM ISDN-Controller B1, C4 und T1-B bieten die Unterstützung von

GSM nach dem Mobile ISDN-Standard (GSM 07.08). Damit ist eine zu-

verlässige und nahtlose ISDN-Anbindung von entfernten Rechnern

über GSM an den ISDN Access Server möglich.

Installation zusammen mit anderen CAPI 2.0-Anwendungen

Im Zusammenspiel mit den beiden anderen „ISDN Services for Win-

dows 2000“ (NT/MPRI und NDI) ist eine sinnvolle und kosteneffektive

Mehrfachnutzung der installierten ISDN-Controller gewährleistet. Für

die Produkte der „ISDN Services for Windows 2000“ können bestimm-

te B-Kanäle reserviert werden, so dass bei gleichzeitiger Verwendung

dieser Produkte eine reibungslose Zuordnung der ISDN-Leitungen er-

folgt.

Die ISDN-Controller können außerdem von weiteren CAPI 2.0-Anwen-

dungen verwendet werden, z.B. für den Faxversand. Der ISDN Access

Server verwendet die ISDN-Dienstekennung „Daten“. Sind andere CAPI

2.0-Anwendungen mit derselben Dienstekennung, z.B. Datenübertra-

gungssoftware im Server-Modus, auf demselben Rechner installiert,

muss sichergestellt sein, dass einkommende Rufe eindeutig zugeord-

net werden. Im CAPI 2.0-Standard sind für solche Fälle am Mehrgerä-

teanschluss die sogenannten Mehrfachrufnummern (MSNs = Multiple

Subscriber Numbers) und am Primärmultiplexanschluss Nachwahlzif-

fern (DDI = Direct Dialing-In) vorgesehen.

Komfortable Benutzerkonfiguration und -verwaltung

Die Verwaltung und Echtheitsbestätigung der entfernten Benutzer, die

sich über ISDN in das LAN einwählen, kann intern über die ISDN Access

Server-Datenbank oder extern erfolgen.

Die externe Verwaltung bietet Ihnen die Möglichkeit, Ihre bestehende

Benutzerverwaltung für den ISDN Access Server zu nutzen. Dies erspart

Ihnen zusätzlichen Konfigurationsaufwand. Sie können folgende exter-

ne Systeme für die Benutzerverwaltung verwenden:

l Benutzer-Manager von Windows. ISDN-spezifische Parameter für

die Anbindung entfernter Benutzer werden in Benutzergruppen

und speziellen Einstellungen für Windows-Benutzer gespeichert.

accserv.book Seite 11 Dienstag, 13. Juni 2000 11:52 11

Reduzierung und Begrenzung der Verbindungsgebühren

12 ISDN Access Server – 1 Einleitung

Nutzung eines RADIUS-Servers. Wenn sich ein entfernter Benutzer

einwählt, werden die Angaben zur Echtheitsbestätigung (Name

und Passwort) vom ISDN Access Server an den RADIUS-Server

weitergeleitet, der die Prüfung der Angaben übernimmt. ISDN-

spezifische Parameter für die Anbindung entfernter Benutzer wer-

den in Benutzergruppen gespeichert.

Das Einrichten intern verwalteter Benutzer wird erleichtert durch vorge-

gebene Profile für Verbindungen mit IP, IPX oder beiden Netzwerkproto-

kollen.

Adressvergabe

Die entfernten Benutzer und Benutzergruppen können dynamisch zu-

gewiesene oder statische IP- bzw. IPX-Adressen verwenden. Für die

Adressvergabe werden im ISDN Access Server Adressbereiche defi-

niert.

Zeitprofile

Sie können Zeitbeschränkungen für die Benutzer festlegen, die den Zu-

griff auf das Netzwerk nur zu bestimmten Zeiten erlauben. Die Zeitbe-

schränkungen werden zentral in Profilen gespeichert, die dann den

einzelnen Benutzern oder Benutzergruppen zugewiesen werden.

Priorität

Bestimmte Benutzer oder Benutzergruppen können Vorrang vor ande-

ren haben, so dass auch bei vollständiger Auslastung aller ISDN-B-Ka-

näle eine Leitung freigemacht wird, sobald sich ein Benutzer mit hoher

Priorität wie beispielsweise der Systemverwalter einwählt. Außerdem

ist es möglich, ISDN-B-Kanäle für Benutzer zu reservieren.

Reduzierung und Begrenzung der Verbindungsgebühren

Der ISDN Access Server for Windows 2000 sorgt durch sein intelligen-

tes Verbindungsmanagement dafür, dass die Kosten für die ISDN-An-

bindung der entfernten Benutzer auf das Notwendige beschränkt wer-

den. Folgende Leistungsmerkmale gewährleisten dies:

l Der ISDN Access Server unterscheidet zwischen logischen und

physikalischen ISDN-Verbindungen. Eine logische ISDN-Verbin-

dung entsteht mit dem ersten physikalischen Verbindungsaufbau

über ISDN, bei dem auch die Verbindungsparameter ausgehan-

accserv.book Seite 12 Dienstag, 13. Juni 2000 11:52 11

Reduzierung und Begrenzung der Verbindungsgebühren

ISDN Access Server – 1 Einleitung 13

delt werden. Dazu gehören z.B. die Netzwerkprotokolle, die

Durchführung einer Echtheitsbestätigung, Spoofing-Mechanis-

men und Kanalbündelung.

Bei der physikalischen ISDN-Verbindung ist tatsächlich einer oder

sind mehrere B-Kanäle aufgebaut, und es entstehen Verbindungs-

gebühren. Wenn keine Daten auf der ISDN-Leitung übertragen

werden, kann der ISDN Access Server die von ihm aufgebaute

physikalische Verbindung abbauen, um die Verbindungskosten

zu senken. Je nach Konfiguration des Benutzers im ISDN Access

Server kann dabei die logische Verbindung erhalten bleiben, so

dass der entfernte Benutzer weiterhin im Netz angemeldet ist und

Ressourcen für ihn reserviert sind. Sobald wieder Daten zu über-

tragen sind, baut der ISDN Access Server oder die Fernzugriffs-

software des Benutzers die physikalische Verbindung wieder auf.

Die Zeitspanne bis zum physikalischen Abbau kann mit Hilfe von

Gebührenprofilen dynamisch an den aktuellen Gebührentakt an-

gepasst werden. Gebührenprofile enthalten Informationen zu den

unterschiedlichen Gebührentakten abhängig von Tarifzone und

Tageszeit. Außerdem kann der physikalische Abbau mit Hilfe des

am ISDN-Anschluss übertragenen Gebührenimpulses gesteuert

oder fest eingestellt werden.

l Praxiserprobte Filter- und Spoofingmechanismen fangen be-

stimmte Protokollpakete ab und verhindern deren unnötige Über-

tragung über ISDN. Auf diese Weise wird die physikalische Verbin-

dungsdauer verkürzt. Der ISDN Access Server sorgt so dafür, dass

die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und

der Hintergrunddatenverkehr im LAN weitgehend vom ISDN fern-

gehalten wird.

l Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maxi-

males Budget, maximale physikalische Verbindungsdauer und

maximale Anzahl ausgehender Rufe.

l Definierbare Budgets für die entfernten Benutzer.

l Kostenzuweisung (COSO=Charge One Site Only) ermöglicht z.B.

die Übernahme der gesamten Kosten für die Netzwerkanbindung

durch die Firmenzentrale.

Die Leistungsmerkmale logische Verbindung, Spoofing und Kostenzu-

weisung werden z.B. vom AVM-Produkt NetWAYS/ISDN unterstützt, das

sich damit auf Benutzerseite als optimales Produkt für den ISDN-Fern-

zugriff anbietet.

accserv.book Seite 13 Dienstag, 13. Juni 2000 11:52 11

Verbindungssteuerung

ISDN Access Server – 1 Einleitung 17

Verbindungssteuerung

ISDN-Verbindungen können aus der ISDN Access Server-Oberfläche

heraus bei Bedarf aktiv auf- und abgebaut werden. Außerdem erhalten

Sie detaillierte Informationen zu den gerade aktiven logischen ISDN-

Verbindungen und den ausgehandelten Verbindungsparametern.

Weitere Hinweise dazu finden Sie in „Verbindungssteuerung, Manage-

ment- und Monitorfunktionen“ ab Seite 65.

Interoperabilität über ISDN

Durch die Unterstützung des Interoperabilitätsstandards PPP over

ISDN sowie vieler weiterer PPP-Standards – beschrieben in so genann-

ten RFCs (Requests for Comments) – sind Verbindungen zu allen Ge-

genstellen möglich, die diese Standards ebenfalls unterstützen.

Zusätzlich zu den RFCs sind im ISDN Access Server auch schon neuere,

noch in Entstehung begriffene PPP-Standards (solche werden als

„Drafts“ bezeichnet) verwirklicht. In diesem Zusammenhang soll die

Umsetzung verschiedener von AVM entwickelter Spoofing-Verfahren er-

wähnt werden, die im ISDN Access Server auf Basis des PSCP-Drafts

implementiert sind.

Der ISDN Access Server unterstützt die folgenden RFCs und RFC-Drafts:

RFC 1144 Compressing TCP/IP Headers for Low-Speed Serial Links

RFC 1332 The PPP Internet Protocol Control Protocol (IPCP)

RFC 1334 PPP Authentication Protocols (PAP)

RFC 1552 The PPP Internetwork Packet Exchange Control Protocol (IPXCP)

RFC 1553 Compressing IPX Headers Over WAN Media (CIPX)

RFC 1570 PPP LCP Extensions

RFC 1618 PPP over ISDN

RFC 1661 The Point-to-Point Protocol (PPP)

RFC 1662 PPP in HDLC-like Framing

RFC 1962 The PPP Compression Control Protocol (CCP)

RFC 1974 PPP Stac LZS Compression Protocol

RFC 1990 The PPP Multilink Protocol (MP)

RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP)

RFC 2118 Microsoft Point-to-Point Compression (MPPC) Protocol

Draft PPP Callback Control Protocol

Draft PPP Protocol Spoofing Control Protocol (PSCP)

accserv.book Seite 17 Dienstag, 13. Juni 2000 11:52 11

Anforderungen an die Software

20 ISDN Access Server – 1 Einleitung

\CARDWARE\SERVER.B1\B1\WINDOWS.NT bzw.

\CARDWARE\\SERVER.B1\B1_PCI\WINDOWS.NT.

Die Treiber für den ISDN-Controller T1 befinden sich auf dem AVM

Data Call Center im Verzeichnis

\CARDWARE\T1\WINDOWS.NT.

Notieren Sie sich bei der Installation der Treibersoftware die Cont-

roller-Nummer der ISDN-Controller sowie die Rufnummer des je-

weiligen ISDN-Anschlusses.

Die Treibersoftware für den/die AVM ISDN-Controller muss beim Star-

ten von Windows 2000/NT automatisch geladen werden! Informatio-

nen dazu finden Sie in Ihrem Controller-Handbuch.

Nachdem Sie den/die ISDN-Controller installiert haben, bauen Sie mit

dem Programm Connect32, das im Lieferumfang aller AVM ISDN-Cont-

roller enthalten ist, eine Testverbindung zum AVM Data Call Center

(ADC) auf, um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses

und der ISDN-Controller sicherzustellen. Nähere Informationen zu

Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch.

Anforderungen an die Software

l Windows 2000/NT Server oder Workstation mit dem aktuellen

Service Pack.

l TCP/IP-Protokoll, gebunden an die Netzwerkkarte mit fester IP-

Adresse, eingetragener Subnet Mask und angegebenem Stan-

dardgateway.

l Falls Sie IPX verwenden wollen: NWLink IPX/SPX-kompatibler

Transport, konfiguriert mit eindeutiger interner Netzwerknummer

für den Windows 2000/NT-Rechner.

Bei den Bindungen werden die folgenden Einstellungen vom ISDN

Access Server erkannt: „Rahmentyp automatisch erkennen“ und

„Rahmentyp manuell erkennen“.

l Web-Browser: MS Internet Explorer ab v3.0 oder Netscape Naviga-

tor ab v3.0.

accserv.book Seite 20 Dienstag, 13. Juni 2000 11:52 11

ISDN-Anschluss

ISDN Access Server – 1 Einleitung 21

ISDN-Anschluss

Um alle Funktionen des ISDN Access Servers zu nutzen, sollten an Ih-

rem ISDN-Anschluss die folgenden Merkmale freigeschaltet sein:

l Datenübertragung („Unrestricted Digital Information“).

l Tarifinformation während der Verbindung gemäß europäischem

Standard AOCD – Advice On Charge During Call (wird benutzt für

den automatischen physikalischen Verbindungsabbau und die

Kostenüberwachung mit Budgets).

Bekommen Sie keine Tarifinformationen während der Verbin-

dung, kann stattdessen auch die Gebührenabschätzung über ein

Gebührenprofil eingesetzt werden.

l Übermittlung der Rufnummer im D-Kanal, CLIP (wird benutzt für

die Rufnummernüberprüfung sowie für die Identifizierung ein-

kommender Rufe).

accserv.book Seite 21 Dienstag, 13. Juni 2000 11:52 11

22 ISDN Access Server

accserv.book Seite 22 Dienstag, 13. Juni 2000 11:52 11

Installation und erste Schritte

ISDN Access Server – 2 Installation und erste Schritte 23

2 Installation und erste Schritte

In diesem Kapitel erfahren Sie, wie Sie Ihr lokales Netzwerk für die In-

stallation des ISDN Access Servers vorbereiten. Anschließend werden

Installation und Bedienung des ISDN Access Servers beschrieben.

2.1 Vorbereitungen

Die Installationsvoraussetzungen sowie die Anforderungen an die

Hard- und Software finden Sie in „Voraussetzungen“ auf Seite 19.

Ihr lokales Netzwerk muss schon vor der Installation des ISDN Access

Servers funktionsfähig sein. Alle Server und Arbeitsstationen müssen

eindeutig adressiert und der störungsfreie Austausch von Informatio-

nen gewährleistet sein.

TCP/IP-Einstellungen

Wenn Sie TCP/IP im lokalen Netzwerk verwenden, benötigt jede Ar-

beitsstation und der Rechner, auf dem der ISDN Access Server instal-

liert werden soll, eine eindeutige IP-Adresse. Wichtig ist hierbei, dass

der ISDN Access Server-Rechner eine feste IP-Adresse zugewiesen be-

kommt, auch wenn sonst im Netz DHCP verwendet wird.

TCP/IP-Einstellungen in Windows 2000 (ISDN Access Server-Rechner)

accserv.book Seite 23 Dienstag, 13. Juni 2000 11:52 11

TCP/IP-Einstellungen

24 ISDN Access Server – 2 Installation und erste Schritte

Besteht Ihr lokales Netzwerk aus nur einem Netzwerkstrang, dann tra-

gen Sie auf allen Arbeitsstationen neben der IP-Adresse die IP-Adresse

des ISDN Access Servers als Standardgateway ein. Erst so haben alle

entfernten Rechner die Möglichkeit, über ISDN auf alle Ressourcen zu-

zugreifen.

IP-Adressierung vor der Installation des ISDN Access Servers – kleines Netz-

werk

Besteht Ihr Netz aus mehreren Segmenten, die untereinander über

Router verbunden sind, tragen Sie auf allen Rechnern im Netz die IP-

Adresse des Routers im jeweiligen Segment als Standardgateway ein.

IP-Adressierung vor der Installation des ISDN Access Servers – großes Netzwerk

Bei der Konfiguration des LANs ist hier wichtig, dass der Router im LAN

die später über ISDN verfügbaren Netze kennt.

IP-Adresse: 192.168.1.1

Standardgateway: 192.168.1.3

IP-Adresse: 192.168.1.3

IP-Adresse: 192.168.1.2

Standardgateway: 192.168.1.3

Arbeitsstation

Access Server

Arbeitsstation

IP-Adresse: 192.168.1.1

Standardgateway: 192.168.1.4

IP-Adresse: 192.168.1.3

Standardgateway: 192.168.1.4

IP-Adresse: 192.168.1.2

Standardgateway: 192.168.1.4

Arbeitsstation

IP-Adresse: 192.168.2.4

Standardgateway: 192.168.2.1

IP-Adresse: 192.168.2.2

Standardgateway: 192.168.2.1

IP-Adresse: 192.168.2.3

Standardgateway: 192.168.2.1

Router

ISDN

Access Server

Arbeitsstation

IP-Adresse: 192.168.2.1

IP-Adresse: 192.168.1.4

Arbeitsstation

Arbeitsstation Arbeitsstation

accserv.book Seite 24 Dienstag, 13. Juni 2000 11:52 11

IPX-Einstellungen

ISDN Access Server – 2 Installation und erste Schritte 25

Wird RIP im LAN verwendet, lernt der Router die zur Verfügung stehen-

den Routen dynamisch vom ISDN Access Server. Ansonsten müssen

statische Routen definiert werden.

Außerdem muss dem ISDN Access Server das Netz, das hinter dem

Router liegt, bekannt sein. Auch hier gilt, wenn kein RIP verwendet

wird, muss die Route später im ISDN Access Server statisch konfigu-

riert werden.

IPX-Einstellungen

Wenn Sie IPX im LAN verwenden, benötigt der Rechner, auf dem der

ISDN Access Server installiert werden soll, eine eindeutige interne

Netzwerknummer. Die interne Netzwerknummer kann auch nach der

Installation des ISDN Access Servers im ISDN Access Server-Manager

eingetragen werden. Beim Rahmentyp werden die Einstellungen „Rah-

mentyp automatisch erkennen“ sowie „Rahmentyp manuell erkennen“

vom ISDN Access Server akzeptiert.

ISDN-Controller

Installieren Sie die Treibersoftware für Ihre(n) ISDN-Controller immer

von der mitgelieferten CD-ROM „B1 Server-Edition“.

Die ISDN-Controller werden im ISDN Access Server entsprechend der

Controller-Nummer verwaltet, die sie bei der Installation der Treiber-

software (CAPI) erhalten. Wollen Sie mehrere ISDN-Controller verwen-

den, notieren Sie sich daher bei der Installation der ISDN-Controller im-

mer die jeweilige Controller-Nummer. Schreiben Sie außerdem auf,

welcher Controller z.B. für eine Festverbindung verwendet wird; dies

müssen Sie später im ISDN Access Server angeben.

Die Treibersoftware für den/die AVM ISDN-Controller muss beim Star-

ten von Windows 2000/NT automatisch geladen werden! Informatio-

nen dazu finden Sie in Ihrem Controller-Handbuch bzw. im zugehöri-

gen Readme.

Nachdem Sie den/die Controller installiert haben, bauen Sie mit dem

Programm Connect32, das im Lieferumfang aller AVM ISDN-Controller

enthalten ist, eine Testverbindung zum AVM Data Call Center (ADC) auf,

um die ordnungsgemäße Funktion Ihres ISDN-Anschlusses und

des/der Controller(s) sicherzustellen. Nähere Informationen zu

Connect32 erhalten Sie im AVM ISDN-Tools-Handbuch.

Sind diese Vorbereitungen getroffen, können Sie den ISDN Access Ser-

ver installieren.

accserv.book Seite 25 Dienstag, 13. Juni 2000 11:52 11

Installation des ISDN Access Servers

26 ISDN Access Server – 2 Installation und erste Schritte

2.2 Installation des ISDN Access Servers

Bei der Installation werden die folgenden Komponenten auf Ihrem

Rechner installiert:

l AVM ISDN Access Server for Windows 2000.

l AVM WebServer (dient zur HTTP-Kommunikation zwischen Web-

Browser und ISDN Access Server).

Außerdem werden die Netzwerkeinstellungen von Windows 2000/NT

modifiziert und zwei spezifische Komponenten für den ISDN Access

Server hinzugefügt.

Zur Installation des ISDN Access Servers for Windows 2000 gehen Sie

wie folgt vor:

1. Legen Sie die ISDN Access Server-CD in Ihr CD-ROM-Laufwerk ein.

Eine CD-Einführung wird automatisch gestartet.

Sie können die CD-ROM auch manuell starten. Begeben Sie sich

dazu in den Explorer und klicken Sie im Stammverzeichnis der CD-

ROM doppelt auf die Datei INTRO.HLP.

2. Folgen Sie den Anweisungen in der Einführung und starten Sie die

Installation.

Der Begrüßungsbildschirm des Installationsprogramms erscheint.

3. Klicken Sie auf „Weiter“, um die Installation fortzusetzen.

4. Sie werden aufgefordert, den CD-Key einzugeben. Dieser befindet

sich auf der CD-Hülle.

Zur Bestätigung Ihrer Angaben klicken Sie auf „OK“.

5. Bestätigen Sie die Installation des ISDN Access Servers mit erneu-

tem Klicken auf „OK“.

6. Als nächstes geben Sie den Ordner an, in den die Dateien des

ISDN Access Servers installiert werden sollen. Ist auf dem Rechner

bereits der ISDN MultiProtocol Router for Windows 2000

(NT/MPRI) installiert, werden die Dateien des ISDN Access Servers

in denselben Ordner kopiert.

Ansonsten wird standardmäßig der Pfad C:\PROGRAMME\AVM\

ISDN Access Server vorgeschlagen. Sie können aber auch jeden

anderen Pfad angeben. Bestätigen Sie den Installationspfad

durch Klicken auf „Weiter“.

accserv.book Seite 26 Dienstag, 13. Juni 2000 11:52 11

Zugriff auf den ISDN Access Server

30 ISDN Access Server – 2 Installation und erste Schritte

Die Startseite des ISDN Access Servers

Über die Verknüpfungen auf der Startseite erreichen Sie alle für die

Konfiguration und Administration des ISDN Access Servers benötigten

Funktionen:

l Konfiguration - ruft die Konfigurationsseiten auf.

l Verbindungssteuerung - erlaubt das aktive Auf- und Abbauen von

ISDN-Verbindungen.

l Monitor - bietet detaillierte Status- und Statistikinformationen so-

wie eine Paket-Mitschnittfunktion.

l Spezielles - ermöglicht den Neustart des ISDN Access Server-

Dienstes in Windows 2000/NT und den Zugriff auf die Routing

and Remote Access API von AVM.

l Readme - zeigt die neuesten Informationen zum ISDN Access Ser-

ver an, die noch nicht im Handbuch enthalten sind.

Die Readme-Datei wird in einem eigenen Browser-Fenster ange-

zeigt. Durch Klicken auf das nebenstehende Symbol wird das

zweite Browser-Fenster wieder geschlossen.

l ISDN Access Server-Dokumentation - ruft die HTML-Version dieses

Handbuchs auf.

Das Handbuch wird in einem eigenen Browser-Fenster angezeigt.

Um zum ISDN Access Server zurückzukehren, schließen Sie das

Handbuch-Fenster.

accserv.book Seite 30 Dienstag, 13. Juni 2000 11:52 11

Gemeinsame Installation der „ISDN Services for Windows 2000“

ISDN Access Server – 2 Installation und erste Schritte 31

Die detaillierte Online-Hilfe im HTML-Format wird über eine Schaltflä-

che auf jeder ISDN Access Server-Seite aufgerufen. Ein zweites Brow-

ser-Fenster wird geöffnet.

Um das Hilfe-Fenster zu schließen, klicken Sie auf die nebenstehende

Schaltfläche.

Über den Punkt „Startseite“ gelangen Sie wieder zur Startseite der

HTML-Oberfläche.

Änderungen in der Konfiguration, z.B. das Hinzufügen neuer Benutzer,

werden erst aktiv, nachdem der Dienst des ISDN Access Servers in

Windows 2000/NT neu gestartet wurde! Wie Sie dazu vorgehen, erfah-

ren Sie im übernächsten Abschnitt.

Gemeinsame Installation der „ISDN Services for Win-

dows 2000“

Haben Sie mehrere Produkte der Reihe „ISDN Services for Windows

2000“ installiert, z.B. den ISDN Access Server und Network Distributed

ISDN (NDI), können Sie die gemeinsame Startseite der Produkte nut-

zen. Sie wird mit folgender URL aufgerufen:

http://<Name> oder <IP-Adress>:4000/index.html

Bei einer gemeinsamen Installation von ISDN MultiProtocol Router for

Windows 2000 (NT/MPRI) und ISDN Access Server werden im Startme-

nü von Windows 2000/NT zwar zwei unterschiedliche Programmsym-

bole angelegt, die beiden Programme haben jedoch dieselbe Oberflä-

che. Einige Menüs beziehen sich dann auf beide Produkte – z.B. Ser-

ver-Status, Einstellungen für die ISDN-Controller und Gebührenprofile.

Andere Menüs gelten jeweils nur für ein Produkt, z.B. „Ziele“

(NT/MPRI) oder „Benutzereinstellungen“ (ISDN Access Server).

Änderungen, die Sie in einem gemeinsamen Menü vornehmen, sind

daher sowohl für den NT/MPRI als auch den ISDN Access Server wirk-

sam.

Haben Sie beide Fenster parallel geöffnet (NT/MPRI und ISDN Access

Server) und schließen eines der beiden Fenster, wird das andere Fens-

ter ebenfalls geschlossen.

accserv.book Seite 31 Dienstag, 13. Juni 2000 11:52 11

Dienst des ISDN Access Servers beenden und neu starten

32 ISDN Access Server – 2 Installation und erste Schritte

Dienst des ISDN Access Servers beenden und neu star-

ten

Damit z.B. Konfigurationsänderungen wirksam werden, muss nicht der

Windows 2000/NT-Rechner neu gestartet werden. Sie brauchen nur

den Dienst des ISDN Access Servers in Windows 2000/NT zu beenden

und erneut zu starten. Der Dienst hat die Bezeichnung „ISDN Access

Server“. Der Neustart des Dienstes kann direkt über die HTML-Oberflä-

che geschehen.

Im Menüpunkt „Serverstatus“ („Monitor“) können Sie jederzeit über-

prüfen, ob Konfigurationsänderungen existieren, die noch nicht wirk-

sam sind.

Klicken Sie auf der Startseite des ISDN Access Servers oder in der obe-

ren Navigationsleiste auf den Punkt „Spezielles“. Wählen Sie dann im

linken Rahmen den Punkt „Dienste-Neustart“ an. Klicken Sie zum Neu-

start im rechten Rahmen auf die Schaltfläche „Dienst neu“ starten.

2.5 Deinstallation

Zur Deinstallation des ISDN Access Servers gehen Sie wie folgt vor:

Windows 2000

1. Rufen Sie im Startmenü von Windows 2000 den Punkt „Einstel-

lungen / Systemsteuerung“ auf.

2. Doppelklicken Sie auf „Software“.

3. Aktivieren Sie im linken Fensterteil „Programme ändern oder ent-

fernen“ und markieren Sie dann im rechten Fensterteil den Ein-

trag „AVM ISDN Access Server“ und klicken Sie auf die Schaltflä-

che „Ändern/Entfernen“.

Es wird kein Bestätigungsdialog eingeblendet!

4. Der ISDN Access Server wird nun entfernt.

Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst

von anderen Programmen wie Network Distributed ISDN for Win-

dows 2000 von AVM nicht mehr verwendet werden kann. Um den

WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrie-

ben vor und markieren Sie den entsprechenden Eintrag, bevor Sie

auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken.

accserv.book Seite 32 Dienstag, 13. Juni 2000 11:52 11

Deinstallation

ISDN Access Server – 2 Installation und erste Schritte 33

5. Starten Sie Windows 2000 neu. Mit dem Neustart ist die Deinstal-

lation abgeschlossen.

Windows NT

1. Rufen Sie im Startmenü von Windows NT den Punkt „Einstellun-

gen / Systemsteuerung“ auf.

2. Doppelklicken Sie auf „Software“.

3. Markieren Sie im unteren Fenster den Eintrag „AVM ISDN Access

Server“ und klicken Sie auf die Schaltfläche „Hinzufügen/Entfer-

nen...“

4. Der ISDN Access Server wird nun entfernt.

Der WebServer wird in diesem Fall nicht deinstalliert, da er sonst

von anderen Programmen wie Network Distributed ISDN for Win-

dows 2000 von AVM nicht mehr verwendet werden kann. Um den

WebServer ebenfalls zu entfernen, gehen Sie wie oben beschrie-

ben vor und markieren Sie den entsprechenden Eintrag, bevor Sie

auf die Schaltfläche „Hinzufügen/Entfernen...“ klicken.

5. Starten Sie Windows NT neu. Mit dem Neustart ist die Deinstallati-

on abgeschlossen.

accserv.book Seite 33 Dienstag, 13. Juni 2000 11:52 11

34 ISDN Access Server

accserv.book Seite 34 Dienstag, 13. Juni 2000 11:52 11

Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 35

3 Grundlagen zur Konfiguration und

Funktionsweise des ISDN Access

Servers

In diesem Kapitel erhalten Sie allgemeine Hinweise zur Konfiguration

sowie ausführliche Hintergrundinformationen zur Funktionsweise des

ISDN Access Servers. Dabei werden wichtige Aspekten wie Benutzer-

verwaltung, Zugriffsschutz, Kostenbegrenzung usw. behandelt.

3.1 Globale Einstellungen vornehmen

Nehmen Sie nach der Installation des ISDN Access Servers zunächst

die globalen Einstellungen für den Betrieb und die Benutzerverwaltung

vor. Dazu stehen Ihnen entsprechende Funktionen im Menü „Konfigu-

ration“ zur Verfügung.

Allgemeine Einstellungen

In den Server-Einstellungen definieren Sie unter Punkt „Allgemein“ die

Grundlagen für die Kostenberechnung. Außerdem haben Sie die Mög-

lichkeit, spezielle Netzwerkeinstellungen vorzunehmen.

Falls Sie das Netzwerkprotokoll IPX im LAN oder über ISDN verwenden

wollen, müssen Sie unter „Für IPX-Routing über ISDN“ die interne IPX-

Netzwerknummer des ISDN Access Server-Rechners eintragen. Die

Netzwerknummer darf im gesamten WAN nur einmal vergeben werden.

Sie wird bei der Installation des ISDN Access Servers aus der System-

steuerung von Windows 2000/NT abgefragt und hier als Standardvor-

gabe eingetragen. Haben Sie vorher in den Netzwerkeinstellungen von

Windows 2000/NT keine interne Netzwerknummer angegeben, genügt

es, wenn Sie sie an dieser Stelle in der ISDN Access Server-Konfigurati-

on eintragen. In diesem Falle muss Windows 2000/NT anschließend

neu gestartet werden, damit die Netzwerknummer in die Systemein-

stellungen übernommen werden kann.

Besteht Ihr lokales Netz aus mehreren Teilnetzen, und in einem oder

mehreren IP-Teilnetzen wird kein RIP verwendet, kann das Eintragen

weiterer lokaler IP-Routen erforderlich sein. Bestimmte Adressen in an-

deren Segmenten sind dann nur über weitere Router erreichbar, die

hier als „Nächster Hop“ eingetragen werden.

accserv.book Seite 35 Dienstag, 13. Juni 2000 11:52 11

Einstellungen für ISDN-Controller

36 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

Einstellungen für ISDN-Controller

Wenn Sie den Menüpunkt „ISDN-Controller“ wählen, werden direkt

nach der Installation zunächst die Einstellungen des ISDN-Controllers 1

angezeigt. Die ISDN-Controller werden entsprechend der Controller-

Nummer verwaltet, die sie bei der Installation der Treibersoftware

(CAPI) erhalten.

Der ISDN-Controller 1 wird bei der Installation des ISDN Access Servers

standardmäßig als benutzt eingetragen und für den Betrieb an einem

Mehrgeräteanschluss konfiguriert. Sie können nun neue ISDN-Control-

ler hinzufügen und die Standardeinstellungen des Controllers 1 än-

dern.

Zuerst legen Sie fest, ob der ISDN-Controller benutzt werden soll. Ge-

ben Sie an, ob der ISDN-Controller an eine Nebenstellenanlage ange-

schlossen ist. Ist dies der Fall, tragen Sie die erforderlichen Angaben

wie die Amtsholung und die Mindestlänge externer Rufnummern ein.

Haben Sie eine andere CAPI-Anwendung von AVM (z.B. Network Distri-

buted ISDN for Windows 2000 oder FRITZ!), die auf demselben ISDN-

Controller läuft, bereits für den Betrieb an einer Nebenstelle konfigu-

riert, werden die entsprechenden Einstellungen aus der Windows

2000/NT-Registrierung ausgelesen und auch für den ISDN Access Ser-

ver verwendet.

Außerdem können Sie angeben, ob der ISDN-Controller an einem

Mehrgeräteanschluss (Punkt-zu-Mehrpunkt = Standardeinstellung) an-

geschlossen ist, für eine Festverbindung verwendet wird oder sich an

einem Anlagenanschluss (Punkt-zu-Punkt) befindet. Wenn Sie die Ein-

stellung „Festverbindung“ anklicken, müssen Sie aus der nebenste-

henden Liste die Art der Festverbindung auswählen. Neben den Be-

zeichnungen der Deutschen Telekom AG enthält die Liste auch techni-

sche Angaben zur Bandbreite der Verbindung, einschließlich der Ver-

wendung des D-Kanals.

Haben Sie neben dem ISDN Access Server weitere CAPI-Anwendungen

auf dem Rechner installiert oder an den gleichen S

-Bus angeschaltet,

sollten Sie für die Annahme eingehender Anrufe Mehrfachrufnummern

oder DDI vergeben. Nur so können Anrufe mit der Dienstekennung „Da-

ten“ eindeutig zugeordnet werden.

Die einzelnen B-Kanäle des ISDN-Anschlusses können Sie im letzten

Punkt der ISDN-Controller-Einstellungen als „benutzt/nicht benutzt“

eintragen oder für die Produkte der „ISDN Services for Windows 2000“

sowie für bestimmte Benutzer reservieren. So ist es z.B. möglich, den

accserv.book Seite 36 Dienstag, 13. Juni 2000 11:52 11

Schwellenwerte

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 37

ersten B-Kanal eines ISDN-Anschlusses dem NT/MPRI zuzuordnen, der

auf demselben Rechner wie der ISDN Access Server installiert ist. Wol-

len Sie, dass bestimmte Benutzer immer Zugriff auf Ihr LAN haben,

können Sie für diese einen B-Kanal reservieren. Aktivieren Sie in die-

sem Fall die Einstellung „Reserviert für“ und wählen einen Benutzer

aus der Liste aus.

Beachten Sie dabei aber, dass Sie die Controller nicht exklusiv für die

„ISDN Services for Windows 2000“ belegen können. Die Controller

können trotzdem genauso von anderen CAPI-Anwendungen wie z.B.

FRITZ! verwendet werden.

Die B-Kanäle werden erst aufgeführt, nachdem Sie die anderen Einstel-

lungen zu diesem ISDN-Controller gespeichert haben.

Schwellenwerte

Unter dem Punkt „Schwellenwerte“ legen Sie globale Obergrenzen für

ISDN-Gebühren (Budget), die physikalische Verbindungsdauer und die

Anzahl ausgehender Rufe einschl. fehlgeschlagene Versuche und Sig-

nalisierung im D-Kanal fest. Die hier festgelegten Obergrenzen gelten

für alle ausgehenden Wählverbindungen des ISDN Access Servers und

sollen unerwartete ISDN-Verbindungskosten vermeiden. Wird einer der

globalen Schwellenwerte überschritten, baut der ISDN Access Server

bestehende ausgehende physikalische Verbindungen ab und blockiert

alle weiteren ausgehenden Verbindungen.

Weitere Informationen zu den Schwellenwerten finden Sie in „Globale

Schwellenwerte“ auf Seite 53.

3.2 Einrichten und Verwalten von Benutzern

Nach Installation des ISDN Access Servers wird zuerst grundsätzlich

festgelegt, wie die Benutzer, die sich über ISDN in das LAN einwählen,

verwaltet werden.

Grundeinstellungen zur Benutzerverwaltung

Rufen Sie in den Server-Einstellungen den Menüpunkt „Benutzerver-

waltung“ auf, um grundsätzliche Einstellungen zur Benutzerverwaltung

vorzunehmen. Die Benutzer werden intern, d.h. in der ISDN Access Ser-

ver-Datenbank NTR.MDB, oder extern verwaltet. Für die externe Verwal-

tung und Echtheitsbestätigung können Sie den Benutzer-Manager von

Windows oder einen RADIUS-Server verwenden.

accserv.book Seite 37 Dienstag, 13. Juni 2000 11:52 11

Zusätzliche Einstellungen für extern verwaltete Benutzer

38 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

In dem Fenster „Benutzerverwaltung“ legen Sie auch fest, ob und in

welcher Form für extern verwaltete Benutzer Kosten-/Nutzungsdaten

gespeichert werden. Dies kann in der Datenbank NTREACT.MDB des

ISDN Access Servers oder über einen RADIUS-Accounting-Server erfol-

gen. Außerdem können für extern verwaltete Benutzer Budgetdaten in

einer ISDN Access Server-Datenbank (NTREBUD.MDB) abgelegt wer-

den.

Weitere Hinweise zu den Kosten-/Nutzungsdaten und Budgetinformati-

onen finden Sie in „Verbindungssteuerung, Management- und Moni-

torfunktionen“ auf Seite 65.

Zusätzliche Einstellungen für extern verwaltete Benut-

zer

Da im Benutzer-Manager von Windows oder in einem RADIUS-Server

keine spezifischen Parameter für den Zugriff entfernter Benutzer über

ISDN festgelegt werden können, bietet der ISDN Access Server zwei

Möglichkeiten für die Eingabe solcher Parameter für extern verwaltete

Benutzer: Benutzergruppen und Einstellungen für Windows-Benutzer.

Um Ihren Konfigurationsaufwand für die extern verwalteten Benutzer

zu verringern, sollten Sie die vorgegebenen Standard-Einstellungen

und die Standard-Benutzergruppe verwenden. Diese Standardvorga-

ben werden auf alle Benutzer angewendet, für die es keine separaten

Einstellungen gibt.

Zusätzliche Einstellungen für Windows-Benutzer

Wenn Sie für Ihre Benutzerverwaltung den Benutzer-Manager von Win-

dows verwenden, gehen Sie folgendermaßen vor:

l Im Menü „Konfiguration / Benutzerverwaltung / Benutzergrup-

pen“ befindet sich der Eintrag „Standard“. Ändern Sie die Vorga-

ben in dieser Benutzergruppe entsprechend den Anforderungen

in Ihrem WAN (z.B. Budget, Kostenübernahme und Zeitprofil). Sie

können auch neue Benutzergruppen anlegen.

l Wechseln Sie nun in das Menü „Windows-Benutzer“ und bearbei-

ten den Eintrag „Standard-Einstellungen“. Wählen Sie in diesen

Standard-Einstellungen die eben konfigurierte Benutzergruppe

aus, damit die Einstellungen in der Benutzergruppe standardmä-

ßig für alle Windows-Benutzer gelten. Geben Sie hier das Pass-

wort an, das bei der Echtheitsbestätigung auf der lokalen Seite

verwendet werden soll.

accserv.book Seite 38 Dienstag, 13. Juni 2000 11:52 11

Zusätzliche Einstellungen für extern verwaltete Benutzer

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 39

Nun gelten für alle Windows-Benutzer dieselben Parameter für

den Fernzugriff. Um z.B. verschiedene Passwörter für die Echt-

heitsbestätigung auf lokaler Seite zu vergeben, fügen Sie im Me-

nü „Windows-Benutzer“ die Benutzer zusätzlich hinzu, für die an-

dere Einstellungen gelten sollen.

Sie haben auch die Möglichkeit, die im Benutzer-Manager festgeleg-

ten Passwörter zu verwenden. Aktivieren Sie dazu die entsprechende

Option im Menü „Konfiguration / Benutzerverwaltung / Allgemein“.

Bei Benutzern, für die es keinen gesonderten Eintrag unter „Windows-

Benutzer“ gibt, werden die Standard-Einstellungen verwendet. Dabei

haben die Parameter der Standard-Einstellungen Vorrang vor den Ein-

stellungen in der Benutzergruppe. Nur wenn ein Parameter in den Stan-

dard-Einstellungen nicht definiert ist, z.B. die IP-Adressvergabe, greift

der ISDN Access Server auf die Einstellungen der zugeordneten Be-

nutzergruppe zurück. Der ISDN Access Server wendet die Einstellungen

also in der folgenden Reihenfolge an:

1. Windows-Benutzer

2. Aktive Standard-Einstellungen (Menüpunkt „Windows-Benutzer“)

3. Einstellungen der zugeordneten Benutzergruppe oder der Benutz-

ergruppe „Standard“.

Zusätzliche Einstellungen für RADIUS-Benutzer

Zusätzliche Parameter für den Fernzugriff von RADIUS-Benutzern wer-

den in Benutzergruppen gespeichert. Die Zuordnung der einzelnen Be-

nutzer zur Benutzergruppe wird im RADIUS-Server durchgeführt. Erfolgt

dort keine Zuweisung einer Benutzergruppe, werden die Einstellungen

der Gruppe „Standard“ verwendet.

Um den Konfigurationsaufwand zu verringern, passen Sie zuerst die

Einstellungen der Benutzergruppe „Standard“ an die Gegebenheiten in

Ihrem WAN an („Konfiguration / Benutzerverwaltung / Benutzergrup-

pen“). Diese Einstellungen werden für alle RADIUS-Benutzer verwen-

det, denen keine Benutzergruppe zugewiesen wurde.

Um für einige RADIUS-Benutzer abweichende Einstellungen zu definie-

ren, fügen Sie weitere Benutzergruppen hinzu.

Weitere Informationen zur RADIUS-Benutzerverwaltung finden Sie im

Readme und in der Online-Hilfe.

accserv.book Seite 39 Dienstag, 13. Juni 2000 11:52 11

Dynamische Vergabe von IP- und IPX-Adressen für Benutzer

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 41

Reservierung von B-Kanälen für bestimmte Benutzer, z.B. den

Systemverwalter, in den Einstellungen der ISDN-Controller („Kon-

figuration / Server-Einstellungen / ISDN-Controller“). Diese B-Ka-

näle werden dann aus dem Pool von Kanälen herausgenommen.

l Zuweisen einer Priorität in den Benutzereinstellungen (hoch, mit-

tel, niedrig). So wird sichergestellt, dass Benutzer mit hoher Prio-

rität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der An-

wahl eines solchen Benutzers alle B-Kanäle belegt, wird die Ver-

bindung zu einem Benutzer mit niedrigerer Priorität abgebaut.

Um den zeitlichen Zugriff der Benutzer auf das LAN zu regeln, definie-

ren Sie Zeitprofile (Menü „Spezielles“) und ordnen diese dann einzel-

nen Benutzern oder Benutzergruppen zu. So können Sie z.B. ein Zeit-

profil einrichten, das den Zugriff auf Montag bis Freitag und die Ge-

schäftszeiten beschränkt. Dieses Profil wird nun allen Außendienstmit-

arbeitern zugeordnet. Ein Zugriff außerhalb der festgelegten Zeiten ist

nicht möglich.

Dynamische Vergabe von IP- und IPX-Adressen für Be-

nutzer

In den Server-Einstellungen können Sie mit Hilfe der Menüpunkte „IP-

Adressvergabe“ und „IPX-Adressvergabe“ Adressbereiche definieren,

aus denen Benutzer bei der Anwahl eine IP- bzw. IPX-Adresse erhalten.

In den Einstellungen der einzelnen Benutzer (für intern verwaltete Be-

nutzer) bzw. der Benutzergruppe/der Windows-Benutzer (für extern

verwaltete Benutzer) legen Sie dann fest, ob diese Benutzer aus den

definierten Adressbereichen statische IP-, bzw. IPX-Adresse erhalten

oder dynamisch eine Adresse zugewiesen bekommen.

Für die IP-Adressvergabe müssen komplette Subnetze oder einzelne

IP-Adressen als Adressbereich angegeben werden (siehe „TCP/IP-

Adressen“ auf Seite 121 und „Subnetzmasken (Masken)“ auf

Seite 118). Tragen Sie das komplette Subnetz mit seiner Start- und End-

adresse und der entsprechenden Bit-Maske unter dem Menüpunkt „IP-

Adressvergabe“ ein („Konfiguration / Server-Einstellungen“). Der IP-

Adressbereich für die statische Zuordnung wird hier gesondert einge-

tragen.

Sie können ein eigenes IP-Netz für die Benutzer wählen, es können

aber auch Adressen aus dem LAN-Strang benutzt werden, in dem sich

der ISDN Access Server selbst befindet. Dabei muss darauf geachtet

werden, dass nur IP-Adressen und/oder IP-Adressbereiche im ISDN Ac-

cess Server konfiguriert werden, die im LAN-Strang nicht verwendet

accserv.book Seite 41 Dienstag, 13. Juni 2000 11:52 11

Behandlung einkommender Rufe

42 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

werden. Auch für diese Adressbereiche gilt, dass sie zusammen ein

komplettes gültiges Subnetz bilden müssen. Eine Alternative hierzu ist

der Eintrag einzelner IP-Adressen.

3.3 Behandlung einkommender Rufe

Der ISDN Access Server nimmt prinzipiell nur Anrufe von Benutzern

entgegen, die „bekannt“ sind, für die es also interne Benutzereinstel-

lungen gibt oder die über den Benutzer-Manager von Windows bzw. ei-

nen RADIUS-Server identifiziert werden. Anrufe von unbekannten Teil-

nehmern werden abgelehnt.

Um einem einkommenden Ruf eine lokale Benutzerkonfiguration zu-

ordnen zu können, benutzt der ISDN Access Server eine der beiden fol-

genden Informationen:

l die D-Kanal-Rufnummer (CLI = Calling Line Identification).

Dazu muss erst einmal sichergestellt sein, dass die Rufnummer

über den D-Kanal übermittelt wird. Dies können Sie bei Ihrem

ISDN-Anbieter beantragen. Außerdem muss die D-Kanal-Rufnum-

mer den Benutzereinstellungen zugeordnet werden. Das ge-

schieht wie folgt: entweder wird sie direkt in die Benutzereinstel-

lungen eingetragen (unter dem Parameter „D-Kanal-Rufnummer

(CLI) für Zuordnung einkommender Rufe“) oder sie wird bei der

Einstellung der Rufnummernüberprüfung eingetragen („Konfigu-

ration / Sicherheit / Rufnummernüberprüfung / Zur Einwahl be-

rechtigte Rufnummern“).

Zwingend erforderlich ist die Nutzung der D-Kanal-Rufnummer zur

Zuordnung immer dann, wenn in einer Benutzerkonfiguration die

Kostenübernahme durch die lokale Seite oder der Sicherheits-

rückruf aktiviert wurde.

Es ist möglich, dass Benutzer unterschiedliche ISDN-Anschlüsse

zur Einwahl verwenden, da sie z.B. mal von zu Hause, mal von der

Firmenniederlassung oder von unterwegs anrufen. Lassen Sie

sich alle D-Kanal-Rufnummern vom Benutzer mitteilen und tragen

Sie diese im ISDN Access Server ein („ISDN-Einstellungen“ in der

Benutzerkonfiguration).

l Angaben für die Echtheitsbestätigung über PAP oder CHAP, die die

Gegenstelle bei entsprechender lokaler Konfiguration beim Ver-

bindungsaufbau über den ISDN-B-Kanal übermitteln muss.

accserv.book Seite 42 Dienstag, 13. Juni 2000 11:52 11

Echtheitsbestätigung mit PAP oder CHAP

44 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

Bei einem eingehenden Ruf wird nun geprüft, ob die im D-Kanal über-

mittelte Rufnummer in der Rufnummerndatenbank gespeichert ist. Ist

dies der Fall, wird der einkommende Ruf erst einmal angenommen. An-

schließend können weitere Sicherheitsmechanismen greifen.

Echtheitsbestätigung mit PAP oder CHAP

Für jeden intern verwalteten Benutzer, jede Benutzergruppe und jeden

Windows-Benutzer kann in den Einstellungen festgelegt werden, dass

sich die Gegenstelle beim ISDN Access Server identifizieren muss

(„Echtheitsbestätigung auf lokaler Seite“). Hierfür stehen die Verfahren

PAP (nach RFC 1994) und CHAP (nach RFC 1334) zur Verfügung. Beide

Verfahren erfordern die Konfiguration eines Namens und eines Pass-

worts.

Genaue Informationen zu PAP und CHAP finden Sie in der Online-Hilfe

und im Glossar.

Bei intern verwalteten Benutzern wird die Echtheitsbestätigung durch

den ISDN Access Server durchgeführt. Bei extern verwalteten Benut-

zern erfolgt dies mit Hilfe des Benutzer-Managers von Windows oder

eines RADIUS-Servers.

Falls der entfernte Benutzer eine Echtheitsbestätigung des Netzwerkes

verlangt (dies ist z.B. mit NetWAYS/ISDN möglich), können Sie dafür

den Namen und das Passwort eingeben, die Ihnen die Gegenseite mit-

geteilt hat („Echtheitsbestätigung bei der Gegenstelle“).

Die Echtheitsbestätigung dient auch der Identifizierung des Benutzers,

wenn die Überprüfung der D-Kanal-Rufnummer (CLI) nicht aktiviert ist.

Sicherheitsrückruf

Um die Zugriffssicherheit auf das LAN weiter zu erhöhen, kann für je-

den Benutzer ein Sicherheitsrückruf nach LCP Extensions (RFC 1570)

oder RFC-Draft „PPP Callback Control Protocol“ erzwungen werden.

Dies wird in den Einstellungen des Benutzers oder der Benutzergruppe

festgelegt.

Der Rückruf erfolgt nach der Rufannahme und einer eventuellen

PAP/CHAP-Echtheitsbestätigung. Für den Sicherheitsrückruf wird die

Rufnummer verwendet, die Sie in den Benutzereinstellungen (intern

verwaltete Benutzer), in den Einstellungen des jeweiligen Windows-Be-

nutzers oder im RADIUS-Server eingetragen haben. Bei Windows-Be-

nutzern, die nicht über „Konfiguration / Benutzerverwaltung / Win-

dows-Benutzer“ eingetragen sind, ist kein Sicherheitsrückruf möglich.

accserv.book Seite 44 Dienstag, 13. Juni 2000 11:52 11

Filter

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 47

Forward-Filter: Überprüfung alle Pakete, die im ISDN Access Ser-

ver von einem auf ein anderes Netz weitergeleitet werden (z.B.

vom LAN auf eines der Zielnetze oder von einem Zielnetz auf ein

anderes).

Beispiel: Sie haben den globalen Input- und den globalen Output-Filter

definiert und keinen Forward-Filter. Erreicht ein Paket, dessen Ziel im

LAN liegt, über ISDN den ISDN Access Server, durchläuft es den globa-

len Input-Filter und sofort danach, sofern es hier durchgelassen wurde,

den globalen Output-Filter. Hätten Sie einen Forward-Filter gesetzt,

würde das Paket vom globalen Input-Filter zunächst an den Forward-

Filter weitergeleitet und würde erst danach den globalen Output-Filter

durchlaufen.

Filter und Regeln: Globaler Input-Filter, Output-Filter und Forward-Filter

bestehen aus folgenden Komponenten:

1. Einer geordneten Abfolge von Regeln. Eine Regel besteht immer

aus einer Beschreibung des Pakettyps, für den die Regel gelten

soll, und einer Aktion, die auf das Paket angewendet werden soll.

Die Beschreibung des Pakettyps geschieht anhand von 3 Kriteri-

en:

– Dienst - hier können alle IP-Dienste, nur bestimmte Dienste,

z.B. ftp, telnet, oder nur bestimmte Handlungen, z.B. ftp-Zu-

griff aus dem Internet in das LAN, als Kriterium festgelegt wer-

den.

– Quelle des Pakets - als Quelle des Pakets kann ein bestimmtes

Netzwerk oder eine konkrete Station festgelegt werden.

– Ziel des Pakets - hier gilt das gleiche wie für die Quelle.

2. Einer Standard-Aktion, die auf alle Pakete angewendet wird, für

die beim Durchlaufen aller Regeln des Profils keine anwendbare

gefunden wurde.

Für die Aktion gibt es drei Möglichkeiten:

Durchlassen: Das Paket wird an die im Header angegebene Ziel-

adresse gesendet oder dem nächsten Filter übergeben.

Verwerfen: Das Paket wird nicht weitergeleitet.

Zurückweisen: Das Paket wird nicht weitergeleitet. An die Quell-

adresse wird die Fehlermeldung

„Destination not reachable“ ge-

sendet.

accserv.book Seite 47 Dienstag, 13. Juni 2000 11:52 11

Filter

48 ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers

3. Einer Anweisung für die Protokollierung der Pakete, die von dieser

Regel behandelt wurden. Dies dient vor allem dazu, „Einbruchs-

versuche“ in das LAN festzuhalten und gegebenenfalls die Spur

zum Verursacher zurückzuverfolgen.

Jedes Paket durchläuft die Regeln von der ersten bis zur letzten, bis es

auf die erste anwendbare Regel trifft und entsprechend der Aktion die-

ser Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“

oder „Zurückweisen“, ist das Filtern für dieses Paket beendet.

Wurde keine passende Regel für ein Paket gefunden und heißt die

Standard-Aktion „Durchlassen“, wird das Paket der nächsten zuständi-

gen Filterinstanz übergeben.

Beachten Sie also beim Erstellen eines Filters diese beiden wichtigen

Aspekte:

l Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmte

Pakete und die Standard-Aktion für alle anderen).

l Die Reihenfolge der Regeln ist extrem wichtig! Es muss unbedingt

sichergestellt werden, dass eine Regel für ein Paket, die davor im

Profil steht, nicht allgemeiner gehalten ist als eine Regel danach.

Die Regel, die in der Hierarchie danach steht, würde sonst nie an-

gewendet werden. So können Sicherheitslücken entstehen oder

eigentlich erwünschte Zugriffsmöglichkeiten verhindert werden.

Als Grundprinzip bei der Anordnung der Regeln innerhalb eines

Filterprofils gilt: Minderheiten zuerst regeln.

Ein einfaches Beispiel: Sie wollen, dass von außerhalb des LANs nur

Benutzer A Zugriff auf den Rechner B im LAN erhält. Dazu formulieren

Sie im globalen Input-Filter die beiden folgenden Regeln:

l A darf auf den Rechner zugreifen. Die Regel lautet also: Pakete mit

allen Diensten, die von der IP-Adresse A kommen und an die IP-

Adresse von Rechner B adressiert sind, durchlassen.

l Keiner darf auf den Rechner zugreifen. Die Regel lautet also: Pake-

te mit allen Diensten, die von allen Adressen kommen und an die

IP-Adresse von Rechner B adressiert sind, verwerfen.

IPX RIP/SAP-Filter

Für das Protokoll IPX kann über RIP/SAP-Filterregeln der Zugriff auf be-

stimmte Routen und Netzwerkdienste reguliert werden. Die RIP/SAP-

Filter gelten global für den gesamten ISDN Access Server.

accserv.book Seite 48 Dienstag, 13. Juni 2000 11:52 11

Kosten verringern und begrenzen

ISDN Access Server – 3 Grundlagen zur Konfiguration und Funktionsweise des ISDN Access Servers 49

Das Protokoll RIP (Routing Information Protocol) ermöglicht den Aus-

tausch von Routing-Informationen. Mit dem Filtern dieser Pakete kann

der Zugriff auf bestimmte Routen und damit das LAN eingeschränkt

werden. Wird ein Teil der RIP-Pakete bereits auf dem Weg aus dem LAN

zum ISDN Access Server herausgefiltert (RIP-Input-Filter), können die

Informationen in der RIP-Tabelle des ISDN Access Servers auf das We-

sentliche beschränkt werden.

SAP (Service Advertising Protocol) wird von Servern zur Bekanntgabe

ihrer Dienste und Adressen in einem Netzwerk verwendet. Mit dem Fil-

tern von SAP-Paketen können Sie den Zugriff auf bestimmte Dienste,

z.B. Drucker oder Fileserver, einschränken. Wird ein Teil der SAP-Pakete

bereits auf dem Weg aus dem LAN zum ISDN Access Server herausgefil-

tert (SAP-Input-Filter), können die Informationen in der SAP-Tabelle des

ISDN Access Servers auf das Wesentliche beschränkt werden.

Jedes ein- und ausgehende IPX-Paket wird anhand der RIP/SAP-Filter

geprüft. Bei der Prüfung werden für jedes Paket die RIP/SAP-Filter nach

einer passenden Regel durchsucht.

Es gibt die folgenden Filter:

l RIP-Input-Filter - Filter für eingehende RIP-Pakete (vom LAN oder

einem Benutzer zum ISDN Access Server).

l RIP-Output-Filter - Filter für ausgehende RIP-Pakete (vom ISDN Ac-

cess Server zum LAN oder zu einem Benutzer).

l SAP-Input-Filter - Filter für eingehende SAP-Pakete (vom LAN oder

einem Benutzer zum ISDN Access Server).

l SAP-Output-Filter - Filter für ausgehende SAP-Pakete (vom ISDN

Access Server zum LAN oder zu einem Benutzer).

3.5 Kosten verringern und begrenzen

Der entscheidende Kostenfaktor für den professionellen Fernzugriff

sind in der Regel die ISDN-Verbindungsgebühren. Wenn sich die ent-

fernten Benutzer über Mobile ISDN (GSM) einwählen, sind diese Kos-

ten sogar in weit höherem Maße relevant. Aus diesem Grunde bietet

der ISDN Access Server for Windows 2000 eine Reihe von Funktionen,

mit denen Sie die ISDN-Verbindungskosten im Vergleich zu konventio-

nellen Fernzugriffslösungen beträchtlich verringern können. Sie kön-

nen außerdem Budgets einrichten, um vor unvorhergesehenen Kosten

sicher zu sein. Und nicht zuletzt unterstützt der ISDN Access Server Me-

accserv.book Seite 49 Dienstag, 13. Juni 2000 11:52 11

WINS-Server

ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 59

zugreifen soll. Dazu gehören mindestens alle entfernten Rechner und

der Domänen-Controller. Verwendet man die Namensauflösung per

LMHOSTS-Datei, können nur feste IP-Adressen verwendet werden.

Pro Zeile erfolgt der Eintrag für einen Rechner, beginnend mit der IP-

Adresse und dem Rechnernamen. Der Domänen-Controller wird, soweit

im Netz vorhanden, durch die Zeichenfolge #PRE #DOM:Name gekenn-

zeichnet. In dem Beispiel oben trägt der Domänen-Controller der Do-

mäne die Bezeichnung „Domain_IAS“.

Die LMHOSTS-Datei muss sich in folgenden Verzeichnissen befinden:

Windows 98/95: <Laufwerk>:\WINDOWS\

Windows 2000/NT: <Laufwerk>:\WINNT\SYSTEM32\DRIVERS\ETC\

In Windows 2000/NT muss zusätzlich in der TCP/IP-Konfiguration auf

der Registerkarte „WINS-Adresse“ die Option „LMHOSTS-Abfrage akti-

vieren“ eingeschaltet sein. In Windows NT rufen Sie hierzu „Start / Ein-

stellungen / Systemsteuerung / Protokolle / TCP/IP / Eigenschaften“

auf. In Windows 2000 müssen Sie in der entsprechenden Verbindung

unter „Start / Einstellungen / Systemsteuerung / Netzwerk- und DFÜ

Verbindungen“ die TCP/IP-Eigenschaften öffnen. Unter den erweiterten

TCP/IP-Eigenschaften finden Sie die WINS-Registerkarte.

Bei einer Namensanfrage durchsucht der Rechner die lokale LMHOSTS-

Datei, ob diesem Namen eine IP-Adresse zugeordnet werden kann.

WINS-Server

Die Nutzung eines WINS-Servers gewährleistet eine flexible Namen-

sauflösung im Microsoft-Netzwerk. Im Unterschied zur Namensauflö-

sung über LMHOSTS-Dateien oder einen DNS-Server können bei Nut-

zung eines WINS-Servers die Rechner mit dynamischen Adressen ar-

beiten.

Die Anmeldung bei einem WINS-Server erfolgt während des Anmelde-

vorgangs am Microsoft-Netzwerk mit der aktuellen IP-Adresse. Dazu ist

es lediglich erforderlich, auf dem ISDN Access Server die IP-Adresse

des WINS-Servers in den Netzwerkeinstellungen einzutragen. In der

Eine typische LMHOSTS-Datei sieht folgendermaßen aus:

192.168.30.4 NTREMOTE

192.168.30.5 W95REMOTE

193.96.242.20

IAS #PRE DOM:Domain_IAS

accserv.book Seite 59 Dienstag, 13. Juni 2000 11:52 11

DNS-Server

60 ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner

Netzwerkeinstellung des entfernten Rechners ist es nicht notwendig, in

der TCP/IP-Konfiguration auf der Registerkarte „WINS-Adresse“ einen

WINS-Server einzutragen. Die Adresse des WINS-Servers wird während

der PPP-Aushandlung vom ISDN Access Server an die entfernten Rech-

ner übermittelt. In Windows 98/95 muss zusätzlich die Option „DHCP

für WINS-Auflösung verwenden“ auf der Registerkarte „WINS-Konfigu-

ration“ aktiviert werden.

Eine Namensanfrage wird durch den Rechner an den WINS-Server ge-

schickt, der diesem Namen eine IP-Adresse zugeordnet und die zuge-

hörige IP-Adresse zurückschickt.

DNS-Server

Wenn eine Namensauflösung über LMHOSTS-Dateien oder WINS-Ser-

ver nicht möglich ist, kann auch ein DNS-Server (DNS = Domain Name

System) verwendet werden, um eine Namensauflösung innerhalb ei-

nes Microsoft-Netzwerkes zu realisieren. Da DNS-Server schwierig zu

konfigurieren sind und nicht mit dynamischer IP-Adresszuweisung ge-

arbeitet werden kann, wird von der Nutzung eines DNS-Servers zur Na-

mensauflösung innerhalb eines Microsoft-Netzwerkes abgeraten. Die

DNS-Server werden ebenfalls im Rahmen der PPP-Aushandlung vom

ISDN Access Server an die entfernten Rechner übermittelt, müssen dort

also nicht statisch, sondern lediglich in den Netzwerkeinstellungen

des ISDN Access Servers konfiguriert werden.

Windows 98/95

Aktivieren Sie in Windows 98/95 den DNS-Server auf der Registerkarte

„DNS“ („Start / Einstellungen / Systemsteuerung / Netzwerk / TCP/IP /

Eigenschaften“).

Windows NT

Aktivieren Sie in Windows NT auf der Registerkarte „WINS-Adresse“

(„Start / Einstellungen / Systemsteuerung / Netzwerk / Protokolle /

TCP/IP / Eigenschaften“) die Option „DNS für Windows-Auflösung akti-

vieren“.

Eine Namensanfrage wird durch den Rechner an den DNS-Server ge-

schickt, der diesem Namen eine IP-Adresse zugeordnet und die zuge-

hörige IP-Adresse zurückschickt. Für eine Anmeldung an eine Win-

dows-Domäne müssen auf der Registerkarte „DNS“ außerdem der Na-

me der Domäne und das Domänensuffix in der „Suchreihenfolge für

Domänensuffix“ eingetragen werden.

accserv.book Seite 60 Dienstag, 13. Juni 2000 11:52 11

Anbindung an ein Microsoft-Netzwerk

ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 61

4.3 Anbindung an ein Microsoft-Netzwerk

Es gibt zwei Möglichkeiten der Anbindung von Rechnern an ein Micro-

soft-Netzwerk: Arbeiten in einer Arbeitsgruppe und Arbeiten in einer

Domäne.

Arbeiten in einer Arbeitsgruppe

Das Netzwerkkonzept „Arbeitsgruppe“ ist die einfachste Methode, um

Ressourcen innerhalb eines Microsoft-Netzwerkes nutzen zu können.

Im Gegensatz zur Windows-Domäne verfügen Arbeitsgruppen nicht

über eine zentrale Sicherheitskontrolle. Somit werden die Sicherheits-

merkmale von Windows 2000/NT nicht voll ausgeschöpft.

Voraussetzung für die Anmeldung bei einer Arbeitsgruppe ist die ein-

deutige Zuordnung der Rechnernamen zu den IP-Adressen.

Anbindung an ein NT-Netzwerk über eine Arbeitsgruppe

Windows 98/95

Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Sys-

temsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den

Computernamen und den Namen der Arbeitsgruppe ein.

Zusätzlich muss in den Eigenschaften des „Clients für Microsoft-Netz-

werke“ („Start / Einstellungen / Systemsteuerung / Netzwerk / Konfi-

guration“) auf der Registerkarte „Allgemein“ die Option „An Windows -

Domäne anmelden“ deaktiviert sein.

Arbeitsgruppe

Anmeldung erfolgt per Echtheits-

bestätigung innerhalb der Arbeitsgruppe

Server mit ISDN Access Server

ISDN

Entfernter Benutzer

Anmeldung erfolgt per Echtheitsbestätigung

innerhalb der Arbeitsgruppe

Server für die

Namensauflösung

DNS-Server oder WINS-Server

accserv.book Seite 61 Dienstag, 13. Juni 2000 11:52 11

Arbeiten in einer Windows NT-Domäne

62 ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner

Windows NT

Tragen Sie in den Netzwerkeinstellungen („Start / Einstellungen / Sys-

temsteuerung / Netzwerk“) auf der Registerkarte „Identifikation“ den

Namen der Arbeitsgruppe ein.

Windows 2000

Öffnen Sie unter den allgemeinen Systemeinstellungen („Start / Ein-

stellungen / Systemsteuerung / System“) auf der Registerkarte „Netz-

werkidentifikation“ die Eigenschaften und geben hier den Namen der

Arbeitsgruppe ein.

Arbeiten in einer Windows NT-Domäne

Um alle Sicherheitsaspekte eines Microsoft-Netzwerkes optimal nut-

zen zu können, sollten sich die Benutzer an einer Windows-Domäne

anmelden. Damit können die Rechte für einen Zugriff auf Ressourcen

im LAN sehr einfach und flexibel von dem Administrator der Domäne

verwaltet und vergeben werden.

Anbindung an ein NT-Netzwerk über einen Domänen-Controller

Für das Anmelden bei einer Domäne muss zuerst eine eindeutige Zu-

ordnung der Rechnernamen zu den IP-Adressen erfolgen. Dazu sollte

eine der drei oben beschriebenen Methoden benutzt werden. Für klei-

nere Netze, die sich wenig verändern, ist die LMHOSTS-Datei gut geeig-

net. Bei größeren Netzen sollte ein WINS-Server verwendet werden.

Server mit ISDN Access Server

Entfernter Benutzer

Anmeldung erfolgt per Echtheitsbestätigung

am Domänen-Controller

Server für die

Namensauflösung

DNS-Server oder WINS-Server

Domänen-

Controller

Lokale Benutzer im Netzwerk

Anmeldung erfolgt per Echtheitsbestätigung

am Domänen-Controller

ISDN

accserv.book Seite 62 Dienstag, 13. Juni 2000 11:52 11

Arbeiten in einer Windows NT-Domäne

ISDN Access Server – 4 Konfigurationshinweise für den entfernten Rechner 63

Windows 98/95

Auf der Registerkarte „Identifikation“ („Start / Einstellungen / System-

steuerung / Netzwerk“) muss unter „Arbeitsgruppe“ der Name der Win-

dows NT-Domäne angegeben werden. Außerdem muss in den Eigen-

schaften des „Clients für Microsoft-Netzwerke“ unter Anmeldebestäti-

gung „An Windows NT-Domäne anmelden“ ausgewählt und ebenfalls

der Name der Windows NT-Domäne eingetragen werden.

Windows NT

Der Rechner muss initial einmal bei der Domäne angemeldet werden.

Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine

Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver

Verbindung wird in den Netzwerkeinstellungen auf der Registerkarte

„Identifikation“ („Start / Einstellungen / Systemsteuerung / Netz-

werk“) eingetragen, zu welcher Domäne der Rechner gehören soll. Um

ein Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Admi-

nistratorrechte verfügen.

Windows 2000

Der Rechner muss initial einmal bei der Domäne angemeldet werden.

Außerdem wird ein Konto für den Rechner benötigt. Dazu muss eine

Verbindung zu dem ISDN Access Server aufgebaut werden. Bei aktiver

Verbindung wird in den Eigenschaften auf der Registerkarte „Netzwer-

kidentifikation“ („Start / Einstellungen / Systemsteuerung / System“)

eingetragen, zu welcher Domäne der Rechner gehören soll. Um ein

Rechnerkonto in einer Domäne zu erstellen, müssen Sie über Adminis-

tratorrechte verfügen.

accserv.book Seite 63 Dienstag, 13. Juni 2000 11:52 11

64 ISDN Access Server

accserv.book Seite 64 Dienstag, 13. Juni 2000 11:52 11

Report abuse

Libble takes abuse of its services very seriously. We're committed to dealing with such abuse according to the laws in your country of residence. When you submit a report, we'll investigate it and take the appropriate action. We'll get back to you only if we require additional details or have more information to share.

Product:

Forumrules

To achieve meaningful questions, we apply the following rules:

First, read the manual;
Check if your question has been asked previously;
Try to ask your question as clearly as possible;
Did you already try to solve the problem? Please mention this;
Is your problem solved by a visitor then let him/her know in this forum;
To give a response to a question or answer, do not use this form but click on the button 'reply to this question';
Your question will be posted here and emailed to our subscribers. Therefore, avoid filling in personal details.

new questions and answers
new manuals

You will receive an email to register for one or both of the options.

Get your user manual by e-mail

Enter your email address to receive the manual of AVM ISDN Access Server for Windows 2000 in the language / languages: German as an attachment in your email.

The manual is 3,34 mb in size.

You will receive the manual in your email within minutes. If you have not received an email, then probably have entered the wrong email address or your mailbox is too full. In addition, it may be that your ISP may have a maximum size for emails to receive.

The manual is sent by email. Check your email

If you have not received an email with the manual within fifteen minutes, it may be that you have a entered a wrong email address or that your ISP has set a maximum size to receive email that is smaller than the size of the manual.

The email address you have provided is not correct.

Please check the email address and correct it.

Your question is posted on this page

Would you like to receive an email when new answers and questions are posted? Please enter your email address.

Info

AVM ISDN Access Server for Windows 2000 Manual

Product: