Auswahl zwischen Unicast und subnetzgesteuerten Broadcasts für Wake-On-LAN

Artikel
12/19/2014

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Bei der Auswahl der Übertragungsmethode zum Senden von Reaktivierungspaketen sind die Vor- und Nachteile jeder Methode bezüglich der jeweiligen Unternehmensanforderungen zu berücksichtigen. In der folgenden Tabelle werden die Vor- und Nachteile beider Methoden angegeben. Damit können Sie bestimmen, welche Übertragungsmethode Sie verwenden möchten.

Übertragungsmethode	Vorteil	Nachteil
Unicast	Diese Lösung bietet mehr Sicherheit als subnetzgesteuerte Broadcasts, weil das Paket nicht an alle Computer in einem Subnetz, sondern direkt an einen Computer gesendet wird. Erfordert keine Neukonfiguration der Router. Belegt weniger Netzwerkbandbreite als subnetzgesteuerte Broadcasts. Unterstützt mit IPv4 und IPv6.	Reaktivierungspakete finden Bereitstellungszielcomputer nicht, deren Subnetzadresse seit der letzten geplanten Hardwareinventur geändert wurde. Es müssen möglicherweise Switches zum Weiterleiten der UDP-Pakete konfiguriert werden. Manche Netzwerkadapter reagieren möglicherweise nicht in allen Ruhezuständen auf Reaktivierungspakete, wenn als Übertragungsmethode Unicast verwendet wird.
Subnetzgesteuerte Broadcasts	Höhere Erfolgsrate als Unicast, wenn die IP-Adresse einiger Ihrer Computer innerhalb des gleichen Subnetzes sich oft ändert Keine Switchneukonfiguration erforderlich Hohe Kompatibilitätsrate mit Computernetzwerkkarten in allen Ruhezuständen, weil subnetzgesteuerte Broadcasts die Originalübertragungsmethode zum Senden von Reaktivierungspaketen sind	Diese Lösung ist nicht so sicher wie Unicast, weil ein Angreifer permanent ICMP-Echoanforderungen von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse senden kann. Dies kann dazu führen, dass alle Hosts Antworten an diese Quelladresse senden. Diese Art von DoS-Angriff wird allgemein als „Smurf Attack“ bezeichnet und üblicherweise dadurch verhindert, dass keine subnetzgesteuerten Broadcasts zugelassen werden. Wenn Router so konfiguriert sind, dass sie subnetzgesteuerte Broadcasts zulassen, wird die folgende zusätzliche Konfiguration aus Sicherheitsgründen empfohlen: Konfigurieren Sie Router so, dass sie nur IP-gesteuerte Broadcasts vom Configuration Manager-Standortserver zulassen. Verwenden Sie hierzu die angegebene UDP-Portnummer. Configuration Manager 2007 muss so konfiguriert werden, dass die angegebene nicht standardmäßige Portnummer verwendet wird. Erfordert möglicherweise die Neukonfiguration aller beteiligten Router, damit subnetzgesteuerte Broadcasts möglich werden. Belegt mehr Netzwerkbandbreite als Unicast-Übertragungen. Nur mit IPv4 unterstützt, keine Unterstützung für IPv6.

Unicast

Diese Lösung bietet mehr Sicherheit als subnetzgesteuerte Broadcasts, weil das Paket nicht an alle Computer in einem Subnetz, sondern direkt an einen Computer gesendet wird.

Erfordert keine Neukonfiguration der Router.

Belegt weniger Netzwerkbandbreite als subnetzgesteuerte Broadcasts.

Unterstützt mit IPv4 und IPv6.

Reaktivierungspakete finden Bereitstellungszielcomputer nicht, deren Subnetzadresse seit der letzten geplanten Hardwareinventur geändert wurde.

Es müssen möglicherweise Switches zum Weiterleiten der UDP-Pakete konfiguriert werden.

Manche Netzwerkadapter reagieren möglicherweise nicht in allen Ruhezuständen auf Reaktivierungspakete, wenn als Übertragungsmethode Unicast verwendet wird.

Subnetzgesteuerte Broadcasts

Höhere Erfolgsrate als Unicast, wenn die IP-Adresse einiger Ihrer Computer innerhalb des gleichen Subnetzes sich oft ändert

Keine Switchneukonfiguration erforderlich

Hohe Kompatibilitätsrate mit Computernetzwerkkarten in allen Ruhezuständen, weil subnetzgesteuerte Broadcasts die Originalübertragungsmethode zum Senden von Reaktivierungspaketen sind

Diese Lösung ist nicht so sicher wie Unicast, weil ein Angreifer permanent ICMP-Echoanforderungen von einer gefälschten Quelladresse an die gesteuerte Broadcastadresse senden kann. Dies kann dazu führen, dass alle Hosts Antworten an diese Quelladresse senden. Diese Art von DoS-Angriff wird allgemein als „Smurf Attack“ bezeichnet und üblicherweise dadurch verhindert, dass keine subnetzgesteuerten Broadcasts zugelassen werden. Wenn Router so konfiguriert sind, dass sie subnetzgesteuerte Broadcasts zulassen, wird die folgende zusätzliche Konfiguration aus Sicherheitsgründen empfohlen:

Konfigurieren Sie Router so, dass sie nur IP-gesteuerte Broadcasts vom Configuration Manager-Standortserver zulassen. Verwenden Sie hierzu die angegebene UDP-Portnummer.
Configuration Manager 2007 muss so konfiguriert werden, dass die angegebene nicht standardmäßige Portnummer verwendet wird.

Erfordert möglicherweise die Neukonfiguration aller beteiligten Router, damit subnetzgesteuerte Broadcasts möglich werden.

Belegt mehr Netzwerkbandbreite als Unicast-Übertragungen.

Nur mit IPv4 unterstützt, keine Unterstützung für IPv6.

Siehe auch

Konzepte

Informationen zu subnetzgesteuerten Broadcast-Reaktivierungspaketen für Wake-On-LAN
Informationen zu Unicast-Reaktivierungspaketen für Wake-On-LAN

Andere Ressourcen

Übersicht über Wake-On-LAN
Wake-On-LAN in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com

Auswahl zwischen Unicast und subnetzgesteuerten Broadcasts für Wake-On-LAN

Siehe auch

Konzepte

Andere Ressourcen

Zusätzliche Ressourcen