Bünning/Rzepka Microsoft Windows Vista Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk
Uwe Bünning Dirk Rzepka
Microsoft Windows Vista Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk
Die Autoren: Uwe Bünning und Dirk Rzepka, Berlin
Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen oder Teilen davon entsteht. Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) auch nicht für Zwecke der Unterrichtsgestaltung reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2007 Carl Hanser Verlag München Lektorat: Fernando Schneider Sprachlektorat: Hans-Gerd Werlich, Berlin Herstellung: Monika Kraus Umschlagdesign: Marc Müller-Bremer, Rebranding, München Umschlaggestaltung: MCP · Susanne Kraus GbR, Holzkirchen Datenbelichtung, Druck und Bindung: Kösel, Krugzell Printed in Germany
ISBN 978-3-446-41024-4 www.hanser.de/computer
__________________________________________________________________________ 5
Vorwort Als Nachfolger der bewährten Windows XP-Produkte steht jetzt Windows Vista in den Regalen. In vielen Unternehmen hat Windows XP den Siegeszug als führendes Desktop-Betriebssystem angetreten, aber auch der Vorgänger Windows 2000 Professional ist noch an zahlreichen Stellen anzutreffen. Mehrfach angekündigt für 2006/2007, muss Vista jetzt beweisen, dass sich der Entwicklungsaufwand gelohnt hat und es den gleichen Erfolg im professionellen Umfeld erreichen kann wie seine Vorgänger zumal es mit Windows XP Professional ein sehr ausgereiftes und etabliertes Clientbetriebssystem für den umfassenden Einsatz im Unternehmensumfeld gibt. Das gilt besonders seit der Einführung des Service Pack 2. Für fast jeden Einsatzzweck bietet auch Vista eine gute Basis, und es bringt eine Menge leistungsfähiger Tools bereits mit. Viele nützliche Funktionen für den täglichen Umgang oder die Administration lassen sich vom Hersteller – in naher Zukunft sicherlich auch von vielen anderen Anbietern – nachrüsten. Funktionsvielfalt, Stabilität und Sicherheit sind gerade im Unternehmenseinsatz wichtige Kriterien. Hier kann Windows Vista auf ganzer Linie überzeugen. Der integrierte Internet Explorer 7.0 kann im geschützten Modus mit wenig Rechten laufen. Das ist vor allem für Administratoren interessant, die jetzt sicherer im Internet recherchieren, während sie möglicherweise als Domänen-Administrator angemeldet sind und damit vollen Zugriff auf das Firmennetz haben. Diese Sicherheitsproblematik gehört der Vergangenheit an. Vista bedeutet übrigens Blick, Sicht oder Perspektive. Microsoft möchte dem Anwender den Blick auf das Wesentliche erleichtern. Wir wollen uns dem anschließen und Ihnen eine Übersicht über die neuen Funktionen und Techniken geben. Die zur optimalen Einrichtung und Administration des Betriebssystems notwendigen Informationsquellen sind vielfältig eine halten Sie gerade in den Händen, wenn Sie diese Zeilen lesen.
Dirk Rzepka
[email protected] Berlin, im März 2007
Uwe Bünning
[email protected] Kapitel-Schnellübersicht_____________________________________________________ 7
Kapitel-Schnellübersicht Teil I Installation und Bedienung 1 Einführung ........................................................................................................... 27 2 Installation ........................................................................................................... 49 3 Die Benutzerschnittstelle ................................................................................ 101
Teil II Vista administrieren 4 5 6 7 8 9
Wichtige Administrationswerkzeuge ........................................................... 187 Benutzer- und Rechteverwaltung .................................................................. 257 Drucken und Faxen........................................................................................... 319 Mobile Computing mit Vista.......................................................................... 391 Gadgets-Scripting für Windows .................................................................... 415 Reparatur und Wiederherstellung................................................................. 435
Teil III Daten professionell verwalten 10 Massenspeicherverwaltung ............................................................................ 503 11 Dateisysteme...................................................................................................... 543 12 Administration der Massenspeicher ............................................................. 587
Teil IV Netzwerk 13 Netzwerkgrundlagen ....................................................................................... 739 14 Netzwerkadministration ................................................................................. 853
Teil V Internet & Multimedia 15 Vista und das Internet...................................................................................... 941 16 Internet Informationsdienste........................................................................ 1037 17 Multimedia....................................................................................................... 1083
Inhaltsverzeichnis __________________________________________________________ 9
Inhaltsverzeichnis Vorwort ........................................................................................................................ 5 Kapitel-Schnellübersicht .......................................................................................... 7 Inhaltsverzeichnis...................................................................................................... 9 1 Einführung ........................................................................................................... 27 1.1 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5
1.2 1.2.1 1.2.2
1.3 1.3.1 1.3.2 1.3.3
Über das Buch ..............................................................................................................29 Wer ist unsere Zielgruppe?............................................................................................ 29 Der Aufbau des Buches .................................................................................................. 29 Unsere Buchreihe zu Windows ..................................................................................... 32 Entstehung des Buches ................................................................................................... 36 Danksagung ..................................................................................................................... 36
Ein wenig Windows-Geschichte................................................................................36 Die Zeit vor MS Windows.............................................................................................. 37 Die Windows-Story......................................................................................................... 38
Die Windows-Produktpalette heute .........................................................................41 Vista für den Arbeitsplatz die Versionen.................................................................. 42 Was ist neu? ..................................................................................................................... 43 Die Windows-Serverfamilie........................................................................................... 46
2 Installation ........................................................................................................... 49 2.1 2.1.1 2.1.2
2.2 2.2.1
Überlegungen zur Hardware.....................................................................................51 Das Windows Vista Logo Programm ........................................................................... 51 Hardware-Voraussetzungen.......................................................................................... 51
Gedanken zum Installationsverfahren .....................................................................55 Update oder Neuinstallation? ....................................................................................... 55
2.3
Inhalt der Installations-DVD......................................................................................56
2.4
Installation starten .......................................................................................................57
2.4.1 2.4.2 2.4.3 2.4.4
2.5 2.5.1 2.5.2
2.6 2.6.1 2.6.2 2.6.3
Überblick über mögliche Verfahren ............................................................................. 57 Start der Installation unter Windows ........................................................................... 58 Installation mit bootfähigem CD-Laufwerk ................................................................ 59 Installation mit SETUP.EXE........................................................................................... 61
Die weiteren Installationsschritte ..............................................................................63 Installation vorbereiten .................................................................................................. 63 Installation durchführen und abschließen ................................................................... 65
Windows Vista-Produktaktivierung.........................................................................68 Warum eine Aktivierung?.............................................................................................. 68 Wann muss aktiviert werden?....................................................................................... 70 Wie wird die Aktivierung vorgenommen ?................................................................. 70
10 _________________________________________________________ Inhaltsverzeichnis 2.6.4 2.6.5 2.6.6
2.7 2.7.1 2.7.2 2.7.3 2.7.4 2.7.5 2.7.6
2.8 2.8.1
2.9
Was passiert bei der Aktivierung? ................................................................................ 70 Wie oft darf aktiviert werden?....................................................................................... 72 Weitere Informationen zur Aktivierung ...................................................................... 72
Automatisierte Installation ........................................................................................ 72 Übersicht über die Möglichkeiten ................................................................................. 72 Vorbereitungen für ein Installationsszenario .............................................................. 74 Der Windows System Image Manager......................................................................... 75 Master- (Referenz-) Installation durchführen.............................................................. 78 Ein Image (Abbild) erstellen .......................................................................................... 79 Die Ausbringung des Images ........................................................................................ 82
Optimierung nach der Installation ........................................................................... 83 Optimieren der Datenträgernutzung............................................................................ 83
Übertragen von Dateien und Einstellungen............................................................ 86
2.9.1 2.9.2 2.9.3
Grundsätzliches Verfahren ............................................................................................ 86 Offline-Übertragung durchführen ................................................................................ 88 Online-Übertragung durchführen ................................................................................ 92
2.10
Windows Update ........................................................................................................ 93
2.10.1 2.10.2 2.10.3
2.11
Die automatische Update-Funktion.............................................................................. 94 Windows-Update manuell starten................................................................................ 95 Treiber-Updates konfigurieren...................................................................................... 97
Umgang mit Service Packs ........................................................................................ 98
3 Die Benutzerschnittstelle ................................................................................ 101 3.1 3.1.1 3.1.2 3.1.3
3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10
3.3 3.3.1 3.3.2
Die Grafikmodi.......................................................................................................... 103 AERO Glass.................................................................................................................... 103 AERO Basis .................................................................................................................... 103 Classic ............................................................................................................................. 104
Überblick über die Benutzeroberfläche ................................................................. 104 Das Begrüßungscenter.................................................................................................. 104 Das Startmenü................................................................................................................ 105 Die Taskleiste ................................................................................................................. 117 Symbolleisten aktivieren und anpassen ..................................................................... 121 Quickinfos ...................................................................................................................... 123 Aufbau von Fenstern .................................................................................................... 123 Flip und Flip 3D............................................................................................................. 125 Tastatur- und Mausfunktionen im Überblick............................................................ 126 Farbschemata einstellen ............................................................................................... 130 Altes Windows 2000-Design einstellen ...................................................................... 130
Anmelden, Umschalten und Beenden ................................................................... 132 Der Windows Vista-Anmeldedialog .......................................................................... 132 Abmelden und fliegender Benutzerwechsel ............................................................. 135
Inhaltsverzeichnis _________________________________________________________ 11 3.3.3
3.4 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5
3.5 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6
3.6 3.6.1
3.7 3.7.1 3.7.2 3.7.3
3.8 3.8.1 3.8.2 3.8.3 3.8.4
3.9 3.9.1 3.9.2 3.9.3 3.9.4 3.9.5 3.9.6 3.9.7 3.9.8 3.9.9 3.9.10 3.9.11
Windows beenden......................................................................................................... 135
Optimierung der Anzeige-Einstellungen ...............................................................137 Grundlagen zu Bildschirmeinstellungen ................................................................... 137 Einstellungen der Anzeige anpassen.......................................................................... 139 Ansteuerung mehrerer Monitore und Beamer.......................................................... 145 Windows SideShow ...................................................................................................... 148 Bildschirmschoner......................................................................................................... 149
Windows-Explorer anpassen ...................................................................................150 Speicherort für BENUTZERDATEN ändern .................................................................... 150 Fenster nach Neustart wiederherstellen..................................................................... 151 Versteckte Dateien und Ordner anzeigen.................................................................. 151 Dateierweiterungen anzeigen...................................................................................... 152 Explorer-SENDEN AN-Menü erweitern ........................................................................ 152 Gruppenrichtlinien für den Windows Explorer ....................................................... 153
Hilfe- und Supportcenter..........................................................................................154 Überblick ........................................................................................................................ 154
Das Sicherheitscenter ................................................................................................156 Aufruf und Statusanzeige für Komponenten ............................................................ 156 Warnungen im Sicherheitscenter anpassen ............................................................... 158 Sicherheitscenter bei AD-Domänen-Clients .............................................................. 159
Optionen für Behinderte...........................................................................................159 Center für die erleichterte Bedienung ........................................................................ 159 Tastenkombinationen für die Aktivierung ................................................................ 160 Tastatur-Maus................................................................................................................ 161 Links zu weiterführenden Informationen.................................................................. 161
Umgang mit Anwendungen ....................................................................................162 Arten von Anwendungen ............................................................................................ 162 Verknüpfungen zu Anwendungen............................................................................. 163 Direkter Aufruf von Programmen .............................................................................. 164 Programm unter anderem Konto starten................................................................... 165 Registrierungseinträge und die Path-Angabe ........................................................... 169 Tastenkombination zum Start einer Anwendung .................................................... 170 Kompatibilität mit älteren Anwendungen ................................................................ 172 Dateierweiterungen und Anwendungen................................................................... 176 Zuordnen von Windows-Standardanwendungen ................................................... 177 Beenden abgestürzter Anwendungen ........................................................................ 180 Datenausführungsverhinderung ................................................................................ 180
4 Wichtige Administrationswerkzeuge ........................................................... 187 4.1 4.1.1
Systemsteuerung........................................................................................................189 Kategorieansicht oder klassische Ansicht? ................................................................ 189
12 _________________________________________________________ Inhaltsverzeichnis 4.1.2 4.1.3 4.1.4 4.1.5
4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6
4.3 4.3.1
4.4 4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8
4.5 4.5.1 4.5.2 4.5.3 4.5.4 4.5.5
4.6 4.6.1 4.6.2
4.7 4.7.1 4.7.2 4.7.3 4.7.4
Speicherorte der Applets.............................................................................................. 190 Verwaiste Applets entfernen ....................................................................................... 191 Kategorien-Zuordnung ändern ................................................................................... 191 Gruppenrichtlinien für die Systemsteuerung............................................................ 192
Die Microsoft Managementkonsole........................................................................ 193 Überblick ........................................................................................................................ 193 Vorkonfigurierte Managementkonsolen .................................................................... 197 Benutzerspezifische MMCs erstellen.......................................................................... 199 Erstellen von Aufgabenblockansichten ...................................................................... 202 Anpassen von Managementkonsolen-Ansichten...................................................... 209 Benutzermodi für Managementkonsolen .................................................................. 212
Leistungsüberwachung und -optimierung ........................................................... 214 Leistungsüberwachung ................................................................................................ 214
Ereignisanzeige ......................................................................................................... 217 Protokollarten ................................................................................................................ 218 Meldungsarten............................................................................................................... 220 Die Ereignisanzeige im Detail ..................................................................................... 222 Einstellungen der Ereignisanzeige.............................................................................. 224 Protokolle speichern und weiterverarbeiten ............................................................. 226 Ereignismeldungen anderer Computer ansehen ...................................................... 226 Ereignismeldungen analysieren .................................................................................. 228 Ereignismeldung zum Syslog-Server senden ............................................................ 229
Task-Manager ............................................................................................................ 229 Starten des Task-Managers .......................................................................................... 229 Aufbau des Task-Managers ......................................................................................... 230 Parameter in der Registerkarte LEISTUNG ................................................................... 234 Anpassen des Task-Managers ..................................................................................... 235 Die Prozessliste im Detail............................................................................................. 236
Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung ............. 238 Aufgabenplanung ......................................................................................................... 239 Kommandozeilenwerkzeuge ....................................................................................... 242
Datensicherung ......................................................................................................... 245 Überblick ........................................................................................................................ 245 Sicherungsstrategien ..................................................................................................... 246 Der Sicherungsassistent................................................................................................ 249 Wiederherstellung von Sicherungen .......................................................................... 252
5 Benutzer- und Rechteverwaltung .................................................................. 257 5.1 5.1.1 5.1.2
Überblick .................................................................................................................... 259 Vorteile eines mehrbenutzerfähigen Systems ........................................................... 259 Vistas Funktionen zur Benutzerverwaltung.............................................................. 260
Inhaltsverzeichnis _________________________________________________________ 13 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7
5.3 5.3.1 5.3.2 5.3.3
5.4 5.4.1 5.4.2
5.5 5.5.1 5.5.2 5.5.3 5.5.4 5.5.5 5.5.6 5.5.7 5.5.8
5.6 5.6.1 5.6.2 5.6.3 5.6.4 5.6.5
Vereinfachte Benutzerverwaltung ..........................................................................262 Funktionen ..................................................................................................................... 262 Unterstützte Kontentypen............................................................................................ 264 Das Gastkonto................................................................................................................ 264 Einen neuen Benutzer anlegen .................................................................................... 265 Ein Benutzerkonto ändern ........................................................................................... 266 Kennwortrücksetzdiskette erstellen ........................................................................... 267 Standardrechte für Benutzerdateien........................................................................... 268
Erweiterte Benutzerverwaltung ..............................................................................270 Funktionen ..................................................................................................................... 270 Benutzer.......................................................................................................................... 271 Gruppen ......................................................................................................................... 276
Benutzerkontensteuerung ........................................................................................281 Modi zur Programmausführung................................................................................. 281 Die Benutzerkontensteuerung konfigurieren............................................................ 283
Benutzerprofile ..........................................................................................................284 Arten von Benutzerprofilen ......................................................................................... 284 Speicherort und Inhalt lokaler Benutzerprofile ........................................................ 285 Lokalisation.................................................................................................................... 288 Der Profil-Manager ....................................................................................................... 289 Neues Standard-Profil erstellen .................................................................................. 291 Alternativen Speicherort für Profile bestimmen ....................................................... 291 Servergespeicherte Profile............................................................................................ 293 Benutzerverwaltung in einer AD-Domäne................................................................ 300
Gruppenrichtlinien....................................................................................................303 Einführung ..................................................................................................................... 303 Grundsätzliche Struktur............................................................................................... 305 Bearbeitung der Gruppenrichtlinien .......................................................................... 310 Administrative Vorlagen.............................................................................................. 313 Wirksame Gruppenrichtlinien ermitteln ................................................................... 314
6 Drucken und Faxen........................................................................................... 319 6.1
Überblick.....................................................................................................................321
6.2
Grundprinzipien der Druckansteuerung ...............................................................322
6.2.1 6.2.2 6.2.3 6.2.4 6.2.5
6.3 6.3.1
Logische und physische Drucker ................................................................................ 322 Interner Ablauf beim Drucken .................................................................................... 324 Druckertreiber ............................................................................................................... 329 Lokale Anschlussmöglichkeiten.................................................................................. 331 Schriftenverwaltung ..................................................................................................... 333
Installation lokaler Drucker .....................................................................................339 Verwaltungsort lokaler Drucker ................................................................................. 339
14 _________________________________________________________ Inhaltsverzeichnis 6.3.2
6.4 6.4.1 6.4.2 6.4.3 6.4.4 6.4.5 6.4.6 6.4.7
6.5 6.5.1 6.5.2 6.5.3
6.6 6.6.1 6.6.2 6.6.3 6.6.4 6.6.5 6.6.6
6.7 6.7.1 6.7.2 6.7.3 6.7.4 6.7.5 6.7.6
Druckererkennung durch Plug&Play......................................................................... 340
Drucken im Netzwerk .............................................................................................. 343 Unterstützte Schnittstellen ........................................................................................... 343 Konfiguration des Druckservers ................................................................................. 345 Drucker freigeben und Client-Treiber einrichten ..................................................... 349 Überwachung von Druckleistungen........................................................................... 353 Gruppenrichtlinien zur Druckerkonfiguration ......................................................... 353 Netzwerkdrucker clientseitig einbinden.................................................................... 354 TCP/IP-Drucker clientseitig einbinden ..................................................................... 358
Weitere Druckfunktionen ........................................................................................ 361 Drucken aus MS-DOS-Anwendungen ....................................................................... 361 Drucken per Drag&Drop ............................................................................................. 362 Trennseiten definieren .................................................................................................. 365
Farbmanagement ...................................................................................................... 367 Einführung ..................................................................................................................... 367 Farbe und Farbdruck .................................................................................................... 367 Historische Entwicklung .............................................................................................. 369 Prinzip des ICC-Farbmanagements ............................................................................ 371 Neue Wege mit dem Windows Color System ........................................................... 376 Farbverwaltung einrichten........................................................................................... 377
Faxfunktionen............................................................................................................ 380 Installation der Faxdienste ........................................................................................... 380 Einrichtung eines Faxdruckers .................................................................................... 380 Das Programm Windows-Fax und -Scan ................................................................... 384 Das Faxgerät verwenden .............................................................................................. 386 Umgang mit Deckblättern............................................................................................ 387 Vista als Client eines Faxservers.................................................................................. 389
7 Mobile Computing mit Vista ......................................................................... 391 7.1
Mobile-PC kontra Stationär-PC............................................................................... 393
7.2
Energiemanagement ................................................................................................. 393
7.2.1 7.2.2
7.3 7.3.1 7.3.2
7.4 7.4.1 7.4.2
7.5 7.5.1
Einige Begriffe und Standards..................................................................................... 393 Effektives Energiemanagement................................................................................... 395
Das Mobilitätscenter ................................................................................................. 396 Aufruf und Module....................................................................................................... 397 Das Energiemanagement konfigurieren .................................................................... 398
Kommandozeilenwerkzeug POWERCFG.EXE .......................................................... 398 Überblick über die Optionen ....................................................................................... 399 Ausgewählte Optionen im Detail................................................................................ 400
Mit dem Notebook unterwegs ................................................................................ 404 Regions- und Sprachoptionen ..................................................................................... 404
Inhaltsverzeichnis _________________________________________________________ 15 7.5.2 7.5.3
7.6 7.6.1 7.6.2 7.6.3
7.7 7.7.1 7.7.2 7.7.3
7.8 7.8.1 7.8.2
Eingabeoptionen............................................................................................................ 405 Sprachoptionen.............................................................................................................. 406
Netzwerkanschluss ...................................................................................................406 Verwendete Hardware ................................................................................................. 406 IP-Konfiguration am Mobil-PC ................................................................................... 406 Client im Active Directory ........................................................................................... 407
Synchronisierungscenter ..........................................................................................407 Überblick ........................................................................................................................ 408 Arbeitsweise des Synchronisierungscenters.............................................................. 409 Das Synchronisierungscenter benutzen ..................................................................... 410
Mobil ins Internet ......................................................................................................412 Call-by-Call im Hotel? .................................................................................................. 412 Weitere Aspekte der Einwahl ins Internet................................................................. 413
8 Gadgets-Scripting für Windows .................................................................... 415 8.1 8.1.1 8.1.2 8.1.3
8.2 8.2.1 8.2.2
8.3 8.3.1 8.3.2 8.3.3 8.3.4 8.3.5 8.3.6 8.3.7
Windows Sidebar.......................................................................................................417 Minianwendungen organisieren ................................................................................. 417 Die Windows-Sidebar anpassen.................................................................................. 418 Weitere Steuerung der Sidebar.................................................................................... 419
Gadgets - Minianwendungen ..................................................................................420 Grundlegender Aufbau von Gadgets......................................................................... 420 Gadget-Einstellungen ................................................................................................... 424
Hinweise zur Gadget-Programmierung.................................................................426 Skriptsprachen benutzen.............................................................................................. 426 Automatisch ausgeführte Gadgets ............................................................................. 427 Automatisch aktualisierte Gadgets einrichten .......................................................... 428 Verwenden von WMI ................................................................................................... 430 Gadget Code ändern und neu laden .......................................................................... 431 Gadgets debuggen ........................................................................................................ 431 Sidebar-Gadgets verteilen ............................................................................................ 432
9 Reparatur und Wiederherstellung................................................................. 435 9.1
Überblick.....................................................................................................................437
9.2
Informations- und Diagnosetools............................................................................438
9.2.1 9.2.2 9.2.3 9.2.4 9.2.5
9.3 9.3.1
Geräte-Manager............................................................................................................. 438 Systeminformationen mit MSINFO32.EXE.................................................................... 442 Kommandozeilen-Tool SYSTEMINFO.EXE..................................................................... 444 Leistungsbewertung ..................................................................................................... 445 DirectX-Diagnoseprogramm DXDIAG.EXE .................................................................. 446
Systemwiederherstellung .........................................................................................448 Erzeugen von Wiederherstellungspunkten ............................................................... 448
16 _________________________________________________________ Inhaltsverzeichnis 9.3.2 9.3.3 9.3.4
9.4 9.4.1 9.4.2 9.4.3
9.5 9.5.1 9.5.2 9.5.3
9.6 9.6.1 9.6.2 9.6.3 9.6.4 9.6.5
9.7 9.7.1 9.7.2 9.7.3 9.7.4 9.7.5
System wiederherstellen .............................................................................................. 449 Konfigurieren der Systemwiederherstellung ............................................................ 452 Vorherige Versionen ..................................................................................................... 454
Hilfe bei Treiberproblemen ..................................................................................... 455 Funktionsfähige Treiber reaktivieren ......................................................................... 455 Digitale Signaturen bei Treibern prüfen .................................................................... 457 Überprüfung von Treibern........................................................................................... 459
Windows Vista-Dienste............................................................................................ 463 Dienstesteuerung in Windows Vista .......................................................................... 463 MMC-Snap-In Dienste .................................................................................................. 468 Dienste über die Kommandozeile steuern................................................................. 471
Die Windows-Registrierung.................................................................................... 475 Grundlegende Struktur ................................................................................................ 475 Bearbeiten der Registrierung ....................................................................................... 478 Sicherung der Systemregistrierung............................................................................. 483 Wiederherstellung der Systemregistrierung ............................................................. 485 Weitere Tools ................................................................................................................. 486
Systemwiederherstellung nach Totalausfall ......................................................... 488 Überblick über Mittel und Wege zur Reparatur ....................................................... 488 Letzte als funktionierend bekannte Konfiguration................................................... 490 Windows im abgesicherten Modus starten ............................................................... 491 Starthilfe über die Vista-DVD...................................................................................... 493 Recovery-Tools NTRecover und Remote Recover.................................................... 499
10 Massenspeicherverwaltung ............................................................................ 503 10.1 10.1.1 10.1.2 10.1.3 10.1.4 10.1.5 10.1.6 10.1.7
10.2 10.2.1 10.2.2
10.3 10.3.1 10.3.2 10.3.3 10.3.4
Hardware und Schnittstellen .................................................................................. 505 Schnittstellen für Massenspeicher............................................................................... 505 Hinweise zum Anschluss von IDE-Geräten .............................................................. 510 Anschluss von SATA-Festplatten ............................................................................... 514 Anschluss externer USB- & Firewire-Festplatten...................................................... 515 Sicherer Umgang mit USB-Speichergeräten .............................................................. 518 USB-Flash-Speicher als Systembeschleuniger ........................................................... 524 iSCSI-Initiator einrichten .............................................................................................. 526
Das Volume Management ....................................................................................... 527 Festplatten, Datenträger und Volumes ...................................................................... 527 Aufbau des Volume Managements ............................................................................ 528
Basisdatenträger und Partitionen ........................................................................... 530 Partitionen und Partitionstypen .................................................................................. 530 Erweiterte Partition und logische Laufwerke............................................................ 532 BCD das Ende der B OOT.INI ...................................................................................... 532 Wiederherstellen des XP-Bootsektors......................................................................... 532
Inhaltsverzeichnis _________________________________________________________ 17 10.4 10.4.1 10.4.2 10.4.3
10.5 10.5.1 10.5.2
Dynamische Datenträger..........................................................................................533 Erstellung und Aufbau dynamischer Datenträger ................................................... 533 Einfache Volumes und ihre Erweiterung................................................................... 536 Stripesetvolumes ........................................................................................................... 536
GPT-Partitionen unter Windows Vista...................................................................539 Einführung ..................................................................................................................... 539 Aufbau einer GPT-Disk ................................................................................................ 540
11 Dateisysteme...................................................................................................... 543 11.1 11.1.1
11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.2.5 11.2.6
11.3 11.3.1 11.3.2 11.3.3 11.3.4
11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5
Unterstützte Dateisysteme .......................................................................................545 FAT, FAT32 und NTFS ................................................................................................. 545
Dateisystem NTFS im Detail ....................................................................................546 Merkmale von NTFS..................................................................................................... 546 Der interne Aufbau von NTFS .................................................................................... 550 Analysepunkte und Bereitstellungen ......................................................................... 558 NTFS-Zugriffsrechte für Dateien und Ordner .......................................................... 559 NTFS-Komprimierung ................................................................................................. 561 Volumenschattenkopien............................................................................................... 564
Datenverschlüsselung ...............................................................................................566 BitLocker Laufwerksverschlüsselung......................................................................... 567 Das verschlüsselnde Dateisystem (EFS)..................................................................... 572 Datenträgerkontingente ............................................................................................... 576 Weitere besondere Merkmale von NTFS ................................................................... 577
Fragmentierung .........................................................................................................580 Was ist Fragmentierung? ............................................................................................. 580 Clustergröße und Fragmentierung ............................................................................. 582 Besonderheiten bei NTFS ............................................................................................. 582 Tipps zur Verbesserung der Performance ................................................................. 583 Defragmentierungsprogramme .................................................................................. 583
12 Administration der Massenspeicher ............................................................. 587 12.1 12.1.1 12.1.2 12.1.3 12.1.4 12.1.5 12.1.6 12.1.7
12.2 12.2.1
Die Verwaltungswerkzeuge.....................................................................................589 Überblick ........................................................................................................................ 589 Snap-In Datenträgerverwaltung im Detail ................................................................ 592 Snap-In Wechselmedienverwaltung........................................................................... 597 Das Kommandozeilen-Tool DISKPART.EXE ................................................................. 600 Das Kommandozeilen-Tool FSUTIL.EXE ...................................................................... 612 Das Kommandozeilen-Tool MKLINK.EXE ................................................................... 618 Den BCD-Speicher bearbeiten ..................................................................................... 619
Einrichtung einer neuen Festplatte .........................................................................625 Erkennung einer neuen Festplatte .............................................................................. 625
18 _________________________________________________________ Inhaltsverzeichnis 12.3 12.3.1 12.3.2 12.3.3
12.4 12.4.1 12.4.2 12.4.3 12.4.4 12.4.5
12.5 12.5.1 12.5.2 12.5.3
12.6 12.6.1 12.6.2 12.6.3
12.7 12.7.1 12.7.2
12.8 12.8.1 12.8.2 12.8.3 12.8.4 12.8.5 12.8.6 12.8.7 12.8.8
12.9 12.9.1 12.9.2 12.9.3 12.9.4
Basisdatenträger einrichten ..................................................................................... 627 Partitionierungswerkzeuge.......................................................................................... 627 Anlegen von primären Partitionen ............................................................................. 629 Anlegen von erweiterten Partitionen und logischen Laufwerken.......................... 632
Dynamische Datenträger einrichten....................................................................... 633 Basis- in dynamische Datenträger konvertieren ....................................................... 633 Dynamische in Basisdatenträger konvertieren ......................................................... 635 Einfache Volumes und ihre Erweiterung................................................................... 636 Übergreifende Volumes ............................................................................................... 639 Stripesetvolume erstellen ............................................................................................. 640
Volumes formatieren................................................................................................ 642 Übersicht über die Format-Werkzeuge ...................................................................... 643 Formatieren mit grafischen Dienstprogrammen ...................................................... 643 Das Kommandozeilen-Programm F ORMAT.COM ....................................................... 647
Volume-Zugriff ändern............................................................................................ 649 Laufwerkbuchstabe zuweisen und ändern................................................................ 649 Laufwerkpfade einrichten und ändern ...................................................................... 651 Das Kommandozeilen-Tool MOUNTVOL.EXE.............................................................. 653
Erweiterte NTFS-Attribute ...................................................................................... 654 Aktivieren der Komprimierung .................................................................................. 655 Setzen des Index-Attributs........................................................................................... 659
Einrichten und Anwenden des EFS........................................................................ 660 Erstellen eines Dateiverschlüsselungszertifikats mit Hilfe des Assistenten ......... 660 Einrichtung des Wiederherstellungsagenten ............................................................ 661 Wiederherstellungs-Zertifikat mit Schlüssel laden................................................... 664 Wiederherstellungs-Zertifikat exportieren ................................................................ 668 Setzen des Verschlüsselungs-Attributs ...................................................................... 671 EFS-Zugriff für mehrere Benutzer einrichten............................................................ 673 Maximale Absicherung lokaler Daten mit EFS ......................................................... 674 Das Kommandozeilentool C IPHER.EXE........................................................................ 676
NTFS-Zugriffsrechte einstellen ............................................................................... 679 Einstellen der Stufe der NTFS-Zugriffsrechte ........................................................... 680 Anwenden der erweiterten NTFS-Zugriffsrechte..................................................... 681 Erweiterte Einstellungen und Überwachung ............................................................ 684 Die Kommandozeilen-Werkzeuge CACLS.EXE UND ICACLS.EXE ............................... 692
12.10 Dateiattribute bei FAT und FAT32 ......................................................................... 695 12.10.1 FAT-Attribute im Windows Explorer setzen............................................................. 696 12.10.2 Das Kommandozeilen-Werkzeug ATTRIB.EXE ........................................................... 697
12.11 Freigaben für Ordner einrichten ............................................................................. 698 12.11.1 Voraussetzungen ........................................................................................................... 699
Inhaltsverzeichnis _________________________________________________________ 19 12.11.2 12.11.3 12.11.4 12.11.5 12.11.6 12.11.7 12.11.8
Überblick über die Verwaltungswerkzeuge .............................................................. 699 Freigaben über den Explorer verwalten..................................................................... 699 Anonymen Zugriff auf Freigaben zulassen ............................................................... 705 Snap-In Freigegebene Ordner nutzen ........................................................................ 706 Administrative Freigaben ............................................................................................ 708 Clientseitiger Zugriff auf Freigaben ........................................................................... 709 Freigaben mit NET.EXE verwalten ............................................................................... 712
12.12 Weitere Eigenschaften von Volumes ......................................................................714 12.12.1 12.12.2 12.12.3 12.12.4
Umbenennen eines Volumes ....................................................................................... 715 Bereinigen des Volumes ............................................................................................... 716 Überprüfung eines Volumes auf Fehler..................................................................... 717 Datenträgerkontingente festlegen............................................................................... 722
12.13 Windows Suche und die Indizierung .....................................................................727 12.13.1 12.13.2 12.13.3 12.13.4 12.13.5
Einführung ..................................................................................................................... 727 Überblick zur Indizierung............................................................................................ 727 Unterstützung mehrerer Sprachen ............................................................................. 731 Indizierungsoptionen anpassen .................................................................................. 732 Erweiterte Indizierungsoptionen ................................................................................ 733
13 Netzwerkgrundlagen ....................................................................................... 739 13.1 13.1.1 13.1.2 13.1.3 13.1.4
13.2 13.2.1 13.2.2 13.2.3 13.2.4 13.2.5
13.3 13.3.1 13.3.2
13.4 13.4.1 13.4.2 13.4.3
Überblick über technische Aspekte.........................................................................741 Peer-to-Peer oder Domäne? ......................................................................................... 741 Aufbau und Struktur eines Ethernet-LANs............................................................... 744 Andere direkte Verbindungsmöglichkeiten .............................................................. 748 Verbinden von Netzwerken......................................................................................... 751
TCP/IP näher betrachtet...........................................................................................753 TCP/IP eine Welt der Standards.............................................................................. 753 TCP/IP und das ISO/OSI-Referenzmodell ............................................................... 757 Internet Protocol (IP)..................................................................................................... 761 Weitere Internetprotokolle im Detail.......................................................................... 769 Port- und Protokollnummern...................................................................................... 781
IP-Adressvergabe im lokalen Netzwerk ................................................................784 APIPA ............................................................................................................................. 784 IP-Adressvergabe mit DHCP....................................................................................... 787
IP-Namensauflösung.................................................................................................787 Einführung in das DNS ................................................................................................ 787 Namensauflösung über Hosts-Dateien ...................................................................... 790 Namensauflösung über WINS .................................................................................... 791
20 _________________________________________________________ Inhaltsverzeichnis 13.5
Next Generation TCP/IP-Stack im Überblick....................................................... 792
13.6
Reliable Multicast-Protokoll .................................................................................... 794
13.7
Grundlagen zu WLAN-Funknetzwerken.............................................................. 795
13.7.1 13.7.2 13.7.3
13.8
WLAN-Standards.......................................................................................................... 795 WLAN-Betriebsarten .................................................................................................... 797 Sicherheitsaspekte bei WLANs ................................................................................... 798
Grundlagen zu Bluetooth......................................................................................... 802
13.8.1 13.8.2 13.8.3 13.8.4
13.9
Überblick ........................................................................................................................ 802 Bluetooth-Profile ........................................................................................................... 804 Bluetooth-Funktionen in Windows Vista................................................................... 807 Sicherheitsaspekte bei Bluetooth ................................................................................. 808
Active Directory ........................................................................................................ 809
13.9.1 13.9.2 13.9.3 13.9.4
Einführung ..................................................................................................................... 809 Aufbau des Active Directory ....................................................................................... 816 Strukturierung des Active Directory .......................................................................... 819 Benutzer und Gruppen im Active Directory ............................................................. 823
13.10 Sicherheit im Netzwerk............................................................................................ 828 13.10.1 13.10.2 13.10.3 13.10.4 13.10.5 13.10.6 13.10.7
Sichere Authentifizierung ............................................................................................ 828 Sichere Netzwerkübertragung mit IPSec ................................................................... 836 Mehr zur Absicherung von WAN-Verbindungen.................................................... 841 Netzwerkzugriffsschutz ............................................................................................... 842 Windows-Firewall......................................................................................................... 843 Verteidiger gegen Malware der Windows Defender ............................................ 847 Absicherung drahtloser Netzwerkverbindungen..................................................... 850
14 Netzwerkadministration ................................................................................. 853 14.1 14.1.1 14.1.2 14.1.3 14.1.4 14.1.5 14.1.6
14.2 14.2.1
14.3 14.3.1 14.3.2 14.3.3 14.3.4
Installation von Netzwerkressourcen .................................................................... 855 Das Netzwerk- und Freigabecenter ............................................................................ 855 LAN-Verbindungen manuell konfigurieren ............................................................. 857 Weitere Komponenten einer LAN-Verbindung........................................................ 860 Netzwerkhardware ....................................................................................................... 862 Installation einer Netzwerkbrücke ............................................................................. 864 Weitere Netzwerkkomponenten ................................................................................. 866
Bluetooth-Geräte einbinden .................................................................................... 867 Nutzung der Windows Vista-Funktionen ................................................................. 867
Konfiguration von TCP/IP-Netzwerken............................................................... 872 Einführung ..................................................................................................................... 872 Konfiguration mit festen IP-Adressen........................................................................ 873 Konfiguration mit dynamischen IP-Adressen........................................................... 874 Kommandozeilen-Tools für TCP/IP .......................................................................... 877
Inhaltsverzeichnis _________________________________________________________ 21 14.4 14.4.1 14.4.2 14.4.3
14.5 14.5.1
14.6 14.6.1 14.6.2
14.7 14.7.1 14.7.2
14.8 14.8.1 14.8.2 14.8.3
Verbindungen und Netzwerke einrichten .............................................................894 Ein Netzwerk mit dem Assistenten einrichten.......................................................... 894 Peer-to-Peer-Netzwerk einrichten und überprüfen ................................................. 895 Freigabe von Ressourcen im Netzwerk...................................................................... 898
Einbindung als Client in Active Directory .............................................................898 Computer einer Domäne anschließen ........................................................................ 898
WLAN-Funknetzwerke administrieren .................................................................901 Basisstation einrichten .................................................................................................. 901 Windows Vista-Clients einrichten .............................................................................. 904
WAN-Verbindungen einrichten ..............................................................................907 Direkte Einwahl............................................................................................................. 908 VPN-Verbindung .......................................................................................................... 918
Remote-Zugriffsmöglichkeiten................................................................................928 Fernbedienung mit Telnet............................................................................................ 929 Einrichten der Remotedesktop-Funktion................................................................... 931 Einrichten eines Fernzugriffs mit der Windows Remoteunterstützung................ 935
15 Vista und das Internet...................................................................................... 941 15.1 15.1.1 15.1.2 15.1.3 15.1.4
15.2 15.2.1 15.2.2 15.2.3 15.2.4 15.2.5 15.2.6 15.2.7 15.2.8 15.2.9
15.3 15.3.1 15.3.2 15.3.3
15.4 15.4.1 15.4.2 15.4.3
Einige Grundlagen ....................................................................................................943 Aufbau des Internets..................................................................................................... 943 Internetfunktionen in Windows Vista........................................................................ 945 Windows Vista und interne Internetdienste ............................................................. 947 Sicherheitsprobleme im Internet ................................................................................. 954
Verbindung zum Internet herstellen.......................................................................957 Hardwareinstallation.................................................................................................... 957 Verbindung über ISDN oder Analog-Modem .......................................................... 959 Verbindung über DSL................................................................................................... 964 Verbindung über ein Mobiltelefon ............................................................................. 967 Netzwerkprotokolle für die Verbindung ................................................................... 968 Einsatz der integrierten Windows-Firewall............................................................... 969 Testen der Firewall........................................................................................................ 982 Einstellung der Internet-Verbindungsoptionen........................................................ 984 Entdecken und Ausschalten von Dialern................................................................... 985
Lokales Netz an das Internet anschließen ..............................................................988 Einführung ..................................................................................................................... 988 Gemeinsame Internetverbindung konfigurieren ...................................................... 989 Vorteile dedizierter Hardware-Router ....................................................................... 991
Internet Explorer 7.....................................................................................................993 Allgemeine Einstellungen ............................................................................................ 994 Internet-Verbindungseinstellungen............................................................................ 994 Sicherheitseinstellungen............................................................................................... 995
22 _________________________________________________________ Inhaltsverzeichnis 15.4.4 15.4.5 15.4.6 15.4.7 15.4.8
15.5
Download von Dateien............................................................................................... 1003 Internet Explorer als FTP-Client................................................................................ 1004 Speichern einzelner Seiten ......................................................................................... 1005 Programmverbindungen und Add-Ons .................................................................. 1006 Internet Explorer-Gruppenrichtlinien ...................................................................... 1009
Windows Mail ......................................................................................................... 1011
15.5.1 15.5.2 15.5.3
15.6
E-Mail-Funktionen ...................................................................................................... 1012 Usenet-News................................................................................................................ 1022 Netiquette: E-Mail und News korrekt verwenden ................................................. 1023
Windows-Kontakte................................................................................................. 1031
15.6.1 15.6.2
15.7
Kontakte einrichten ..................................................................................................... 1031 Windows-Kontakte einsetzen.................................................................................... 1033
Windows-Kalender................................................................................................. 1034
16 Internet Informationsdienste ....................................................................... 1037 16.1
Einführung............................................................................................................... 1039
16.2
Installation des IIS 7.0 und seine Features........................................................... 1040
16.2.1 16.2.2 16.2.3
16.3
Installation.................................................................................................................... 1040 Der Internet Information Server 7 im Überblick ..................................................... 1041 Anwendungsprogramme unter IIS........................................................................... 1044
Den Internet Information Server verwalten ........................................................ 1047
16.3.1 16.3.2 16.3.3 16.3.4 16.3.5 16.3.6 16.3.7 16.3.8 16.3.9 16.3.10 16.3.11
Webserver konfigurieren............................................................................................ 1047 Anfragebearbeitung für den Webserver konfigurieren ......................................... 1050 HTTP-Einstellungen konfigurieren .......................................................................... 1051 Website und Webanwendungen verwalten ............................................................ 1053 Aktivitäten des Webservers beobachten .................................................................. 1054 Webserver-Sicherheit .................................................................................................. 1057 Das Kommadozeilentool APPCMD.EXE ..................................................................... 1059 FTP-Dienste anbieten .................................................................................................. 1061 Active Server Pages..................................................................................................... 1065 Weitere Skriptsprachen .............................................................................................. 1067 Verschlüsselung von Websites .................................................................................. 1070
17 Multimedia....................................................................................................... 1083 17.1 17.1.1 17.1.2 17.1.3 17.1.4
17.2 17.2.1 17.2.2
Einführung und Grundlagen ................................................................................ 1085 Multimedia-Eigenschaften von Vista ....................................................................... 1085 Einige Grundlagen zu Multimedia-Datenformaten ............................................... 1087 Einige Hintergründe zu CD und DVD..................................................................... 1100 Hinweise zum Kopierschutz digitaler Medien ....................................................... 1112
CD und DVD-Brennen unter Windows Vista..................................................... 1113 Installation eines CD-Brenners .................................................................................. 1113 Daten auf CD über den Explorer brennen ............................................................... 1115
Inhaltsverzeichnis _________________________________________________________ 23 17.2.3 17.2.4
17.3 17.3.1 17.3.2 17.3.3
17.4 17.4.1 17.4.2 17.4.3 17.4.4 17.4.5
17.5 17.5.1 17.5.2 17.5.3
17.6 17.6.1 17.6.2 17.6.3 17.6.4
17.7 17.7.1 17.7.2 17.7.3 17.7.4
Fehlende Funktionen und andere Programme ....................................................... 1119 Windows DVD Maker ................................................................................................ 1122
Windows Media Player 11 .....................................................................................1123 Überblick ...................................................................................................................... 1123 Audio-Funktionen im Detail...................................................................................... 1125 Video-Abspielfunktionen........................................................................................... 1134
Windows Movie Maker im Detail .........................................................................1138 Überblick ...................................................................................................................... 1138 Videodaten einlesen.................................................................................................... 1142 Video-Schnittfunktionen ............................................................................................ 1144 Nachvertonung des Films .......................................................................................... 1146 Veröffentlichen des Films........................................................................................... 1148
Digitale Bilder ..........................................................................................................1149 Bilder von Digitalkamera und Scanner einlesen..................................................... 1149 Bilder im Windows Explorer speichern und anzeigen .......................................... 1156 Bilder mit Paint bearbeiten ........................................................................................ 1160
Soundsystem ............................................................................................................1161 Audio Internas............................................................................................................. 1161 Lautstärkeregelung ..................................................................................................... 1161 Audiorecorder ............................................................................................................. 1162 Audioeigenschaften .................................................................................................... 1163
Windows Vista als Spieleplattform.......................................................................1164 Mitgelieferte Spiele ..................................................................................................... 1164 Spielen im Internet: MSN Games .............................................................................. 1165 DirectX .......................................................................................................................... 1165 Ältere Spiele zum Mitspielen überreden ................................................................. 1167
Index ..................................................................................................................... 1171
Inhaltsverzeichnis _________________________________________________________ 25
I Installation und Bedienung
Inhaltsverzeichnis _________________________________________________________ 27
1 1 Einführung Es gibt viele Bücher zum Thema Windows. Die Auswahl für den interessierten Leser wird zu einem unter Umständen schwierigen Unterfangen. Ebenso unterschiedlich wie die heute erhältlichen Bücher in Aufmachung, Inhalt und Stil erscheinen, unterscheiden sich auch die Ansprüche der Leser. Das folgende Kapitel gibt Ihnen eine präzise Definition der Zielgruppe und einen Einblick in die Überlegungen, die hinter dem vorliegenden Buch stehen.
28 ______________________________________________________________1 Einführung
Inhaltsübersicht Kapitel 1 1.1 1.2 1.3
Über das Buch.................................................................. 29 Ein wenig Windows-Geschichte................................... 36 Die Windows-Produktpalette heute ............................ 41
1.1 Über das Buch ________________________________________________________ 29
1.1
Über das Buch
Dieses Buch zu Windows Vista ist als Nachfolger unseres erfolgreichen Werks Windows XP Professional entstanden. Der Erfolg dieses Buches und der anderen Bände der Buchreihe zu Windows XP beim Carl Hanser Verlag hat uns motiviert wenn auch in anderer Besetzung -, den Reihengedanken für Windows Vista fortzusetzen. Damit steht eine in sich stimmige und in Stil und Ausstattung einheitliche Bibliothek zu Windows zur Verfügung, die fortlaufend aktualisiert wird. Die einzelnen Bände werden in Abschnitt 1.1.3 Unsere Buchreihe zu Windows ab Seite 32 vorgestellt. Die vom Vorgänger übernommene neuartige Struktur wurde beibehalten. Diese wird Ihnen weiter unten in Abschnitt 1.1.2 Der Aufbau des Buches näher vorgestellt. An dieser Stelle möchten wir uns wieder herzlich für die vielen positiven Anmerkungen und kritischen, konstruktiven Anregungen unserer Leser bedanken!
1.1.1
Wer ist unsere Zielgruppe?
Obwohl die Bezeichnung unseres Zielsystems Windows Vista keinen Rückschluss auf unsere Zielgruppe gibt, sehen wir unsere Zielgruppe vorrangig im Bereich der professionellen Anwender und Administratoren, denn wir werden uns mit der all umfassenden UltimateVersion des Betriebssystems beschäftigen. Ebenso eingeladen zur Lektüre und zum Nachschlagen sollen aber die technisch interessierten Leser sein, die sich vielleicht nur zu Hause, aber enthusiastisch, mit ihrem Computer und Windows Vista auseinander setzen wollen. Allerdings wenden wir uns nicht ausschließlich an ausgewiesene Windows-Kenner und IT-Profis. Sie sollten aber bereits mit einem Computersystem intensiver gearbeitet haben wenn dies unter einer Windows-Version lief, umso besser. Apple Macintosh-User oder Freunde des Pinguins (Linux) sind ebenfalls herzlich eingeladen, in die Microsofts Betriebssystemwelt einzudringen. Vielleicht motiviert diese Lektüre sogar, einen Umstieg zu wagen.
1.1.2
Professionelle Anwender, Administratoren und PowerUser
Der Aufbau des Buches
Das Buch ist in Teile und Kapitel untergliedert. Sie finden alle Themen Themenübersicht nach inhaltlichen Schwerpunkten geordnet.
Teil I Installation und Bedienung Hier erfahren Sie, wie Sie Vista optimal installieren und das nicht nur auf einem einzelnen Computer, sondern ebenso mit Hilfe mo-
30 ______________________________________________________________1 Einführung dernster Technologien automatisiert auf falls nötig Hunderten von Systemen. In diesem Teil wird ebenfalls die grundlegend überarbeitete Bedienoberfläche von Windows Vista behandelt. Hier finden Sie in konzentrierter Form alle Informationen, um mit den Betriebssystem-Komponenten und den Anwendungsprogrammen effektiv arbeiten zu können. Tipps, wie Sie sich Ihr Windows individuell anpassen gibt es hier.
Teil II Windows Vista administrieren Nach Installation und Bedienung steht Ihre Arbeit als Administrator im Mittelpunkt. Neben einer detaillierten Vorstellung der dazu verfügbaren Werkzeuge werden alle grundlegenden Themen behandelt, von der Einrichtung von Benutzerkonten über die Beschreibung der Druckerunterstützung bis hin zu Maßnahmen, die Sie im Notfall für die Reparatur und Wiederherstellung Ihres Systems einsetzen können. Zusätzlich werden zwei weitere Themen behandelt: Vista im mobilen Einsatz auf Notebooks und das Scripting. Ersteres ist besonders interessant für Außendienstler. Das letztgenannte Thema soll die Leser ansprechen, die sich für die Programmierung beziehungsweise professionelle Automatisierung von Administrationsaufgaben interessieren.
Teil III Daten professionell verwalten Die Bereitstellung und Verwaltung von Datenbeständen ist die Hauptaufgabe eines Betriebssystems. Windows Vista bietet dazu eine Reihe von Technologien und Verfahren, welche die Datenhaltung auf modernen Massenspeichern effektiv und sicher zulassen. In den zugehörigen Kapiteln finden Sie alles zu den technischen Grundlagen sowie praktische Administrationsanleitungen für eine optimale Einrichtung und Verwaltung.
Teil IV Netzwerk Die Funktionen und das Verhalten eines Betriebssystems im Netzwerk sind, wenn es den Anspruch auf Professionalität erhebt, besonders wichtig. Dementsprechend haben wir diesen einen breiten Raum gewidmet und behandeln alle dazu wichtigen Themen in diesem Teil des Buches.
Teil V Internet & Multimedia Informationsbeschaffung aus dem Internet ist in vielen Arbeitsbereichen eine kaum noch wegzudenkende Aufgabe. Auf welchen Wegen Windows Vista die Vernetzung mit dem Internet bewerkstelligt, zeigt dieses Kapitel. Die Clientfunktionen stehen bei einem Clientsystem traditionell im Mittelpunkt der Betrachtungen. Darüber hinaus verfügt Vista über nennenswerte, leistungsfähige Serverfunktionen. Diese
1.1 Über das Buch ________________________________________________________ 31 werden vor allem dann gebraucht, wenn Sie auf dem System Webanwendungen entwickeln wollen. Für Multimedia und Spiele stellt Windows Vista eine Fülle von Funktionen zur Verfügung, die wir Ihnen in diesem Teil vorstellen. Hier finden Sie beispielsweise Informationen zum Aufbau eigener Musikarchive mit dem Windows Media Player oder wie Sie mit der einfachen Video-Schnittlösung Movie Maker durchaus ansprechende Videos für den Heimgebrauch produzieren können. Nicht vergessen worden sind natürlich Hinweise, wie Sie Ihr System für moderne Computerspiele optimieren können.
Informationen zu technischen Grundlagen In allen technisch orientierten Kapiteln werden Sie sowohl Grundla- Erklärungen zum gen- als auch Administrationsinformationen vorfinden. Bei vielen Warum? Funktionen versuchen wir nicht nur, das Wie zu erläutern, sondern auch eine Erklärung zum Warum zu geben. Zwischen zueinander gehörigen theorielastigen und praxisorientierten Verweissystem Abschnitten werden Sie stets eine Reihe von Verweisen finden. Diese sollen Ihnen bei der Navigation helfen, sodass Sie bei Bedarf vertiefende Informationen schneller finden können. Die Suche im Inhaltsverzeichnis oder im Index ist sicher ebenso möglich, aber oft nicht so schnell und effizient wie ein direkter »Link«, wie Sie dies vom Surfen im Internet gewohnt sind.
Verwendete Symbole Im Buch finden Sie viele Textteile, die als Hinweise oder Tipps besonders hervorgehoben sind. Wir wollten eine Inflation an Symbolen vermeiden. Deshalb sind nur diese beiden verwendet worden: Hinweise sind durch dieses Symbol gekennzeichnet und sollen Sie auf Besonderheiten oder Risiken aufmerksam machen. Diese Absätze sind, ebenso wie die Tipps, zusätzlich grau hinterlegt. Tipps vermitteln Ihnen die eine oder andere Information für eine bessere oder schnellere praktische Handhabung einer bestimmten Funktion oder Administrationsaufgabe.
Schreibweise Im Buch werden folgende Schreibweisen verwendet, um den Text besser lesbar und verständlicher zu machen: DIALOGFELDER UND SCHALTFLÄCHEN Die wörtliche Benennung der Beschriftungen von Dialogfenstern, Eingabefeldern und Schaltflächen werden, wie bei HINZUFÜGEN, in Kapitälchen gesetzt.
32 ______________________________________________________________1 Einführung Befehle und Befehlszeilen Befehle, die im laufenden Text genannt werden, wie beispielsweise net use, werden in nicht proportionaler Schrift gesetzt. Befehlszeilen, die eingegeben werden können, stehen allein auf einer Zeile und sind grau hinterlegt: Fsutil fsinfo ... Ebenso werden Ausschnitte aus Konfigurationsdateien, Listings und herausgehobene Web-Adressen dargestellt. www.microsoft.de www.winxp.comzept.de
Hervorhebungen Passagen oder Wörter im laufenden Text, denen eine besondere Bedeutung zukommen soll, werden kursiv dargestellt.
1.1.3
Unsere Buchreihe zu Windows
Damit Sie wissen, wie sich das vorliegende Buch in unser bisheriges Schaffen zum Thema Windows einordnet, und um natürlich auch etwas Eigenwerbung zu betreiben, finden Sie nachfolgend eine kurze Auflistung der bisher erschienenen Bücher beim Carl Hanser Verlag:
Bücher zu Windows 2000 Die dreibändige Buchreihe, die sich umfassend dem Thema Windows 2000 widmet, hat vor allem EDV-Profis im Auge und solche, die es werden wollen. Windows 2000 im professionellen Einsatz Windows 2000 Professional
Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk Im Mittelpunkt der Betrachtungen steht Windows 2000 Professional. Es werden alle wesentlichen Aspekte behandelt, um das System auf leistungsfähigen Arbeitsplatz-Computern und professionellen Workstations optimal einrichten und anwenden zu können. Die besonderen Schwerpunkte dieses Buches sind: - Windows-Systemarchitektur - Massenspeicherverwaltung und Dateisysteme - Netzwerkfunktionen - Druckfunktionen - Systemsicherheit - Installation, auch automatisiertes Setup - Administrationswerkzeuge und lokale Benutzerverwaltung
1.1 Über das Buch ________________________________________________________ 33 - Nutzung der Internet-Informationsdienste - Anpassungen der Oberfläche und integrierte Anwendungen - Mobiler Einsatz - Reparatur und Wiederherstellung Windows 2000 im Netzwerkeinsatz Konfiguration, Administration und Integration in Windows 2000 Server Unternehmensnetze Umfassend wird das Windows 2000 Server-Betriebssystem behandelt. Besonderes Augenmerk gilt dem neuen Verzeichnisdienst Active Directory, aber auch den anderen Server-Netzwerkfunktionen bis hin zum Routing. Hinzu kommen umfassende Praxisanleitungen zur richtigen Einrichtung des Systems. Die besonderen Schwerpunkte dieses Buches sind: - Massenspeicherverwaltung und Dateisysteme (inkl. RAID) - Active Directory, Planung und Einrichtung - DNS- und DHCP-Serverfunktionen - Routingfunktionen - Weitere Server-Netzwerkfunktionen (auch MAC-Services) - Druckserverfunktionen - Softwareverteilung und Remoteinstallation - Systemsicherheit - Administrationswerkzeuge - Reparatur und Wiederherstellung Internet Information Server 5 Aufbau und Bereitstellung von Webanwendungen IIS und Windows 2000 Advanced mit Windows 2000 Advanced Server Server Neben den klassischen Unix-Webservern setzen immer mehr Unternehmen, sei es für den Einsatz im Internet oder im Intranet, auf die Microsoft-Lösung auf Basis der Windows 2000 Serversysteme. Erfahren Sie alles, um einen Webserver richtig einzurichten und seine Möglichkeiten voll auszunutzen. Die besonderen Schwerpunkte dieses Buches sind: - Grundlagen zur Internet-Protokollfamilie - DNS, Grundlagen und Einrichtung eines DNS-Servers - Sicherheit von Webservern - Optimierung und Überwachung der Systemleistung - IIS-Verwaltungsinstrumente; Protokollierung - ADSI-Referenz
34 ______________________________________________________________1 Einführung Bücher zu Windows XP Windows XP Professional Windows XP Professional
Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk Im Mittelpunkt steht hier die Windows XP Professional-Version. Wie beim direkten Vorgänger Windows 2000 im professionellen Einsatz werden alle wichtigen Funktionen dieses Betriebssystems auf Arbeitsplatzcomputern vor allem im Unternehmensumfeld behandelt. Die besonderen Schwerpunkte dieses Buches sind: - Berücksichtigung des Service Packs 2 - Installation, auch automatisiertes Setup - Benutzeroberfläche und ihre optimale Anpassung - Alle wichtigen Administrationswerkzeuge, die XP Professional standardmäßig bietet - Funktionen mit dem Windows Scripting Host automatisieren - Professionelle Benutzerverwaltung - Massenspeicher und Dateisysteme - Druck- und Faxfunktionen - Netzwerkfunktionen - Mobiler Einsatz - Reparatur und Wiederherstellung - Internet-, Kommunikations- und Netzwerkfunktionen - Multimedia-Funktionen - Funktionen für Spiele Windows XP Home
Windows XP Home
Mit Windows XP Internet und Multimedia effizient nutzen Das Buch soll einen umfassenden Blick hinter die Kulissen des neuen Betriebssystems für den privaten Anwender geben. Im Vordergrund stehen dabei die Behandlung der wichtigen Themen wie Installation, Einrichtung und Benutzerverwaltung sowie die Internet- und Multimedia-Funktionen. Die besonderen Schwerpunkte dieses Buches sind: - Installation und Einrichtung - Umgang mit der neuen Benutzeroberfläche - Internet- und Multimedia-Funktionen - Peer-to-Peer-Netzwerkfunktionen
1.1 Über das Buch ________________________________________________________ 35 -
Mobiler Einsatz Administrationswerkzeuge und Benutzerverwaltung Reparatur und Wiederherstellung Professionelle Datenspeicherung
Buch zu Windows Server 2003 Windows Server 2003 Einrichtung und Administration von Unternehmensnetzen mit Standard und Enterprise Edition Mit diesem Buch erhalten Sie ein umfassendes Grundlagen- und Nachschlagewerk zu Windows Server 2003. Im Mittelpunkt steht der Einsatz in Unternehmensnetzwerken, wobei auch Active Directory ausführlich behandelt wird.
Windows Server 2003
Die besonderen Schwerpunkte dieses Buches sind: - Berücksichtigung von Service Pack 1 und R2 - Planung und Installation des Servers - Active Directory, ebenso mit Planung und Einrichtung - Systemsicherheit, u.a. mit Windows-Firewall, PKI, RADIUS und WLAN-Absicherung - DNS- und DHCP-Serverfunktionen sowie Routing - Massenspeicherverwaltung (inkl. Volumenschattenkopien) - Druckserverfunktionen - Internetinformationsdienste (WWW, E-Mail, NNTP etc.) - Softwareverteilung und Remoteinstallation - Reparatur und Wiederherstellung, inkl. ASR
Buch zu Small Business Server 2003 Small Business Server 2003 Standard und Premium Edition professionell im Small Business Server 2003 Unternehmen einsetzen Die Server-Suite wird in allen wesentlichen Bestandteilen vorgestellt. Das Zusammenwirken der Komponenten findet ebenso Beachtung wie die Vermittlung wichtiger Hintergrundund Basisinformationen.
Die besonderen Schwerpunkte dieses Buches sind: - Installation und Einrichtung
36 ______________________________________________________________1 Einführung -
1.1.4 Windows XP und Word 2003
SBS-Verwaltungswerkzeuge Active Directory im SBS-Umfeld Clientsysteme optimal einbinden und verwalten E-Mail und Teamarbeit über Exchange und Outlook SharePoint Services ISA Server als Profi-Firewall und Proxy einsetzen SQL Server 2000 administrieren RRAS für Fernzugriff einsetzen
Entstehung des Buches
Im Gegensatz zu den bisher erschienenen Büchern unserer Windows 2000/XP-Reihe entstand das vorliegende Buch nicht mit Microsoft Word 2000, sondern mit Microsoft Word 2003. Illustrationen wurden mit Corel Draw 10 angefertigt, teilweise durch Scans oder bei der Nachbearbeitung von Bildmaterial über Photoshop 6 unterstützt.
1.1.5
Danksagung
Unser Dank gilt in erster Linie den Mitarbeitern des Carl Hanser Verlages, die uns wie immer tatkräftig unterstützt haben. Ein besonderes Dankeschön senden wir an unseren Lektor Fernando Schneider sowie an die gute Seele in der Herstellung Monika Kraus. Danken möchten wir ausdrücklich unseren Familien für die Geduld und Unterstützung während der Arbeit am Buch. Auch wenn wir als Profiautoren arbeiten und inzwischen so einige Bücher fertig bekommen haben, ist dies nicht unbedingt selbstverständlich. Letztendlich steigt der Druck und damit ein gewisses Maß an Stress proportional zum Näherrücken des Abgabetermins für das Manuskript welcher wie immer nur sehr knapp eingehalten werden kann. Zu guter Letzt wie immer an dieser Stelle einen herzlichen Dank an unseren bewährten Editor Hans-Gerd Werlich aus Berlin, der eine gut verständliche Ausdrucksweise, auch bei komplizierten technischen Beschreibungen, stets im kritischen Blick behielt.
1.2
Ein wenig Windows-Geschichte
Die Entwicklung von Microsoft zum heute größten Softwareunternehmen der Welt ist eng verbunden mit der Entwicklungsgeschichte von Windows. In diesem Abschnitt wird die historische Entwicklung vom grafischen DOS-Aufsatz zum richtigen Betriebssystem an den wesentlichen Etappen aufgezeigt.
1.2 Ein wenig Windows-Geschichte__________________________________________ 37
1.2.1
Die Zeit vor MS Windows
Die Geschichte von Windows wird immer eng mit der Person Bill Gates verknüpft sein. Bill Gates heißt eigentlich William Henry Gates III. Seinen ersten Schritt in die Welt der Computer unternahm er 1975 mit einer BASIC-Implementierung für den ersten für private Anwender erschwinglichen Computer, den MITS Altair. Der Altair war ein Selbstbauset mit dem 8088 als Mikroprozessor. Er verfügte über die damals üppige Speicherausstattung von immerhin 4 KByte. Noch Anfang der 80er Jahre startete der erste echte Homecomputer, der Sinclair ZX-80, mit 1 KByte Hauptspeicher. Erste Ansätze für grafische Oberflächen wurden schon 1979 am PARC 1979 (Palo Alto Research Center) entwickelt. Namentlich beteiligt war Steve Jobs, heute, nach einer wechselvollen Geschichte, CEO von Apple. Auch Bill Gates besuchte das PARC und war von der Idee einer grafischen Oberfläche begeistert. IBM hatte die Entwicklung der kleinen Computer lange ignoriert. Erst 1981 1981 wurde die Gefahr für das eigene Geschäft erkannt und schnell ein kleines, »Personal Computer« genanntes Gerät entwickelt der PC war geboren. Das Betriebssystem wurde allerdings nicht selbst entwickelt, sondern eingekauft von Bill Gates. Gates schaffte es allerdings, die Rechte dabei nicht aus der Hand zu geben. Statt den Quellcode mit allen Rechten zu verkaufen, kassierte er eine geringe Lizenzgebühr und vermarktete sein »DOS« getauftes Betriebssystem auch an andere Hersteller. In einem Markt, der damals Dutzende Betriebssysteme lieferte, war dies eine unglaubliche Vereinfachung für Programmierer ein einziges Betriebssystem für verschiedene Computer. Die PC-Architektur selbst setzte sich dagegen vor allem auf Grund der Marktmacht von IBM durch. DOS wurde nicht von Grund auf neu entwickelt, sondern es basierte auf dem glücklosen Vorgänger CP/M von Digital Research. Digital Research war lange Zeit ein Wettbewerber von Microsoft (nicht zu verwechseln mit DEC, der Digital Equipment Corporation, die inzwischen von Compaq geschluckt wurde, welche wiederum bei HP landete). CP/M lief auf Intel 8088, Zilog Z80 und mit einer Z80-Karte auch auf dem Apple II. Tim Paterson entwickelte 1978 eine Adaption von CP/M für den Intel 8086-Prozessor, 86DOS, für seine Firma Seattle Computer Products. Von dieser Firma kaufte Bill Gates Ende 1980 den Basiscode für sein DOS, das er bereits an IBM verkauft hatte. Hinzugefügt wurden Dateistrukturen ähnlich wie in Unix mit Dateiattributen und eine Verzeichnisstruktur für Disketten namens FAT (File Allocation Table). 1981 erschien der erste IBM-PC mit PC-DOS als Betriebssystem. Alternativ war allerdings auch noch CP/M-86 lieferbar. Die ersten Verkaufserfolge waren nicht berauschend. IBM-PCs waren zu teuer, es gab kaum Software und die Entwickler waren wenig begeistert, immer für zwei Betriebssysteme zu entwickeln. IBM startete eine Entwicklungsinitiative, um schnell Software auf den Markt zu bringen, bevor ein anderes System das Rennen macht. IBM entschied
38 ______________________________________________________________1 Einführung
1983
1984
1987
sich für PC-DOS als das primäre Betriebssystem und ließ CP/M-86 fallen. Damit begann der Siegeszug von Microsoft und ihrem Betriebssystem MS-DOS. 1983 erschien MS-DOS 2.0 mit hierarchischer Dateistruktur und File Handles. Kurze Zeit später kam MS-DOS 2.1 mit der Unterstützung verschiedener Landessprachen auf den Markt. 1983 erschien auch Windows 1.0, ein grafischer Aufsatz für MS-DOS 2.1. Durchsetzen konnte sich diese Oberfläche ebenso wenig wie die vielen anderen Versuche, derartiges auf den Markt zu bringen: GEM (von DR), Geoworks (von Geoworks, Inc.) oder DesqView (Quarterdeck). Viele Kernideen von Windows waren allerdings damals schon vorhanden wie aufklappende Menüs, Mausbedienung und ansatzweise eine WYSIWYG-Darstellung. 1984 kam der Intel 80286 auf den Markt und dazu MS-DOS 3.0. Merkwürdigerweise nutzte MS-DOS 3.0 den 80286 nicht aus. Trotz eines inzwischen adressierbaren Adressraumes von 16 MByte kannte DOS nur die vom 8086 gesteckten Grenzen. Die alten Strukturen blieben erhalten. Dafür wurde der Funktionsumfang erweitert. MS-DOS 3.1 konnte ansatzweise mit Netzwerken umgehen. Einige Jahre später brachte IBM die PS/2-Modelle auf den Markt. IBM versuchte mit der veralteten PC-Architektur zu brechen und führte zugleich den 80386 von Intel ein. Als Betriebssystem wurde OS/2 entwickelt, das die neuen Features des 386er ausnutzte. Am Markt hatte die Kombination wenig Erfolg. 386er-Klone mit dem schlecht angepassten DOS 3.1 machten das Rennen bei Anwendern und Entwicklern. Der Grund für den Erfolg von MS-DOS ist in der Politik von Microsoft zu suchen, das Betriebssystem als offenes System zu betrachten. Geräteherstellern und Programmierern wurden die Schnittstellen offen gelegt. Mit Begeisterung nutzten dies auch Hobbyprogrammierer und kleinere Firmen, die sich die Lizenzgebühren von IBM nicht leisten konnten oder wollten. Eine Invasion von Software setzte ein, die letztlich von den Anwendern honoriert wurde gekauft werden Computer mit DOS, nicht mit dem technisch besseren OS/2.
1.2.2
1988
Die Windows-Story
OS/2 wurde in den Jahren 1983 bis 1987 von Microsoft und IBM gemeinsam entwickelt. Mangels Anwendungen blieb der Erfolg aus. 1987 überwarfen sich Microsoft und IBM. Microsoft stieg aus der Entwicklung aus und nahm den bereits entwickelten Code von OS/2 als Basis für ein eigenes, neues Betriebssystem: NT (New Technology). Parallel dazu wurde die grafische Oberfläche Windows zur Version 2.0 weiterentwickelt. Mit dem 80386 erschien eine angepasste Version mit dem Namen »Windows 386«. In Anbetracht der stiefmütterlichen Entwicklung von DOS, das damals noch einen überwältigenden Marktanteil hatte, ist die bevorzugte Entwicklung von Windows ei-
1.2 Ein wenig Windows-Geschichte__________________________________________ 39 gentlich als geniale Vision von Bill Gates zu betrachten. In der Folgezeit kam es zu Streitigkeiten zwischen den Anbietern anderer grafischer Oberflächen über die Urheberrechte (Apple und IBM), die mit der SAA-Spezifikation für grafische Oberflächen endete mit der Folge, dass sich Apples MAC OS, OS/2 und Windows 2/386 sehr ähnlich sahen. Abbildung 1.1: Die zwei WindowsProduktlinien auf der Zeitachse
Ende 1988 holte Bill Gates ein ganzes Entwicklerteam von DEC und ließ Windows 3.0 entwickeln. Teamchef Dave Cuttler entwickelte das neue System mit der Erfahrung aus der Entwicklung von VMS, dem Betriebssystem der legendären VAX. 1990 erblickte Windows 3.0 das Licht der Welt. Microsoft war mit dem 1990 richtigen Produkt zur richtigen Zeit am richtigen Ort: Windows 3.0 wurde ein durchschlagender Erfolg. Der Markt zog mit und es entstanden in kurzer Zeit viele Anwendungen ähnlich wie schon bei DOS ein K.O.-Kriterium für andere Systeme. OS/2 hat sich nie wieder von diesem Schlag erholt. Nur ein Jahr später brachte Microsoft mit dem LAN Manager 2.1 eine 1991 Lösung für heterogene Netzwerke auf den Markt. Eine Brücke zu den erfolgreichen Netzwerkbetriebssystemen NetWare (Novell) und Unix entstand. Sehr schnell wurde auch Windows 3.1 auf den Markt geworfen, vor allem um das unfertige OS/2 2.0 zu torpedieren. Neu waren hier Multimedia-Eigenschaften.
40 ______________________________________________________________1 Einführung Abbildung 1.2: Windows 3.1, die erste Weiterentwicklung der Version 3.0
1993
1994 1995
1996
1998
2000
Während die Stammlinie Windows 3.x, inzwischen mit Netzwerkfunktionen ausgestattet als Windows für Workgroups 3.11 auf dem Markt, weiterentwickelt wurde, ist die erste NT-Version fertig. Sechs Jahre hatte Dave Cuttlers Team gebraucht, um Windows NT 3.1 fertig zu stellen. Die Versionsnummer wurde der Windows-Linie angepasst, die Version 3.1 war intern eine 1.0. Die Oberfläche ähnelte der von Windows 3.1. Ein Jahr später erschien Windows NT 3.5 und kurz danach die Version 3.51, die sich optisch an Windows 3.11 anpasste. Windows 3.11 wurde dagegen kurze Zeit später gegen das lange angekündigte Windows 95 ausgetauscht. Diese Version wurde mit einem bis dahin kaum vergleichbaren Werbeaufwand auf den Markt gebracht und erwies sich als ein weiterer, sehr erfolgreicher Wurf. Im August 1996 kam Windows NT 4.0 auf den Markt, neben vielen technischen Verbesserungen auch mit der von Windows 95 her bekannten Oberfläche. NT war deutlich stabiler und ausgereifter als Windows 95, was sich nicht zuletzt in den viel längeren Produktzyklen widerspiegelte. So erschien schon 1998 eine weitere Windows-Version: Windows 98. Es dauert noch einmal zwei Jahre, bis auch Windows NT ein grundlegendes Update erfuhr: Windows 2000. Alle Betriebsysteme, die es in dieser langen Zeit mit DOS und Windows aufnahmen, sind inzwischen bedeutungslos. Lediglich in den Schutzzonen der Universitäten wurde Unix gepflegt. Daneben entstand Mitte der Neunziger das freie Derivat Linux (ein Kunstwort aus dem Vornamen des Entwicklers Linus Torwalds und Unix). Dieses System dürfte am ehesten eine Alternative zu Windows sein, wenngleich es bis zur Gesamtleistung der modernen Windows-Produktfamilie noch ein weiter Weg ist.
1.3 Die Windows-Produktpalette heute _______________________________________ 41 Abbildung 1.3: Windows 95, erstmals mit frei beweglichen Fenstern und dem bis heute erhaltenen Startmenü
Trotz Windows 2000 und dem Versprechen, die Entwicklungslinien zusammenzuführen, erschien 2000 ein weiterer Nachfolger der Windows 9x-Reihe, Windows Me. Me steht für Millennium Edition. Die Bezeichnung »Edition« ist Programm, denn die Änderungen sind marginal und der Umstieg lohnte sich für viele Windows 98-Anwender kaum. Das Ende der Windows 9x/Me-Produktlinie, die noch auf DOS ba- 2001 siert, ist im Jahr 2001 eingeläutet worden. Der Nachfolger Windows XP erschien in zwei Versionen, eine als Home Edition bezeichnete soll Windows 98/Me ablösen, eine weitere mit dem Zusatz Professional vervollkommnet das bereits sehr gute Windows 2000 Professional. Neu ist bei letzterer auch eine Version mit Unterstützung für 64-BitProzessoren wie dem Intel Itanium. 2003 erscheint die neue Serverfamilie Windows Server 2003. Sie ist ein- 2003 gebettet in .Net der neuen strategischen Initiative von Microsoft. In unserem Buch Windows Server 2003 werden die Standard- und die Enterprise Edition im Unternehmenseinsatz behandelt.
1.3
Die Windows-Produktpalette heute
Nach der geschichtlichen Entwicklung soll überblicksartig die derzeitig erhältliche Windows-Produktpalette vorgestellt werden. Die Arbeitsplätze erfahren derzeit die Migration von Windows 2000 oder Windows XP auf Windows Vista. Mit der internen Versionnummer 6.0 zeigt sich deutlich, dass Vista zwar seine Familie kennt, aber neue »major release« darstellt. Während der Entwicklung haben die Programmier den Windows XP Code über Bord geworfen und die Quell-
42 ______________________________________________________________1 Einführung codes von Windows Server 2003 weiterentwickelt. Vista ist somit ein »Kind« der Serverfamilie - denn Windows Server 2003 trägt die interne Nummer 5.2 - und nicht von Windows XP (5.1). Dazu werden in den kommenden ein bis zwei Jahren noch einige grundlegende Änderungen im Bereich der Serverfamilie zu beobachten sein. So steht die Windows Server 2007 schon in den Startlöchern. Bereit, Vista als Client optimal zu bedienen.
1.3.1 Windows XP
Windows Vista
Vista für den Arbeitsplatz die Versionen
Seit Windows XP wird zwischen Varianten für Geschäftskunden und für Privatleute unterschieden die Professional und die Home Edition. Zwei weitere Versionen spielten eine Nebenrolle, die Tablet PC Edition und die Media Center Edition. Als Einstieg in die 64-Bit-Architektur unterstützt XP Professional die Intel Itanium-Prozessorfamilie. Bei Vista erweitert Microsoft das Spektrum: Es gibt sechs verschiedene Editionen. Alle Editionen sind für 32-Bit und 64-Bit Systeme verfügbar. Die einzige Ausnahme bildet die Windows Vista Starter-Edition, die es nur als 32-Bit Version gibt.
Die Übersicht
Vista Home für Privatanwender
Vista Business für Geschäftskunden
Windows Vista Starter Es handelt sich um eine abgespeckte Version, die nur maximal drei Programme ausführen kann. Für Entwicklungsländer konzipiert und um der Software-Piraterie zu begegnen, wird diese Fassung in unseren Breiten nicht ausgeliefert. Windows XP kannte mit der Windows XP Starter Edition einen ähnlichen Ableger. Windows Vista Home Basic Die Home Basic ist genau wie die Starter eine sehr minimalistische Version, die auf aufwändige Grafikunterstützung verzichtet. Sie ist somit für Multimedia-Funktionen ungeeignet. Windows Vista Home Premium Der offizielle Nachfolger der Windows XP Home Edition enthält alle Funktionen, die für private Anwender interessant sind. Die bisher separat erhältlichen Produkte Media Center Edition (MCE) und Tablet PC Edition sind in der Home Premium enthalten. Mit dem Windows DVD Maker ist ein Programm zum Erstellen von DVDs vorhanden. Grafikseitig weiß diese Version auch etwas mit High-Definition Television (HDTV) anzufangen. Stark beschnitten sind vor allem die Integrationsfähigkeiten in Unternehmens-Netzwerke. So kann ein PC mit Home Premium nicht Mitglied einer Domäne werden. Windows Vista Business Für den geschäftlichen Einsatz ausgelegt, ist die Business an Firmen adressiert. Sie enthält die Einbindung in Unternehmensnetz-
1.3 Die Windows-Produktpalette heute _______________________________________ 43 werke und stellt Entwicklern die neue Version des Internet Information Servers (IIS) zur Verfügung. Somit stellt Business den Nachfolger von XP Professionell dar. Windows Vista Enterprise Vista Enterprise für Mit Enterprise zu Deutsch Unternehmen spricht Microsoft Großkunden Großkunden an. Diese Variante von Windows Vista erlaubt unter anderem die komplette Verschlüsselung von Datenträgern zum Schutz der entsprechenden Daten (Bitlocker). Ein Subsystem für UNIX-Applikationen (SUA) steht genauso zur Verfügung wie die Unterstützung zur Ausbringung mehrsprachlicher Systemimages (MUI). Windows Vista Ultimate Die »ultimative« Version von Vista! Zu beschreiben wäre sie auch mit dem Titel »Einzige Vollversion«, denn sie enthält alle Funktionen der vorher genannten Versionen und mehr. So wird das beliebte Podcasting unterstützt, das Microsoft für sich in »blogcasting« umbenannte. Zielgruppe dieser Versionen sind PC-Enthusiasten, Besitzer von High-End PC und PC-Spielern, die das Optimum aus ihren Maschinen herausholen wollen.
1.3.2
Was ist neu?
In der nachfolgenden Auflistung finden Sie die Teilbereiche mit Neuerungen, die mit Vista Einzug gehalten haben oder verbessert wurden. Dazu werden auch die Seiten angegeben, auf denen Sie tiefer gehende Informationen zu den angegebenen Funktionen im vorliegenden Buch finden. Die Ultimate-Edition ist absichtlich nicht mit aufgeführt, denn sie einhält alle Funktionen. Funktion
Home Basic
Home Premium
Business
Enterprise
MultiprozessorUnterstützung Maximaler Speicherausbau (32/64Bit) in GigaByte
Seite
52
(4/8)
(4/16)
(4/>128) (4/>128)
Mehrsprachiges Userinterface
406
Benutzerkontensteuerung
281
Windows Defender
847
Tabelle 1.1: Vistas Neuerungen
44 ______________________________________________________________1 Einführung Funktion
Home Basic
Home Premium
Business
Enterprise
Seite
Windows Firewall
843
Internet Explorer 7 (Geschützter Modus und Phishing-Filter)
993
Jugendschutz
1000
Windows Bitlocker
567
Dateiverschlüsselung (EFS)
660
Sicherungsaufträge
245
Sicherung Komplett-PC
245
Schattenkopien
454
EasyTransfer
86
Farbschema Vista Basic
130
Farbschema AERO
130
Windows Flip/Flip3D
125
Windows Sidebar
417
Spracherkennung
-
Leistungsbewertung
445
Grafiktreibermodell WDDM/DirectX 10
55
Windows ReadyBoost
524
1.3 Die Windows-Produktpalette heute _______________________________________ 45 Funktion
Home Basic
Home Premium
Business
Enterprise
Seite
Windows SuperFetch
524
Windows ReadyDrive
393
Domänenmitgliedschaft
898
Verbesserte WLANUnterstützung
901
IPv6Unterstützung
765
Internet Information Server 7
1037
Netzwerk- und Freigabecenter
855
Netzwerkzugriffsschutz
842
Next-Generation TCP/IP Stack
792
Remote Desktop
Kein Server
Kein Server
Präsentationsmodus
931 396
WindowsMobilitäts Center
partiell
partiell
396
SynchronisationsCenter
offline
Offline
407
WindowsKalender
1034
Windows DVD Maker
1122
Windows-Fax und -Scan
384
Windows Mail
1011
46 ______________________________________________________________1 Einführung Funktion
Enterprise Edition
Home Premium
Business
Enterprise
Seite
Windows Media Center
1083
Windows Media Player 11
1123
Windows Movie Maker
1138
WindowsFotogalerie
1149
Windows Sideshow
148
1.3.3
Standard Edition
Home Basic
Die Windows-Serverfamilie
Die Windows-Serverfamilie steht, wie aktuell die Desktop-Betriebssystemfamilie, vor einem großen Umbruch. Im Jahr 2003 erschien die Serverfamilie Windows Server 2003, welche die Windows 2000-basierten Versionen an vielen Standorten ersetzt hat. Derzeit ist die Entwicklung des Windows Server 2007 in vollen Zügen. Dieser Server mit Codename »Longhorn« soll das serverseitige Gegenstück zu Vista darstellen. Die bislang noch aktuelle Windows 2003 Serverfamilie mit ReleaseStand R2 besteht hauptsächlich aus den folgenden Mitgliedern: Windows Server 2003 R2 Standard Edition Diese Grundversion bringt bereits alle wesentlichen Funktionen mit und kann in Unternehmensnetzwerken als leistungsfähige Serverplattform eingesetzt werden. Ein mit dieser Version laufender Server kann dabei als Domänencontroller im Verzeichnisdienst Active Directory, als Mitglieds- und als Anwendungsserver laufen. Hinzu kommen spezielle Netzwerkfunktionen wie die zur Integration in heterogene Netzwerkumgebungen oder Routingfunktionen, die beispielsweise zur Verbindung von Netzwerken oder zur Kopplung eines Netzwerks an das Internet benutzt werden können. Enthalten ist hier außerdem der Internet Information Server, mit dem Sie einen professionellen Webserver realisieren können. Neben dem Hosting von Websites sind damit auch FTP- und Mailserverdienste verfügbar. Windows Server 2003 R2 Enterprise Edition Diese Version bietet neben dem vollen Funktionsumfang der oben beschriebenen einige zusätzliche Merkmale, die den Einsatz vor al-
1.3 Die Windows-Produktpalette heute _______________________________________ 47 lem in Umfeldern gestattet, wo es auf eine hohe Serverleistung und/oder eine hohe Verfügbarkeit ankommt. Windows Server 2003 R2 Enterprise Edition unterstützt Physikalische Address Erweiterung (PAE), mit dessen Hilfe sich der physikalische Arbeitsspeicher auf bis zu 32 Gigabyte (GB) auf 32-Bit Systemen(!) erweitern lässt. Gleichzeitig können sich bis zu acht Prozessoren die Arbeit mit symmetrischem Multiprocessing (SMP) teilen. Hinzu kommen Funktionen, die den Zusammenschluss mehreres Server Enterprises Systeme zu Clustern gestatten, um entweder eine höhere Gesamtleistung oder eine ausfallsichere Konfiguration zu erreichen. Diese Funktionen zur Leistungssteigerung durch Cluster werden vor allem im Bereich professioneller Webserver benötigt, die ein hohes Aufkommen an Clientanfragen bewältigen müssen. Die unterschiedlichen Merkmale der Standard und Enterprise Edition sind in unserem Buch Windows Server 2003 Einrichtung und Administration von Unternehmensnetzen mit Standard und Enterprise Edition beschrieben. Windows Server 2003 R2 Datacenter Edition Diese Spezialfassung ist der Nachfolger Datacenter Server 2000Version und wird nur über bestimmte Hersteller von Hochleistungs-Serversystemen zusammen mit der Hardware vertrieben. Diese leisten auch dann den entsprechenden professionellen Support. Hier handelt es sich wirklich nicht mehr um »normale« Serversysteme, sondern um Gesamtlösungen, die meist im Datenbankbereich angesiedelt sind. Typische Kunden sind Banken, Versicherungen oder große Fluggesellschaften. Die Datacenter Server-Version x64 kann für Hardware mit bis zu 64 Prozessoren und bis zu 1 Terabyte (TB) RAM angepasst werden. Als Speichersysteme kommen in der Regel keine normalen Festplatten mehr zum Einsatz, sondern aufwändige Hardware-RAIDLösungen, bei denen eine große Anzahl von Festplatten zusammengeschaltet wird. Die Anbindung an den Server erfolgt dann meist über teure und sehr schnelle Bussysteme (wie beispielsweise I2O), wie sie auch bei Mainframes (Großrechenanlagen) verwendet werden. Auf Basis der oben genannten Server-Versionen, vor allem von Windows 2003 Enterprise Server, gibt es von Microsoft eine Reihe spezieller Lösungen. Diese hier aufzuzählen und zu erläutern würde sicher zu weit führen. Sie finden umfassende Produktinformationen dazu auf der folgenden Website von Microsoft: www.eu.microsoft.com/germany/server Erwähnenswert in diesem Rahmen ist noch der Small Business Server. Dabei handelt es sich in der aktuellen Version um ein Bundle, bei dem eine angepasste Fassung des Windows Server 2003 Standard Edition um weitere Serverprodukte und zusätzliche Tools komplettiert worden ist. Mit an Bord sind unter anderem der Exchange Server 2003, die
Datacenter Edition
Spezielle Serverlösungen
Small Business Server
48 ______________________________________________________________1 Einführung Unternehmens-Firewall ISA-Server (Internet Security and Acceleration Server) sowie der SQL Server. Bislang existieren zwei Editionen, die Standard und die Premium Edition. Weitere Informationen finden Sie hier: www.microsoft.com/germany/windowsserver2003 www.microsoft.com/windowsserver2003/sbs
1.3 Die Windows-Produktpalette heute _______________________________________ 49
2 2 Installation Selbst wenn die Installation von Windows Vista bemerkenswert einfach ist, sollten Sie vor Beginn einige Hinweise beachten und nicht ohne eine durchdachte Planung anfangen, wenn Sie ein optimal eingerichtetes System erhalten wollen. Soll eine größere Anzahl an Arbeitsstationen installiert werden, bietet Vista neue Methoden für die Verteilung.
50 ______________________________________________________________ 2 Installation
Inhaltsübersicht Kapitel 2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11
Überlegungen zur Hardware ........................................ 51 Gedanken zum Installationsverfahren ........................ 55 Inhalt der Installations-DVD ......................................... 56 Installation starten .......................................................... 57 Die weiteren Installationsschritte ................................. 63 Windows Vista-Produktaktivierung............................ 68 Automatisierte Installation............................................ 72 Optimierung nach der Installation............................... 83 Übertragen von Dateien und Einstellungen ............... 86 Windows Update ............................................................ 93 Umgang mit Service Packs ............................................ 98
2.1 Überlegungen zur Hardware_____________________________________________ 51
2.1
Überlegungen zur Hardware
Windows Vista ist hinsichtlich seiner Anforderungen an die Hardware eines PC-Systems ähnlich anspruchsvoll wie Windows XP. In diesem Abschnitt finden Sie Informationen zur optimalen Hardwarekonfiguration einer professionellen Arbeitsstation.
2.1.1
Das Windows Vista Logo Programm
Microsoft veröffentlicht die Hardwareanforderungen nicht mehr wie seit Windows 2000 in einer Hardwarekompatibilitätsliste (HCL). Stattdessen wurde das Vista Logo Programm ins Leben gerufen, das zurzeit in der Version 3.0 vorliegt. Hersteller können sich ihre Geräte zertifizieren lassen und dann mit dem entsprechenden Logo versehen. Es gibt zwei verschiedene Stufen für neue PCs: Basis Level In dieser unteren Stufe befinden sich Systeme, die auch als Windows Vista Capable PC bezeichnet werden. Sie erfüllen die grundsätzlichen Anforderungen in Sachen Sicherheit, Zuverlässigkeit und Informationsmanagement. Dazu gehört die Fähigkeit Technologien, die im geschäftlichen Bereich gefragt sind, zu unterstützen. Als Beispiel sei der Beitritt zu einer Domäne genannt, der bei der Business und Enterprise Edition eine entscheidende Rolle spielt. Bestimmte Funktionen in Vista brauchen aber eine erweiterte oder zusätzliche Hardware. Dennoch genügen alle Rechner, die das Logo »Designed for Windows XP« beziehungsweise »Designed for Windows XP x64« haben mindestens dieser Klassifizierung. Premium Level Auf oberer Stufe sind die Windows Vista Premium Ready PC genannten Systeme angesiedelt. Sie ermöglichen dank der besseren Ausstattung ein flüssiges Arbeiten unter Einbeziehung der neuen Grafikfunktionen, wie transparente Fenster und Taskumschaltungen in 3-D.
2.1.2
Hardware-Voraussetzungen
Bevor es um konkrete Tipps für die optimale Hardware-Ausstattung eines Computers für Windows Vista geht, werden in den nachfolgenden Abschnitten die einzelnen Kategorien grundsätzlich betrachtet.
Prozessor Um das Windows Vista Capable PC Logo zu erhalten, muss der Prozessor mindestens mit einer Taktfrequenz von 800 MHz laufen. Herzstück eines Vista Ready PCs muss ein gängiger 32-Bit (x86) oder 64Bit-Prozessor (x64-Architektur) sein, der mindestens eine Taktrate von 1 GHz aufweist.
Windows Vista Capable PC
Windows Vista Premium Ready PC
52 ______________________________________________________________ 2 Installation In Frage kommen dazu die Prozessoren der Hersteller Intel, AMD und VIA. Die Hersteller haben unterschiedliche Produkte für den Desktop und den mobilen Bereich im Angebot. Hier eine Übersicht über empfohlene Prozessoren: Tabelle 2.1: Empfohlene Prozessoren
Einsatzbereich
Intel
AMD
VIA
Desktop
Intel Pentium 4 Processor 600 sequence mit HT
AMD Athlon 64
VIA C7
Mobil
Intel Core Duo
AMD Sempron 64
Mobile AMD Athlon
VIA C7-M
Mobile AMD Turion EntwicklerWorkstation
Intel Xeon Dual Core
AMD Opteron Dual Core
Intel
Diese Tabelle erhebt keinen Anspruch auf Vollständigkeit. Da das Geschäft gerade bei den Chipherstellern sehr schnelllebig ist und ständig neue Innovationen auf den Markt geworfen werden, fügen wir die Links zu den Herstellern an: www.intel.com/business/bss/products/client/vistasolutions/index.htm
AMD
www.amd.com/us-en/Processors
VIA
www.via.com.tw/en/products/vista/cpu.jsp
Mehrere Prozessoren
Windows unterstützt mehrere Prozessoren für symmetrisches Multiprocessing. Zwei gleiche Prozessoren (Typ und Taktfrequenz) teilen sich dabei die Arbeit und greifen auf denselben Hauptspeicher zu. Insbesondere bei rechenintensiven Anwendungen kann damit eine Steigerung der Gesamtperformance erreicht werden. Voraussetzung ist allerdings, dass die Anwendung einzelne Arbeitsschritte parallel in verschiedenen Threads ausführt. Anderenfalls kann das Betriebssystem die Abarbeitung nicht parallel durchführen, sondern wird den einzelnen Thread nur einem Prozessor zuordnen. In so einem Fall profitiert nur das Ansprechverhalten des Systems an sich etwas, da Betriebssystem-Threads dann auf dem anderen Prozessor laufen können. Mit der massenweisen Verfügbarkeit der Pentium 4 HT-Prozessoren kann Multiprozessor-Feeling nun auch auf Allerwelts-PCs aufkommen. CPUs mit Hyper-Threading (HT) verfügen allerdings nicht in einem Prozessor-DIE über doppelt ausgeführte Recheneinheiten. Vielmehr werden im Prozessor durch eine Verdoppelung der Registersätze sowie einiger Steuereinheiten einschließlich der Interruptcontroller zwei logische CPUs implementiert. In der Praxis lassen sich so bis zu 35 Prozent Mehrleistung herausholen (Angabe von Intel). Voraussetzung ist allerdings, dass die parallele Abarbeitung mehrerer Threads überhaupt möglich ist. Dazu müssen die Anwendungen entsprechend programmiert worden sein.
CPUs mit HyperThreading
2.1 Überlegungen zur Hardware_____________________________________________ 53 Die neuesten CPUs sowohl von Intel als auch AMD verfügen über Multicore-CPUs echte Mehrprozessorfähigkeiten. Im Gegensatz zum Hyperthreading sind hier tatsächlich die Hauptbestandteile der CPU mehrfach implementiert. Im Desktop-Bereich dominieren momentan bei dieser Prozessorgattung die Dual-Core-CPUs mit zwei Kernen. Herkömmliche Ein-Kern-Prozessoren werden demzufolge jetzt mit Single-Core-CPU bezeichnet. Trend ist, noch mehr Instanzen von Betriebssystemkernen (Cores) zu implementieren, die dann die Bezeichnung Multicore-CPUs tragen.
Hauptspeicher Ein Zuviel an Hauptspeicher (RAM) gibt es nicht. PCs der Basis-Klasse Nichts geht über sollten 512 MB mitbringen. Diese 512 MB sollten allein dem Betriebs- Hubraum! system zustehen. OnBoard-Grafikkarten, die sich ihren Arbeitsspeicher vom Hauptspeicher »borgen«, sollten gegebenenfalls im BIOS deaktiviert werden. Die Premium-Klasse muss wenigstens 1 GB mitbringen. Für den professionellen Einsatz in der grafischen Bildverarbeitung dürfen es auch gerne 4 GB und mehr sein. Die RAM-Preise sind seit einiger Zeit erfreulich niedrig und lassen dies zumindest aus finanzieller Sicht häufiger zu als die Hardware selbst. Manche Desktop-Mainboards unterstützen nämlich weniger als 4 GB. Dann ist oft schon bei 1,5 oder 2 GB Schluss.
Festplattenspeicher Vista wird, wie alle seine Vorgänger, bei knappem Hauptspeicher zu ständigem Auslagern auf die Festplatte übergehen. Hier bringt eine Vergrößerung des Hauptspeichers mehr, als eine besonders schnelle Platte wieder hereinholen könnte. Die Minimal-Voraussetzungen für Basis-PCs sind mit 20 GB und 15 GB freiem Speicher recht moderat. Die Premium-PCs müssen 40 GB für die Installation und ebenfalls 15 GB freien Speicherplatz mitbringen. Im Zeitalter von erschwinglichen 160 GB oder 300 GB großen Festplatten sollte das kein Hindernis darstellen. Für den Workstation-Einsatz reichen zumeist moderne, schnelle ATAFestplatten aus. Allerdings empfehlen sich hier Modelle ab 7 200 Umdrehungen pro Minute. SCSI-Festplatten ab 10 000 Umdrehungen erreichen noch höhere Leistungswerte bei gleichzeitig geringerer Belastung für die CPU, sind aber auch entsprechend teurer. Eine günstigere Alternative bietet sich mit den immer weiter verbreiteten S-ATA-Festplatten an. In Abschnitt Serial ATA ab Seite 507 finden Sie einen Überblick über die wichtigsten technischen Merkmale sowie den Vergleich mit dem herkömmlichen ATA. Neben der eigentlichen Geschwindigkeit und Größe der Festplatte sollte vor allem die Aufteilung, sprich Partitionierung, eine Rolle in Ihren Überlegungen spielen. Hier können Sie aufgrund der professionellen Features, die in Windows Vista implementiert sind, einiges an
ATA
S-ATA
Partitionierung vor der Neuinstallation planen
54 ______________________________________________________________ 2 Installation Flexibilität und Geschwindigkeit gewinnen, wenn Sie sich vor der Installation Gedanken über die Aufteilung Ihrer Festplatten machen. Bei Verwendung von einer einzigen Festplatte im System ist eine Einteilung zu empfehlen, wie sie in der folgenden Abbildung zu sehen ist. Abbildung 2.1: Empfohlene Einteilung bei einer einzigen Festplatte
Dynamische Veränderung von Datenträgern
Mit der Einrichtung der Auslagerungsdatei in einer separaten SWAPPartition am physischen Festplatten-Anfang erreichen Sie eine höhere Performance für Auslagerungsvorgänge, da üblicherweise Festplatten in diesem Bereich am schnellsten sind. Windows Vista unterstützt, wie sein Vorgänger Windows XP und 2000, die dynamische Datenträgerverwaltung. Die dynamische Datenträgerverwaltung von Windows Vista ist standardmäßig aktiviert. Das Dateisystem NTFS wird vorausgesetzt. Dynamische Datenträger können Sie jederzeit durch die Addition weiterer physischer Festplatten erweitern. Wird beispielsweise Ihr Daten-Volume zu klein, können Sie durch Installation einer weiteren Festplatte das Volume nachträglich und ohne Datenverluste vergrößern. Besonders erfreulich ist die Tatsache, dass Vista im Gegensatz zu allen Vorgängern in der Lage ist, die System- und Startdatenträger nachträglich zu erweitert. Noch besser: Bestehende Partitionen können - und das dürfte viele Administratoren erfreuen auch wieder verkleinert werden. Das gilt auch für Start- und Systempartitionen! Für die Swap-Partition ist eine Größe von 1 bis 2 GB meist ausreichend, für die Start-Partition sind mindestens 20 GB zu veranschlagen. Den Rest der Festplatte teilen Sie dann gleich auf oder lassen ihn brach liegen. Über die Datenträgerverwaltung können Sie dessen Einteilung später jederzeit vornehmen. Die technischen Grundlagen der dynamischen Datenträgerverwaltung können Sie in Abschnitt 10.4 Dynamische Datenträger ab Seite 533 nachlesen. Die Einrichtung und Administration von Datenträgern sind Inhalt des Kapitels 12
Netzwerkhardware Signierte Treiber verwenden
Bei einer Umstellung von einem älteren Windows-System auf Windows Vista empfiehlt sich der konsequente Einsatz von PCI-Karten beziehungsweise PCIe-Karten. 100MBit- und 1GBit-Netzwerkkarten bieten genug Bandbreite im Desktop-Bereich. Hinsichtlich des Einsatzes mehrerer PCI-Karten auf einem ACPI-System ist insbesondere zu beachten, dass es durch unsaubere Treiber zu einem instabilen System kommen kann. Die ACPI-Implementierung von Microsoft in Windows
2.2 Gedanken zum Installationsverfahren_____________________________________ 55 Vista erzwingt meist einen gemeinsamen Interrupt für PCI-Geräte und benötigt damit absolut sicher laufende Treiber.
Grafikkarte Eine besondere Bedeutung kommt bei Windows Vista der Grafikkarte AGP oder PCIe zu. Hier trennt sich die Spreu vom Weizen, denn für die »einfachen« empfohlen Systeme wird lediglich eine DirectX 9-fähige Grafikkarte benötigt. Für Premium-Geräte sind die Eigenschaften näher definiert. 128 MB Grafikspeicher, 32 Bit pro Pixel und Pixel Shader 2.0 in der Hardware sind nötig um Vistas Benutzeroberfläche auch in den AERO Glass-Modus zu versetzen. Ein WDDM (Windows Display Driver Model)-Treiber ist für alle Grafikkarten empfehlenswert. AGP (Accelerated Graphics Port) und PCIe (PCI-Express) sind gängige Busspezifikationen für Grafikkarten. Falls noch nicht geschehen, sollten Sie bei der Überlegung für den Umstieg auf Vista gleich Ihre Grafikhardware auf den neuesten Stand bringen einmal davon abgesehen, dass auch diese in sechs Monaten wieder völlig veraltet sein wird. Die Hersteller Intel, ATI, NVIDIA, S3 und VIA stellen aktuelle Graphics Processor Units (GPUs) mit WDDM-Unterstützung her.
CD/DVD-Laufwerk Da Vista im Allgemeinen in einem Paket, das alle Editionen enthält, auf DVD verfügbar ist, empfiehlt sich für die lokale Installation der Einbau eines DVD-Laufwerks. Ist der Einbau oder die Nachrüstung eines DVD-Laufwerks nicht möglich, muss auf die CD-Ausgaben einzelner Editionen zurückgegriffen werden. Zur Nutzung des integrierten Programms DVD Maker, beschrieben ab Seite 1113, ist ein DVD-Brenner natürlich Pflicht.
2.2
Gedanken zum Installationsverfahren
Bevor es konkret an die Installation von Windows Vista geht, sollten noch ein paar Gedanken den Möglichkeiten gewidmet werden, die Sie zur Installation haben. Das betrifft die Frage nach den Updatemöglichkeiten oder wie Sie die Installation möglichst schnell und effizient durchführen können.
2.2.1
Update oder Neuinstallation?
Microsoft beschreibt das Update von Windows XP auf Vista. Das Update von bereits abgekündigten Betriebssystemen (Windows 95/98, Windows NT, Windows 2000) sollte einer eingehenden, kritischen Prüfung unterzogen werden, weil seit Einführung dieser Systeme einige Zeit vergangen ist. Die Hardware hat sich seither stark verändert und Treiberunterstützung für obsolete Geräte ist nicht von allen Herstellern zu erwarten.
56 ______________________________________________________________ 2 Installation Entscheidend für den Erfolg einer Vista-Installation ist die gründliche Überlegung, ob ein Update einer bestehenden Windows-Installation oder eine Neuinstallation der bessere Weg ist. Sie sollten beachten, dass Windows Vista kein »Uninstall« kennt. Einmal als Update installiert, gibt es keinen Weg zurück. Im schlimmsten Fall kann so eine zuvor gut funktionierende Konfiguration zerstört werden. Sichern Sie deshalb besser Ihre alte Startpartition mit einem Tool wie beispielsweise Norton Ghost oder Drive Image. Im Falle eines fehlgeschlagenen Updates können Sie so die alten Strukturen vollständig wiederherstellen und dann doch noch eine Neu- oder Parallelinstallation vornehmen.
Update-Probleme vorher erkennen Ein interessantes Programm zur Überprüfung der Updatefähigkeit ist das Upgrade Advisor Tool, das von Microsofts Get Ready-Webseite heruntergeladen werden kann.
Vorteile einer Neuinstallation Besser: Neuinstallation
Falls irgend möglich, sollten Sie einer Neuinstallation von Windows Vista den Vorzug geben. Dabei macht es Sinn, gleich die bisher verwendete Hardware einer kritischen Prüfung zu unterziehen und hoffnungslos veraltete Komponenten wie beispielsweise ISA-Karten auszutauschen. Zum Lohn erhalten Sie ein System, das frei von »Treiberleichen« und rudimentär deinstallierten Programmen ist.
2.3
Inhalt der Installations-DVD
Die Installations-DVD der aktuellen Vista-Editionen enthält neben den Dateien für das Setup einige weitere recht interessante Informationsquellen und Hilfsprogramme. Die folgende Tabelle zeigt ein Abbild der aktuellen Microsoft-DVD. Tabelle 2.2: Inhalt der Windows Vista DVD
Verzeichnis
Inhalt
\BOOT
Dieser Ordner enthält Bootinformationen. BOOTSECT.EXE ist das vistaeigene Wiederherstellungswerkzeug.
\DOCS
Hier befinden sich Beispiele für XML-Dateien zur automatischen Installation.
\EFI\MICROSOFT\BOOT Enthält Information für Boot Configuration Data (BCD), dem Vista-Bootloader. \SOURCES
Die Installationsdateien sind hier untergebracht.
2.4 Installation starten _____________________________________________________ 57 Verzeichnis
Inhalt
\SUPPORT
Im Unterordner MIGWIZ befindet sich ein Assistent zur Übertragung von Benutzerdaten auf ein anderes System. Der Unterordner TOOLS enthält das Programm GBUNICNV.EXE. Dieser Konverter setzt Text- und HTML-Dateien in Unicode um. Er funktioniert in beide Richtungen.
\UPGRADE\NETFX
2.4
Pakete zum Installieren des .NET Frameworks sind hier zu finden.
Installation starten
Für die Installation von Windows gibt es verschiedene Möglichkeiten. Diese reichen von einer einfachen Installation über ein bootfähiges CD bzw. DVD-ROM-Laufwerk bis hin zur vollautomatisierten Installation mit einer bootfähigen Netzwerkkarte.
2.4.1
Überblick über mögliche Verfahren
In diesem Abschnitt wollen wir Ihnen alle Möglichkeiten kurz vorstellen, um Ihnen eventuell bei der Auswahl des für Sie optimalen Verfahrens helfen zu können. Installation über Aufruf des Setups unter Windows Die einfachste Variante zur Installation bietet sich an, wenn Sie Windows Vista auf einem Computer installieren wollen, auf dem bereits Windows XP läuft. Von hier aus können Sie sowohl ein Upgrade eines bestehenden Systems als auch eine Neuinstallation starten. In Abschnitt 2.4.2 Start der Installation unter Windows ab Seite 58 wird das Vorgehen dazu näher betrachtet. Installation über ein bootfähiges CD- bzw. DVD-ROM-Laufwerk Windows Vista wird auf bootfähigen CDs bzw. DVDs geliefert. Betrachtet wird im Weiteren die Installation von einer DVD. Die Installation von CD ist identisch. Kann Ihr Computersystem den Bootvorgang über eine DVD durchführen, steht der einfachen Installation meist nichts mehr im Wege. Nach Aktivierung der entsprechenden Boot-Sequenz im BIOS-Setup wird beim Systemstart das Setup direkt von der DVD geladen und die Installation kann beginnen. Weitere Hinweise zum Installationsvorgehen über ein bootfähiges DVD-ROM-Laufwerk finden Sie in Abschnitt 2.4.3 Installation mit bootfähigem CD-Laufwerk ab Seite 59. Start des Setups über XP-Startdisketten Die Installation über Disketten wird nicht mehr unterstützt, weil viele Systeme gar nicht mehr über ein Diskettenlaufwerk verfügen. An ihre Stelle sind USB-Flash-Laufwerke getreten.
Autostart des Installationsmediums
DVD oder CD-ROM
Startdisketten
58 ______________________________________________________________ 2 Installation SETUP.EXE
Netzwerk
Automatisch
Installation über den Aufruf von /SETUP.EXE Das eigentliche Setup-Programm befindet sich im Ordner der Installationsdateien auf der DVD. Bei einem PC, der nicht über ein bootfähiges CD-ROM-Laufwerk verfügt oder bei der die Installationsdateien bereits lokal auf der Festplatte vorliegen, können Sie das Setup über den Aufruf von SETUP.EXE starten. Das Programm kann über eine Reihe von zusätzlichen Optionen für einen angepassten Installationsvorgang beeinflusst werden. Die Optionen und weitere Hinweise zum Ausführen dieser Programme finden Sie in Abschnitt 2.4.4 Installation mit SETUP.EXE ab Seite 61. Installation über das Netzwerk Für die Installation von Vista auf Netzwerk-Arbeitsplatzrechnern bieten sich verschiedene Wege an. In Abschnitt Aufruf über das Netzwerk ab Seite 62 werden Ihnen diese vorgestellt und Hinweise für deren effektive Nutzung gegeben. Automatisierte Installation Während die vorangegangenen Methoden eher etwas für Privatleute und Teilzeit-Administratoren kleinerer Netze sind, sollten sich Administratoren größerer Netze eher mit der automatisierten Installation beschäftigen. Um schnellstmöglichen Ersatz bei einem Ausfall eines Rechners zu gewährleisten, bietet Vista neue Methoden und Werkzeuge. Die wichtigsten werden in Abschnitt 2.7 Automatisierte Installation ab Seite 72 vorgestellt.
2.4.2
Start der Installation unter Windows
Wenn Sie die Installations-DVD von Windows Vista einlegen und die Autoplay-Funktion für das Laufwerk aktiv ist, wird automatisch der Willkommen-Bildschirm angezeigt (siehe Abbildung 2.2). Ist Autoplay nicht aktiv, erhalten Sie diesen Bildschirm, indem Sie von dem Installationsmedium das Programm SETUP.EXE aufrufen. JETZT INSTALLIEREN Damit starten Sie das eigentliche Installationsprogramm. Findet das Setup eine bestehende Windowsinstallation, schlägt es ein Update vor. Sie können dann entscheiden, ob ein Update der bestehenden Installation oder eine komplette Neuinstallation durchgeführt werden soll. ONLINE PRÜFEN, OB WINDOWS VISTA AUF DEM COMPUTER AUSGEFÜHRT WERDEN KANN
Wenn für die bestehende Windowsinstallation ein Internet-Zugang eingerichtet ist, können Sie im Internet überprüfen lassen, ob die Hardware Ihres Systems den Anforderungen von Vista genügt. DATEIEN UND EINSTELLUNGEN VOM ANDEREN COMPUTER ÜBERTRAGEN Nach einer Neuinstallation von Windows Vista und aller Anwendungsprogramme können Sie mit Hilfe dieses Assistenten alle Dateien und Einstellungen eines Benutzers - »das Profil« - übertragen. Das genaue Vorgehen dazu wird in Abschnitt 2.9 Übertragen von Dateien und Einstellungen ab Seite 86 gezeigt.
2.4 Installation starten _____________________________________________________ 59 Abbildung 2.2: Willkommen-Bildschirm nach Einlegen des Installationsmediums
Der weitere Ablauf der Installation wird in Abschnitt 2.5 Die weiteren Installationsschritte ab Seite 63 beschrieben.
2.4.3
Installation mit bootfähigem CD-Laufwerk
Die Installationsmedien (CD oder DVD) von Windows Vista sind startfähig. Die Installation sollte somit auf Standard-PCs kein Problem darstellen.
Installation auf PCs mit ATA-/ATAPI-Interface Verfügt Ihr PC ausschließlich über CD-ROM und Festplatten mit ATA- beziehungsweise ATAPI-Interface sowie ein moderneres BIOS, steht einer einfachen Installation nichts im Weg. Das BIOS muss lediglich die Einstellung der folgenden Systemstartreihenfolge ermöglichen: 1. CD/DVD-ROM 2. Laufwerk C (beziehungsweise die Boot-Festplatte) Die Startreihenfolge stellen Sie im BIOS Ihres PCs ein. In das BIOS gelangen Sie unmittelbar beim Start des Computers (Kalt- oder Warmstart), indem Sie eine bestimmte Taste drücken (meist die Taste Entf oder F2). Speichern Sie diese Einstellung im BIOS und starten Sie den Computer neu. Die Windows Installations-DVD muss sich im Laufwerk befinden. Drücken Sie eine Taste, wenn die entsprechende Aufforderung
Startreihenfolge Einstellung im BIOS
Neustart und Taste für Start von CD drücken
60 ______________________________________________________________ 2 Installation am Bildschirm erscheint, damit der Startvorgang von der CD beginnen kann. Während eines normalen Installationsverlaufs darf der Start direkt von der CD nur ein einziges Mal erfolgen. Bei den mehrmalig notwendigen Neustarts während der Installation sollten Sie später keine Taste mehr drücken, damit der Startvorgang dann über die Festplatte erfolgt und von dort das Windows Vista-Setup fortgesetzt werden kann. Abbildung 2.3: Beispiel für ein PCBIOS mit der Starteinstellung (hier: zuerst Wechseldatenträger wie Disketten, dann CD-ROM, danach Festplatte)
Installation auf PCs mit SCSI-Interface Reine SCSI-Umgebung
DVD am IDE-Kanal
Verfügt Ihr System über einen SCSI-Hostadapter für die Ansteuerung der Festplatten und des DVD-ROM-Laufwerks, bleibt nur der Weg über das BIOS des SCSI-Adapters. Unterstützt dieses das Booten von CD, haben Sie gewonnen. Auf den verbreiteten NCR-Adaptern, die über eine SMS-BIOS-Erweiterung des Mainboards angesprochen werden, gibt es diese Möglichkeit leider meist nicht. Das BIOS der SCSI-Controller der Firma Adaptec erreichen Sie mit Strg+A. Bei OnBoard-SCSI-Controllern verfügt das BIOS des PCs über eine entsprechende Auswahlmöglichkeit. Eine weit verbreitete Konfigurationsvariante bei professionellen PCs ist der Anschluss eines preiswerten DVD-ROM-Laufwerks an einem der heute standardmäßig auf den meisten Mainboards vorhandenen IDE-Kanäle und der Betrieb der Festplatte(n) an einem SCSI-Adapter. In einem solchen Fall haben Sie es wieder besonders leicht. Sie stellen im BIOS des PCs die Startreihenfolge wie folgt ein: 1. CD/DVD-ROM 2. SCSI
2.4 Installation starten _____________________________________________________ 61 Das weitere Vorgehen bei der Installation ist Inhalt des Abschnittes 2.5 Die weiteren Installationsschritte ab Seite 63.
2.4.4
Installation mit SETUP.EXE
Wenn Sie kein bootfähiges CD-ROM-Laufwerk zur Verfügung haben oder das Setup lokal aus dem Installationsverzeichnis \Sources starten wollen, bleibt die Möglichkeit über den Aufruf von SETUP.EXE. Diese Applikation ist das eigentliche Setup-Programm von Windows Vista und stellt das Pendant zu den aus früheren Windowsversionen bekannten Setup-Dateien WINNT.EXE bzw. WINNT32.EXE dar. Haben Sie direkten Zugriff auf das Installationsverzeichnis, ist der Zugriff auf die Aufruf des Setups über das Programm kein Problem. Die Installation Installationsdateien mit SETUP.EXE über einen Netzwerkpfad ist Inhalt des Abschnitts Aufruf über das Netzwerk ab Seite 62.
Kommandozeilen-Optionen von SETUP.EXE Die Kommandozeilen-Optionen haben folgende Syntax: Setup [/1394debug:] [usbdebug:] [debug:<port> [/baudrate:]] [/dudisable] [/emsport:<port>] [/noreboot] [/m:] [/tempdrive:] [/unattend:] Tabelle 2.3: Optionen für Schaltet das Kernel-Debugging über ei- SETUP.EXE nen Firewire Port (IEEE 1394) ein.
Option /1394debug:
Bedeutung
/usbdebug:
Schaltet das Kernel-Debugging über einen USB 2.0 Port ein.
/debug:<port> /baudrate:
Schaltet das Kernel-Debugging über einen COM Port ein.
/dudisable
Schaltet das Dynamische Update während des Windows Setups ab. Ohne dynamisches Update kann Setup nur mit den Originalinstallationsdateien ausgeführt werden. Diese Option deaktiviert das dynamische Update, auch wenn Sie eine Antwortdatei verwenden und dort Optionen für das dynamische Update angeben.
/emsport:[<port> Schaltet die Emergengy |usebiossettings Services ein oder aus. | off] [/emsbaudrate:]
Management
62 ______________________________________________________________ 2 Installation Option /noreboot
Bedeutung
/m:
Sie können einen alternativen Ordner für die Installationsdateien angeben. Dort sucht Setup nach seinen Dateien zuerst, im Ursprungsverzeichnis \SOURCES danach.
Weist das Windows Setup an, den Computer nicht neu zu starten. Unterdrückt wird aber nur der erste Neustart. Falls weitere Neustarts erforderlich sind, werden sie durchgeführt.
Damit können Sie beispielsweise im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Packs ablegen, welche so immer garantiert installiert werden. Alle anderen Dateien, die nicht im Service Pack enthalten sind, übernimmt Setup aus dem Ursprungsverzeichnis.
Unbeaufsichtigtes Setup
/tempdrive:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Befinden sich mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
/unattend:
Startet das Setup im unbeaufsichtigten Modus und gibt an, wo die Antwortdatei für Installationsablauf liegt.
Weitere Informationen zum unbeaufsichtigten Setup finden Sie in Abschnitt 2.7 Automatisierte Installation ab Seite 72.
Aufruf über das Netzwerk SETUP.EXE können Sie auch aus einem freigegebenen Netzwerkverzeichnis heraus starten. Die Installationsdateien des \SOURCESOrdners befinden sich dann einfach nicht lokal auf der Festplatte oder im DVD-Laufwerk, sondern in einer durch einen Server freigegebenen Netzwerkressource. Diese Methode ist geeignet, wenn bereits
2.5 Die weiteren Installationsschritte _________________________________________ 63 Windowsclients mit Netzwerkzugriff installiert sind, diese jedoch nicht durchgängig über DVD-Laufwerke verfügen. Der Server wird auch Distributionsserver genannt und kann prinzi- Distributionsserver piell unter einem beliebigen Betriebssystem laufen, das in der Lage ist Laufwerksfreigaben zu erstellen. Es muss also nicht zwangsweise ein Windows-System sein. Linux mit Samba oder SUN Solaris mit PCNetlink funktionieren genauso gut. Für den Zugriff auf die Installationsdateien brauchen neben einem Laufwerkbuchstaben nur Leserechte definiert zu sein. In Abschnitt 2.7.3 Der Windows System Image Manager ab Seite 75 wird gezeigt, wie Sie so einen Distributionsserver mit Hilfe des Windows System Image Managers unter Windows Vista einrichten.
2.5
Die weiteren Installationsschritte
Die Windows Vista Installation geschieht dank ausgeklügelter Assistenten und Plug&Play-Technologie weitgehend automatisch und stellt auch im interaktiven Modus angenehm wenig Fragen. Eine Unterscheidung zwischen Textmodusabschnitt und dem des grafischen Teils des Setups, auch GUI-Modus (Graphical User Interface) genannt, gibt es nicht mehr. Die Vista-Installation läuft von Anfang an nur im grafischen Modus.
2.5.1
Installation vorbereiten
Bei der Standardinstallation ist die Angabe von Gebietsschema und Ländereinstellungen nur dann notwendig, wenn direkt über die DVD gebootet wurde. Abbildung 2.4: Installationssprache, Uhr- und Währungsformat und Tastaturlayout einstellen
64 ______________________________________________________________ 2 Installation Wird die Installation aus einem bestehenden System gestartet, übernimmt das Setup die existierende Sprach- und Währungsumgebung. Den Product Key (Produktschlüssel) Ihres Windows Vista Systems geben Sie nun vor Beginn der Installation ein. Abbildung 2.5: Product Key eingeben
Den aus 25 Zeichen bestehenden Product Key können Sie hintereinander eingeben. Das Setup setzt die Bindestriche nach 5 Zeichen automatisch. Ist die untere Checkbox aktiviert, wird die in Abschnitt 2.6 beschriebene Aktivierung automatisch durchgeführt. Die EULA Lizenzbestimmung muss dann noch bestätigt werden, um mit der Installation fortfahren zu können. Abbildung 2.6: Datenträger festlegen, auf dem Vista installiert werden soll
2.5 Die weiteren Installationsschritte _________________________________________ 65 Legen Sie den Installationsort fest. Das Setup zeigt alle gefundenen Festplatten und darauf befindlichen Partitionen an. Sollten Sie Festplatten vermissen, beispielsweise Festplatten, die an RAID-Controller angeschlossen sind, können Sie über die Option TREIBER LADEN Gerätetreiber des Herstellers nachladen. Diese Treiber können von CD, DVD, Diskette oder USB-Flashlaufwerk installiert werden. NEU erstellt Partitionen, die anschließend mit FORMATIEREN MIT DEM NTFSDATEISYSTEM formatiert werden. Gehen Sie bei der Auswahl der Zielpartition sehr sorgfältig vor. Gelöschte Partitionen bzw. formatierte Partitionen verlieren sämtliche auf ihnen gespeicherte Daten. Soll die Festplattenverschlüsselung Bitlocker benutzt werden, müssen mindestens zwei Partitionen anlegt werden. Einzelheiten dazu sind in Abschnitt 11.3.1 BitLocker Laufwerksverschlüsselung ab Seite 567 beschrieben
Das Ende der BOOT.INI Vista bringt seinen eigenen Bootloader (BCD) mit und benutzt die BOOT.INI nicht mehr. Bei einer Parallelinstallation von Windows XP und Vista ist folgendes zu beachten: Löschen Sie die Vista-Partition, lässt sich Windows XP ebenfalls nicht mehr starten. Das Wiederherstellen des Bootsektors wird in Abschnitt 10.3.4 Wiederherstellen des XP-Bootsektors beschrieben.
2.5.2
Installation durchführen und abschließen
Findet das SetupProgramm genügend Platz auf der ausgewählten Partition, beginnt der Kopiervorgang. Abbildung 2.7: Die Installation beginnt
66 ______________________________________________________________ 2 Installation Während das Setup-Programm kopiert, extrahiert und installiert, ist genug Zeit für eine Kaffeepause, denn dieser Vorgang dauert je nach System circa 45 Minuten bis 1 Stunde. Auch ein zwischenzeitlicher Neustart braucht nicht bestätigt zu werden. Danach ist wieder ein bisschen Interaktion gefragt. Legen Sie zunächst die Ländereinstellung und das Tastaturlayout fest. Abbildung 2.8: Länderspezifisches Layout festlegen
Das blaue Symbol in der unteren linken Ecke verweist auf Optionen für die erleichterte Bedienung von Windows für Anwender mit Behinderungen. Diese sind in Abschnitt 3.8 Optionen für Behinderte näher erläutert. Abbildung 2.9: Symbol für das Benutzerkonto auswählen
2.5 Die weiteren Installationsschritte _________________________________________ 67 Geben Sie dann den Benutzernamen und das Kennwort ein. Aus vorgefertigten Symbolen können Sie eines auswählen, welches mit Ihrem Anwendernamen verknüpft werden soll. Dieses können Sie später durch ein beliebiges Bild austauschen, wie es in Abschnitt 5.2.5 Ein Benutzerkonto ändern auf Seite 266 gezeigt wird. Geben Sie daanch dem Computer einen Namen. Abbildung 2.10: Rechnertaufe Namensgebung für den PC
Zum Einstellen der Schutzmechanismen empfehlen wir für die meis- Schutzmechanismen ten Einsatzfälle die von Microsoft empfohlenen Vorgaben. Abbildung 2.11: Windows-Schutz durch Updates erstmalig einrichten
68 ______________________________________________________________ 2 Installation Legen Sie zum Abschluss noch die Zeitzone fest. Abbildung 2.12: Zeitzone einrichten
Die Installation ist damit abgeschlossen. Weiterführende Informationen zur Benutzerschnittstelle finden Sie in Kapitel 3 ab Seite 101.
2.6
Windows Vista-Produktaktivierung
Kaum ein Thema wurde im Zusammenhang mit der Einführung von Windows XP so heiß diskutiert wie die neue Produktaktivierung. Diese ist an die konkrete Hardware des betreffenden PCs gekoppelt und muss durchgeführt werden, wenn Sie eine Erstinstallation vornehmen oder bestimmte Hardware-Komponenten austauschen. Bei vorinstalliertem Windows Vista wurde die Aktivierung meist durch den Hersteller oder Systemanbieter bereits vorgenommen, sodass Sie damit in der Regel nicht mehr konfrontiert werden. Die Hintergründe zu dieser Zwangsmaßnahme von Microsoft sowie zum möglichen Vorgehen bei der Aktivierung werden in diesem Abschnitt erläutert. Dabei stehen die typischen Fragen der meisten Anwender im Vordergrund und es wird versucht, diese umfassend zu beantworten.
2.6.1
Warum eine Aktivierung?
Die erste Frage, die sich Ihnen vielleicht zu diesem Thema stellen mag, ist die nach dem Warum. Warum zwingt Microsoft seine Kunden zu einem solchen Verfahren, wo wir doch in der Vergangenheit davor verschont worden sind?
2.6 Windows Vista-Produktaktivierung _______________________________________ 69 Hintergrund ist sicherlich das Bemühen Microsofts, das heute vor allem im Privatbereich und bei kleinen Unternehmen verbreitete Raubkopieren von Software wirksam einzudämmen. Über die Produktaktivierung soll sichergestellt werden, dass das einzelne Softwarepaket, hier das Betriebssystem selbst, nur auf einem einzigen Computer genutzt wird. Im professionellen EDV-Umfeld sind mehr oder weniger wirksame Maßnahmen gegen das Raubkopieren schon lange an der Tagesordnung. So werden beispielsweise die Layout-Software Quark XPress, die CAD-Lösung AutoCAD und Studioprogramme für professionelle Aufnahmen seit Jahren durch Hardware-Dongles geschützt. Warum Microsoft diesen Weg nicht gegangen ist, wird vielleicht seine Gründe in den höheren Kosten für eine Hardware-Lösung oder vielleicht auch in Bedenken gegenüber der Wirksamkeit der Sicherheit haben. Bis jetzt ist jede Dongle-Lösung über kurz oder lang geknackt worden. Die Microsoft-Lösung mit der erzwungenen Aktivierung bietet demgegenüber einen besseren Schutz. Zwar waren bereits seit Anfang der XP-Markteinführung »geknackte« Windows XP-Versionen im Umlauf, die nicht aktiviert werden müssen (beziehungsweise gibt es immer wieder Tipps, wie eine Installation dementsprechend manipuliert werden muss), allerdings ergeben sich daraus mittelfristig für den Anwender einige Einschränkungen (von den Risiken der Entdeckung einmal abgesehen): Grundsätzlich können manipulierte Versionen durch Microsoft im Rahmen der Windows-Updates über das Internet und das ist die für den Normalanwender einzige Möglichkeit erkannt und abgelehnt werden. Damit bleibt die Fassung auf einem älteren Stand stehen, was vor allem im Hinblick auf damit nicht installierte Sicherheitsupdates kaum zu empfehlen wäre. Eine andere ernsthafte Einschränkung kann sich ergeben, wenn als ungültig erkannte Installationen im Rahmen eines automatischen Updates mit speziellen Erweiterungen »versorgt« werden, welche zu einem Nichtfunktionieren des Systems führen oder dieses zumindest so lange blockieren, bis eine korrekte Aktivierung vorgenommen worden ist über die Nachinstallation einer neu zu erwerbenden Lizenz. Das sind nur einige Gedankenspiele, die zeigen sollen, dass mit der Zwangsaktivierung die Interessen des Herstellers durchaus gut geschützt werden können. Der vorrangige Kampf von Microsoft richtet sich aber nicht gegen die Masse der privaten Anwender, sondern vor allem gegen professionelle Softwarefälscher, die vor allem im asiatischen Raum operieren und täuschend ähnlich aussehende Raubkopien von Softwareprodukten seit Jahren auf den Markt bringen. Denen wird durch die zwingende Aktivierung wahrscheinlich sehr wirksam das Handwerk gelegt. Es fällt sehr auf, wenn eine große Zahl von Benutzern versucht, ein und dieselbe Kopie eines Windows-Systems zu aktivieren. Misstrauisch sollten Sie werden, wenn Ihnen jemand eine Windows Version verkaufen will, welche ohne Aktivierung auskommt. Dann können Sie mit hoher Sicherheit davon ausgehen, dass dies eine Fälschung ist. Klar ist, dass der Einsatz eines solchen Plagiats sehr unangenehme rechtliche Konsequenzen haben kann.
Software-Raubkopien
Hardware- oder Softwareabsicherung
Besserer Schutz für Microsoft durch die Aktivierung
Gegen professionelle Fälscher
Vorsicht vor Fälschungen
70 ______________________________________________________________ 2 Installation
2.6.2 30 Tage Frist nach Erstinstallation
Erneute Installation
Austausch von Komponenten
Nach jeder Erstinstallation eines Windows Vista müssen Sie auf jeden Fall die Aktivierung durchführen. Ohne Aktivierung läuft Ihr System noch genau 30 Tage. Danach startet es nur noch, um die Aktivierungsprozedur zu ermöglichen. Eine andere Verwendung ist dann nicht mehr möglich. Sie müssen damit nicht automatisch nach jeder erneuten Installation von Windows Vista die Aktivierung vornehmen. Wenn Sie die zuvor aktiviert gewesene Installation wegen irgendwelcher Gründe erneuern wollen und die neue Fassung einfach direkt über die alte installieren, brauchen Sie keine erneute Aktivierung vorzunehmen. Installieren Sie hingegen Windows Vista neu auf einem leeren oder einem anderen Datenträger, wird eine erneute Aktivierung fällig. Sie müssen auch dann eine neue Aktivierung durchführen, wenn Sie wesentliche Teile der Computer-Hardware austauschen. Von diesen Komponenten dazu gehören u.a. die Hauptplatine (Mainboard), die Festplatte und eine eventuell vorhandene Netzwerkkarte nimmt Windows Vista bei der ersten Installation eine Art elektronischen »Fingerabdruck«, um das System identifizieren zu können. Damit soll vermieden werden, dass ein bereits aktiviertes System einfach durch einen Kopiervorgang auf einem anderen Computersystem weiterverwendet werden kann.
2.6.3
Automatische Aktivierung über das Internet einstellen
Manuell Aktivierung starten
Wie wird die Aktivierung vorgenommen ?
Solange Ihr Windows Vista nicht aktiviert worden ist, brauchen Sie nicht lange nach dem Weg zur Aktivierungsprozedur zu suchen, denn es gibt drei Möglichkeiten den Aktivierungsvorgang anzustoßen: Während der Installation klicken Sie die Checkbox für die automatische Aktivierung (siehe Abbildung 2.5 auf Seite 64) an. Sie wird dann ausgeführt, sobald eine Internetverbindung besteht. Windows wird Sie von sich aus mindestens nach jeder Anmeldung aufs Neue daran erinnern. Klicken Sie direkt in die Erinnerungsmeldung. Es startet daraufhin der Assistent für die Aktivierung. Sie können den Assistenten auch manuell starten. Gehen Sie dazu über START | COMPUTER | EIGENSCHAFTEN und wählen Sie AKTIVIEREN SIE WINDOWS JETZT. Sie können die Aktivierung direkt über das Internet vornehmen oder Sie rufen bei Microsoft unter einer gebührenfreien Nummer an.
2.6.4 Ermittlung der Installationskennung
Wann muss aktiviert werden?
Was passiert bei der Aktivierung?
Beim Aktivierungsvorgang wird auf Basis eines mathematischen Verfahrens zunächst eine individuelle Installationskennung errechnet. Diese ist nicht etwa für Ihre Windows-Kopie schon von vornherein vorhersehbar, sondern wird unter Zuhilfenahme wichtiger Hardwareparameter wie Komponenten-Seriennummern oder der EthernetMAC-Adresse ermittelt. Damit wird deutlich, dass sich diese Kennung
2.6 Windows Vista-Produktaktivierung _______________________________________ 71 ändert, sobald Sie wesentliche Hardwarekomponenten austauschen oder Ihr Windows auf einen anderen Computer übertragen. Allein diese Installationskennung wird an Microsoft übermittelt ob über das Internet oder per Telefon spielt keine Rolle. Es sind keine weiteren Daten erforderlich, weder Ihr Name oder Ihre Anschrift noch zusätzliche Angaben zum verwendeten Computer oder zur installierten Software. Wäre das anders, hätte es unter den vielen, oft nicht gerade Microsoft wohlgesonnenen Hackern mit ziemlicher Sicherheit einen gegeben, der das herausgefunden und in die Welt posaunt hätte. Nach der Übermittlung dieses Codes an Microsoft erhalten Sie eine ebenso individuelle Bestätigungskennung zurück. Diese geben Sie entweder bei der Telefonaktivierung per Hand ein oder sie wird automatisch bei der Internet-Methode eingetragen. Damit ist die Aktivierung vollzogen und wird erst wieder fällig, wenn Sie später einmal eine grundlegende Hardware-Erweiterung vornehmen oder Ihr Windows Vista auf einem anderen Computer installieren wollen (mit Deinstallation auf dem vorherigen natürlich). Beim Weg über das Telefon werden Sie zu einem Dialogfenster des Assistenten geführt (siehe Abbildung 2.13). Wählen Sie unter SCHRITT 1 Ihren Standort aus. Gemeint ist damit das Land, von dem aus Sie die Aktivierung durchführen wollen.
Keine Übertragung zusätzlicher Daten
Aktivierung mit Bestätigungskennung
Telefonische Aktivierung
Abbildung 2.13: Anleitung zur telefonischen Aktivierung
Wählen Sie dann per Telefon eine der unter SCHRITT 2 angebotenen Nummern. Sie haben die Wahl unter einer gebührenfreien und einer gebührenpflichtigen. Haben Sie den Microsoft-Mitarbeiter am anderen Ende, teilen Sie diesem die bei Schritt 3 angezeigte Installationskennung mit. Tragen Sie die Bestätigungskennung dann unter SCHRITT 4 ein. Ihr System ist damit aktiviert.
72 ______________________________________________________________ 2 Installation
2.6.5 Unbegrenztes Aktivierungsrecht
Weg über das Internet nur zweimal
Wie oft darf aktiviert werden?
Grundsätzlich räumt Microsoft seinen Windows Vista-Kunden das Recht ein, sooft sie wollen die Aktivierung durchzuführen. Etwas anderes wäre auch schlicht inakzeptabel, da es allein Ihnen überlassen ist, wie oft Sie Ihren Computer umrüsten oder ob Sie Ihre WindowsKopie von einem Rechner zum nächsten installieren wohlgemerkt immer mit Deinstallation auf dem vorhergehenden, sodass eine VistaKopie auch immer nur auf einem Computer läuft. Eine Einschränkung gibt es allerdings. Die Internet-Aktivierung können Sie maximal zweimal durchführen. Danach müssen Sie leider den telefonischen Weg einschlagen.
2.6.6
Weitere Informationen zur Aktivierung
Weitere umfassende Informationen zur Produktaktivierung, die gleichfalls für neue Microsoft-Anwendungsprogramme wie beispielsweise Office 2003 gilt, finden Sie auf der folgenden Microsoft-Seite für Lizenzen und Software Asset Management : www.microsoft.com/germany/lizenzen/default.mspx
2.7 Zeit ist Geld!
Ersatz bei Ausfall
Automatisierte Installation
Albtraum jedes Administrators ist die komplette Installation vieler identischer Computer. Immer wieder müssen Fragen des Setups beantwortet oder Lizenznummern eingegeben werden. Das bedeutet einen hohen zeitlichen Aufwand mit entsprechend hohen Kosten. Ein anderer Aspekt ist der schnellstmögliche Ersatz bei Ausfall eines Computersystems in einem Unternehmen. Hier kann es darum gehen, den ausgefallenen PC schnellstmöglich durch einen anderen PC zu ersetzen, der bestenfalls über die gleiche Windows-Installation und identische Anwendungsprogramme verfügen sollte. Darüber hinaus wäre es natürlich optimal, wenn der Benutzer seine gewohnte Benutzeroberfläche wieder findet.
2.7.1
Übersicht über die Möglichkeiten
Bisher war das Verteilen von Windows-Client-Systemen ein relativ zeitintensiver Prozess. Von fertigen Installationen wurden Images erstellt, die dann auf den neuen Rechnern eingespielt wurden, oder es kamen Produkte von anderen Herstellern zum Einsatz. Das Problem bei beiden Lösungen ist, dass beide relativ unflexibel sind und für neue Hardware jedes Mal ein neues Image erstellt werden musste. Die automatisierte Installation von Windows Vista auf Clientsystemen unterscheidet sich grundlegend von der Installation und Verteilung seiner Vorgänger. Auf das umständliche Editieren diverser SetupDateien kann genauso verzichtet werden wie auf die Benutzung von Festplattenduplizierern von Drittanbietern.
2.7 Automatisierte Installation _______________________________________________ 73 Standardmethode für die Installation von mehreren Computern ist die so genannte abbildbasierte Bereitstellung. Für diese Bereitstellung gibt es neue Tools und Arbeitsumgebungen, die sicherlich einiger Gewöhnung bedürfen. Die Sammlung dieser Werkzeuge nennt Microsoft WAIK (Windows Automated Installation Kit). Zunächst seien hier die Begriffe, die in diesem Zusammenhang benutzt werden, kurz erklärt. Danach wird Ihnen als Administrator ein »Fahrplan« in die Hand gegeben, der die Durchführung der Bereitstellung mithilfe einer Laborumgebung ermöglicht. Tools und Begriffe: Windows System Image Manager (Windows SIM) Dieses Werkzeug dient dem Erstellen so genannter Antwort-Dateien (UNATTEND.XML), dem Einrichten von Netzwerkfreigaben und beim Verändern von Dateien, die in einem Konfigurationssatz vorhanden sind. Der Windows System Image Manager ersetzt das Programm SETUPMGR.EXE früherer Windows-Versionen und ist in Abschnitt 2.7.3 Der Windows System Image Manager auf Seite 75 beschrieben. Antwortdatei Das ist eine Textdatei, die Antworten für eine Serie von Dialogboxen der grafischen Benutzeroberfläche enthält. Über Antwortdateien steuern Sie das Setup von Windows Vista so, dass es automatisch ablaufen kann. Eine Antwortdatei ist dabei eine normale Textdatei in einer bestimmten Syntax und liegt im XML-Format vor. Für das Windows Setup heißt sie gewöhnlich Unattend.xml. Erzeugt und verändert wird die Datei mit dem Windows System Image Manager (Windows SIM). Windows Image Ein Image stellt ein Abbild einer Windowsinstallation dar. Dieses Abbild ist eine einzige komprimierte Datei, die eine Sammlung von Dateien und Ordnern enthält. Windows Vista wird mit dem neuen Windows Imaging Dateiformat (.wim) verteilt. Die *.wimDatei kann mehrere Abbilder (Images) enthalten. Damit können mehrere angepasste Installationen in einer Datei untergebracht und gleichzeitig verteilt werden. Katalog Ein Katalog ist eine Binärdatei, die den Status von Einstellungen und Paketen (packages) in Windows Images (Abbildern) enthält. Eine Katalogdatei trägt den Suffix *.clg. Windows Preinstallation Environment (Windows PE) Windows PE ist ein Minimalsystem, das zwar auf dem Windows 32-Bit-Kernel basiert, aber nur begrenzte Dienste zur Verfügung stellt. Windows PE löst MS-DOS als »Vorinstallationsumgebung« ab und wird ausschließlich zum Zweck der Installationsvorbereitung und Bereitstellung von Vista benutzt. ImageX ImageX in manchen Dokumentationen auch XImage genannt ist ein Kommandozeilen-orientiertes Programm, das im Hersteller-
74 ______________________________________________________________ 2 Installation und Unternehmensumfeld benutzt wird, um Windows Images aufzuzeichnen, zu verändern und fertig zu stellen. System Preparation Tool (Sysprep) Dieses Tool wird den meisten Administratoren seit Windows 2000 bekannt sein. Sysprep erleichtert die Imageerstellung und bereitet ein Image zur Verteilung auf mehrere Ziel-Computer vor. Windows Setup Die eigentliche Installationsroutine wird selbstverständlich auch benötigt. Sie ist ab Seite 65 näher beschrieben.
Prozess für die Bereitstellung 1. Die Einrichtung einer Laborumgebung wird in Abschnitt 2.7.2 Vorbereitungen für ein Installationsszenario auf Seite 74 beschrieben. 2. Das Erstellen einer Antwortdatei mithilfe des Windows-Systemabbild-Managers (Windows System Image Manager SIM) ist Thema des Abschnitts 2.7.3 Der Windows System Image Manager. 3. Die Masterinstallation wird auf einem Referenz-Computer durchgeführt. Der Ablauf der Installation ist in Abschnitt 2.7.4 Master(Referenz-) Installation durchführen ab Seite 78 erklärt. 4. Die neuen Technologien Windows PE und ImageX werden benutzt, um ein Abbild der Masterinstallation zu erzeugen. Anleitungen dazu gibt es in Abschnitt 2.7.5 Ein Image (Abbild) erstellen ab Seite 79. 5. Schließlich muss das erzeugte Abbild für die Verwendung auf anderen Computer in einer Netzwerkfreigabe bereitgestellt werden. Mehr dazu in Abschnitt 2.7.6 Die Ausbringung des Images ab Seite 82.
Möglichkeiten für automatisierte Upgrades auf Windows Vista SETUP.EXE
Suchen Sie eine Möglichkeit, ältere Windows-Systeme automatisch per Upgrade auf Windows Vista zu bringen, bleibt Ihnen nur die Variante mit SETUP.EXE und einer angepassten Antwortdatei.
2.7.2
Vorbereitungen für ein Installationsszenario
Administratoren, die die automatisierte Installation benutzen wollen, brauchen eine Testumgebung, in der die erstellten Images ausprobiert werden können, bevor sie auf eine Produktionsumgebung übertragen werden. Für eine Testumgebung wird folgendes gebraucht: Eine Windows Vista DVD Eine aktuelle Version des WAIK (Windows Automated Installation Kit) mit der dazugehörigen Dokumentation und der WAIK-Hilfedatei. Es kann unter dieser Adresse herunter geladen werden: http://www.microsoft.com/downloads/details.aspx? displaylang=de&FamilyID=c7d4bc6d-15f3-4284-9123679830d629f2
2.7 Automatisierte Installation _______________________________________________ 75 Das WAIK liegt als Image im img-Format vor und muss vor der Benutzung auf eine CD gebrannt werden. Die Dokumentation befindet sich unter: http://go.microsoft.com/fwlink/?LinkID=53552 Einen Administrator-PC, der entweder unter Windows XP (inklusive SP 2), Windows Server 2003 (inklusive SP 1) oder Windows Vista läuft. Dieser PC muss über ein DVD-Laufwerk und ein CDBrenner verfügen. Kombilaufwerke sind auch möglich. Einen Master-PC,. Das ist ein vollständig zusammengesetzter PC, auf dem Windows Vista von der DVD mit einer erstellten Antwortdatei installiert und den Bedürfnissen angepasst wird. Die Installation wird aufgezeichnet und in einer Netzwerkfreigabe gespeichert. Dieser PC braucht ein DVD-Laufwerk, eine Netzwerkkarte und ein Diskettenlaufwerk oder einen USB-Anschluss. Sofern vorhanden, einen Zielcomputer. Ansonsten muss der Master-PC nach der Erstellung als Zielcomputer fungieren. Alle Computer verfügen über eine Netzwerkanbindung. Ein Diskettenlaufwerk oder ein USB-Flashlaufwerk Eine leere, beschreibbare CD-ROM Auf dem Administrator-PC wird das Windows Automated Installation Kit installiert. Vor der Installation des WAIK muss der XML-Parser von Microsoft installiert werden ist. Dieser wird auf der WAIK-CD in der Version 6.0 mitgeliefert. Wenn Sie ein Windows XP- oder ein Windows Server 2003-System für die Administration verwenden, beachten Sie unbedingt den folgenden Knowledge Base-Artikel von Microsoft: http://support.microsoft.com/kb/926044/ Der Master-PC braucht keine weitere Software.
2.7.3
Der Windows System Image Manager
Der Windows System Image Manager, oder kurz SIM, ist ein Werkzeug zur Erstellung von Images im Windows Imaging Format (WIM). Dieses Format wird zur Installation von Windows Vista benutzt. Zuerst wird der SIM benutzt, um eine neue Antwortdatei zu erzeugen.
Neue Antwortdatei erstellen Die nachfolgenden grundlegenden Arbeitsschritte sind nötig, um eine Antwortdatei zu erstellen. 1. Legen Sie die Windows Vista DVD in das DVD-Laufwerk des Administrator-PCs ein. 2. Kopieren Sie die Datei INSTALL.WIM aus dem Ordner \SOURCES in einen frei wählbaren Ordner auf der lokalen Festplatte. 3. Starten Sie den Windows System Image Manager über START | ALLE PROGRAMME | MICROSOFT WINDOWS AIK | WINDOWS-SYSTEMABBILD-MANAGER.
76 ______________________________________________________________ 2 Installation 4. Im Datei-Menü selektieren Sie WINDOWS-ABBILD AUSWÄHLEN und laden Sie die Datei INSTALL.WIM aus dem in Schritt 2 festgelegten Ordner. Lassen Sie zu, dass eine neue Katalogdatei generiert wird. Abbildung 2.14: Windows System Manager unter Windows XP mit geladener Install.wim
5. Im DATEI-Menü wählen Sie NEUE ANTWORTDATEI bestätigen Sie die Erstellung.
ERSTELLEN
und
Windows-Einstellungen hinzufügen und konfigurieren Im Fenster Windows-Abbild des Windows System Image Managers können Sie Komponenten öffnen, auswählen und der Antwortdatei hinzufügen. Dazu öffnen Sie den Knoten COMPONENTS. Während der Installation werden verschiedene Konfigurationsphasen durchlaufen. Die Einstellungen, die Sie angeben, werden in einem oder mehreren Konfigurationsphasen ausgewertet. Öffnen Sie mit einem Rechtsklick das Kontextmenü einer Komponente und geben Sie an, in welcher Konfigurationsphase die Einstellungen vorgenommen werden sollen. Fügen Sie der Antwortdatei aus der erweiterten Komponentenliste die Komponenten hinzu, die in der nachfolgenden Tabelle aufgeführt sind. Tabelle 2.4: Komponenten hinzufügen
Komponente
Konfigurationsphase
Microsoft-Windows-Setup \DiskConfiguration \Disk \CreatePartitions \CreatePartition
1 windowsPE
2.7 Automatisierte Installation _______________________________________________ 77 Komponente
Konfigurationsphase
Microsoft-Windows-Setup \DiskConfiguration \Disk \ModifyPartitions \ModifyPartition
1 windowsPE
Microsoft-Windows-Setup \ImageInstall \OSImage \InstallTo
1 windowsPE
Microsoft-Windows-Setup \UserData
1 windowsPE
Microsoft-Windows-Shell-Setup \OOBE
7 oobeSystem
Microsoft-Windows-Shell-Setup \AutoLogon
7 oobeSystem
Microsoft-Windows-International-Core-WinPE 1 windowsPE
Im Fenster Antwortdatei lassen sich alle Windowseinstellungen der Antwortdatei ansehen. Die Grundeinstellungen, die eine einfache unbeaufsichtigte Installation bewirken und keine Benutzereingaben erfordern, sehen so aus: Komponente
Wert
Bedeutung
Microsoft-Windows-Setup \DiskConfiguration
WillShowUI= OnError
Zeigt die Benutzerschnittstelle im Falle eines Fehlers
Microsoft-Windows-Setup \DiskConfiguration \Disk
DiskID=0 WillWipeDisk= true
Angabe der Zielfestplatte; Löschen der Festplatte
Microsoft-Windows-Setup \DiskConfiguration \Disk \CreatePartitions \CreatePartition
Extend=false Order=1 Size=40000 Type=Primary
Partitionen erstellen lassen und Größe festlegen (Angabe in MB, also eine 40 GBPartition)
Microsoft-Windows-Setup \DiskConfiguration \Disk \ModifyPartitions \ModifyPartition
Active=true Extend=false Format=NTFS Label= OS_Install Letter=C Order=1 PartitionID=1
Partitionen ändern, Dateisystem festlegen, Laufwerksbuchstaben festlegen
Tabelle 2.5: Optionen der Antwortdatei
78 ______________________________________________________________ 2 Installation Komponente
Wert
Bedeutung
Microsoft-Windows-Setup \ImageInstall \OSImage
WillShowUI= OnError
Zeigt Benutzerschnittstelle im Falle eines Fehlers an
Microsoft-Windows-Setup \ImageInstall \OSImage \InstallTo
DiskID=0 PartitionID=1
Ort festlegen, an dem das Betriebssystemimage installiert wird
Microsoft-Windows-Setup \UserData
AcceptEula=true
Die Lizenzvereinbarung akzeptieren
Microsoft-Windows-Setup \UserData \ProductKey
Key=Product-Key WillShowUI= OnError
Produktschlüssel eintragen und Dialog anzeigen, falls fehlerhaft eingetragen
Microsoft-Windows-Shell-Setup \OOBE
HideEULAPage= true ProtectYourPC=3 SkipMachineOOBE= true SkipUserOOBE= true
Lizenzvereinbarung verstecken
Überprüfung und Speicherung der Einstellungen Bevor Sie die Antwortdatei speichern, überprüfen Sie sie in dem letzten Schritt. Klicken Sie dazu im Windows System Image Manager auf EXTRAS. Wählen Sie ANTWORTDATEI ÜBERPRÜFEN aus. Die Einstellungen der Antwortdatei werden mit denen aus dem Windows-Abbild verglichen. Nach erfolgreicher Überprüfung der Antwortdatei wird im Bereich MELDUNGEN eine Erfolgsmeldung angezeigt. Andernfalls werden an dieser Stelle Fehlermeldungen angezeigt. Korrigieren Sie die Konfigurationsfehler, bevor Sie die Datei speichern. Um die Datei zu sichern, wählen Sie ANTWORTDATEI SPEICHERN aus dem Menüeintrag DATEI. Dazu können Sie auch die Tastenkombination Strg+S benutzen. Speichern Sie die Antwortdatei unter dem Namen AUTOUNATTEND.XML und kopieren Sie sie in das Stammverzeichnis einer Diskette oder eines USB-Sticks, je nachdem, welches Gerät an dem Master-PC verfügbar ist.
2.7.4
Master- (Referenz-) Installation durchführen
Die Referenzinstallation wird auf dem Master-PC durchgeführt. Die Vista DVD und die in Abschnitt Neue Antwortdatei erstellen (siehe Seite
2.7 Automatisierte Installation _______________________________________________ 79 75) erzeugte Antwortdatei werden für diesen Vorgang benötigt. Um die Installation durchzuführen, gehen Sie so vor: 1. Überprüfen Sie die Hardware des PCs. Der Master-PC muss hardwareseitig komplett sein. Das sollte bei einem nagelneuen Computer aus dem Laden selbstverständlich sein, doch ist es möglich, dass Sie noch Anpassungen für Ihr Unternehmen selbst durchführen mussten. Beachten Sie, dass der Computer eine leere Festplatte haben sollte. 2. Schalten Sie den Computer ein. Legen Sie die Windows Vista DVD in das DVD-Laufwerk ein. Das Medium, das die Antwortdatei Autounattend.xml enthält stellen Sie ebenso bereit. Legen Sie die Diskette ein oder schließen das USB-Flash-Laufwerk an den USBAnschluss an. 3. Führen Sie einen Warmstart aus, also die Tastenkombination Strg+ Alt+Entf ausführen. Das Windows Vista Setup (SETUP.EXE) startet automatisch und durchsucht alle Laufwerke nach Medien, die die AUTOUNATTEND.XML enthalten. Haben Sie sich an die Einstellungen in Tabelle 2.5 auf Seite 77gehalten, wird die Installation ohne Interaktion durchgeführt. 4. Nach dem das Setup abgeschlossen wurde, überprüfen Sie, ob alle Anpassungen, die Sie eingestellt haben, durchgeführt wurden. 5. Wechseln Sie auf die Kommandozeile und geben Sie den folgenden Befehl ein, um den Computer zu »versiegeln« und herunterzufahren: C:\Windows\System32\Sysprep.exe /oobe /generalize /shutdown Das Werkzeug SYSPREP.EXE sorgt dafür, dass das Abbild für die Aufzeichnung vorbereitet wird. Verschiedene Benutzer- und Maschineneinstellungen und Log-Dateien, die nicht auf die Zielsysteme übertragen werden sollen, werden bereinigt.
2.7.5
Ein Image (Abbild) erstellen
Prinzipiell könnten Sie die im vorigen Abschnitt beschriebene Verfahrensweise auf weiteren Rechnern wiederholen. Effektiver ist es jedoch ein Image (Abbild) der Master-Installation aufzuzeichnen und dann dieses Image auf meist neue Computer auszubringen. Hier kommen die neuen Tools Windows PE und ImageX zum Einsatz. Zum Aufzeichnen und Ausbringen stellt Windows PE (siehe Seite 73) eine Umgebung zur Verfügung. ImageX wird benutzt um dateibasierte Images aufzuzeichnen, zu verändern und bereit zu stellen. Über eine Netzwerk-Freigabe wird das Image im Netz zur Verfügung gestellt (mehr dazu in Abschnitt 2.7.6 Die Ausbringung des Images ab Seite 82). Um ein Image »abzuziehen« durchlaufen Sie die folgende Prozedur: 1. Die Erzeugung eines bootfähigen Mediums, das das Windows Preinstallation Environment enthält, brauchen Sie selbstverständlich nur einmal durchführen (mehr dazu in Abschnitt Das Windows PE Medium herstellen ab Seite 80).
80 ______________________________________________________________ 2 Installation 2. Die Starten der Masterinstallation mithilfe des Windows PE Mediums und die Aufzeichnung des Abbildes mit ImageX wird in Abschnitt Abbild der Installation mit Windows PE und ImageX erzeugen ab Seite 81 beschrieben. 3. Damit andere Computer auf das Abbild zugreifen können, wird es in einer Netzwerkfreigabe gespeichert. Die dafür auszuführenden Befehle sind in Abschnitt Abbild in Netzwerkfreigabe speichern ab Seite 82 zu finden.
Das Windows PE Medium herstellen
Listing 2.1: Inhalt der Datei Wimscript.ini
In sechs Schritten haben Sie die Erzeugung eines Windows PEMediums erledigt. Dieses Mini-Vista erstellen Sie so: 1. Auf dem Administrator-PC öffnen Sie die Kommandozeile (Eingabeaufforderung), wechseln mit Cd Programme\Windows AIK\Tools\PETools zum Ordner der PETools. Dort führen Sie diesen Befehl aus: Copype.cmd Wobei Architektur die Hardwarearchitektur des Rechners beschreibt. Mögliche Werte sind x86 (Standard 32-Bit-Plattform), amd64 (AMD 64-Bit Plattform) und ia64 (64-Bit Plattform Intelbasiert). Ziel gibt einen frei wählbaren Zielordner an. Beispiel: Copype.cmd x86 C:\WinPEx86 2. ImageX (siehe Seite 73) dem WinPE-Ordner hinzufügen. Achten Sie darauf, dass Sie hier die richtige Version auswählen. Die Versionen unterscheiden sich je nach Architektur, wie sie im vorigen Absatz beschrieben sind. Copy C:\Programme\Windows AIK\Tools\ \imagex.exe \iso Beachten Sie in dem folgenden Beispiel die Anführungszeichen, da der Pfad ein Leerzeichen enthält, also: Copy C:\Programme\Windows AIK\Tools\x86\imagex.exe C:\WinPEx86\iso 3. Das Tool ImageX lässt sich mit einer Textdatei konfigurieren. Erstellen Sie diese Textdatei mit einem Texteditor wie Notepad oder Wordpad und fügen Sie diesen Inhalt ein: [ExclusionList] ntfs.log hiberfil.sys pagefile.sys "System Volume Information" RECYCLER Windows\CSC [CompressionExclusionList] *.mp3
2.7 Automatisierte Installation _______________________________________________ 81 *.zip *.cab \Windows\inf\*.pnf Diese Datei speichern Sie unter dem Namen WIMSCRIPT.INI in den Ordner, der das Programm ImageX enthält. Also beispielsweise C:\WINPEX86\ISO. Mit Hilfe dieser Datei wird ImageX angewiesen bestimmte Dateien bei der Aufzeichnung auszulassen. Haben weitere Mediendateien oder Archiv, die bereits komprimiert sind, fügen diese in die ini-Datei ein. 4. Das Programm OSCDIMG erzeugt ein Image mit der Endung *.iso. Wechseln Sie in der Eingabeauforderung wieder mit Cd Programme\Windows AIK\Tools\PETools in den Ordner der PETools. Geben Sie den Befehl Oscdimg n bc:\winpex86\etfs.boot.com c:\winpex86\ISO c:\winpex86\winpex86.iso ein, um ein Image mit dem Namen WINPEX86.ISO zu erzeugen. Obwohl es sich verrückt anhört: Geben Sie diesen Befehl unbedingt von Hand ein! Benutzen Sie den Kopieren/Einfügen-Mechanismus erhalten Sie die Fehlermeldung »Error 5«. Der Ordner C:\Winpex86\iso ist dann schreibgeschützt und das Image wird nicht erstellt. 5. Dieses iso-Image brennen Sie auf eine leere CD-ROM. Das können Sie mit dem Windows-eigenen CD-Brenn-Programm nicht erledigen, sondern müssen auf ein anderes Brenn-Programm wie beispielsweise Nero Burning Rom zurückgreifen. Damit ist die Herstellung einer Windows PE CD mit ImageX vollzogen.
Abbild der Installation mit Windows PE und ImageX erzeugen Nur zwei Schritte sind notwendig, um ein Abbild der Masterinstallation aufzuzeichnen. 1. Auf dem Master-PC legen Sie die im vorigen Abschnitt erstellte Windows PE CD ein, starten den Computer und ändern die Bootreihenfolge im BIOS so, dass von CD/DVD zuerst gestartet wird. Gegebenenfalls startet der Computer noch einmal neu. Windows Preinstallation Environment (WinPE) startet auf und wartet in der Kommandozeile auf eine Eingabe. 2. Wechseln Sie mit zu dem Laufwerk, dass die Imagex.exe enthält. Der Laufwerkbuchstabe ist abhängig von der Anzahl der installierten Festplatten und deren Partitionierung. Geben Sie den folgenden Befehl (in einer Zeile) ein, um ein Image der Master-Installation zu erzeugen: Imagex.exe /compress fast /capture c: c:\MeinImage.wim "Meine Vista Installation" /verify Der Schalter /capture gibt Laufwerksbuchstaben an, die bei der Abbild-Erstellung berücksichtigt werden sollen.
82 ______________________________________________________________ 2 Installation Abbild in Netzwerkfreigabe speichern Das erstellte Image muss in eine Netzwerkfreigabe kopiert werden, damit sie anderen Zielcomputern zur Verfügung steht. Diese Freigabe kann für Testzwecke ein freigegebener Ordner auf dem Administrator-PC sein. In einem Produktionsumfeld wird sich die Freigabe auf einem Distributionsserver befinden. Mehr Informationen zum Thema Freigaben finden Sie in Abschnitt 12.11 Freigaben für Ordner einrichten ab Seite 698. Windows PE beinhaltet Netzwerkunterstützung, so dass Sie mit dem Befehl Net Use I: \\Freigabe\Images Schnell eine Verbindung zum Administrator-PC bzw. Server herstellen können. Dann kopieren Sie das Image auf das zugewiesene Laufwerk. Das geht mit: Copy C:\MeinImage.wim i: Das Image ist somit bereit zur Ausbringung auf andere Computer.
2.7.6
Listing 2.2: Festplatte bereinigen
Die Ausbringung des Images
Das Image ist fertig und soll unter Zuhilfenahme von Windows PE und ImageX ausgebracht werden. Dazu werden die Windows PE CD mit ImageX und ein Zielcomputer gebraucht. Wie auf Seite 75 beschrieben, kann das entweder der Master-PC oder ein weiterer PC sein. Wenn Sie den Master-PC benutzen, müssen Sie die BootReihenfolge so ändern, dass zuerst von CD/DVD gebootet wird, bei einem neuen PC ist das egal, weil er noch keine aktive Partition erhält. Sollten Sie von Ihrem Lieferanten Systeme mit Vorinstallationen erhalten haben, die Sie nicht benutzen wollen, sollten Sie die Festplattenkonfiguration ebenfalls ändern. 1. Auf dem Zielcomputer legen Sie die Windows PE CD ein und starten den Rechner neu. Windows PE startet und erwartet in der Kommandozeile weitere Befehle. 2. Benutzen Sie das diskpart, um die Festplattenkonfiguration nach Ihren Bedürfnissen anzupassen. An der Eingabeaufforderung geben folgendes ein. Für wiederholte Maßnahmen können diese Befehle auch in ein Skript geschrieben werden. Geben Sie die folgenden Befehle ein: Diskpart Select disk 0 Clean Create partition primary size=40000 Select partition 1 Active Format Exit Weitere Informationen zur Verwendung des Dienstprogramms Diskpart erhalten Sie in Abschnitt 12.1.4 Das Kommandozeilen-Tool DISKPART.EXE ab Seite 600.
2.8 Optimierung nach der Installation ________________________________________ 83 3. Kopieren Sie das Image von der Netzwerk-Freigabe auf die lokale Festplatte. Wenn Sie dem bisherigen Beispiel gefolgt sind, geben Sie Net Use I: \\Server\Freigabe\Images und dann Copy I:\MeinImage.wim c: ein. 4. Um das Image auf die Festplatte zu bringen, benutzen Sie das ImageX-Programm, das sich auf der Windows PE CD befindet. Die Befehlzeile dazu lautet: Imagex.exe /apply C:\MeinImage.wim c: 5. Nachdem Sie die Installation auf dem ersten Zielcomputer überprüft haben, können Sie das Image auf weitere Zielcomputer bringen.
Serverunterstützung für die automatisierte Installation Die seit Windows Server 2000 bekannten Remote-Installation-Services wurden abgelöst durch die Windows Deployment Services (WDS). Diese sind Bestandteil der Server 2007 Dokumentation.
2.8
Optimierung nach der Installation
Die volle Leistung des Computers lässt sich unter Windows Vista ausschöpfen, wenn Sie nach der Installation ein wenig Hand anlegen, um das System zu optimieren.
2.8.1
Optimieren der Datenträgernutzung
Nach einer standardmäßig durchgeführten Windows VistaInstallation bleiben noch einige Optimierungsmöglichkeiten für eine bessere Ausnutzung der Laufwerke auf den Festplatten.
Ort und Größe der Auslagerungsdatei festlegen Mit der Installation werden Größe und Speicherort der Windows-Auslagerungsdatei erstmals festgelegt. Die Auslagerungsdatei erweitert den installierten Hauptspeicher, indem das Betriebssystem nicht benötigte Programm- und Systembestandteile temporär in diese auslagert. Die Bedeutung einer optimal angelegten Auslagerungsdatei steigt, je weniger RAM Ihr Computer zur Verfügung hat. Standardmäßig beträgt die Größe der Auslagerungsdatei circa das 1,5- Standardmäßig fache des physisch verfügbaren Hauptspeichers und ist dynamisch keine optimale ausgelegt. Das bedeutet, dass sich die Größe der Auslagerungsdatei Einstellung während des Betriebes ändern kann. Passiert dies häufiger, führt das zu Leistungsverlusten. Einerseits kostet die Größenanpassung selbst
84 ______________________________________________________________ 2 Installation
Optimale Einstellungen
Anpassung der Auslagerungsdatei
Zeit, andererseits fragmentiert damit das Volume zusätzlich (siehe auch Abschnitt 11.4 Fragmentierung ab Seite 580). Um die Zugriffe auf die Auslagerungsdatei zu optimieren, nehmen Sie folgende Änderungen vor: Legen Sie den Anfangs- und den Endwert für die Größe der Auslagerungsdatei auf den gleichen Wert fest. Als gute Empfehlung kann dabei die standardmäßig vom System vorgeschlagene maximale Größe der Auslagerungsdatei gelten. Verlegen Sie die Auslagerungsdatei auf das schnellste Volume. Haben Sie die Festplatten mit einer separaten SWAP-Partition versehen, sollten Sie die Datei auf dieser anlegen. Gehen Sie zur Anpassung der Auslagerungsdatei-Einstellungen wie folgt vor: 1. Öffnen Sie das Systemeigenschaften-Dialogfenster, indem Sie mit der rechten Maustaste auf das Computersymbol im Startmenü klicken und den Punkt EIGENSCHAFTEN wählen (oder über die Tastenkombination Windows-Taste+Untbr). 2. Klicken Sie auf der linken Seite auf ERWEITERTE SYSTEMEINSTELLUNGEN und wählen Sie die Registerkarte ERWEITERT aus. 3. Öffnen Sie im Bereich LEISTUNG den Dialog L EISTUNGSOPTIONEN, in dem Sie auf die Schaltfläche E INSTELLUNGEN klicken. Wählen Sie wiederum die Registerkarte ERWEITERT aus. Klicken Sie dann im unteren Bereich VIRTUELLER ARBEITSSPEICHER auf die Schaltfläche ÄNDERN.
Abbildung 2.15: Einstellungen zur Auslagerungsdatei
4. Legen Sie nun die Größe der Auslagerungsdatei fest. Deaktivieren Sie die automatische Verwaltung der Auslagerungsdateigröße. Ak-
2.8 Optimierung nach der Installation ________________________________________ 85 tivieren Sie BENUTZERDEFINIERTE G RÖßE und geben Sie in beide Felder dieselbe Größe in MB ein. Klicken Sie dann auf FESTLEGEN. Um die Auslagerungsdatei für ein anderes Laufwerk einzurichten, klicken Sie auf dessen Eintrag in der Liste. Geben Sie hier ebenso die Werte für die Auslagerungsdatei ein. Klicken Sie dann auf den ursprünglichen Speicherort und danach auf KEINE AUSLAGERUNGSDATEI. Es macht keinen Sinn, mehrere Auslagerungsdateien auf verschiedenen Laufwerken anzulegen. Damit wird keinerlei Performancesteigerung erreicht. Richten Sie deshalb immer nur eine einzige Auslagerungsdatei auf dem schnellsten Volume ein. Die meisten Änderungen an der Auslagerungsdatei machen einen Meist Neustart System-Neustart notwendig. Erst danach sind alle Änderungen auch notwendig tatsächlich durchgeführt worden.
Anpassen der Systemwiederherstellungs-Funktion Mit der Systemwiederherstellungs-Funktion wird die Gefahr, durch die Installation neuer Software zu einem instabilen System zu kommen, fast auf Null reduziert. Detailliert wird diese Funktion in Abschnitt 9.3 Systemwiederherstellung ab Seite 448 behandelt. Für jeden Wiederherstellungspunkt benötigt das System Speicherplatz Speicherplatz für auf dem Volume. Dabei macht die Anlage dieser Punkte nur auf den WiederherstelVolumes Sinn, auf denen Sie auch Programme installieren. Für die lungspunkte Stabilität des Betriebssystems ist das in der Regel ausschließlich das Windows-Startvolume (welches das Windows-Verzeichnis enthält, also %Systemroot%). Sind Start- (enthält %Systemroot%) und Systemvolume (enthält den Bootloader) nicht identisch, sollte auch letzteres in die Einrichtung der Systemwiederherstellung einbezogen werden. Alle anderen Volumes können Sie im Normalfall von der Funktion ausschließen. Das Verfahren dazu wird in Abschnitt 9.3.3 Konfigurieren der Systemwiederherstellung ab Seite 452 eingehend erläutert. Nehmen Sie Änderungen an der Konfiguration zur Systemwiederherstellungs-Funktion nur dann vor, wenn Sie genau wissen, wie diese funktioniert, und Sie über eine strikte Trennung von Programmund Datenpartitionen verfügen. Anderenfalls ist es wesentlich besser, auf eine sicherere Konfiguration zu setzen, anstatt das letzte Quäntchen Performance und Festplattenplatz herauszukitzeln.
Servicepacks und Updates installieren Bevor Sie die abschließende Optimierung der Volumes über eine De- Details ab Seite 93 fragmentierung vornehmen, sollten Sie Ihr System auf den aktuellen Stand bringen. Mit der Installation von Servicepacks und anderen Updates werden schließlich viele Dateien ersetzt, was insbesondere zu einer weiteren Fragmentierung des Startvolumes führt. Auch wenn zu diesem Zeitpunkt noch kein Service Pack für Vista verfügbar ist, wird
86 ______________________________________________________________ 2 Installation dieses Thema in Abschnitt 2.10 Windows Update ab Seite 93 detailliert behandelt, denn es ist davon auszugehen, dass Microsoft noch Verbesserungen nachschiebt.
Volumes defragmentieren Details ab Seite 580
Als letzten Optimierungsschritt sollten Sie die Volumes defragmentieren. Insbesondere das Windows-Startvolume wird bei der Installationsprozedur aufgrund der ständigen Anlage und Löschung temporärer Dateien meist sehr stark fragmentiert, was eine Verschlechterung der Gesamtperformance zur Folge hat. Alle weiteren Informationen zu diesem Thema finden Sie in Abschnitt 11.4 Fragmentierung ab Seite 580.
2.9 Übertragen von Dateien und Einstellungen Eine Windows-Neuinstallation bedeutet in der Regel neben der Installation aller Anwendungsprogramme auch das mühsame Übertragen aller Dateien und Einstellungen der Benutzer. Diese werden in allen Windows-Versionen in speziellen Benutzerverzeichnissen abgelegt, die als Benutzerprofile bezeichnet werden. Weiterführende Informationen finden Sie dazu in Abschnitt 5.5 Benutzerprofile ab Seite 284. Windows Vista bietet mit einem speziellen Migrationsprogramm Übertragen von Benutzerprofil-Daten dem Windows Easy Transfer - die Möglichkeit, diese Profildaten von mit Windows Easy einem Quellsystem in das neue Zielsystem zu übertragen. Damit könTransfer nen Sie sich eine Menge Einrichtarbeiten sparen. Grundlagen ab Seite 284
2.9.1
Grundsätzliches Verfahren
Der Assistent für das Übertragen der Profildaten sammelt auf einem Quellsystem die Profildaten und überträgt sie auf das Zielsystem.
Unterstützte Windows-Betriebssysteme Quellsysteme
Ziel: Ausschließlich Windows Vista
Unterstützt werden die folgenden Windows-Quell-Betriebssysteme: Windows 2000 Windows XP Professional und Home Edition Da es sich um ein Migrationstool handelt, kommt als Zielsystem übrigens nur ein Windows Vista-System zum Einsatz. Der Weg, Dateien und Einstellungen von Windows Vista auf eine ältere WindowsVersion mit Hilfe dieses Assistenten zu übertragen, ist leider nicht möglich.
Was kann übertragen werden? Der Assistent überträgt unter anderem diese persönlichen Dateien und Einstellungen: Benutzerkonten
2.9 Übertragen von Dateien und Einstellungen ________________________________ 87 Ordner EIGENE DATEIEN (unter Vista DOKUMENTE), der Bilder, Videos oder Musikstücke enthält Programmeinstellungen Einstellungen für den Internet-Explorer und Favoriten Email-Einstellungen, Nachrichten und Kontakte andere Benutzerdateien auf dem Computer Sie können den Assistenten für den Übertragungsvorgang anpassen Anpassung und genau spezifizieren, welche Dateien und Einstellungen übertragen werden sollen. Beachten Sie, dass der Assistent Benutzer-orientiert arbeitet. Sind beim Quellsystem mehrere Benutzer angelegt, müssen Sie den Assistenten für jeden Benutzer individuell aufrufen. Allerdings kennt der Assistent drei Auswahlmöglichkeiten: Aktuelle Benutzer, Alle Benutzer und Benutzerdefinierte Auswahl.
Übertragungsarten Für die Art des Vorgehens bei der Übertragung können zwei verschiedene Modi benutzt werden. Offline-Übertragung Offline Bei der Offline-Übertragung erstellen Sie zuerst ein Abbild der gewünschten Dateien und Einstellungen des Quellsystems und speichern dieses in einem Verzeichnis (lokal, im Netzwerk oder auf einem externen Datenträger). Danach starten Sie den Assistenten auf dem Zielsystem und lesen die Daten ein. Das Verfahren wird im nachfolgenden Abschnitt beschrieben. Online-Übertragung Online Sie verbinden zwei Computer über das Netzwerk oder ein USBDatenübertragungskabel, das so genannte EasyTransfer-Kabel, und führen den Vorgang zeitgleich auf beiden Systemen aus. Auf dem Quellsystem stellt der Assistent die Daten zusammen und überträgt diese auf das Zielsystem, wo sie der Assistent entgegennimmt. Einzige Voraussetzung neben der technischen Verbindung ist, dass der Assistent auf beiden Systemen zur gleichen Zeit läuft. Dieses Verfahren wird in Abschnitt 2.9.3 Online-Übertragung durchführen ab Seite 92 beschrieben. Ob Online- oder Offline-Übertragung: Leeren Sie erst den Papierkorb auf dem Quellsystem. Anderenfalls werden auch genau diese eigentlich gelöschten Dateien mit übertragen. Abhängig vom verwendeten Quell-Windows landen diese Dateien übrigens nicht etwa im Papierkorb auf dem Zielsystem, sondern unter Umständen in einem neu angelegten »normalen« Ordner \RECYCLED auf einem Ihrer Laufwerke und können so unbemerkt Platz verschwenden.
Wichtige Voraussetzung: Programme zuerst installieren Eine wichtige Voraussetzung für das Gelingen der Übertragung von Programmeinstellungen ist, dass die Anwendungsprogramme kom-
88 ______________________________________________________________ 2 Installation plett neu auf dem Zielsystem installiert worden sind. Übertragene Einstellungen für Outlook können nur dann genutzt werden, wenn Outlook unter dem neuen System auch wieder verfügbar ist. Außerdem kann es passieren, dass eine nachträgliche Programminstallation vorgenommene Einstellungen wieder auf Standard- (Default-) Werte zurücksetzt.
2.9.2 Aufruf des Assistenten
Offline-Übertragung durchführen
Dieses Verfahren besteht aus zwei Teilen: Sie erstellen zuerst ein Abbild der gewünschten Dateien und Einstellungen auf dem Quellsystem und speichern dieses zwischen. Danach übertragen Sie die Daten auf das Zielsystem.
Assistent am Quellsystem starten
Windows Vista-DVD
Rufen Sie den Assistenten auf dem Quellsystem auf. Sie haben dafür zwei Möglichkeiten: Unter Windows Vista finden Sie den Assistenten über das Startmenü ALLE PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME. Für alle anderen Windows-Versionen können Sie die Windows Vista-DVD einsetzen. Legen Sie diese ein. Öffnen Sie im Explorer das DVD-Laufwerk und wechseln Sie zum Ordner SUPPORT\MIGWIZ. Starten Sie das Programm MIGSETUP .EXE.
Datensammlung auf dem Quellsystem erstellen Nach Bestätigung des Begrüßungsfensters des Assistenten, gegebenenfalls müssen Sie einige laufende Programme schließen, gehen Sie wie folgt vor: 1. Wählen Sie aus, ob Sie einen neuen Transfer starten oder einen bereits gestarteten fortsetzen wollen. 2. Die weitere Vorgehensweise ist davon abhängig, ob der benutzte Computer der Ziel- oder der Quellcomputer ist. 3. In jedem Fall müssen Sie die Übertragungsmethode auswählen. Sie können eine Peer-to-Peer-Verbindung über ein Easy-TransferKabel herstellen, die Daten direkt über ein Netzwerk kopieren oder eine Offline-Übertragung über CD, DVD oder USB-Flashlaufwerk als Medium einrichten. Welche Methode die beste ist, hängt von den lokalen Gegebenheiten ab. Ein Link zur Entscheidungshilfe steht Ihnen bereit.
2.9 Übertragen von Dateien und Einstellungen ________________________________ 89 Abbildung 2.16: Auswahl der Übertragungsmethode
4a. Für eine kurze Distanz zwischen Quell- und Zielcomputer eignet sich die von Microsoft empfohlene Übertragung per EasyTransferKabel. Abbildung 2.17: Anschließen des EasyTransfer-Kabels
Für das weitere Vorgehen bei der direkten Übertragung folgen Sie den Anweisungen zur Online-Übertragung. Im nächsten Abschnitt 2.9.3 Online-Übertragung durchführen erfahren Sie mehr darüber. 4b. Die wohl in der Praxis häufigste Verwendung im Unternehmensumfeld ist die Übertragung via Netzwerk. Mehr finden Sie dazu in Abschnitt 2.9.3 Online-Übertragung durchführen. 4c. Befinden sich sowohl Quell- als auch Zielsystem auf dem gleichen Computer (beispielsweise bei einer Dualboot-Konfiguration von Windows XP und Windows Vista), können Sie mit der letzten Option CD, DVD ODER EIN ANDERES WECHSELMEDIUM auch ein lokales Verzeichnis angeben. Diese Option eignet sich ebenfalls bei zwei miteinander vernetzten Computern. Geben Sie dann hier einen Netzwerkpfad oder ein freigegebenes Netzwerkverzeichnis an.
90 ______________________________________________________________ 2 Installation Abbildung 2.18: Netzwerkpfad auswählen
Das gilt auch für ein angeschlossenes externes USB-Laufwerk. 5. Bestimmen Sie danach die zu übertragenden Daten. Sie können neben den voreingestellten drei Varianten auch individuelle Anpassungen an der Auswahl vornehmen, wenn Sie vor dem Klick auf WEITER das Kontrollkästchen AUSWÄHLEN EINER BENUTZERDEFINIERTEN LISTE ... aktivieren. Abbildung 2.19: Auswahl der zu übertragenden Daten
Zu empfehlen ist die Erstellung einer benutzerdefinierten Liste vor allem dann, wenn Sie Dateien in anderen als den von Windows standardmäßig verwendeten Ordnern wie E IGENE DATEIEN bzw. DOKUMENTE oder DESKTOP gespeichert haben und diese mit übertragen wollen.
2.9 Übertragen von Dateien und Einstellungen ________________________________ 91 Abbildung 2.20: Erstellen einer individuellen Liste
Klicken Sie auf die Schaltfläche ORDNER HINZUFÜGEN, um andere Ordner einzuschließen. Beachten Sie die Angabe der Transfergröße, damit Sie eine entsprechende Anzahl und Größe der Medien bereitstellen können. 6. Nach dem Sammeln aller Daten werden diese auf dem Zieldatenträger oder dem spezifizierten Ordner abgespeichert. Die Daten sind dann hier in verschlüsselter und gepackter Form in einer oder mehreren Dateien mit dem Suffix *.mig gespeichert. Sie können nur durch den Assistenten, der auf dem Zielsystem ausgeführt wird, gelesen werden. Abbildung 2.21: Transfer durchführen und Hinweis zur Nummerierung der Datenträger beachten
92 ______________________________________________________________ 2 Installation Datensammlung auf dem Zielsystem einlesen Ein Doppelklick auf die Migrationsdatei des ersten Datenträgers reicht, um den EasyTransfer-Assistenten auf dem Zielcomputer zu starten. Achten Sie darauf, dass der EasyTransfer-Assistent auf beiden Systemen in der gleichen Version vorliegt. Möglicherweise können Inkompatibilitäten dafür sorgen, dass nicht alle Daten übertragen werden. Selbstverständlich brauchen Sie ausreichende Rechte, um diese Aktion anzustoßen. Wurde bei der Erstellung der Migrationsdateien ein Kennwort vergeben, brauchen Sie dieses natürlich auch für die Wiederherstellung.
2.9.3
Online-Übertragung durchführen
Wollen Sie eine Online-Übertragung zwischen zwei Computern durchführen, muss eine der folgenden Voraussetzungen erfüllt sein: Beide Computer sind miteinander über ein lokales Netzwerk verbunden. Achten Sie darauf, dass bei beiden Systemen die Netzwerkeinstellungen (Protokoll, Arbeitsgruppe etc.) korrekt sind. Beide Computer sind miteinander über ein spezielles USB-Datenübertragungskabel, dem EasyTransfer-Kabel, verbunden. Vorgehen Schritt für Gehen Sie dann schrittweise wie nachfolgend beschrieben vor: Schritt 1. Wenn Sie die Übertragung zwischen den beiden Computern über ein lokales Netzwerk vornehmen wollen, ist es egal, ob Sie den Assistenten zuerst auf dem Zielsystem oder Quellcomputer ausführen. Wichtig ist, dass Sie sich über die Rollen der Computer im Klaren sind. Es muss also klar sein, von welchem Computer (Quellcomputer) auf welchen Computer (Zielcomputer) Daten übertragen werden sollen. Sie erreichen den Assistenten über das Startmenü ALLE PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME. Bestätigen Sie das Begrüßungsfenster des Assistenten und starten Sie den Transfer auf dem ersten Computer. 2. Starten Sie den Assistenten auf dem zweiten Computer und setzen Sie den Transfer dort fort. Wählen Sie auch hier die Rolle des Computers entsprechend aus. Voraussetzungen
Abbildung 2.22: Netzwerk zur Übertragung auswählen
Wenn Sie beim Schritt WIE MÖCHTEN SIE DIE DATEIEN UND E INSTELLUNGEN ÜBER EIN NETZWERK ÜBERTRAGEN ankommen, wählen Sie die Option NETZWERKVERBINDUNG VERWENDEN aus.
2.10 Windows Update _____________________________________________________ 93 3. Für den sicheren Transfer über das Netzwerk benötigen Sie ein Zur Sicherheit: Sitzungskennwort, den Easy Transfer Schlüssel. Dieser dient Ihrer EasyTransferSicherheit, damit nicht jemand einfach unter Nutzung dieser Sys- Schlüssel temfunktionen über das Netzwerk Dateien von Ihrem (Quell-) Computer auf seinen eigenen übertragen kann. Mit Bestätigung der Auswahl der Netzverbindung werden Sie aufgefordert, entweder einen Schlüssel einzugeben oder einen neuen Schlüssel zu erstellen. Abbildung 2.23: Easy Transfer Schlüssel erstellen oder eingeben
4. Der Schlüssel ist eine achtstellige Kombination aus Buchstaben und Ziffern. Nach dem Erstellen müssen Sie diesen am anderen Computer zum Starten des Transfers eingeben. Möglicherweise sitzt am zweiten Computer ein Kollege, dem Sie diese Daten übermitteln müssen. 5. Nach Fertigstellung der Übertragung wird in der Regel wieder ein Neuanmelden am Zielsystem notwendig sein.
2.10 Windows Update Schon Windows 2000 (seit SP3) und Windows XP konnten ein regelmäßiges Update über das Internet sicherstellen. Die optimale Konfiguration und Einrichtung der betreffenden Funktionen werden in Abschnitt 2.10.1 Die automatische Update-Funktion ab Seite 94 behandelt, angrenzende Themen dazu in den nachfolgenden Abschnitten. Bereits seit Erscheinen von Windows NT veröffentlicht Microsoft regelmäßig Updates für seine Betriebssysteme als so genannte Service Packs. Andere Hersteller bezeichnen sie als Patchlevel, meinen aber dasselbe. Es ist generell empfehlenswert, sein System stets auf dem aktuellen Stand zu halten. Das ist einerseits eine Frage der Sicherheit, da so sicherheitsrelevante Fehler im System, die regelmäßig gefunden werden, schnell geschlossen werden können. Andererseits kommen Sie in den Genuss fortwährender Verbesserungen, die Microsoft an seinem System vornimmt. Dritthersteller erwarten oft bei der Installation ihrer Programme, dass das Betriebssystem über einen bestimmten Grad an Aktualisierungen verfügt. Ist das nicht der Fall, brechen die Installationsroutinen entweder ab oder es kommt zu Fehlverhalten der Software.
94 ______________________________________________________________ 2 Installation Nur selten kommt ein Update mit schwerwiegenden, neuen Fehlern auf den Markt. Bei Systemen, die mit sehr spezieller Soft- oder Hardware ausgestattet sind beziehungsweise die zwingend sehr stabil laufen müssen, sollte jedes Update eingehend untersucht und auf Verträglichkeit getestet werden.
2.10.1 Die automatische Update-Funktion Updates für andere Anwendungen: Microsoft Update
Dienst Windows Update
Automatische Updates anpassen
Abbildung 2.24: Einstellungen zur automatischen Update-Funktion
Windows Vista verfügt genauso wie die Professional-Version und die Home Edition von Windows XP über eine integrierte Clientsoftware, mit deren Hilfe das System permanent auf dem neuesten Stand gehalten werden kann. In Windows 2000 kam diese Funktion mit dem Service Pack 3 hinzu, kann dort aber auch separat installiert werden. Über die automatische Update-Funktion kann das System ermitteln, ob bei Microsoft Updates vorliegen, und Sie bei Bedarf darüber informieren beziehungsweise selbstständig die Installation vornehmen. Verantwortlich ist dafür der Dienst Windows Update. Steht die Funktion nicht zur Verfügung, kann es daran liegen, dass dieser Dienst nicht gestartet worden ist. In Abschnitt 9.5 Windows Vista-Dienste ab Seite 463 erfahren Sie mehr zur Dienstesteuerung in Windows Vista. Beachten Sie, dass durch die vollautomatische Update-Installation neben wichtigen System-Updates auch Treiber-Updates geladen und installiert werden. Beachten Sie dazu den vorhergehenden Hinweis. Die Treiber-Updates können Sie separat einstellen. Weitere Informationen finden Sie dazu in Abschnitt 2.10.3 Treiber-Updates konfigurieren. Sie können diese Funktion über das Applet Windows Update in der Systemsteuerung anpassen. Über EINSTELLUNGEN ÄNDERN erscheint an erster Stelle die Option zur vollautomatischen Installation. Gemäß Vorgabewert werden Updates damit selbstständig geladen und nachts um 3 Uhr installiert vorausgesetzt, der Computer wird am Abend nicht abgeschaltet.
2.10 Windows Update _____________________________________________________ 95 Verschiedene Updates erfordern einen Neustart des Computers. Damit der Benutzer dazu seine Arbeit nicht unterbrechen muss, können solche Updates beim Herunterfahren installiert werden. Versiertere Benutzer sollten nicht unbedingt die Vollautomatik ihre Maximale Kontrolle Arbeit verrichten lassen. Zu empfehlen ist die zweite Option UPDATES bei Updates HERUNTERLADEN, ABER INSTALLATION MANUELL DURCHFÜHREN. Sobald der Computer Internetzugang hat, werden Updates damit automatisch übertragen. Ein Symbol im Infobereich der Taskleiste sowie ein Popup-Fenster informieren dann darüber, dass neue Updates installiert werden können.
2.10.2
Windows-Update manuell starten
Unmittelbar nach Abschluss der Installation von Windows Vista oder dem Einspielen des letzten Service Packs empfiehlt es sich, Windows Update manuell zu starten. Klicken Sie dazu auf den entsprechenden Eintrag im Startmenü unter ALLE PROGRAMME|WINDOWS UPDATE und wählen Sie dann NACH UPDATES SUCHEN aus. Abbildung 2.25: Manuelles Starten der Update-Funktion
Besteht eine Internetverbindung, wird die entsprechende UpdateWebsite von Microsoft im Hintergrund geöffnet. Die Seite Systemsteuerung | System und Wartung| Windows Update zeigt den Erfolg oder Misserfolg der Suche an. Ein separates Fenster des Internet Explorers erscheint nicht. Dennoch ist natürlich auch die Möglichkeit gegeben, die Updates selbst von der Microsoft-Seite herunterzuladen: www.windowsupdate.com Möglicherweise verweist Microsoft jedoch auf die Nutzung der Funktion in der Systemsteuerung.
Welche Daten werden an Microsoft gesandt? Die Ermittlung der für Ihr individuelles Windows Vista erforderlichen Updates ist sicherlich sehr komfortabel brauchen Sie sich doch nicht im Einzelnen darum zu kümmern, welche Updates tatsächlich benötigt werden und welche bereits installiert sind. Damit dies funktioniert, werden allerdings einige Daten von Ihrem System an Microsoft übermittelt. Diese werden nachfolgend aufgeführt.
96 ______________________________________________________________ 2 Installation An Microsoft übermittelte Daten
Erkennungsmöglichkeit für Raubkopien
Versionsnummer und Produktkennung (Product ID) Versionsnummern zugehöriger Komponenten und Anwendungen (wie beispielsweise des Internet Explorers oder des Media Players) Plug&Play-IDs von Hardware-Komponenten (wie zum GrafikChipsatz) GUID (Globally Unique Identifier) Ihres Systems Der GUID wird individuell für jedes Computersystem gebildet, während in der Produktkennung unter anderem kodiert ist, welches VistaLizenzmodell (Einzelhandels-Vollversion, OEM-Version etc.) vorliegt. Damit kann prinzipiell erkannt werden, ob das anfragende System »legal«, also berechtigt zum Update ist. Die Identität des Benutzers wird damit zwar nicht offen gelegt. Ein als »illegal« erkanntes System kann aber vom Update ausgeschlossen werden. Denkbar ist auch das Einspielen von Code, der so eine Kopie unbrauchbar macht.
Automatische Update-Funktion deaktivieren Deaktiviert werden kann die automatische Update-Funktion über mehrere Wege. Zu empfehlen ist das im Normalfall allerdings nicht. Sie wählen die Option NIE NACH UPDATES SUCHEN in den Optionen zu dieser Funktion. Sie deaktivieren den Dienst Windows Update (siehe auch Abschnitt 9.5 Windows Vista-Dienste ab Seite 463). Sie aktivieren diese lokale Gruppenrichtlinie: Richtlinien für Lokaler Computer \Benutzerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Windows Update \Zugriff auf alle Windows Update-Funktionen entfernen An einem lokalen System lässt sich so die Update-Funktion lediglich ausschalten, aber nicht weiter konfigurieren. Beachten Sie, dass Sie mit dieser Richtlinie die Windows UpdateFunktion komplett deaktivieren. Damit ist auch ein manuelles Ausführen derselben nicht mehr möglich. Sie konfigurieren die entsprechenden Richtlinien im Active Directory, die Sie im Gruppenrichtlinienobjekt in diesem Zweig finden: \Computerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Windows Update Für in das Active Directory integrierte Clients gibt es hier neben der Möglichkeit zur Deaktivierung eine Reihe von weiterführenden Richtlinien. So können Sie beispielsweise Clients dazu bewegen, die Updates von einem eigenen Update-Server zu beziehen, den Sie mit Hilfe der Windows Server Update Services (WSUS; ehemals Software Update Services - SUS) eingerichtet haben.
2.10 Windows Update _____________________________________________________ 97 Erweiterte Optionen für Administratoren Über den entsprechenden Link im zentralen Fenster für die manuelle Updates zentral Update-Installation erreichen Sie zwei für eine zentrale Update- laden und verteilen Administration wichtige Funktionen: Windows Update-Katalog Über diesen Katalog können Sie Updates herunterladen und zwischenspeichern, um sie nachträglich auf Clients manuell zu verteilen. Windows Server Update Services (WSUS) Sie erreichen die Website zu den WSUS, über die Sie in einem Active Directory-basierten Netzwerk eine eigene Infrastruktur zur zentralen Verteilung von Updates und Service Packs einrichten können. Mit den WSUS lassen sich außerdem Updates für Microsoft Office-Installationen ab Version 2002 verteilen. Abbildung 2.26: Zentraler Download und Verteilung von Updates mit den WSUS
Im vorliegenden Buch werden die WSUS nicht behandelt. Sie finden weiterführende Informationen zu diesem Thema in unserem Buch Windows Server 2003.
2.10.3
Treiber-Updates konfigurieren
Navigieren Sie zu START|SYSTEMSTEUERUNG|SYSTEM. Das geht am einfachsten mit der Tastenkombination Windows-Taste+Untbr. Wählen Sie in der Aufgabenleiste auf der linken Seite die ERWEITERTEN SYSTEMEINSTELLUNGEN . Im Dialogfenster SYSTEMEIGENSCHAFTEN öffnen Sie die Registerkarte HARDWARE.
98 ______________________________________________________________ 2 Installation Abbildung 2.27: Treiber-Updates konfigurieren
Über die Schaltfläche TREIBEREINSTELLUNGEN FÜR WINDOWS UPDATE gelangen Sie zum Dialogfenster WINDOWS UPDATE-TREIBEREINSTELLUNGEN. Abbildung 2.28: Update-Treibereinstellungen
Umsichtige Administratoren werden sich eher für die zweite Option entscheiden und Treiber nicht ungefragt installieren lassen.
2.11 Umgang mit Service Packs Innerhalb des Lebenszyklus eines moderneren Microsoft-Betriebssystems wird in aller Regel mehr als ein Service Pack herausgebracht. Es gehört zu den Herausforderungen eines Administrators, seine Systeme stets auf dem aktuellen Service Pack-Stand zu halten.
2.11 Umgang mit Service Packs_____________________________________________ 99 Mit dem Begriff Service Pack hat Microsoft dabei einmal mehr einen genialen Marketing-Coup gelandet: Anstelle negativer Begriffe wie Bugfix oder Fehlerbeseitigung wurde eine weit weniger verfängliche Bezeichnung gefunden. Die Installation von Service Packs gehört mittlerweile zum Administrator-Alltag. Heute stellt ein Service Pack (SP) im Grunde eine Zusammenfassung aller bis dato aufgelaufenden Updates dar. Service Packs sind also in der Regel kumulativ. Die kleineren Updates, die meist nur wenige Dateien oder Einträge in der Registrierungsdatenbank umfassen und oft bestimmte Software- und Hardwarerkombinationen betreffen, werden Hotfixes genannt.
Express- oder Netzwerk-Installation? Die Installation von Service Packs wird über die Windows UpdateServices mit angeboten. Allerdings handelt es sich hierbei um die so genannte Express-Installationsmethode. Bei dieser wird lediglich ein kleines Programm geladen. Nach dessen Start werden alle benötigten Komponenten über das Internet bezogen. Dabei ist eine schnelle Anbindung ans Internet dringend zu empfehlen immerhin werden so einige MB auf den eigenen PC transferiert. Für die schnelle Verteilung von Service Packs, ob auf einem oder mehreren Computern im Netzwerk, eignet sich diese Methode kaum. Deshalb bietet Microsoft seine Service Packs auch in kompletten, großen Paketen an. Achten Sie darauf, die korrekte Sprachversion zu laden. Ein englisches Service Pack lässt sich auf einer deutschen Windows-Version nicht installieren. Die Installation starten Sie mit einem Doppelklick auf die ausführbare Datei. Nach einer Überprüfung der Datenintegrität wird das gesamte Paket in ein temporäres Verzeichnis entpackt. Vor der eigentlichen Installation haben Sie noch die Chance festzulegen, ob Sie den bisherigen Stand Ihres Systems zwischenspeichern wollen. Nur dann können Sie die Installation des Service Packs wieder rückgängig machen. Über den Kommandozeilen-Schalter /X oder X können Sie die Netzwerkinstallations-Fassung eines Service Packs in einen Zielordner dekomprimieren lassen. Besonders die auf Seite 97 vorgestellten WSUS-Server eignen sich hervorragend zur Verteilung von Service Packs. Sie verhindern, dass alle Computer im Netzwerk selbständig im Internet nach Service Packs und Updates suchen. Das letzte Service Pack 2 für Windows XP hatte immerhin ein Volumen von circa 250 MB. Es ist also eine erhebliche Zeit- und Kostenersparnis, wenn ein Server die Service Packs herunter lädt und sie hunderten oder gar tausenden Computern im LAN zur Verfügung stellt.
Express-Pakete mit dynamischem Nachladen oder...
...große Komplettpakete
Installation
Wenn möglich, WSUS nutzen
2.11 Umgang mit Service Packs____________________________________________ 101
3 3 Die Benutzerschnittstelle Die Benutzerschnittstelle von Vista ist eines der markantesten Merkmale dieser Version von Windows. Eine intuitive, übersichtliche Bedienung war das Ziel der Entwickler. Mit AERO wird ein neuer Modus eingeführt, der die CPU entlastet und die Fähigkeiten moderner Grafikkarten ausnutzt.
102 ________________________________________________ 3 Die Benutzerschnittstelle
Inhaltsübersicht Kapitel 3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9
Die Grafikmodi.............................................................. 103 Überblick über die Benutzeroberfläche ..................... 104 Anmelden, Umschalten und Beenden ....................... 132 Optimierung der Anzeige-Einstellungen .................. 137 Windows-Explorer anpassen ...................................... 150 Hilfe- und Supportcenter............................................. 154 Das Sicherheitscenter.................................................... 156 Optionen für Behinderte .............................................. 159 Umgang mit Anwendungen ....................................... 162
3.1 Die Grafikmodi _______________________________________________________ 103
3.1
Die Grafikmodi
Eine wesentliche Neuerung in Windows Vista ist der Aufbau der Gra- AERO fiksteuerung. Die neue vektorbasierte Benutzeroberfläche hat Microsoft AERO getauft, das Akronym für Authentic, Energetic, Reflective, Open (Authentisch, Energisch, Reflektierend, Offen). Je nach Ausstattung der Grafikhardware (Grafikkarte) unterscheidet Vista drei verschiedene Grafik-Modi: AERO Glass, AERO Basic und Classic.
3.1.1
AERO Glass
Der AERO-Glass-Modus bietet dem Benutzer frei skalierbare Anwendungsfenster. Das ist vor allem für Notebookbesitzer ein Vorteil, weil auf Notebooks oftmals andere Bildschirmgrößen und damit andere Auflösungen gebraucht werden als bei stationären Geräten. Die Unterstützung für 3D-Grafik, Animationen beim Minimieren, Maximieren, Schließen und Öffnen und visuelle Spezialeffekte wie Schattenwurf oder halbtransparenten Rahmen gehören zum Leistungsspektrum dieses Modus. Die Windows Presentation Foundation sorgt für die Darstellung dieser Effekte, was bedeutet, dass die CPU selbst entlastet wird und die Anzeige nur den Grafikprozessor der Grafikkarte (GPU) beansprucht. Zwingende Voraussetzung ist die Verwendung eines speziellen Treibers, der dem Windows Vista Treiber Modell (WDDM) entspricht. Es ist nicht zu erwarten, dass alle Hersteller solche Treiber vor allem für ältere Karten - zur Verfügung stellen. Wenn Sie diesen Grafikmodus nutzen wollen, ist es ratsam vor der Installation von Vista zu prüfen, ob die Hardware mitspielt. Einige taugliche Grafikkartenchipsätze sind hier aufgeführt: Nvidia: FX 5200, 5500, 5600, 5700, 5800, 5900, 5950, 6100, 6150, 6200, Nvidia 6600, 6800, 7300, 7600, 7800, 7900, 7950 ATI: Radeon 9500, 9600, 9700, 9800, X300, X550, X600, X700, X800, ATI X850, X1300, X1600, X1800, X1900 Aktuelle Informationen erhalten Sie auf den Internetseiten der Hersteller. Der AERO-Glass-Modus ist nicht in der Home-Basic- und StarterEdition enthalten. Wie Sie die Anzeige von Vista in den AERO-Glass-Modus bringen lesen Sie in Abschnitt 3.2.9 Farbschemata einstellen ab Seite 130.
3.1.2
AERO Basis
Dieser Grafikmodus ist die Minimalvoraussetzung für neue Systeme und liefert die minimale Hardware-Beschleunigung für die Oberfläche von Vista. Auf die Spezialeffekte muss verzichtet werden. Dafür sind
104 ________________________________________________ 3 Die Benutzerschnittstelle die Hardwareanforderungen nicht besonders hoch. Eine AGP oder 8-Bit PCIExpress-Grafikkarte mit 32 MB RAM reichen aus. Es können die Windows XP-Grafiktreiber (WDM) benutzt werden.
3.1.3
Classic
Verfügt das System nicht einmal über die Voraussetzungen für den AERO Basis-Modus, schaltet Vista automatisch in diesen Modus. Dieser konventionelle Modus entspricht der Oberfläche von Windows 2000. In Ermangelung der Hardwareunterstützung sorgt die CPU für den Grafikaufbau, was sie auch entsprechend belastet.
3.2
Überblick über die Benutzeroberfläche
Nach dem ersten Start von Windows Vista begrüßt Sie Vista sehr freundlich mit dem Begrüßungscenter. Auf dem Desktop sind lediglich der Papierkorb und eine Verknüpfung zu Erste Schritte zu finden.
3.2.1
Das Begrüßungscenter
Das Begrüßungscenter ist eine reduzierte Darstellung der Systemsteuerung. Diese Ansicht zeigt nur vier der 16 Symbole der Systemsteuerung. Abbildung 3.1: Seien Sie gegrüßt
Offensichtlich hat sich im Laufe der Jahre der Windows-Entwicklung herausgestellt, dass viele Benutzer nach dem ersten Starten die glei-
3.2 Überblick über die Benutzeroberfläche ___________________________________ 105 chen Arbeiten ausführen wollen. So ist die Installation von Druckern oder auch anderen Geräten eine wichtige Aufgabe. Neueinsteiger oder Umsteiger brauchen vielleicht etwas Nachhilfe in Windows Grundlagen. Benutzer der Vorgängerversionen können sich hier sofort Informationen über Neuerungen in diesem Betriebssystem beschaffen. Das alles lässt sich vom Begrüßungscenter aus erledigen. Über weitere Details lassen sich Basisinformationen des Computers anzeigen und ändern. Diese Verknüpfung zeigt somit auf SYSTEMSTEUERUNG|SYSTEM UND WARTUNG|SYSTEM. Hier lässt sich auch die ab Seite 68 beschriebene Aktivierung durchführen. In den nachfolgenden Abschnitten erfahren Sie alles Wissenswerte, wie Startmenü und Desktop aufgebaut sind und an eigene Bedürfnisse angepasst werden können.
3.2.2
Das Startmenü
Das Startmenü ist, wie sein Name schon verdeutlicht, die zentrale Stelle in Windows Vista zum Starten von Programmen und zum schnellen Zugriff auf bestimmte Ordner und zuletzt benutzte Dokumente. Im Vergleich zu den Windows-Vorgängerversionen wurde nicht nur sein Erscheinungsbild, sondern auch seine Funktionalität komplett überarbeitet. Der seit Windows 95 bekannte rechteckige Startknopf ist einem runden Knopf gewichen. Offenbar waren es auch die Entwickler in Redmond leid, sich permanenten Fragen auszusetzen, warum der Benutzer einen Start-Knopf drücken muss, um Windows zu beenden. Windows XP erfahrene Anwender sollten mit dem neuen Menü kein Problem haben. Wenn Sie sich ein wenig damit auseinandersetzen, werden Sie feststellen, dass damit die Arbeit schneller von der Hand geht.
Grundlegender Aufbau Nachfolgend wird der grundlegende Aufbau des Startmenüs näher erläutert, bevor es im nächsten Abschnitt um die Möglichkeiten seiner Anpassung geht. Die einzelnen Elemente (siehe Abbildung 3.2 auf Seite 106) haben die folgenden Bedeutungen: Startmenü für Programmeinträge Im linken Teil des eigentlichen Startmenüs finden Sie zweigeteilt Startmenü: den Bereich für die Programmeinträge. Der obere Teil enthält Fester Teil Links auf Programme, die nach einer einmaligen Eintragung fest stehen bleiben. Standardmäßig sehen Sie hier nach der Installation nur die Links auf den Internet Explorer und das E-Mail-Programm Windows Mail.
106 ________________________________________________ 3 Die Benutzerschnittstelle Sie können leicht eigene Programmverweise in diesen Teil des Startmenüs einsetzen. Öffnen Sie das Startmenü und suchen Sie das Programmsymbol. Beispielsweise lassen sich die Symbole des variablen Teils verschieben. Ziehen Sie dazu das Symbol mit gedrückter linker Maustaste vom unteren in den oberen Teil des Startmenüs. Abbildung 3.2: Elemente des Startmenüs
Variabler Teil
Vom festen Teil durch eine dünne Linie abgegrenzt liegt der variable Teil des Startmenüs. Hier legt Windows Verweise auf die Programme ab, die der Benutzer zuletzt aufgerufen hat. Standardmäßig werden die acht am häufigsten eingesetzten Programme angezeigt. Diese Anzahl können Sie aber auch nachträglich anpassen (siehe Verweise im nachfolgenden Text). Direkt nach der Installation von Windows Vista finden Sie hier die Verweise zu den Programmen, die Ihnen Microsoft besonders nahebringen will. ALLE PROGRAMME Wenn Sie auf diesen Eintrag im Startmenü klicken, werden Ihnen alle installierten Programme angezeigt. Sie finden hier generell nur Verweise auf die Programme, die über ein Installationsprogramm korrekt unter Windows installiert worden sind. Programme, die Sie durch einfaches Kopieren oder über ein nicht Windows-konformes Installationsprogramm auf den Computer gebracht haben, sind nicht mit einem Verweis im Startmenü vertreten. Der Benutzer sieht nur die Programme, die ihm zugewiesen worden sind. Die Entscheidung darüber wird in der Regel vom Pro-
3.2 Überblick über die Benutzeroberfläche ___________________________________ 107 gramm getroffen. Normalerweise wird ein Programm für den Benutzer verfügbar gemacht, der es installiert. Ein Administrator kann auch Programme installieren und anderen zur Verfügung stellen. Wenn Sie Standardsoftware verwenden, wird sie vermutlich immer so installiert, dass sie alle Benutzer gleichermaßen verwenden können. Viele Hersteller lassen den Administrator während der Installation entscheiden, ob das Programm für alle Anwender oder nur für einen Benutzer (den Administrator) zur Verfügung stehen soll. Leider gibt es auch heute noch Hersteller, die diese Option nicht anbieten. In Abschnitt Liste der Programme benutzerorientiert anpassen ab Seite 116 wird beschrieben, wie Sie hier Modifikationen vornehmen können. SUCHFUNKTION Suchen ist eine sehr häufig benutzte Funktion. Microsoft hat dem Rechnung getragen und diese Funktion mit kurzem Weg direkt über den Startknopf angebracht. Das Suchen ist nicht auf den eigenen Computer beschränkt, denn auch die Recherche im Internet ist von hier aus möglich. Verweise zu benutzerspezifischen Ordnern Die Verweise auf Ordner, die von Windows Vista individuell pro Benutzer verwaltet werden, sind im Einzelnen: - ANZEIGE DES ANGEMELDETEN BENUTZERS Der erste Eintrag auf der oberen rechten Seite ist der Name des Benutzername und aktuell angemeldeten Benutzers dieser Sitzung. Das eingeblen- -bild dete Bild ist zuerst das bei Einrichtung des Benutzers ausgewählte. Es ändert sich jedoch, sobald ein benutzerspezifischer Ordner ausgewählt wird. Über die Verknüpfung Benutzername öffnen Sie den zentralen Ordner, der standardmäßig unter Windows für die Speicherung aller Dokumente eines Benutzers eingerichtet worden ist. Unter Windows XP ist diese Verknüpfung als Eigene Dateien bekannt. Viele Windows-konforme Anwendungsprogramme bieten diesen Ordner als Standardordner zum Öffnen und Speichern von Dokumenten an. Die Verknüpfung ist ein Verweis auf den folgenden realen Ort: %Systemdrive% \Benutzer \%Username% Die Variablen %Systemdrive% und %Username% stehen für das Installations-Laufwerk von Windows (häufig C:) und den konkreten Benutzernamen. Sie können den Speicherort in einen anderen Ordner oder auf ein anderes Laufwerk verlegen. Die Vorgehensweise dazu wird in Abschnitt 3.5.1 Speicherort für B ENUTZERDATEN ändern ab Seite 150 erklärt.
108 ________________________________________________ 3 Die Benutzerschnittstelle - DOKUMENTE Eigene Briefe und Notizen können über diese Verknüpfung erreicht werden. Dokumente ist ein Unterordner des Ordners, der den Benutzernamen trägt. Wird Microsoft Office benutzt, sollte er als Standardordner zur Ablage von Word- und Exceldokumenten eingestellt sein. - MUSIK Dieser Verweis zeigt ebenfalls auf den gleichnamigen Unterordner, der auch unterhalb des Benutzerordners liegt. Der Ordner MUSIK dient als Standardordner für die Speicherung von Audio-Dateien, die Sie beispielsweise mit dem Windows Media Player erstellen oder abspielen. Mehr zu diesem Thema erfahren Sie in Abschnitt 17.3 Windows Media Player ab Seite 1123. - BILDER Früher bekannt als EIGENE BILDER, zeigt diese Verknüpfung ebenfalls auf einen Unterordner und wird von neueren Bildbearbeitungsprogrammen als Standardordner benutzt. Der Windows Explorer schlägt diesen Ordner ebenfalls zur Speicherung vor, wenn Sie Bilder aus einer Digitalkamera oder über einen Scanner importieren wollen. Weitere Informationen finden Sie dazu in Abschnitt 17.5 Digitale Bilder ab Seite 1149. - SPIELE Diese Verknüpfung führt zu den von Microsoft mitgelieferten Spielen und weist auf: %Systemdrive% \Programme \Microsoft Spiele Die Spiele sind in Abschnitt 17.7.1 Mitgelieferte Spiele ab Seite 1164 beschrieben. - SUCHEN Über den Verweis SUCHEN öffnen Sie das Hauptfenster der Suchfunktion. Über dieses Fenster können Sie die Art der gesuchten Datei eingrenzen. Neben häufigen Dateien, wie Dokumente und E-Mails, können Sie Fernsehaufzeichnungen, Notizen, RSS-Feeds und vieles mehr durchsuchen. Hinter dieser leistungsfähigen Suche verbringt sich eine Funktion, die diese Daten im Hintergrund indiziert. Über die erstellten Indizes können die Inhalte sehr schnell abgefragt werden. Die Bedienung funktioniert so: In der Zeile E RGEBNISSE ANZEIGEN FÜR wählen Sie aus, um die Art der Datei zu spezifizieren, die Sie suchen. Sind Sie sich nicht sicher, welche Dateiart es ist, lassen Sie die Auswahl bei Alle Arten stehen. Das liefert Ihnen naturgemäß eine größere Treffermenge. Neben dem Wort IN geben an, was wo Sie suchen wollen. Die Auswahlmöglichkeiten sind hier INDEX, ALLE LAUFWERKE UND GERÄTE, BENUTZERDATEIEN und FREI WÄHLBARE SUCHORTE.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 109 Am schnellsten geht die Suche wie gesagt über den Index. Es Index kann jedoch vorkommen, dass der Index noch nicht aktualisiert wurde. Dann empfiehlt es sich, die Suche auf die Bereiche zu begrenzen, in denen die Daten vermutet werden; also Worddateien am ehesten unter den Benutzerdateien suchen, bevor alle Laufwerke durchsucht werden. Die Treffermenge kann variiert werden, indem ein Filter ver- Filter wendet wird. Der Filter wird durch Anklicken des kleinen runden Knopfes mit dem blauen Dreieck eingeschaltet. Eine weitere Symbolleiste ist zu sehen, die drei Dropdown-Felder und ein Eingabefeld enthält. Ein Filter entsteht durch Hinzufügen einer weiteren Bedingung. Bei WOBEI stehen die logischen Operatoren UND, ODER und UND NICHT zur Verfügung. Bei TITEL kann außer einem beliebigen Text aus einer Vielzahl von Bezeichnungen gewählt werden: Albumtitel, Änderungsdatum, Dateierweiterung, Größe, um nur einige zu nennen. Dieser Auswahl folgt der enthält-Knopf, der die Bedingung enthält. Bestimmen lässt sich die Treffermenge durch Operanden wie entspricht/nicht, , =, beginnt mit und enthält/nicht. TITEL HINZUFÜGEN erwartet die Eingabe einer Zeichenkette. Die kleine Lupe startet die Suche. - COMPUTER Der Verweis öffnet eine Übersicht über alle im und am Computer vorhandenen Laufwerke und entspricht damit in etwa dem Arbeitsplatz von Windows XP. Interessanterweise sind hier gleich Verknüpfungen zur Softwareinstallation und zur Systemsteuerung mit eingebaut. Abbildung 3.3: Computer-Fenster
- NETZWERK Damit haben Sie das Windows-Netzwerk schnell im Zugriff. Aus Sicherheitsgründen sind anfänglich die Sichtbarkeit des Computers und seine Freigaben geblockt. Weitere Informationen bietet zu diesem Thema das Kapitel 14 Netzwerkadministration ab Seite 853.
110 ________________________________________________ 3 Die Benutzerschnittstelle Nachdem Sie mit einigen Dokumenten unter Windows gearbeitet haben, wird der folgende Verweis erscheinen: - ZULETZT VERWENDETE DOKUMENTE Wenn Sie auf diesen Verweis klicken, erscheint die Liste der zuletzt bearbeiteten Dokumente zur Auswahl. - VERBINDEN MIT Möchten Sie sich mit anderen Netzwerken verbinden, wählen Sie diese Option. Es können Verbindungen über Drahtlos-, Wähl- und VPN-Netzwerke hergestellt werden. Abgetrennt von den übrigen Teilen kommen dann Einträge, über die Sie Einstellungen am Betriebssystem vornehmen können. SYSTEMSTEUERUNG Standardmäßig finden Sie hier zunächst nur den Verweis zur Systemsteuerung. Wenn Sie weitere Systemeinstellungen vornehmen, beispielsweise am Drucker oder an den Faxeinstellungen, werden Sie danach auch dazu entsprechende Verweise vorfinden. Standardprogramme STANDARDPROGRAMME Damit bestimmte Dateitypen immer von den gewünschten Programmen geöffnet werden, können Sie die Zuordnungen festlegen. So ist der Internet Explorer erst nach Bestätigung der Standardbrowser für Internetseiten. Alternativen sind also hier zu benennen. Das Gleiche gilt u.a. für E-Mail-Programme und Bildverarbeitungsprogramme. Vor allem, wenn Sie mehrere Programme installiert haben, die dieselbe Funktion haben beispielsweise für Testzwecke -, ist es hilfreich, hier die Übersicht zu behalten. Abbildung 3.4: Standardprogramme festlegen
HILFE UND SUPPORT Das Hilfe- und Supportcenter umfasst mehr als nur eine reine Hilfedatei. Kategorisiert finden Sie Informationen zu WindowsGrundlagen, Wartung, einen Verweis zur Online-Hilfe, das Inhaltsverzeichnis, die Problembehandlung und natürlich eine Sektion für Umsteiger: »Was ist neu?«. In der Hilfe können Sie nach beliebigen Begriffen eine Volltextsuche durchführen lassen.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 111 Ausschalten, Sperren und Abmelden Wollen Sie die Arbeit an Ihrem Computer kurzzeitig beziehungsweise ganz beenden oder den Computer sperren, klicken Sie auf einen der beiden unteren Schalter: Ausschalten Sie finden verschiedene Optionen vor, den Computer richtig auszuschalten. Dieser Aus-Knopf ist simpel und schließt alle Programme, bevor Windows heruntergefahren wird. Weitere Informationen dazu bietet der Abschnitt 3.3.3 Windows beenden ab Seite 135. Sperren Über diesen Schalter können Sie sich als Benutzer bei Ihrem Windows-System abmelden. Alternativ lässt sich ein fliegender Benutzerwechsel durchführen, bei dem Sie angemeldet bleiben. Weiterführend wird das Vorgehen in Abschnitt 3.3 Anmelden, Umschalten und Beenden ab Seite 132 erläutert. Abmelden/Benutzer wechseln Über diesen, neben dem Sperren-Knopf angebrachten Schalter können Sie sich als Benutzer vom System abmelden. Abbildung 3.5: Kontextmenü Betriebsmodus
Alternativ lässt sich ein fliegender Benutzerwechsel durchführen, bei dem Sie angemeldet bleiben. Ein Neustart kann durchgeführt werden; das Herunterfahren kann auch von hier initiiert werden. Sofern Ihr System den Energiesparmodus beherrscht, können Sie es herunterschalten um Strom zu sparen. Weiterführend wird das Vorgehen in Abschnitt 3.3 Anmelden, Umschalten und Beenden ab Seite 132 erläutert.
Stil und Verhalten des Startmenüs anpassen Das Aussehen und Verhalten des Startmenüs lässt sich individuell ändern und damit der Arbeitsweise des Benutzers anpassen. Ausgangspunkt für die Einstellungen ist dazu das Eigenschaften-Fenster für Taskleiste und Startmenü. Dieses erhalten Sie, wenn Sie auf einen freien Bereich im Startmenü oder in der Taskleiste mit der rechten Maustaste klicken und aus dem dann erscheinenden Kontextmenü den Punkt EIGENSCHAFTEN wählen.
112 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.6: Startmenü im neuen oder im klassischen Stil anzeigen
Optionen zur Anpassung
Einträge im Startmenü
Im Bereich der Registerkarte STARTMENÜ können Sie zunächst bestimmen, ob das Startmenü im neuen oder im klassischen Stil erscheinen soll. Zusätzliche Änderungsmöglichkeiten verbergen sich hinter der Schaltfläche ANPASSEN. Die folgenden Optionen finden Sie vor, wenn Sie den Windows VistaStil des Startmenüs weiter anpassen: DATENSCHUTZ Mitunter möchten Sie nicht, dass nachvollzogen werden kann, welche Dateien und Programme Sie zuletzt geöffnet haben. Sie können das durch Deaktivieren der entsprechenden Checkboxen verhindern. BEFEHL AUSFÜHREN Administratoren brauchen sich nicht mehr um das Abschalten der Menüzeile AUSFÜHREN zu kümmern. Die deaktivierte Checkbox ist Standard. BILDER Wenn Sie auf den Eintrag B ILDER im Startmenü klicken, ist standardmäßig die Verknüpfung mit diesem Ordner hinterlegt. Sie können sich jedoch auch die Menüansicht des Ordners präsentieren lassen oder ihn ganz abschalten.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 113 COMPUTER Normalerweise wird der Inhalt des Computers als Verknüpfung dargestellt. Auch hier haben Sie die Option den Computer als Menü anzusehen oder die Anzeige abzuschalten. DATEIEN SUCHEN Das Eingabefeld, das SUCHE STARTEN im Startmenü vorblendet, bezieht sich bei der Grundeinstellung nur auf die Benutzerdateien. Möchten Sie gesamten Index durchsuchen lassen oder die Suche nach Dateien unterbinden, haben Sie hier die richtige Auswahlmöglichkeit. DOKUMENTE Standardmäßig ist die Verknüpfung mit diesem Ordner hinterlegt. Sie können sich jedoch auch die Menüansicht des Ordners präsentieren lassen oder ihn ganz abschalten. DRUCKER Installierte Drucker können mit dieser Checkbox ebenfalls im Startmenü angezeigt werden. Standardmäßig wird diese Option nicht angeboten. FAVORITEN UND VERLAUF DURCHSUCHEN Das Durchsuchen der Favoriten und des Verlaufs lässt sich abschalten. GROSSE SYMBOLE VERWENDEN Hier wird die Symbolgröße (Groß oder Klein) eingestellt. Bei einer Auflösung des Bildschirms von weniger als 1 024 x 768 Pixeln sollten Sie kleine Symbole wählen, also die Checkbox deaktivieren. Aktivieren sollten Sie die Checkbox ab einer höheren Auflösung. HILFE Die Hilfe wird normalerweise im Startmenü mit angezeigt. KOMMUNIKATION DURCHSUCHEN Erlaubt das Durchsuchen von E-Mails. LOKALER BENUTZERSPEICHER Die Verknüpfung zum Hauptordner des Benutzers ist die voreingestellte Auswahl, wenn auf den Benutzernamen im Startmenü geklickt wird. Die Anzeige der Unterordner in einem Menü ist genauso möglich wie das komplette Abschalten des Eintrags. MENÜ »ALLE PROGRAMME« NACH NAMEN SORTIEREN Um eine bessere Übersicht über installierte Programme zu erhalten, empfiehlt es sich die Programme sortieren zu lassen. Unter Windows XP wurden neue Einträge generell an das Ende des Menüs angefügt. Wer häufiger Programme installiert und wieder entfernt, weiß diese Funktion zu schätzen, denn das manuelle Sortieren entfällt.
114 ________________________________________________ 3 Die Benutzerschnittstelle MENÜ FAVORITEN Die »Lieblingsseiten« werden normalerweise nicht im Startmenü angezeigt. Für einen schnellen Zugriff auf diese Seiten lässt sich dieser Punkt aktivieren. MUSIK Genauso wie Bilder und Dokumente kann zwischen Verknüpfung, Menüansicht oder Abschalten gewählt werden. NETZWERK Umgebende Netzwerkgeräte lassen sich über das Startmenü erreichen, wenn es gewollt ist. PROGRAMME SUCHEN Mit der Suchfunktion können Programme und deren Ordnerablage lokalisiert werden. In Firmennetzen kann es jedoch ein Sicherheitsproblem darstellen, wenn Anwender Ordner nach ausführbaren Dateien (und nichts anderes sind Programme) durchsuchen dürfen, für die sie keine Berechtigung haben. »Abschalten!« sollte also die Devise für den Administrator sein. SPIELE Genauso wie Bilder, Dokumente und Musik kann zwischen Verknüpfung, Menüansicht oder Abschalten gewählt werden. STANDARDPROGRAMME Wenn Sie nicht vorhaben, die Zuordnung der Standardprogramme permanent zu ändern, können Sie den Eintrag Standardprogramme aus dem Startmenü verbannen. SUCHEN UND SUCHFELD Diese Funktionen können mit den entsprechenden Checkboxen abgeschaltet werden. SYSTEMSTEUERUNG Zwischen Verknüpfung, Menüansicht oder Abschalten kann gewählt werden. Standard ist es die Verknüpfung anzuzeigen. SYSTEMVERWALTUNG Diese meistens nur für den Administrator interessante Funktion wird in der Standardeinstellung nicht angezeigt. Für den Administrator ist sie freilich eine Erleichterung. UNTERMENÜS BEIM DARAUF ZEIGEN ÖFFNEN Sind viele Untermenüs vorhanden, kann das Aktivieren dieser Funktion für den ungeübten Anwender etwas verwirrend sein. Standardmäßig ist die Option eingeschaltet. VERBINDEN MIT Wollen Sie keine Drahtlos-, Wähl- oder VPN-Netzwerke benutzen, können Sie diese Option zur besseren Übersicht einfach abschalten. ZIEHEN UND ABLEGEN AKTIVIEREN Diese im Prinzip einfache Methode das Startmenüs zu verändern oder zu erweitern, kann leider auch sehr schnell ungewollt durch
3.2 Überblick über die Benutzeroberfläche ___________________________________ 115 versehentliches »Fallenlassen« verstümmelte Startmenüs zurücklassen. Anwendern, die Schwierigkeiten mit dem »Ziehen und Ablegen«, dem »Drag and Drop«, haben, sei ans Herz gelegt, diese Funktion abzuschalten. ZULETZT INSTALLIERTE PROGRAMME HERVORHEBEN Teilen sich mehrere Benutzer einen Computer ist es durchaus sinnvoll, wenn alle Benutzer informiert werden, sobald der Computeradministrator ein neues Programm installiert hat. Sind Sie der alleinige Anwender (und damit in den meisten Fällen selbst der Administrator), können Sie getrost auf die dann doch etwas nervige Anzeige verzichten. STARTMENÜGRÖSSE Die zuletzt geöffneten Pogramme werden im variablen Teil des Startmenüs aufgelistet. Nur in seltenen Fällen wird es notwendig sein, die Anzahl der Listeneinträge von acht zu erhöhen. Maximal lassen sich 30 Einträge definieren. STANDARDEINSTELLUNGEN Die Werkseinstellungen werden ohne nochmalige Bestätigung zurückgesetzt. IM STARTMENÜ ANZEIGEN Die beiden Standardverknüpfungen für E-Mail und Internet können hier mit einem beliebigen, installierten E-Mail-Client und einem frei wählbaren Browser verknüpft werden. Standardmäßig sind natürlich der Internet Explorer 7 und Windows Mail verknüpft. Noch weiter können Aufbau von Startmenüs und Taskleiste über Gruppenrichtlinien beeinflusst werden. In Abschnitt 3.5.6 Gruppenrichtlinien für den Windows Explorer ab Seite 153 finden Sie dazu weitere Informationen.
Programmsymbole im festen Teil des Startmenüs Wollen Sie ein Programmsymbol fest im Startmenü verankern, ziehen Programmsymbol Sie es einfach mit gedrückter Maustaste an die gewünschte Position einfügen im linken oberen festen Bereich (siehe Abbildung 3.2 auf Seite 106). Von woher Sie das Programmsymbol in den festen Teil des Startmenüs ziehen, spielt dabei keine Rolle. Sie können es aus dem unteren variablen Teil nach oben ziehen oder direkt aus dem Installationsverzeichnis. Bewegen Sie ein Programmsymbol aus dem Installationsverzeichnis auf den Startknopf der Taskleiste und warten einen Moment (bei gedrückter Maustaste), öffnet sich automatisch das Startmenü und Sie können es an der gewünschten Stelle platzieren. Sie können ein Programmsymbol im Startmenü ebenfalls erzeugen, wenn Sie auf die Programmdatei mit der rechten Maustaste klicken und aus dem Kontextmenü AN STARTMENÜ ANHEFTEN auswählen.
116 ________________________________________________ 3 Die Benutzerschnittstelle
Programmsymbol entfernen Kontextmenü im Startmenü über Maus-Rechtsklick aufrufen
Wollen Sie erfahren, wozu ein Programm benutzt wird, lassen Sie den Mauszeiger über dem Symbol einen Moment stehen. In einer Quickinfo werden dann weitere Informationen angezeigt. Sie entfernen ein Programmsymbol aus dem Startmenü, indem Sie dessen Kontextmenü über einen Klick mit der rechten Maustaste öffnen und daraus VOM STARTMENÜ LÖSEN wählen. Das Kontextmenü bietet noch mehr Möglichkeiten: Über EIGENSCHAFTEN lassen sich detailiertere Informationen, wie den Dateipfad, über die Verknüpfung abrufen. Die neue Funktion DATEIPFAD ÖFFNEN öffnet den Windows Explorer und markiert dort das verknüpfte Programm.
Liste der Programme benutzerorientiert anpassen
Individuell je Benutzer
Für alle Benutzer
Die Verknüpfungen zu den Programmen, die im Startmenü präsentiert werden, sind im jeweiligen Benutzerprofil hinterlegt (siehe auch Abschnitt 5.5 Benutzerprofile ab Seite 284). Standardmäßig befinden sich die entsprechenden Einstellungen in folgendem Verzeichnis: %AppData%\Microsoft\Windows\Startmenu\Programme Dahinter ist diese Verzeichnisstruktur zu finden: %SystemDrive% \Benutzer \%Username% \AppData \Roaming \Microsoft \Windows \Startmenu \Programme Für den Benutzer Lukas wäre der genaue Speicherort hier, wenn als Systemlaufwerk C: angenommen wird: C:\Benutzer\Lukas\AppData\Roaming\Microsoft\Windows\Startmenü\ Programme Die Programmliste, die allein für den aktuell angemeldeten Benutzer eingerichtet ist, können Sie in einem Windows Explorer-Fenster öffnen, indem Sie auf den Startknopf mit der rechten Maustaste klicken und im Kontextmenü den Punkt ÖFFNEN wählen. Verfügen Sie über Administratorrechte, können Sie den Inhalt des Startmenüs für alle Benutzer anpassen. Dazu ändern Sie das Profil ALL USERS an der entsprechenden Stelle: %ProgramData%\Startmenü\Programme Für das oben genannte Beispiel, nach dem C: das Systemlaufwerk ist, wäre dieses Verzeichnis hier zu finden: C:\ProgramData\Startmenü\Programme
3.2 Überblick über die Benutzeroberfläche ___________________________________ 117 Sie öffnen die Programmliste aller Benutzer, wenn Sie im oben erwähnten Kontextmenü zum Startknopf den Punkt ÖFFNEN ALLE BENUTZER oder EXPLORER ALLE B ENUTZER wählen. Dazu müssen Sie aber über Administratorrechte verfügen.
3.2.3
Die Taskleiste
Am unteren Bildschirmrand finden Sie die Taskleiste. Diese beinhaltet am linken Rand die START-Schaltfläche, auch Startknopf genannt, über die Sie das Startmenü aufrufen können. Dieses wird im vorhergehenden Abschnitt vorgestellt.
Grundlegender Aufbau Die einzelnen Elemente der Taskleiste sind in der nachfolgenden Abbildung dargestellt. Abbildung 3.7: Elemente der Taskleiste
Die Elemente haben folgende Bedeutungen: Start-Schaltfläche Diese Schaltfläche führt zum Startmenü und ist standardmäßig der Ausgangspunkt für den Start von Programmen oder das Öffnen von bestimmten Ordnern. Hier finden Sie auch den Link zum lokalen Benutzerspeicher, der bei Windows XP noch EIGENE DATEIEN hieß. Schnellstartleiste Dieser Bereich rechts neben der Start-Schaltfläche ist standardmäßig eingeblendet. Über das Eigenschaften-Dialogfenster für die Taskleiste können Sie die Schnellstartleiste ausschalten (siehe Abschnitt Die Schnellstartleiste ab Seite 121). Sie enthält neben Verweisen auf Programme, die Sie damit schnell durch einen einzigen Klick starten können, die in der Praxis manchmal sehr nützliche Schaltfläche DESKTOP ANZEIGEN. Damit werden mit einem Klick alle aktiven Fenster minimiert und Sie haben den Blick frei auf den Windows-Desktop. Alternativ können Sie dafür die Tastenkombination Windows-Taste+D nutzen. Befindet sich Windows im AERO-Modus, kann die Umschaltung zwischen verschiedenen Fenstern über den sog. Windows Switcher erreicht werden, der die Fenster dreidimensional anzeigt. Das dazugehörige Symbol zeigt sich dann in der Schnellstartleiste. Anzeige der Tasks Die eigentliche »Task«-Leiste enthält alle laufenden Programme als interaktive Schaltflächen. Klicken Sie auf die Schaltfläche des Fensters, welches Sie in den Vordergrund bringen wollen. Ein nochma-
118 ________________________________________________ 3 Die Benutzerschnittstelle liger Klick auf die Schaltfläche minimiert das Fenster. Es ist dann nur noch als Schaltfläche in der Taskleiste zu finden. Ist nicht genug Platz vorhanden ist, werden mehrere Instanzen desselben Programms zu einer einzigen Schaltfläche zusammengefasst. Wenn Sie dann auf diese Schaltfläche klicken, werden alle Einträge der Gruppe wie in einem Menü untereinander eingeblendet. Sie können das gewünschte Fenster mit einem Klick auf den Eintrag öffnen. Diese Funktion ist standardmäßig aktiviert, lässt sich aber über das Eigenschaften-Dialogfenster für die Taskleiste bei Bedarf ausschalten. Es lassen sich alle Fenster einer Gruppe mit einem Mausklick neu anordnen oder schließen. Klicken Sie dazu über die rechte Maustaste auf die Gruppen-Schaltfläche. Sie erhalten dann ein Kontextmenü, über das die entsprechende Aktion ausgelöst werden kann. Wenn Sie auf mehrere Schaltflächen klicken und dabei Strg gedrückt halten, lassen sich diese zusammen markieren und alle Aktionen gemeinsam ausführen. Symbolleisten Diese Leisten verhalten sich ähnlich der Schnellstartleiste, liegen aber standardmäßig am rechten Rand noch vor dem Infobereich. Wie Sie hier andere oder eigene Symbolleisten einsetzen können, wird in Abschnitt 3.2.4 Symbolleisten aktivieren und anpassen ab Seite 121 beschrieben. Die Sprachenleiste ist dort standardmäßig aktiviert. Infobereich In diesem Bereich finden Sie standardmäßig die Anzeige der Uhrzeit sowie Symbole von bestimmten Programmen oder Systemtools (mehr zur Konfiguration finden Sie in Abschnitt Der Infobereich der Taskleiste ab Seite 120). Sicher werden Sie in der Praxis häufiger den Blick nach unten in die rechte Ecke schweifen lassen, um die aktuelle Uhrzeit zu erfahren. Sie können dabei auch sehr schnell das aktuelle Datum und den Wochentag erfahren. Lassen Sie den Mauszeiger einfach über der Uhr stehen. Dann werden diese Informationen als Quickinfo eingeblendet (siehe Abschnitt 3.2.5 Quickinfos ab Seite 123). Die Symbole seltener aktivierter Programme werden von Windows standardmäßig ausgeblendet. Sie erkennen das an einem kleinen nach links gerichteten Pfeil. Wenn Sie auf diesen klicken, werden alle Symbole eingeblendet. Allgemeine Bediensymbole
Die Taskleiste verwendet einige Bediensymbole für die Maus, die auch andere Windows-Anwendungen kennen und die Sie zum schnellen Umkonfigurieren oder schnellen Zugriff auf versteckte Teile nutzen können: Anfasser Der Anfasser zeigt sich als schraffierte, rechteckige Fläche und dient dem horizontalen Verschieben von Symbolleisten innerhalb
3.2 Überblick über die Benutzeroberfläche ___________________________________ 119 der Taskleiste. Die Anfasser sind standardmäßig nicht aktiviert. Sie erhalten diese nur dann, wenn Sie zuvor die Option TASKLEISTE FIXIEREN deaktiviert haben, die Sie im Kontextmenü der Taskleiste finden. Dieses öffnen Sie mit einem Klick über die rechte Maustaste auf einen freien Bereich der Taskleiste. Blätterfunktion Die Pfeilsymbole erlauben den Zugriff auf verdeckte Teile der Symbolleisten oder der Taskleiste, die mangels Platz nicht angezeigt werden können. Menüerweiterungsfunktion Wenn in Symbolleisten verschachtelte Elemente versteckt sind, können Sie mit einem Klick auf den Doppelpfeil diese als Menüsystem anzeigen und so den gewünschten Eintrag auswählen.
Anpassen der Taskleiste Die Taskleiste können Sie über ein Eigenschaften-Fenster, welches auch die Einstellungen zum Startmenü enthält, weiträumig anpassen. Dieses Fenster erhalten Sie, wenn Sie mit der rechten Maustaste auf einen freien Bereich der Taskleiste klicken und aus dem dann erscheinenden Kontextmenü den Punkt EIGENSCHAFTEN wählen. Abbildung 3.8: Eigenschaften-Fenster für Taskleiste, Startmenü, Infobereich und Symbolleisten
120 ________________________________________________ 3 Die Benutzerschnittstelle Funktionen zum Anpassen
Folgende Optionen stehen hier zur Verfügung: TASKLEISTE FIXIEREN Diese Funktion verhindert ein Verschieben der Taskleiste an einen anderen Ort und die Verschiebung der Symbolleisten innerhalb der Taskleiste. TASKLEISTE AUTOMATISCH AUSBLENDEN Ist diese Funktion aktiv, wird die Taskleiste nur sichtbar, wenn Sie die Maus direkt an den unteren Bildschirmrand bewegen. TASKLEISTE IMMER IM VORDERGRUND HALTEN Damit halten Sie die Taskleiste im Vordergrund, sodass Programme, die denselben Platz in Anspruch nehmen, diese nicht überdecken können. ÄHNLICHE E LEMENTE GRUPPIEREN Die Gruppierung wurde bereits vorgestellt. Deaktivieren Sie die Funktion, erscheint die Taskleiste in der klassischen Form. SCHNELLSTARTLEISTE ANZEIGEN Diese Funktion schaltet die Schnellstartleiste ein. Bei Vista ist sie im Gegensatz zu XP nach der Installation bereits aktiviert.
Der Infobereich der Taskleiste Informationen zu Programmen und Diensten
Abbildung 3.9: Anzeige der Objekte im Infobereich anpassen
Der Infobereich umfasst Informationen von Programmen oder Diensten, die im Hintergrund aktiv sind. Um den Infobereich nicht zu überladen, können Uhr und inaktive Symbole ausgeblendet werden.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 121 Im dritten Register des Eigenschaften-Fensters für die Taskleiste und das Startmenü (siehe Abbildung 3.8 auf Seite 119) lässt sich dies einstellen. Über die Schaltfläche ANPASSEN erhalten Sie ein weiteres Dialogfenster, über das Sie das Verhalten der anzuzeigenden Objekte steuern können. Für jedes Element des Infobereichs sind diese Einstellungen möglich: AUSBLENDEN, WENN INAKTIV Wenn keine Aktion des Programms stattfindet, wird das Element ausgeblendet. Ein typisches Beispiel ist das Symbol von Outlook Express, mit dem eingehende Post angezeigt wird. IMMER AUSBLENDEN Das Element bleibt weiter verfügbar, wird aber nicht angezeigt. IMMER EINBLENDEN Das Element ist immer zu sehen, auch wenn es inaktiv ist. Über die Schaltfläche STANDARDEINSTELLUNGEN können Sie jederzeit Standardvorgabe die Einstellungen zu allen Elementen auf die Standardvorgabe zurücksetzen. Dies wird in aller Regel AUSBLENDEN, WENN INAKTIV sein.
3.2.4
Symbolleisten aktivieren und anpassen
Symbolleisten sind frei konfigurierbare Sammlungen mit Schaltflächen, die mit einem einfachen Klick Aktionen auslösen. Bislang gab es diese Leisten unter Windows nur in Anwendungsprogrammen. Seit Windows XP können Sie die Symbolleisten auch für die Gestaltung der Oberfläche einsetzen.
Die Schnellstartleiste Die Schnellstartleiste (siehe Abbildung 3.7 auf Seite 117) ist eine spezielle Symbolleiste. Sie erscheint immer rechts neben der Startschaltfläche in der Taskleiste. Wenn Sie die Schnellstartleiste nicht sehen können, klicken Sie mit der rechten Maustaste auf die Taskleiste und wählen im Kontextmenü SYMBOLLEISTEN | SCHNELLSTART. Informationen zur Verwendung finden Sie in Abschnitt Die Taskleiste ab Seite 117. Um die Leiste zu konfigurieren, ziehen Sie Programme mit der Maus Konfiguration per Drag&Drop auf diesen Bereich oder entfernen Sie diese durch Wegziehen auf den Papierkorb. In der Schnellstartleiste werden nur Verknüpfungen angezeigt. Ein Löschen des Symbols führt also nur zum Löschen der Verknüpfung.
Standardsymbolleisten ein- und ausblenden Klicken Sie dazu mit der rechten Maustaste auf eine freie Stelle der Taskleiste und wählen Sie im Kontextmenü SYMBOLLEISTEN. Sie können hier folgende Standardsymbolleisten auswählen:
122 ________________________________________________ 3 Die Benutzerschnittstelle ADRESSE Blendet die Adresseingabeleiste des Internet Explorers ein. Nach der Eingabe der Adresse und Anklicken der Schaltfläche WECHSELN ZU startet der Internet Explorer. Sie aktivieren beziehungsweise minimieren die Symbolleisten in der Taskleiste, indem Sie auf deren Bezeichnung (hier: auf ADRESSE) doppelklicken.
WINDOWS MEDIA PLAYER Zeigt den Media Player 11 in der Taskleiste an. LINKS Zeigt die Linkleiste des Internet Explorers an. TABLET PC-EINGABEBEREICH Möchten Sie den Tablet PC-Eingabebereich benutzen, können Sie ihn bequem über die Symbolleisten einrichten. DESKTOP Zeigt standardmäßig die Menüansicht des lokalen Benutzerspeichers an. SCHNELLSTART Zeigt die Symbole für den Start des Internet Explorers, von Windows Mail und für die Funktion DESKTOP ANZEIGEN an (siehe vorhergehender Abschnitt).
Eigene Symbolleisten anlegen
Symbolleiste anlegen
Symbolleisten sind keine eigene Instanz in Windows Vista, sondern lediglich eine andere Darstellungsform für Ordner. Damit ist auch schon alles über die Erstellung gesagt: Legen Sie Ordner an, platzieren Sie dort andere Ordner, Verknüpfungen, Webadressen oder Programme und binden Sie diesen Ordner als Symbolleiste ein. Es ist sinnvoll, dabei aufgabenorientiert vorzugehen. Fassen Sie verschiedene Objekte zusammen, die bei der Erfüllung einer bestimmten Aufgabe benötigt werden. Gehen Sie so vor, um eine eigene Symbolleiste anzulegen: 1. Erstellen Sie einen Ordner, in dem Sie alle gewünschten Verknüpfungen, Programme oder Unterordner zusammenfassen, die in der neuen Symbolleiste angezeigt werden sollen. Der Ordner kann an einer beliebigen Stelle im Dateisystem eines Laufwerks liegen. Seine Bezeichnung ist gleichzeitig die Bezeichnung der neuen Symbolleiste. 2. Wählen Sie aus dem Kontextmenü zur Taskleiste die Option SYMBOLLEISTEN | NEUE SYMBOLLEISTE. 3. Suchen Sie aus dem dann erscheinenden Dialogfenster den angelegten Ordner heraus und klicken Sie auf OK.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 123 Die neue Symbolleiste wird nun wie die Standardsymbolleisten in der Taskleiste eingeblendet. Zum Maximieren doppelklicken Sie einfach auf die Bezeichnung. Um die Symbolleiste zu erweitern, legen Sie neue Objekte im zugrunde liegenden Ordner an. Änderungen an diesem Ordner, also auch das Entfernen von Objekten, werden sofort aktiv und in der Anzeige der Symbolleiste sichtbar. Zum Entfernen der Symbolleiste reicht es, wenn Sie den zugrunde liegenden Ordner löschen. Das ist vielleicht nicht immer beabsichtigt, sodass Sie die Möglichkeit haben, die Symbolleiste zu schließen. Wählen Sie dazu aus dem Kontextmenü zur Liste (rechter Mausklick auf die Bezeichnung der Leiste) den Punkt SYMBOLLEISTE SCHLIESSEN. Bei den Standardsymbolleisten gibt es diesen Menüpunkt übrigens nicht. Diese lassen sich nicht entfernen, sondern nur ausblenden.
3.2.5
Symbolleiste erweitern und ändern
Symbolleiste entfernen
Quickinfos
Eine nützliche Funktion, um zu bestimmten Elementen weitere Informationen zur erhalten, ohne auch nur einen Mausklick ausführen zu müssen, bieten die sogenannten Quickinfos. Diese sind im Windows Explorer zu fast jedem Element erhältlich. Bewegen Sie dazu einfach den Mauszeiger über ein Symbol, einen Verweis oder einen Eintrag in einem Menü und lassen Sie ihn stehen. Nach einem kurzen Moment erscheint ein kleiner Informationstext. Abbildung 3.10: Quickinfo im Startmenü zum Eintrag SYSTEMSTEUERUNG
Im Infobereich der Taskleiste geben geladene Programme oftmals Statusmeldungen ab, die so schnell zu sehen sind. Quickinfos erhalten Sie ebenfalls zu Dateien, die Sie im Windows Explorer angezeigt bekommen. Angezeigt werden dabei der Dateityp, das Änderungsdatum sowie die Dateigröße. Übrigens nutzt nicht nur der Windows Explorer diese Funktion. Auch Andere Anwendungen andere Windows-Anwendungsprogramme warten damit auf.
3.2.6
Aufbau von Fenstern
Wenn Sie mit dem Windows Explorer oder anderen Windows-Anwendungen arbeiten, werden Sie mit der Fenstertechnik konfrontiert. Der Aufbau eines Fensters ist zunächst grundsätzlich immer gleich. Die Fenster unterscheiden sich allerdings, je nach Anwendung, darin, welche Elemente konkret eingesetzt werden. So finden Sie im Explorer-Fenster neben den fast immer verwendeten Leisten für Titel
124 ________________________________________________ 3 Die Benutzerschnittstelle und Menü auch eine Symbolleiste und eine Adressleiste. Der Explorer wurde für Windows Vista komplett überarbeitet. Das wird Umsteigern etwas Eingewöhnung abverlangen. Die neue Version kann jedoch als gelungen bezeichnet werden, denn die Navigation zu wichtige Elementen wurde stark vereinfacht. Abbildung 3.11: Wichtige FensterElemente
Aktionen mit Fenstern
Für den Umgang mit Fenstern finden Sie nachfolgend zusammengefasst die wichtigsten Aktionen sowie Hinweise, welche Fensterelemente diese auslösen: Fenster verschieben Sie verschieben ein Fenster, indem Sie auf die Titelleiste klicken und die Maustaste gedrückt halten. Verschieben Sie dann den Mauszeiger. Das Fenster wird Ihnen folgen. Größe eines Fensters anpassen Klicken Sie mit der Maus auf die rechte untere Ecke eines Fensters (auf den Größenanfasser) und halten Sie die Maustaste gedrückt. Ziehen Sie dann die Maus. Das Fenster wird in der Höhe und in der Breite verändert. Ein Fenster verfügt nur dann über den Größenanfasser, wenn es nicht maximiert ist (siehe weiter unten). Es gibt auch Fenster, die in der Größe fest eingestellt sind und nicht verändert werden können. Fenster minimieren und maximieren Sie können ein Fenster durch einen Klick auf das Minimieren-Symbol rechts oben verschwinden lassen. Die Anwendung, die dieses Fenster benutzt, läuft dann aber weiter. Über einen Klick auf die entsprechende Schaltfläche in der Taskleiste kommt das Fenster wieder zum Vorschein (siehe Abschnitt Die Taskleiste ab Seite 117).
3.2 Überblick über die Benutzeroberfläche ___________________________________ 125 Sie dehnen ein Fenster auf den gesamten Bildschirm aus, indem Sie auf das Maximieren-Symbol klicken. Damit erhält das Fenster seine maximale Größe und kann weder verschoben noch in der Größe verändert werden. Das Maximieren-Symbol verändert dann sein Aussehen und wird zum Verkleinern-Symbol (auch Wiederherstellen-Symbol genannt). Wenn Sie auf dieses klicken, wird das Fenster wieder zu seiner Größe gebracht, die es vor dem Klick auf das Maximieren-Symbol hatte. Fenster schließen Sie schließen ein Fenster über einen Klick auf das Schließen-Symbol. Ist das betreffende Fenster eine Windows-Anwendung, wird damit diese ebenfalls beendet. Das Schließen-Symbol hat dann die gleiche Wirkung wie der meist zum Beenden einer Anwendung vorgesehene Menüpunkt DATEI | BEENDEN. Navigationsleiste In der Navigationsleiste befinden sich zwei runde, blaue Knöpfe mit Pfeilen und ein Pfad-Anzeigefeld. Der Windows Explorer und andere Programme benutzen die Pfeiltasten als Vorwärts/Rückwärts-Navigation ähnlich dem bekannten Verhalten von Internet-Browsern. Windows können Sie theoretisch auch ohne Maus bedienen. Für die Fenstermenü Fenstersteuerung gibt es ein spezielles Menü. Sie können dies für ein aktives Fenster über die Tastenkombination Alt-Leertaste aufrufen. Über dieses Menü können Sie ebenfalls alle oben beschriebenen Aktionen ausführen.
3.2.7
Flip und Flip 3D
Für die Verwaltung von Fenstern stellt Windows Vista zwei völlig neue Funktionen bereit. Mit Windows Flip und Windows Flip 3D können Sie von einem geöffneten Fenster zum nächsten wechseln. Abbildung 3.12: Blättern durch Anwendungen mit Windows Flip 3D
126 ________________________________________________ 3 Die Benutzerschnittstelle Flip benutzt dafür die bereits bekannte Tastenkombination Alt + Tab. Das besondere an dieser Funktion ist, dass statt eines einfachen Symbols und dem Dateinamen eine Live-Miniaturansicht des Fensters präsentiert wird. Das beschleunigt die Auswahl des gewünschten Fensters, denn eine Unterscheidung von Fenstern gleichen Typs ist auf den ersten Blick möglich. Zwischen den einzelnen Anwendungen ermöglicht ein wiederholtes Drücken der Tabulator-Taste das Auswählen der der gewünschten Applikation. Mit der Kombination Windows-Taste + Tab schaltet sich der Flip 3D-Modus ein, der die geöffneten Fenster kaskadiert darstellt. Das Laufrad der Maus steuert bei Flip 3D die Auswahl. Voraussetzung für die Benutzung von Windows Flip und Windows Flip 3D ist, dass sich Vista im AERO Glass-Modus (siehe Abschnitt 3.2.9 Farbschemata einstellen) befindet.
3.2.8
Tastatur- und Mausfunktionen im Überblick
Wir wollen an dieser Stelle bestimmt nicht erklären, wie eine Maus oder eine Tastatur grundsätzlich bedient werden. Dieser Abschnitt soll lediglich einige grundlegende Funktionen, die Sie öfter für die Steuerung in Windows benötigen, kurz vorstellen. In der Abbildung 3.13 sehen Sie eine Standard-Tastatur und eine Standard-Maus, wie sie heute vielfach zum Einsatz kommen. Abbildung 3.13: Wichtige Bedientasten für Windows auf Tastatur und Maus
Es ist durchaus möglich, dass Ihre Tastatur und Maus anders aussehen oder weitere, zusätzliche Tasten aufweisen. Konsultieren Sie dann bei Bedarf die entsprechenden Hersteller-Dokumentationen, wie Sie diese Zusatzfunktionen unter Windows Vista nutzen können.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 127 Tastenkombinationen unter Windows Vista In der nachfolgenden Tabelle finden Sie eine kurze Beschreibung zu den in Abbildung 3.13 hervorgehobenen Tasten und den möglichen Kombinationen: Tasten
Funktion Öffnet das Startmenü.
oder
Minimiert alle Fenster und zeigt damit den Desktop an.
Stellt alle minimierten Fenster wieder her. Öffnet das Computer-Fenster in der Explorer-Ansicht mit der Ordnerstruktur links. Öffnet das Dialogfenster für die Suche nach Dateien und Ordnern. Öffnet das Dialogfenster für die Suche nach Computern. Löst den Benutzerwechsel aus beziehungsweise sperrt den Computer, wenn dieser deaktiviert ist (siehe auch Abschnitt 3.3.2 Abmelden und fliegender Benutzerwechsel ab Seite 135). Öffnet das Dialogfenster Ausführen. Öffnet den Hilfsprogramm-Manager (siehe auch Abschnitt 3.8 Optionen für Behinderte ab Seite 159). Öffnet das Systemeigenschaften-Fenster. Schnelles Umschalten zwischen Anwendungen (Windows Flip 3D) und
Bewegen zwischen Eingabefeldern und anderen Fensterelementen wie Schaltflächen oder Hauptmenüeinträgen vorwärts und rückwärts Schnelles Umschalten zwischen Anwendungen (Windows Flip) Öffnet den Task-Manager (siehe Abschnitt 4.5 Task-Manager ab Seite 229).
Tabelle 3.1: Wichtigste Tasten und deren Kombinationen im Windows Explorer
128 ________________________________________________ 3 Die Benutzerschnittstelle Tasten
Funktion Öffnet das Dialogfenster Windows-Sicherheit oder den Task-Manager. Dies hängt von der jeweiligen Anmeldemethode ab (siehe Abschnitt 4.5.1 Starten des Task-Managers ab Seite 229). Öffnet in vielen Anwendungen das Drucken-Dialogfenster. Das -Zeichen kann über diese Tastenkombination eingegeben werden. Das funktioniert natürlich auch auf älteren Tastaturen, bei denen das Zeichen neben dem »E« fehlt. Diese Taste hat in Dialogfenstern in der Regel die gleiche Funktion wie die ABBRECHEN-Schaltfläche.
oder
oder
Öffnet das Kontextmenü zum gerade markierten Fenster-Element. Die gleiche Funktionalität hat ein Klick auf die rechte Maustaste. Startet das Hilfe- und Supportcenter.
Erlaubt das Umbenennen des gewählten Objekts. Öffnet das Suchen-Dialogfenster. Klappt die Adressleiste des Explorer-Fensters auf. Schließt das aktuelle Programm. Ist dies der Windows Explorer, kann Windows selbst beendet werden (siehe Abschnitt 3.3.3 Windows beenden ab Seite 135). Schließt in den meisten Windows-Anwendungen das aktive Dokumentfenster. Aktualisieren des Anzeigeinhalts eines Fensters Umschalten zwischen den Elementen eines Fensters oder des Desktops Aktiviert in Fenstern das Hauptmenü. Erzeugt einen Screenshot vom ganzen Bildschirm und kopiert diesen in die Zwischenablage.
3.2 Überblick über die Benutzeroberfläche ___________________________________ 129 Tasten
Funktion Wie zuvor, erzeugt aber einen Screenshot vom aktiven Fenster.
Über den Windows Explorer lassen sich Anwendungen bestimmten Tastenkombinationen zuweisen. So können Sie beispielsweise den Rechner über die Kombination Strg-Alt-F12 starten. Weitere Hinweise finden Sie dazu in Abschnitt 3.9.6 Tastenkombination zum Start einer Anwendung ab Seite 170.
Mausfunktionen Heute gebräuchliche PC-Computermäuse besitzen zwei Maustasten Linke Maustaste und ein Scroll-Rad (oder einen entsprechenden Scroll-Knopf). Die linke Maustaste dient standardmäßig zur »normalen« Bedienung von Windows. Mit ihr führen Sie einen Klick (einmal drücken) oder einen Doppelklick (zweimal kurz hintereinander drücken) aus. Über einen Doppelklick auf ein Dokument öffnen Sie dieses. Der Windows Explorer startet dann, wenn vorhanden, das richtige Anwendungsprogramm, welches das Dokument automatisch zur Bearbeitung lädt. Abbildung 3.14: Maus-Eigenschaften anpassen
Über die rechte Maustaste öffnen Sie das Kontextmenü zum ange- Rechte Maustaste klickten Objekt. Wenn Sie beispielsweise auf eine Datei im Windows Explorer mit der rechten Maustaste klicken, erreichen Sie über das Kontextmenü eine Reihe von relevanten Aktionen, die Sie für diese Datei starten können.
130 ________________________________________________ 3 Die Benutzerschnittstelle Nicht unbedingt notwendig, aber sehr praktisch ist das Scroll-Rad, mit dessen Hilfe Sie komfortabel durch längere Texte oder Webseiten scrollen können. Meist hat das Scroll-Rad auch eine Tastenfunktion. Wenn Sie auf das Rad wie auf eine Maustaste drücken, wird die Scrollfunktion dauerhaft aktiviert und Sie können sich nur mit Hilfe der Mausbewegung durch den Fensterinhalt bewegen. Maus-Eigenschaften Über die Systemsteuerung können Sie vielfältige Optionen zum Umgang mit der Maus modifizieren. So lässt sich für Linkshänder die primäre (normalerweise linke) Maustaste mit der sekundären (normalerweise rechten) Taste vertauschen. Die Linkshänder mögen uns verzeihen: Immer wenn im vorliegenden Buch von der rechten Maustaste gesprochen wird, ist genau genommen die sekundäre gemeint. Dies entspricht eher dem gewohnten Sprachgebrauch. In Abbildung 3.14 sehen Sie das Standard-Dialogfenster für die MausHerstellerspezifische Software Eigenschaften. Wird zur Maus eine herstellerspezifische Software installiert, kann sich dieses Dialogfenster vom gezeigten deutlich unterscheiden. Meist wird noch ein zusätzliches Symbol zum schnellen Zugriff auf Mausoptionen im Infobereich der Taskleiste eingeblendet. Scroll-Rad
3.2.9
Farbschemata einstellen
Den Stil, den Vista für die Anzeige verwendet, stellen Sie über das so genannte Farbschema ein. Sofern die Hardware dafür geeignet ist, können auch den neuen AERO-Modus der Anzeige verwenden. So stellen Sie Ihr System auf die Verwendung von AERO ein. Öffnen Sie die Systemsteuerung über Start | Systemsteuerung. Wählen Sie in der Standardansicht der Systemsteuerung in der Rubrik DARSTELLUNG UND ANPASSUNG den Eintrag FARBSCHEMA ÄNDERN . Haben Sie die Systemsteuerung in die klassische Ansicht geschaltet, wählen Sie ANPASSUNG und den Eintrag FENSTERFARBE UND DARSTELLUNG. In jedem Fall erreichen Sie den Dialog DARSTELLUNGEIGENSCHAFTEN . In der Sektion Farbschema des Dialogs legen Sie den Anzeigemodus fest. Für AERO wählen Sie Windows Vista-Aero aus. Ist diese Auswahl nicht möglich, so lautet die Standardauswahl Windows Vista-Basis.
3.2.10 Altes Windows 2000-Design einstellen Für alle Anwender, die sich an das Windows Vista-Design nicht gewöhnen wollen, bleibt der Weg zur Umschaltung auf die alte, Windows 2000-ähnliche Darstellung. Das Umstellen des Designs geht dabei in zwei Schritten vor sich: Umstellung von Struktur und Aussehen des Startmenüs Umstellung der Form, Funktionalität und Farbgebung der Fenster und Schaltflächen
3.2 Überblick über die Benutzeroberfläche ___________________________________ 131 Sie müssen natürlich nicht beide Schritte ausführen, sondern können, wenn Sie wollen, nur einen Teil des Äußeren von Windows Vista auf das so genannte klassische Design ändern. Im vorliegenden Buch zeigen wir generell alle Abbildungen im standardmäßigen Windows Vista-Design, so wie es nach der Installation erscheint. Im ersten Schritt stellen Sie das Startmenü auf das klassische Ausse- Startmenü umstellen hen um. Abbildung 3.15: Startmenü auf das alte Windows 2000Design umstellen
Gehen Sie dazu wie folgt vor: 1. Klicken Sie über die rechte Maustaste auf die Start-Schaltfläche. Wählen sie aus dem erscheinenden Kontextmenü den Punkt EIGENSCHAFTEN. 2. Aktivieren Sie in der Registerkarte STARTMENÜ das Kontrollkästchen KLASSISCHES STARTMENÜ (siehe auch Abbildung 3.6 auf Seite 112). Nach dem Umschalten der Darstellung des Startmenüs finden Sie auch die früher typischerweise auf dem Desktop vorhandenen Symbole wieder.
132 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.16: Klassisches Design von Windows Vista, angelehnt an Windows 2000
Fensterdarstellung umstellen
Danach können Sie noch die Fensterdarstellung auf das alte Windows 2000-Design umstellen: 1. Klicken Sie auf den Desktop-Hintergrund über die rechte Maustaste. Wählen Sie den Punkt ANPASSEN aus dem erscheinenden Kontextmenü. 2. Auf der Auswahlseite DARSTELLUNG UND SOUND ANPASSEN wählen Sie FENSTERFARBE- UND DARSTELLUNG aus. 3. Stellen Sie im Dialogfenster DARSTELLUNGSEINSTELLUNGEN das Farbschema auf WINDOWS KLASSISCH um.
3.3
Anmelden, Umschalten und Beenden
Die Benutzeranmeldung am System wurde komplett neu verfasst. Sie haben die Wahl zwischen einer grafisch ansprechenden Version, die zudem mit einer schnellen Benutzerumschaltung aufwarten kann, und einer Version für den professionellen Einsatz.
3.3.1
Der Windows Vista-Anmeldedialog
Die grafische Standard-Oberfläche für die Benutzeranmeldung ist immer dann aktiv, wenn das System standalone oder für den Zugriff auf ein kleines Arbeitsgruppen-Netzwerk eingerichtet worden ist.
3.3 Anmelden, Umschalten und Beenden____________________________________ 133 Abbildung 3.17: Anmeldedialog mit dem WillkommenBildschirm
Ist das System hingegen in eine Active Directory-Domäne integriert, steht nur der Standard-Anmeldedialog zur Verfügung, wie er Ihnen vielleicht schon von Windows 2000 und Windows XP her bekannt ist. Abbildung 3.18: Standard-Anmeldedialog
Sicheren Standard-Anmeldedialog einstellen Sie können den Standard-Anmeldedialog nachträglich einstellen, auch wenn sich Ihr Computer nicht in einer Dömäne befindet.
134 ________________________________________________ 3 Die Benutzerschnittstelle 1. Starten Sie die Managementkonsole GRUPPENRICHTLINIE, indem Sie über START|AUSFÜHREN die Konsolendatei GPEDIT.MSC aufrufen. Ist AUSFÜHREN nicht im Startmenü vorhanden, sehen Sie ab Seite 111 wie die Anzeige eingeschaltet wird. 2. Öffnen Sie in der Strukturansicht den folgenden Zweig, wenn Sie die Änderung auf lokaler Ebene einstellen wollen: Richtlinien für Lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Anmelden 3. Setzen Sie die Richtlinie IMMER KLASSISCHE ANMELDUNG VERWENDEN auf AKTIVIERT.
Strg-Alt-Entf vor der Anmeldung erzwingen
Gruppenrichtlinie einstellen
Für eine maximale Absicherung der Anmeldung wurde bereits mit Windows NT das Drücken der Tastenkombination Strg-Alt-Entf eingeführt. Dadurch wird verhindert, dass ein Programm einen Anmeldedialog vortäuschen und damit in den Besitz der sensiblen Anmeldeinformationen gelangen kann. Standardmäßig ist diese Option allerdings deaktiviert. Sie finden die entsprechende Sicherheitsoption in den Gruppenrichtlinien (siehe auch Abschnitt 5.6 Gruppenrichtlinien ab Seite 303). Gehen Sie so vor, wenn Sie die Tastenkombination für den Anmeldedialog einstellen wollen: 1. Starten Sie die Managementkonsole GRUPPENRICHTLINIE, indem Sie über START|AUSFÜHREN die Konsolendatei GPEDIT.MSC aufrufen. Ist AUSFÜHREN nicht im Startmenü vorhanden, sehen Sie ab Seite 111 wie die Anzeige eingeschaltet wird. 2. Öffnen Sie in der Strukturansicht den folgenden Zweig, wenn Sie die Änderung auf lokaler Ebene einstellen wollen: Richtlinien für Lokaler Computer \Computerkonfiguration \Windows-Einstellungen \Sicherheitseinstellungen \Lokale Richtlinie \Sicherheitsoptionen 3. Setzen Sie INTERAKTIVE ANMELDUNG: KEIN STRG+ALT+ENTF ERFORDERLICH auf DEAKTIVIERT. Alternativ können Sie wie folgt vorgehen: 1. Drücken Sie auf den Start-Knopf. 2. In die Suchleiste überschreiben Sie SUCHE STARTEN mit control userpasswords2 3. Klicken Sie auf ERWEITERT 4. Aktivieren Sie die Checkbox, die zum Drücken von Strg+Alt+Del auffordert, dann OK.
3.3 Anmelden, Umschalten und Beenden____________________________________ 135 Ist der Computer in eine Active Directory-Domäne integriert, dann wird diese Tastenkombination standardmäßig erzwungen.
3.3.2
Abmelden und fliegender Benutzerwechsel
Mit dem auf Seite 111 beschriebenen Menü neben dem Knopf zum Sperren des Computers können Sie Ihre laufende Windows-Sitzung beenden oder unterbrechen, damit sich parallel zu Ihrer angemeldeten Sitzung ein anderer Benutzer anmelden kann. Voraussetzung dazu ist allerdings, dass der Windows-Anmeldedialog mit Willkommenseite sowie die schnelle Benutzerumschaltung aktiviert sind (siehe vorhergehender Abschnitt). Wollen Sie Ihre Sitzung wirklich beenden, ohne den Computer jedoch abzuschalten, wählen Sie ABMELDEN. Sie kommen zum AnmeldeDialogfenster von Windows. Über BENUTZER WECHSELN können Sie Ihre Sitzung verlassen, ohne sie zu beenden. Alle geöffneten Programme laufen im Hintergrund weiter (und belegen Systemresourcen). Sie gelangen so ebenfalls zum Anmelde-Dialogfenster von Windows Vista zurück, über den sich jetzt ein anderer Benutzer anmelden kann. Im Anmelde-Dialogfenster erkennen Sie am Hinweis unter dem Benutzernamen, ob noch eine Benutzersitzung aktiv ist. Hier wird angezeigt, ob und wie viele Programme derzeit offen sind (siehe Abbildung 3.17 auf Seite 133 für den Benutzer Uwe). Übrigens wird jedes Windows Explorer-Fenster auch als ein separates Programm gezählt. In der Praxis ist so ein Benutzerwechsel beispielsweise dann sehr hilfreich, wenn ein Benutzer mal eben schnell in »seinem« Windows etwas nachsehen will, ohne dass der gerade aktive Benutzer alle Anwendungen dazu schließen muss. Sie sollten vor einem Benutzerwechsel auf jeden Fall wichtige Dokumente, die Sie gerade in Arbeit haben, speichern.
3.3.3
Sitzung beenden
Benutzerwechsel, ohne Sitzung zu beenden
Windows beenden
Den von Windows XP bekannten Dialog zum Ausschalten gibt es bei Windows Vista nicht mehr. Das Aussehen des auf Seite 111 gezeigten roten Knopfes, dem Netzschalter, kann variieren. Nach dem Betätigen des Netzschalters fährt Vista je nach Konfiguration sofort in den Energiesparmodus oder komplett herunter
Beim Übergang in den Energiesparmodus schließt Vista für Sie Programme und offene Dateien. Der Prozessorlüfter und der Monitor werden abgeschaltet. Mainboardfunktionen werden auf ein Minimum gebracht, um Strom zu sparen. Innerhalb weniger Sekunden ist dieser Zustand erreicht und nur das Blinken einer Leuchtdiode an der Ge-
Abbildung 3.19: Der Netzschalter (Energiesparmodus)
136 ________________________________________________ 3 Die Benutzerschnittstelle häusefront verrät, dass der Computer durch Drücken der Einschalttaste am PC sehr schnell wieder reaktiviert werden kann. Je nach Modell können auch bestimmte Tasten(-kombinationen) von Tastatur oder Maus die Reaktivierung einleiten. Nach dem Aufwachen des Computers wird von Ihnen die Eingabe Ihres Kennwortes verlangt, sofern sie eines eingerichtet haben. Danach präsentiert sich Ihr System wieder so, wie sie es verlassen haben. Abbildung 3.20: Der Netzschalter (Herunterfahren)
Hat der Netzschalter ein leuchtend rotes Aussehen, fährt der PC beim Betätigen komplett herunter. Monitor und Computer werden ausgeschaltet. In diesem Fall müssen Sie selbst für das Sichern Ihrer Daten sorgen. Ein anschließender Neustart dauert wesentlich länger, da der vollständige Bootprozeß durchlaufen wird. Sie sollten den PC herunterfahren, wenn Sie Hardwareänderungen, wie den Einbau neuer Laufwerke oder Speichererweiterungen, vornehmen. Ob der Netzschalter auf Energiesparmodus oder Herunterfahren steht, hängt von mehreren Faktoren ab. Standardmäßig wird Vista versuchen ein Energiesparmodus einstellen. Dies gilt nicht, wenn: 1. die Hardware nicht ACPI-konform ist, 2. die dazugehörigen Treiber noch nicht geladen sind oder nicht geladen werden konnten, 3. ein Administrator verhindert hat, dass Sie den Energiesparmodus benutzen. Mehr Informationen finden Sie dazu im nachfolgenden Abschnitt Netzschalterreaktion definieren.
Abbildung 3.21: Der Netzschalter (Updates installieren, dann herunterfahren) Der Netzschalter kann noch einen weiteren Zustand annehmen. Ist der PC für den Empfang von Updates konfiguriert (in Abschnitt 2.10 Windows Update ab Seite 93 mehr dazu), zeigt das kleine Schild an, dass die Updates heruntergeladen wurden und bereit für die Installation sind. Ein Betätigen des Netzschalters im diesem Modus bewirkt ein Installieren der Updates und anschließendes Herunterfahren.
Netzschalterreaktion definieren 1. Öffnen Sie die Energieoptionen über START|SYSTEMSTEUERUNG. 2. Wählen Sie unter BEVORZUGTE ENERGIESPARPLÄNE den Energiesparplan aus, für den Sie die Netzschalterreaktion ändern wollen und klicken Sie dann auf die Option E NERGIESPARPLANEINSTELLUNGEN ÄNDERN. 3. Im Dialogfenster EINSTELLUNGEN FÜR E NERGIESPARPLAN: klicken Sie auf ERWEITERTE ENERGIEEINSTELLUNGEN ÄNDERN. 4. Im Dialogfenster Energieoptionen erweitern Sie den Zweig NETZSCHALTER UND DECKEL bis auf NETZSCHALTERAKTION.
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 137 5. Stellen Sie die Box auf die gewünschte Einstellung und schließen den Dialog mit OK. Administratoren können über die folgende Gruppenrichtlinie das Verhalten festlegen: Richtlinien für Lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Energieverwaltung \Schaltflächeneinstellungen \Netzschalteraktion auswählen
3.4
Optimierung der Anzeige-Einstellungen
Eine grafische Benutzeroberfläche muss neben optischen Gesichtpunkten auch ergonomisch optimal eingerichtet sein. In den nachfolgenden Abschnitten finden Sie dazu einige weiterführende Informationen.
3.4.1
Grundlagen zu Bildschirmeinstellungen
Der erste Schritt zur optimalen Nutzung der Benutzerschnittstelle sollte die richtige Einstellung des Bildschirms betreffen. Wählen Sie die richtige Auflösung und Bildwiederholfrequenz, um angenehm mit dem Computer arbeiten zu können. Die Auflösung und Bildwiederholfrequenz sowie Farbtiefe müssen von zwei Komponenten erfüllt werden können: Grafikkarte und Monitor. Sie sollten diese Hardwarebausteine passend zueinander erwerben, weil sonst unnötig Leistung verschenkt oder ein Gerät außerhalb der zulässigen Parameter betrieben wird.
Auflösung Zur Einstellung der optimalen Bildschirmauflösung liefert die nach- Grundlagen folgende Tabelle Richtwerte. Monitorgröße
Typische Auflösung für CRT-Monitore
für LCD-Monitore
14
640 x 480
800 x 600
15
800 x 600
1024 x 768
17 - 18
1 024 x 768
1280 x 1024
19
1 024 x 768 oder 1 280 x 1 024
1280 x 1024
20-21
1 280 x 1 024
1600 x 1200
Tabelle 3.2: Typische Auflösungen für Monitore
138 ________________________________________________ 3 Die Benutzerschnittstelle CRT und LCD
Symbolgrößen und DPI
CRT steht für Cathode Ray Tube (Katodenstrahlröhre) und meint die klassischen Röhrenmonitore. LCD steht für Liquid Crystal Display und bezeichnet die Klasse der modernen Flachbildschirme mit Flüssigkristallanzeige. Diese werden auch als TFT (Thin Film Transistor) bezeichnet, eine spezielle Technologie der LCD-Panele. Bei LCD-Bildschirmen ist durch die Anordnung der Pixel die Auflösung fest vorgegeben. Jede Abweichung davon führt zu einem schlechteren Darstellungsergebnis, da das Bild interpoliert werden muss. Insofern sollten Sie hier stets die vom Hersteller vorgegebene physikalische Auflösung einstellen. Mit DPI (dots per inch) wird ein Wert bezeichnet, der eine Umrechung der physikalischen Bildschirmauflösung in Pixel in einen virtuellen Wert erlaubt, sodass eine typische Größe von Objekten erreicht wird. Ein Inch (Zoll) sind 2,54 cm. Was also auf dem Monitor als Strecke von 2,54 cm erscheint, enthält dann eine bestimmte Anzahl Pixel. Standardmäßig sind dies 96. Wird die Auflösung nun vergrößert, beispielsweise auf 1 280 x 1 024 Pixel, werden pro Zoll mehr Pixel benötigt. Windows liefert aber alle Schriften und Symbole weiter mit einer bestimmten physikalischen Pixelzahl aus dem Betrachter erscheinen die Objekte dann stark verkleinert. Die Nutzung kann anstrengend für die Augen sein. Alternativ kann bei Windows XP 120 dpi eingestellt oder ein weiterer Wert gewählt werden. Die alternative Darstellung erfordert den Einsatz skalierbarer Bildschirmschriftarten, die mitgeliefert werden. Wenn Sie die Auflösung nicht verändern und dennoch eine größere Anzahl Pixel pro Zoll einstellen, werden alle Objekte (Fenster, Menüs, Symbole) mehr Platz in Anspruch nehmen. Dies ist eine gute Option, wenn Schwierigkeiten bei der Erkennung bestehen, beispielsweise bei einer Sehbehinderung. Weitere Hinweise finden Sie in Abschnitt Anzeigedichte anpassen ab Seite 143.
Bildwiederholfrequenz CRT-Monitore: ab 70 Hz
Die Bildwiederholfrequenz bestimmt die Anzahl der Bildwechsel pro Sekunde. Beim Fernsehen sind dies immer 50, modernere Geräte können 100 Bildwechsel darstellen (100 Hz). Beim Computer ist die Frequenz meist in mehreren Stufen wählbar. CRT-Monitore sind sehr variabel, jedoch sind Abhängigkeiten von Bildwiederholfrequenz und Auflösung zu beachten. Aus der Anzahl der Bildwechsel und der Anzahl der mit jedem Bildwechsel übertragenen Informationen ergibt sich eine maximale Übertragungsfrequenz, die der Monitor verarbeiten kann. Wird dieser Wert überschritten, kann das Bild nicht mehr dargestellt werden. Ältere Monitore ohne entsprechende Schutzschaltung können sogar beschädigt werden. Als Faustregel gilt: Je höher die Auflösung desto niedriger die maximale Bildwiederholfrequenz. Das menschliche Auge nimmt 50 Hz bei hoher Auflösung und geringem Abstand zum Bild noch als Flimmern war. Erst ab circa 72 Hz lässt dieser Effekt nach. Die maximale Auflösung sollten Sie deshalb
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 139 so wählen, dass mindestens 72 Hz Bildwiederholfrequenz erreicht werden. Andernfalls kann das Arbeiten am Computer zu Kopfschmerzen und Unwohlsein führen. Der Effekt des Flimmerns tritt nur bei CRT-Monitoren auf, da die an- LCD-Monitore: gesteuerten Pixel nach dem Weiterlaufen des Strahls nur sehr kurze 60 Hz fest Zeit nachleuchten. LCD-Anzeigen sind dagegen deutlich träger und flimmern auch bei geringer Wiederholfrequenz nicht. Eine höhere Bildwiederholfrequenz bringt keinerlei Fortschritt und kann von vielen Monitoren nicht verarbeitet werden. Standardmäßig sollten Sie hier immer 60 Hz einstellen.
Farbqualität Die Anzahl der Farben kann bei fast allen Grafikkarten in einem wei- Farbtiefe ten Bereich gewählt werden. Die erreichbare so genannte Farbtiefe hängt von der Hardware ab. Grafikkarten speichern die darzustellenden Bilddaten in einem eigenen Speicher. Wenn Farben verwendet werden, muss ein Farbwert pro Pixel abgelegt werden. Wenn Sie 256 Farben darstellen, werden 8 Bit pro Pixel benötigt. Der Speicher der Grafikkarte muss dann ein Byte pro Vollbild aufweisen, bei einer Auflösung von 1 024 x 768 Pixel also 768 KByte. Moderne Grafikkarten haben 32 bis 512 MByte Speicher. Die höchste Farbauflösung, die auch zur optimalen Arbeit mit Windows geeignet ist, beträgt 32 Bit (4 Byte). Wenn Sie mit 1 280 x 1 024 Pixel arbeiten (entspricht bereits 1 MByte) und 32 Bit benötigen, muss die Grafikkarte mindestens 4 MByte Speicher haben. Mehr Speicher wird benötigt, um die 3D-Darstellung zu verbessern. Die gezeigten Berechnungen berücksichtigen nur eine reine 2D-Darstellung. 32 Bit Farbtiefe ermöglichen 16,7 Millionen (232) Farben. Für die Arbeit mit Windows Vista in Bereichen, in denen es auf eine Farbprofile möglichst normierte farbechte Darstellung ankommt wie in der Bildbearbeitung, sollten Sie Farbprofile einsetzen. Eine Einführung zu diesem Thema finden Sie in Abschnitt 6.6 Farbmanagement ab Seite 367. Bei der Verwendung eines Farbprofils werden Sie nur dann optimale Ergebnisse erzielen, wenn Sie dieses Profil individuell für Ihren Monitor erstellen (lassen). Dazu sind Messtechnik sowie spezielle Profilierungssoftware notwendig.
3.4.2
Einstellungen der Anzeige anpassen
Die Einstellung kann im Dialog ANPASSUNG erfolgen. Sie erreichen diesen über SYSTEMSTEUERUNG|DARSTELLUNG|ANPASSUNG oder durch Klick auf den Desktop mit der rechten Maustaste und Wahl der Option ANPASSEN aus dem Kontextmenü. Im Dialog Anpassung (Überschrift Darstellung und Soundeffekte anpassen) wählen Sie das Programm ANZEIGE. Die in diesem Abschnitt gezeigten Einstellungen werden alle in diesem Dialog vorgenommen, ohne dass dies immer wieder erwähnt wird.
140 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.22: Darstellung und Soundeffekte anpassen
Einstellungen zur Grafikkarten-Hardware Auflösung und Meist erkennt Windows Vista bei der Installation, welche Grafikkarte Farbtiefe und welcher Monitor installiert sind. Wenn diese Erkennung nicht
korrekt verläuft oder Sie von Ihrem Hardwareanbieter neuere Treiber erhalten haben, können Sie diese leicht austauschen. Die verwendeten Einstellungen sehen Sie auf der Registerkarte MONITOR im Dialog ANZEIGEEINSTELLUNGEN. Die Auflösung und die Farbtiefe lassen sich hier verändern. Sind mehrere Monitore angeschlossen, können Sie dies für jeden separat vornehmen. Über die Befehlsschaltfläche ERWEITERTE EINSTELLUNGEN gelangen Sie zu den Eigenschaften der Grafikkarte-Monitor-Kombination. Klicken Sie auf der Registerkarte GRAFIKKARTE auf EIGENSCHAFTEN, um Details zum installierten Treiber zu sehen oder diesen zu ändern. Auf der Registerkarte TREIBER des folgenden Dialogs finden Sie die entsprechenden Optionen. Zur Installation eines neuen Treibers bieten die Hersteller in aller Regel komplette Installationsprogramme zum Download an. Diese sollten Sie stets zur Aktualisierung des Treibers direkt ausführen, anstatt über die Registerkarte TREIBER zu gehen. Beachten Sie dazu auch die Ausführungen in Abschnitt Herstellerspezifische Treibereinstellungen ab Seite 143.
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 141 Abbildung 3.23: Informationen zur Grafikkarten-Hardware und zum installierten Treiber
Monitor-Einstellungen Monitore werden nicht immer korrekt erkannt, wenn die Übertragung von Daten vom Monitor zum Computer nicht möglich ist. Abbildung 3.24: Anzeige des erkannten Monitortyps
142 ________________________________________________ 3 Die Benutzerschnittstelle
Auflösung bei LCDMonitoren
Hardwarebeschleunigung beeinflussen
Dies ist beispielsweise dann der Fall, wenn der Monitor nicht direkt, sondern über einen KVM-Switch (Keyboard-Video-Maus-Umschalter) angeschlossen ist. Da die Ansteuerung aber im Wesentlichen durch die Grafikkarte bestimmt wird, ist die Auswahl nicht so wichtig. Achten Sie vielmehr darauf, dass die Einstellung unter BILDSCHIRMAK TUALISIERUNGSRATE korrekt ist. Ein zu hoher Wert kann beispielsweise bei einem LCD-Monitor dazu führen, dass überhaupt kein Bild angezeigt werden kann. In so einem Fall führt nur der Neustart über das F8-Menü (VGA-MODUS AKTIVIEREN ) und anschließendem Zurückstellen auf 60 Hz wieder zu einem normal funktionierenden System. Die Bildschirmauflösung und die Farbtiefe (hier Farbqualität genannt) stellen Sie direkt über das Hauptfenster EIGENSCHAFTEN VON ANZEIGE ein. Sind mehrere Monitore angeschlossen, können Sie dies für jeden separat vornehmen. Achten Sie wiederum darauf, bei einem LCD-Monitor nur die fest vorgegebene Standardauflösung einzustellen. Niedrigere Auflösungen können zwar meist durch Interpolation noch dargestellt werden, führen aber zu einer schlechteren Darstellungsqualität. Höhere Auflösungen hingegen können in der Regel gar nicht dargestellt werden. Falls dadurch, beispielsweise durch einen Monitortausch, die Anzeige nicht mehr möglich ist, hilft das im vorangegangenen Tipp beschriebene Vorgehen.
Problembehandlung Auf der Registerkarte PROBLEMBEHANDLUNG kann in das Treibermanagement eingegriffen werden, wenn Probleme auftreten. Die Standardeinstellung ist relativ einfach: MAXIMALE HARDWAREBESCHLEUNIGUNG, das heißt, soviel Aufgaben wie möglich werden von der Grafikkarte ausgeführt und nicht von der Software.
Abbildung 3.25: Beinflussung der Hardwareunterstützung
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 143 Herstellerspezifische Treibereinstellungen Nahezu alle modernen Grafikkarten werden heute mit ausgefeilten Treibern ausgeliefert. Diese basieren zumeist auf Standardtreibern der Grafikchipsatzhersteller wie NVIDIA, SIS oder ATI, die dann noch mehr oder weniger individuell angepasst sind. Die meisten Einstellungen zur Anzeige lassen sich über die hier mitgelieferten Tools besser und schneller vornehmen. Der Zugriff wird dabei oft über ein Symbol im Infobereich der Taskleiste ermöglicht. Auf die einzelnen Optionen soll an dieser Stelle nicht weiter eingegangen werden. Dazu variieren sie zu sehr von Hersteller zu Hersteller. In der Regel liegen den Treiberpaketen ausführliche Dokumentationen bei, die Sie im Zweifelsfall zu Rate ziehen können. Dennoch ein Tipp zu manchen ATI-basierten Treibern: Sie müssen hier manchmal zuerst die Monitor-Grundeinstellungen (wie maximale Auflösung und Bildwiederholfrequenz) anpassen, bevor Sie auf eine gewünschte Auflösung umschalten können. Anderenfalls wundern Sie sich vielleicht, warum der 17 LCD-Monitor nur mit maximal 1024 x 768 Punkten betrieben werden kann, anstelle der korrekten 1280 x 1024. Eine Reihe zusätzlicher Funktionen, wie beispielsweise das Rotieren Zusätzliche Funkder Anzeige um 90 Grad, finden Sie nur in herstellerspezifischen Trei- tionen bern. Deshalb sollten Sie stets auf der Hersteller-Website nach neuesten Treibern Ausschau halten, wenn Sie mit dem installierten Treiber nicht zufrieden sind. Achten Sie darauf, dass es sich dabei um spezielle Treiber handelt, die dem WDDM (Windows Display Driver Model)Treibermodell entsprechen. Beachten Sie, dass Angebote zum Treiberupdate in dieser WindowsVersion zwar über die allgemeine, automatische WindowsUpdatefunktion bereitgestellt werden. Es existiert aber eine separate Steuerung (siehe 2.10.3 Treiber-Updates konfigurieren)für die Behandlung von Treiberaktualisierungen. Die Treiberauswahl über die Updatefunktion wird über den erkannten Grafikkarten-Chipsatz ermittelt, nicht über das konkrete Modell. Damit werden Standardtreiber von Microsoft zum Update angeboten, die zuvor gebotene Funktionen des herstellerspezifischen Treibers vielleicht nicht mitbringen oder mit der Grafikkarte gar nicht richtig zusammenarbeiten.
Anzeigedichte anpassen Die Anzeigedichte ist normalerweise auf 96 dpi eingestellt, das heißt, es werden für 1 Zoll Bildschirmoberfläche 96 Pixel zur Darstellung verwendet (in beiden Achsen).
144 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.26: Einstellung eines höheren DPI-Werts
Bildschirmgröße kalibrieren
Um dies zu ändern, navigieren Sie zu SYSTEMSTEUERUNG|DARSTELLUNG UND ANPASSUNG|ANPASSUNG. Dann klicken Sie auf den Eintrag SCHRIFTGRAD ANPASSEN (DPI), der sich auf der linken Seite unter AUFGABEN befindet. Im folgenden Dialog wählen Sie aus der Liste: STANDARDMÄßIGE SKALIERUNG (96 DPI) Die Standardauflösung, falls zuvor eine Änderung vorgenommen wurde GRÖßERE SKALIERUNG (120 DPI) Die vergrößerte Dichte für eine Darstellung bei hoher Bildschirmauflösung, empfehlenswert bei Sehschwäche oder Auflösungen von über 1 280 x 1 024 Pixel BENUTZERDEFINIERTE EINSTELLUNG Hier können Sie ihren Monitor skalieren, um eine korrekte Darstellung zu erreichen. Zum Kalibrieren der Bildschirmgröße wählen Sie die Option BENUTZERDEFINIERTE EINSTELLUNG. Gehen Sie dann wie folgt vor: 1. Nehmen Sie ein Lineal zur Hand. 2. Legen Sie das Lineal parallel zum Lineal in der Anzeige DPIE INSTELLUNGEN ANPASSEN auf den Monitor. 3. Das Lineal in der Anzeige ist in Zoll geeicht. 1 Zoll entspricht 2,54 cm. Verschieben Sie das Lineal in der Anzeige nun so lange mit der Maus, bis die 1 bei 2,54 cm steht. Bei einem Standardmonitor wird die DPI-Anzeige erwartungsgemäß auf 96 stehen.
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 145 4.
Schließen Sie den Dialog mit OK, wenn Sie fertig sind. Abbildung 3.27: Anpassung der Skalierung
Die Skalierung kann bis auf 192 dpi (200%) verändert werden. Extreme Werte sind jedoch nur selten sinnvoll.
Verbesserung der Anzeigequalität mit Cleartype Für eine Verbesserung der Anzeigequalität von Schriften auf LCDBildschirmen steht unter Windows Vista die von Microsoft entwickelte Cleartype-Technologie zur Verfügung. Sie können diese aktivieren, indem Sie sich über den Rechtsklick mit ANPASSEN zu DARSTELLUNG|ANPASSUNG manövrieren, dann F ENSTERFARBE UND DARSTELLUNG auswählen. Im Dialog DARSTELLUNGSEINSTELLUNGEN klicken Sie auf die Schaltfläche EFFEKTE. Abbildung 3.28: Cleartype aktivieren
Eine bessere Lesbarkeit vor allem kleiner Schriften vor weißem Hintergrund soll sich dadurch ergeben, dass zusätzliche Halbton-Pixel zur Kantenglättung hinzugerechnet werden.
3.4.3
Ansteuerung mehrerer Monitore und Beamer
Neben den allgemeinen Darstellungen auf einem Monitor kann Windows Vista auch mit mehreren Monitoren umgehen. Grafikkarten für Dual-Screen-Darstellung sind mittlerweile relativ preiswert. Es ist also durchaus überlegenswert, bei der Anschaffung eines neuen Monitors den alten zu behalten und den Desktop so zu vergrößern.
146 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.29: Ansteuerung von zwei Monitoren
Mehrere Grafikkarten
Windows Vista bringt bereits selbst alle technischen Voraussetzungen mit, um mit mehr als einem Monitor gut umgehen zu können. Neben der Unterstützung der meisten Grafikkarten, die mit zwei Anschlüssen aufwarten, werden auch zusätzliche Grafikkarten eingebunden. Sie können beispielsweise eine weitere Grafikkarte einsetzen und so einen dritten Monitor anschließen. Zusätzliche Funktionen für den Betrieb mehrerer Monitore, die Sie in herstellerspezifischen Treibern finden, bieten solche Möglichkeiten meist nicht.
Vorgehen unter Nutzung der Windows-Funktionen Für die meisten Einsatzfälle zu empfehlen
Wollen Sie den Windows-Desktop auf mehr als einen Monitor erweitern, empfiehlt sich folgendes Vorgehen: 1. Installieren Sie korrekt die Grafikkarte(n) und schließen Sie alle Monitore an. 2. Installieren Sie nach dem Neustart von Windows alle benötigten Treiber. Bei modernen AGP oder PCI-Expreß-Grafikkarten sollten Sie den herstellerspezifischen Treibern den Vorzug geben. Bei PCIGrafikkarten reichen meist die in Windows Vista integrierten aus. 3. Öffnen Sie die Seite DARSTELLUNG UND SOUNDEFFEKT ANPASSEN, wie auf Seite 139 beschrieben, und klicken Sie dann auf ANZEIGE. Hier sollten Sie jetzt unter MONITORE so viele Monitorsymbole vorfinden wie physische Monitore angeschlossen sind - falls nicht, sollten Sie einen Blick in den Geräte-Manager werfen und nach einer eventuell nicht richtig installierten Grafikkarte fahnden (siehe Abschnitt 9.2.1 Geräte-Manager ab Seite 438).
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 147 4. Markieren Sie jedes einzelne Monitorsymbol und stellen Sie die gewünschte Auflösung und Farbtiefe ein. Markieren Sie jeweils das Kontrollkästchen WINDOWS-DESKTOP AUF DIESEM MONITOR ERWEITERN. Für den Haupt-Arbeitsmonitor, auf welchem auch die Taskleiste mit dem Startmenü erscheinen soll, aktivieren Sie zusätzlich das Kontrollkästchen DIESES GERÄT ALS PRIMÄREN MONITOR VERWENDEN. 5. Verschieben Sie die einzelnen Symbole so, dass die Anordnung entsteht, welche die Monitore auf Ihrem Schreib- oder Computertisch tatsächlich einnehmen. Das entscheidet darüber, wie Sie mit der Maus von einem zum anderen Monitor gelangen. Ist alles korrekt eingestellt, können Sie alle Programmfenster frei auf Ihren Monitoren verteilen. Das Handling ist dabei deutlich einfacher als etwa mit virtuellen Monitoren aber eben auch technisch aufwändiger und kostenintensiver. Windows Vista merkt sich übrigens, auf welchem Monitor sich wel- Zuordnung von Proches Programm zuletzt befunden hat und startet dieses automatisch grammen zu Moniwieder dort. So brauchen Sie nicht jedes Mal die Programmfenster toren erneut auf die Monitore zu verteilen.
Vorteile herstellerspezifischer Funktionen Die in Windows Vista integrierten Funktionen zum Betrieb mehrerer Monitore reichen in aller Regel aus, um den Windows-Desktop zu erweitern und normal damit zu arbeiten. Dennoch bieten verschiedene Treiber spezielle Funktionen, die darüber hinausgehen. So lässt sich etwa bei Matrox-DualView-Treibern genau definieren, wie mit modalen Dialogfenstern verfahren werden soll oder auf welchem Monitor welches Programm fest zugeordnet wird. Wie auch bei NVIDIATreibern kann zusätzlich eingestellt werden, ob die Taskleiste auf alle Monitore ausgedehnt werden soll, was im Standard-Funktionsumfang von Windows Vista nicht möglich ist. Hier ist diese standardmäßig auf dem primären Monitor platziert, kann aber auf jeden anderen verschoben werden.
Verwendung von netzwerktauglichen Projektoren (Beamern) Der "Windows Network Projector" verbindet Beamer mit einem PC. Vor allem für die Firmenkunden soll der neue Standard Verbesserungen mit sich bringen, da Präsentationen heutzutage meist mit Hilfe eines Laptops durchgeführt werden. Bei der Erarbeitung der neuen Spezifikationen hat Microsoft sehr auf die Zusammenarbeit mit den Projektor-Herstellern geachtet, sodass die Geräte einfachen Zugang zu dem Vista-PC finden sollten. Je nach Modell ist die Verbindung über Kabel oder über ein WLAN (Funknetzwerk) möglich. Die Erkennung des Gerätes läuft unter Windows Vista automatisch. In Windows CE, dem Betriebssystem für integrierte Anwendungen, wird diese Funktionalität ebenfalls implementiert.
148 ________________________________________________ 3 Die Benutzerschnittstelle Zu erreichen ist der Netzwerkprojektor über START|ALLE PROGRAMME|ZUBEHÖR|VERBINDUNG MIT NETZWERKPROJEKTOR. Die Einrichtung erfolgt entweder über die automatische Netzwerksuche bzw. durch Auswahl der zuletzt bekannten Beamer oder die Netzwerkadresse wird direkt angegeben. Abbildung 3.30: Netzwerkprojektor verbinden
3.4.4
Windows SideShow
Künftige Laptopmodelle besitzen eine zusätzliche Anzeige, die wichtige Informationen präsentiert auch wenn der Laptop ausgeschaltet ist oder sich im Ruhezustand befindet. Vista unterstützt diese Anzeige mit seiner SideShow. Diese neue Funktion spart Zeit und Batterieladung, denn der Laptop kann das Eintreffen von E-Mails signalisieren, Zeitpläne, Termine und Adressen anzeigen, ohne dass der Laptop hochgefahren werden muss. Auch Handys und andere Geräte mit Bildschirmen sind für die SideShow geeignet. Gesteuert werden die SideShow-basierenden Geräte über die so genannten Minianwendungen, die diese Geräte in ihrem Lieferumfang mitbringen. Abbildung 3.31: Informationen über Windows SideShow
Über die Seiten START|SYSTEMSTEUERUNG|HARDWARE UND SOUND erreichen Sie die Seite für die Windows SideShow. Die installierten Minianwendungen und die ihnen zugeordneten Geräte werden ange-
3.4 Optimierung der Anzeige-Einstellungen __________________________________ 149 zeigt. Der Windows Media Player und Windows Mail sind bereits eingetragen. Weitere Minianwendungen können Sie online beziehen.
3.4.5
Bildschirmschoner
Bildschirmschoner sind seit den Zeiten von MS-DOS beliebt. Heute haben sie eigentlich an Bedeutung verloren, denn moderne Monitore können in einen Bereitschaftsmodus abgeschaltet werden, der Energie spart. Bildschirmschoner sparen keine Energie der Monitor und auch der Prozessor laufen normal weiter. Bei CRT-Monitoren waren Bildschirmschoner notwendig, um das Einbrennen von stehender Schrift zu verhindern. Bei modernen LCDs spielt das normalerweise keine Rolle mehr. Dagegen ist auch dort ein Energiespareffekt möglich, wenn die Hintergrundbeleuchtung abgeschaltet wird. Mehr Informationen zum Energiemanagement finden Sie in Abschnitt 7.3.2 Das Energiemanagement konfigurieren ab Seite 398. Aus Sicht der Monitorschonung und der Energieeinsparung sind Bild- Just for fun schirmschoner also sinnlos. Der häufige Einsatz hat einen einfachen Grund: Sie machen Spaß. Übrigens schaltet ein schwarzer Bildschirm einen LCD-Monitor nicht sofort ab. Es wird also auch keine Energie gespart. Erst wenn der Monitor selbst das fehlende Signal erkennt, kann er von sich aus in den Bereitschaftsmodus gehen.
Einrichtung eines Bildschirmschoners Um einen Bildschirmschoner einzurichten, öffnen Sie die Seite SYSTEMSTEUERUNG|DARSTELLUNG UND ANPASSUNG|ANPASSUNG, dann die Auswahl BILDSCHIRMSCHONER. Abbildung 3.32: Bildschirmschoner einrichten
150 ________________________________________________ 3 Die Benutzerschnittstelle Bildschirmschoner sind Programme
Optionen
Über die Schaltfläche EINSTELLUNGEN können Sie bei den meisten Bildschirmschonern die Art der Anzeige beeinflussen. In welcher Form das möglich ist, hängt vom Programm selbst ab. Bildschirmschoner sind eigentlich spezielle Applikationen, die neben der Anzeige bewegter Bilder auch Sound unterstützen können. Neben dem Programm zur Anzeige können Sie die Wartezeit festlegen, nach der der Bildschirmschoner erscheint. Die Option WILLKOMMENSSEITE BEI R EAKTIVIERUNG lässt den schnellen Benutzerwechsel zu, nachdem der aktuelle Prozess wegen Inaktivität beendet wurde. Daten gehen nicht verloren. Alle offenen Programme arbeiten im Hintergrund weiter.
Zusätzliche Bildschirmschoner im Internet finden Eine Vielzahl freier Bildschirmschoner ist unter der folgenden Adresse zu finden: www.freewaresite.com/screensavers Eine Internet-Suche bringt sicherlich viele zusätzliche Websites, über die Sie Bildschirmschoner herunterladen können. Dennoch sollten Sie generell vorsichtig sein und alle geladenen Installationsdateien gründlich mit einem aktuellen Virenscanner überprüfen, denn Bildschirmschoner können gefährlichen Code enthalten. Außerdem sollten Sie darauf achten, dass Sie nur Bildschirmschoner verwenden, die für Vista geeignet sind.
3.5
Windows-Explorer anpassen
Der Windows Explorer lässt sich über verschiedene Mechanismen sehr frei an die konkreten Bedürfnisse anpassen. Manche Einstellungen lassen sich leider nur über einen Eingriff in die Registrierung vornehmen. Für die überwiegende Mehrheit jedoch stehen Gruppenrichtlinien zur Verfügung, die sicherer in der Anwendung sind und zudem in einem Active Directory-basierten Netzwerk eine zentrale Administration zulassen.
3.5.1
Speicherort für BENUTZERDATEN ändern
Der Ordner DOKUMENTE ist für die Benutzer der zentrale Ablageort für ihre Dokumente. Er befindet sich als Teil des Benutzerprofils standardmäßig an dieser Stelle, wenn als Startlaufwerk C: verwendet wird: C:\Users\Benutzername\Dokumente In Abschnitt 5.5 Benutzerprofile ab Seite 284 finden Sie weiterführende Informationen dazu.
3.5 Windows-Explorer anpassen ___________________________________________ 151 Um den Ordner unter der lokalen Anmeldung an ein anderes physisches Verzeichnis zu binden, rufen Sie das Eigenschaften-Fenster über das entsprechende Kontextmenü auf. Abbildung 3.33: Ordner DOKUMENTE verschieben
In der Registerkarte PFAD geben Sie unter ZIEL SUCHEN ein anderes Verzeichnis an. Mit einem Klick auf die Schaltfläche VERSCHIEBEN wird der bisherige Inhalt an den neuen Ort verschoben.
3.5.2
Fenster nach Neustart wiederherstellen
Nach einem Neustart präsentiert sich der Windows-Desktop wieder weitgehend leer und aufgeräumt. Alle zuletzt vor der Abmeldung geöffneten Fenster sind verschwunden. Damit sich Windows Vista in dieser Hinsicht wie Windows 98 verhält und alle zuletzt geöffneten Fenster wieder herstellt, müssen Sie eine Option setzen: 1. Klappen Sie in der Menüleiste das Menü ORGANISIEREN auf. Öffnen Sie das Fenster ORDNEROPTIONEN. 2. Aktivieren Sie in der Registerkarte ANSICHT in der Liste der erweiterten Einstellungen die Option VORHERIGE ORDNERFENSTER BEI DER ANMELDUNG WIEDERHERSTELLEN.
3.5.3
Versteckte Dateien und Ordner anzeigen
Diverse Dateien und Ordner werden dem Auge des Benutzers vorsorglich entzogen, indem hier die Attribute Versteckt und teilweise System gesetzt sind. Das betrifft in erster Linie Dateien und Ordner,
152 ________________________________________________ 3 Die Benutzerschnittstelle die durch das System für interne Zwecke benötigt werden. Standardmäßig zeigt der Explorer solche Dateien nicht an. Wenn Sie verschiedene Optimierungen am System vornehmen wollen, müssen Sie viele dieser Dateien und Ordner jedoch sehen können. So stellen Sie die Anzeige im Explorer um: 1. Klappen Sie in der Menüleiste das Menü ORGANISIEREN auf. Öffnen Sie das Fenster ORDNEROPTIONEN. 2. Setzen Sie in der Registerkarte ANSICHT in der Liste der erweiterten Einstellungen die folgenden Optionen: - GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN: deaktivieren - VERSTECKTE DATEIEN UND ORDNER: ALLE DATEIEN UND ORDNER ANZEIGEN
3.5.4
Erweiterungen einschalten
Dateierweiterungen anzeigen
Windows erkennt den Typ eines Dokuments an seiner Dateierweiterung. Standardmäßig werden aber alle Erweiterungen zu den Dateinamen ausgeblendet, deren zugehörige Anwendungen Windows »bekannt« sind. Ungeübte Benutzer sollen dadurch davor bewahrt werden, versehentlich die Erweiterungen zu löschen. Bei einem Doppelklick auf eine solche Datei wird dann nicht mehr automatisch die passende Anwendung gestartet, sondern der Benutzer mit einer Rückfrage belästigt. Weitere Informationen zur Verknüpfung von Anwendungen mit Dateierweiterungen finden Sie in Abschnitt 3.9.8 Dateierweiterungen und Anwendungen ab Seite 176. Durch ausgeblendete Dateierweiterungen kommt es immer wieder dazu, dass vermeintlich harmlose Dateien in E-Mail-Anhängen oder aus anderen Quellen per Doppelklick geöffnet werden. In Wirklichkeit kann sich aber hinter einer Datei DOKUMENT.DOC leicht eine ausführbare Datei DOKUMENT.DOC.EXE verbergen, die dann auf dem Computer Schaden anrichtet. Profis wollen daher auf den ersten Blick wissen, wie der komplette Name einer Datei wirklich lautet. Damit die Erweiterung stets angezeigt wird, muss auf der Registerkarte ANSICHT im Fenster ORDNEROPTIONEN diese Option deaktiviert werden: ERWEITERUNGEN BEI BEKANNTEN DATEITYPEN AUSBLENDEN Öffnen Sie in einem beliebiges Windows Explorer-Fenster den Menüpunkt ORDNEROPTIONEN in der Menüleiste ORGANISIEREN.
3.5.5
Explorer-SENDEN AN-Menü erweitern
Recht praktisch ist der Punkt SENDEN AN im Kontextmenü zu einer Datei im Windows Explorer. Dieses Untermenü können Sie erweitern. Öffnen Sie dazu das folgende Verzeichnis: %Userprofile%\AppData\Roaming\Microsoft\Windows\SendTo
3.5 Windows-Explorer anpassen ___________________________________________ 153 Beachten Sie, dass dieses Verzeichnis versteckt ist und standardmäßig SentTo ist versteckt nicht angezeigt wird. Passen Sie einfach die Anzeige im Explorer an, wie es in Abschnitt 3.5.3 Versteckte Dateien und Ordner anzeigen ab Seite 151 beschrieben wird. Abbildung 3.34: Eigene Programmverknüpfungen in den SendTo-Ordner legen
Wenn Sie in diesen Ordner eigene Programmverknüpfungen ablegen, dann können Sie über das Menu SENDEN AN Dateien direkt an die betreffenden Programme übergeben.
3.5.6
Gruppenrichtlinien für den Windows Explorer
Eine Aufzählung aller Gruppenrichtlinien, mit denen Sie den Windows Explorer beeinflussen können, würde den verfügbaren Raum an dieser Stelle weit sprengen. Deshalb finden Sie nachfolgend nur Verweise auf die jeweiligen Zweige im Gruppenrichtlinien-Editor. Einige besonders interessante Richtlinien sind dabei hervorgehoben. Umfassend wird das Thema in Abschnitt 5.6 Gruppenrichtlinien ab Seite 303 behandelt. Windows Explorer-Verhalten \Benutzerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Windows Explorer Besonders hervorzuheben sind diese Richtlinien: - MENÜEINTRAG ORDNEROPTIONEN AUS DEM MENÜ EXTRAS ENTFERNEN
- DIESE
ANGEGEBENEN
DATENTRÄGER
IM
FENSTER ARBEITSPLATZ
AUSBLENDEN
- ZUGRIFF
AUF
LAUFWERKE
DES
ZULASSEN
- CD-BRENNFUNKTION ENTFERNEN Startmenü und Taskleiste anpassen \Benutzerkonfiguration \Administrative Vorlagen \Startmenü und Taskleiste
LOKALEN
COMPUTERS
NICHT
154 ________________________________________________ 3 Die Benutzerschnittstelle Windows-Desktop \Benutzerkonfiguration \Administrative Vorlagen \Desktop
3.6
Hilfe- und Supportcenter
Das Hilfe- und Supportcenter fasst alle Hilfefunktionen zusammen und ist die zentrale Anlaufstelle für die Suche nach Problemlösungen oder das Starten von Dienstprogrammen.
3.6.1
Überblick
Sie starten das Hilfe- und Supportcenter über das Startmenü. Abbildung 3.35: Startseite des Hilfeund Supportcenters
Alternativ können Sie die Tastenkombination Windows-Taste+F1 einsetzen. Die Symbole auf der oberen rechten Seite ermöglichen die Steuerung der Hilfefunktion. Abbildung 3.36: Symbole zur Steuerung der Hilfefunktion
Mit dem Haus, der Home-Funktion, kehren Sie immer zum Hauptmenü zurück. Brauchen Sie die Hilfe schwarz auf weiß, können Sie sich einzelne Passagen ausdrucken lassen. Dafür steht der kleine, mo-
3.6 Hilfe- und Supportcenter _______________________________________________ 155 derne Drucker. Ein übersichtliches Inhaltsverzeichnis erscheint, wenn Sie das blaue Buch anklicken. Ist Ihnen selbst die Hilfe unerklärlich, können Sie sicher einen netten Mitmenschen fragen, ob er Ihnen weiterhelfen kann. Leiten Sie die Remoteunterstützung über FRAGEN ein, braucht er nicht einmal vor Ort zu sein. Die OPTIONEN ermöglichen es unter anderem, die Textgröße zu verändern und die Online-Hilfe zu zu schalten.
Kategorie Windows Grundlagen Besonders für Einsteiger ist diese Kategorie geeignet, denn sie vermit- Besonders für telt alles Wissenswerte über den Computer im Allgemeinen, den Einsteiger Aufbau eines Computers, die Verwendung von Maus und Tastatur und das ordnungsmäßige Herunterfahren. Der Abschnitt Desktopgrundlagen behandelt den Aufbau von Desktop, Startmenü und Taskleiste. Die neue Sidebar und die Gadgets sowie der Umgang mit Fenstern, Menüs, Schaltflächen, Leisten und Feldern werden umfangreich beschrieben. Die Sektion Programme, Dateien und Ordner zeigt auf, wie Dateien strukturiert und Programme aufgerufen werden. Außerdem sind die kleinen Standardprogramme Paint, der Rechner und Wordpad erklärt. Internet und E-Mail erklärt das Surfen im Internet, erste Schritte mit E-Mail, Kontaktverwaltung und ermahnt zum sicheren Verhalten im Internet. Grundlagen zur Bildverarbeitung und zum Spielen am PC runden das Angebot ab. Zuletzt werden Möglichkeiten zum Aufrufen der Hilfe und Vistas Wege für eine vereinfachte Bedienung erläutert.
Kategorie Wartung Programme, die eine besondere Aufmerksamkeit verlangen, weil sie zur Sicherheit des Computers, und damit auch des Nutzers, beitragen, werden hier dargestellt. Das Sicherheitscenter, die Updateverwaltung und der Hauptdialog Problemberichte und lösungen werden Ihnen nahe gelegt.
Kategorie Windows Online-Hilfe Die Dinge ändern sich. Das gilt auch für Windows-Betriebssysteme. Um Sie über den aktuellen Stand der Technik zu informieren, stellt Microsoft eine Vista-Hilfe-Seite im Internet bereit. Sofern der Zugriff zum Internet schon installiert ist, finden Sie auf dieser Seite viele Informationen: http://windowshelp.microsoft.com/Windows/de/default.mspx
156 ________________________________________________ 3 Die Benutzerschnittstelle Kategorie Inhaltsverzeichnis Die übersichtliche Darstellung verrät Ihnen schnell, wie Sie ins Internet kommen, enthält Tipps zum Senden von E-Mails und viele allgemeine und spezifische Informationen.
Kategorie Problembehandlung Wenn mal etwas nicht funktioniert, versucht die Problembehandlung (neudeutsch Troubleshooting) zur Lösung beizutragen. Von nicht aufzufindenden Drahtlos-Netzwerken über langsame Internetverbindungen und Problemen mit dem Mail-Programm bis zur Anleitung, wie korrupte Treiber ersetzt werden, ist alles mit Hilfe von Assistenten erklärt.
Kategorie Was ist neu? Da in Vista über 10 000 neue Features eingebaut sind, gibt es wohl keinen, der einen kompletten Überblick hat. Ab Seite 43 haben wir versucht alles zusammen zu tragen, was für Umsteiger interessant ist. Fehlt etwas, können in dieser Kategorie nachschlagen.
3.7
Das Sicherheitscenter
Das mit dem Service Pack 2 von Windows XP eingeführte Sicherheitscenter ist die zentrale Anwendung in Windows in Sachen Sicherheit. Das Sicherheitscenter fasst den Status wichtiger Komponenten zusammen, die zur Sicherheit des Gesamtsystems einen wesentlichen Beitrag leisten.
3.7.1
Aufruf und Statusanzeige für Komponenten
Zunächst wird gezeigt, wie Sie das Sicherheitscenter erreichen und die Statusmeldungen interpretieren können.
Aufruf des Sicherheitscenters Das Sicherheitscenter rufen Sie über START|SYSTEMSTEUERUNG|SICHERHEIT auf. Wird für eine der im nachfolgenden Abschnitt beschriebenen Komponenten eine Fehlkonfiguration festgestellt, erfolgt eine Warnung im Infobereich der Taskleiste in Form eines roten Symbols und einer Quickinfo. In diesem Fall können Sie direkt mit einem Klick auf das Symbol das Sicherheitscenter erreichen. Alternativ steht über das Kontextmenü zum Symbol ein Link zur Verfügung, mit dem Sie direkt zur Sicherheits-Website von Microsoft geleitet werden.
3.7 Das Sicherheitscenter _________________________________________________ 157 Statusanzeige für Komponenten interpretieren Standardmäßig werden bei einem neu installierten System vier Komponenten auf eine korrekte Einrichtung überprüft: Windows-Firewall Es wird überprüft, ob die Windows-Firewall für alle Netzwerkver- Firewall aktiv? bindungen aktiv ist. Das ist zwar nicht immer notwendig, dennoch wird gewarnt, wenn auch nur eine Verbindung nicht durch diese Lösung geschützt ist. In Abschnitt 13.10.5 Windows-Firewall ab Seite 843 finden Sie dazu weiterführende Informationen. Abbildung 3.37: Status sicherheitsrelevanter Komponenten im Überblick
Windows-Update In der jüngsten Vergangenheit wurde immer wieder gezeigt, wie Schwachstellen in Windows-Betriebssystemen von Hackern erkannt und ausgenutzt worden sind. Oftmals wurden sogar über die Windows-Update-Websites rechtzeitig Patches zur Verfügung gestellt. Allerdings haben viele Nutzer, ob unwissentlich oder aufgrund falscher Ratschläge von »Fachleuten«, diese Funktion ausgeschaltet. Microsoft spioniert die Benutzer aus! Oft war diese Behauptung auf den Titelseiten so genannter »Fachzeitschriften« zu finden. Alles abschalten, was an Systemfunktionen ins Internet will! So hieß dann oft die Devise der nur allzu viele leichtgläubige Leser gefolgt sind. In der Folge davon ist bei vielen PCs die automatische UpdateFunktion deaktiviert worden. In Abschnitt 2.10 Windows Update ab Seite 93 wird dieses Thema detailliert behandelt. Antivirensoftware Neben der Absicherung des Systems durch eine Firewall und das regelmäßige Einspielen von Updates ist eine Virenschutzlösung ein Muss für jeden PC. Mit der massenhaften Verbreitung gefährlicher Viren über E-Mail oder andere Kanäle gibt es keine vernünftige Alternative dazu es sei denn, Sie beschränken sich beim Surfen im Internet auf die Seiten seriöser Anbieter und löschen jede E-Mail, die auch nur im Ansatz verdächtig erscheint. Praktisch alle Produkte der namhaften Hersteller von Antivirensoftware werden mittlerweile von Windows Vista direkt unterstützt.
Window-Update erfolgt automatisch?
Virenschutz vorhanden und OK?
158 ________________________________________________ 3 Die Benutzerschnittstelle Spyware Wer möchte schon gern ausspioniert werden? Vista bietet mit dem Windows Defender eine Verteidigung gegen schädliche Programme, die so genannte Malware. Mehr Informationen finden Sie dazu in Abschnitt 13.10.6 Verteidiger gegen Malware der Windows Defender auf Seite 847. Das Sicherheitscenter meldet den Status für den Virenschutz so lange nicht als AKTIV, wie eine dieser Bedingungen zutrifft: - Es ist keine von Windows Vista erkannte Antivirensoftware installiert. - Die installierte Software liefert einen Status, der anzeigt, dass etwas nicht in Ordnung ist. Das liegt beispielsweise dann vor, wenn die Virendefinitionen veraltet sind. Weitere Sicherheitseinstellungen Der Status der Sicherheitseinstellungen des Internet Explorers wird angezeigt und kann von hier aus konfiguriert werden. Details zur Konfiguration des Internet Explorers 7 sind in Abschnitt 15.4.3 Sicherheitseinstellungen ab Seite 995 beschrieben. Die Benutzerkontensteuerung kann hier ein- und ausgeschaltet werden. Was sich dahinter verbirgt, zeigt der Abschnitt 5.4 Benutzerkontensteuerung.
3.7.2
Warnungen im Sicherheitscenter anpassen
Nicht immer müssen alle genannten Komponenten in genau der Art und Weise konfiguriert sein, wie das Betriebssystem beziehungsweise sein Sicherheitscenter das standardmäßig vorsieht. Über den Link DIE SICHERHEITSCENTER-BENACHRICHTIGUNGSMETHODE ÄNDERN gelangen Sie zu einem Konfigurationsfenster, in welchem Sie die Prüfung sicherheitsrelevanter Informationen ein- und ausschalten können. Abbildung 3.38: Abfrage, ob Sicherheits-Warnmeldungen angezeigt werden sollen
3.8 Optionen für Behinderte _______________________________________________ 159 Haben Sie beispielsweise eine Virenlösung im Einsatz, deren Status Windows Vista nicht überprüfen kann oder nicht wie gewünscht erkennt, dann deaktivieren Sie die Benachrichtigung. So ersparen Sie sich wiederholte Erinnerungen in der Taskleiste, dass der Sicherheitsstatus Ihres Computers angeblich gefährdet ist.
3.7.3
Sicherheitscenter bei AD-Domänen-Clients
Das Sicherheitscenter ist bei Clientcomputern, die in eine Active Directory-Domäne eingebunden sind, standardmäßig deaktiviert. Das ist in den meisten Fällen auch sicherlich die passende Einstellung. Hier greifen schließlich normalerweise spezielle Enterprise-Sicherheitslösungen. Beispiele dafür sind: Unternehmens-Firewall: Microsoft Internet Security and Acceleration Server (ISAS) Zentrale Updateverteilung: Microsoft Windows Update Services (WUS) sowie die Remote Installation Services (RIS) Antivirenlösung: Norton Antivirus Corporate Edition oder McAfee Virusscan Enterprise
Gruppenrichtlinie für das Sicherheitscenter Soll das Sicherheitscenter dennoch bei Domänen-Clients aktiviert werden, müssen Sie eine neue, spezielle Gruppenrichtlinie setzen. \Computerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Sicherheitscenter \Sicherheitscenter aktivieren
3.8
Optionen für Behinderte
Windows Vista bietet eine gute Unterstützung für Nutzer mit körperlichen Behinderungen. Speziell geht es um eine Unterstützung beim Gebrauch der Maus, der Tastatur und um Hilfen für sehschwache Menschen. Bereits während der Installation erscheint ein blaues Zeichen in der linken unteren Ecke, das auf das Center für die erleichterte Bedienung führt.
3.8.1
Center für die erleichterte Bedienung
Zur gezielten Einstellung aller Optionen können Sie in der Systemsteuerung das gleichnamige Applet aufrufen.
160 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.39: Einstellungen zu den Eingabehilfen vornehmen
Die Eingabehilfen beziehen sich nicht nur auf die Bedürfnisse Behinderter. Alle Eingabegeräte können auch an Ihre persönlichen Bedürfnisse angepasst werden. Im oberen Teil des Centers können Sie bestimmen, welche Programme Windows nach der Anmeldung mit starten soll. Die Auswahl kann aus folgenden Punkten getroffen werden: Bildschirmlupe starten Bildschirmtastatur starten Hohen Kontrast aktivieren und einrichten Sprachausgabe aktivieren Einrastfunktion aktivieren Anschlagverzögerung aktivieren Im unteren Teil des Centers lassen sich allgemeine Hilfen einstellen. So können Sie den Bildschirm optimieren oder die Bildschirmanzeige komplett abschalten. Die Maus und die Tastatur lassen sich auf besondere Bedürfnisse anpassen. Alternative Eingabegeräte können integriert werden. SOUND bietet eine optische Unterstützung der Soundausgabe an und Benutzer mit Konzentrationsschwächen können die Option KOGNITIVE AUFGABEN wählen.
3.8.2
Tastenkombinationen für die Aktivierung
Sie können bestimmte Eingabehilfen über Tastenkombinationen einund ausschalten unabhängig davon, ob diese Funktionen aktiviert wurden. Mit den folgenden Tastenkombinationen werden sowohl akustische als auch optische Signale (Töne bzw. Dialogfelder) ausge-
3.8 Optionen für Behinderte _______________________________________________ 161 geben. Auf diese Weise wird angezeigt, dass die entsprechende Eingabehilfe aktiviert oder deaktiviert wurde. Zweck
Tastenkombination
Anschlagverzögerung umschalten
RECHTE UMSCHALTTASTE acht Sekunden lang drücken
Kontrast ein- und ausschalten
LINKE ALT+LINKE UMSCHALT+DRUCKTASTE
Tastaturmaus ein- und ausschalten
LINKE ALT+LINKE UMSCHALT+ NUM-TASTE
Tabelle 3.3: Tastenkombinationen
Einrastfunktion umschalten UMSCHALTTASTE fünfmal drücken Statusanzeige ein- und ausschalten
3.8.3
NUM-TASTE fünf Sekunden lang drücken
Tastatur-Maus
Wenn Sie Schwierigkeiten beim Umgang mit der Maus haben, ändern Sie die Einstellungen für die Tastatur-Maus so ab, dass Sie den Mauszeiger mit Hilfe der Zehnertastatur bewegen können (über CENTER FÜR ERLEICHTERTE B EDIENUNG|T ASTATUR, dann MAUSTASTEN AKTIVIEREN anklicken). Mausbewegungen Verwenden Sie die Pfeiltasten auf der Zehnertastatur, um den Zeiger horizontal oder vertikal zu bewegen. Mit den Tasten POS1, ENDE, BILD-AUF und BILD-AB auf der Zehnertastatur bewegen Sie den Zeiger diagonal. Geschwindigkeit und Beschleunigung des Zeigers Wenn Sie die Geschwindigkeit und die Beschleunigung des Zeigers bei Einsatz der Tastaturmaus ändern möchten, navigieren Sie zu CENTER FÜR ERLEICHTERTE BEDIENUNG MAUSTASTEN KONFIGURIEREN und stellen Sie die gewünschten Werte mit den Schiebereglern ein. Um die Zeigergeschwindigkeit vorübergehend zu erhöhen oder zu Zeigergeschwindigverringern, klicken Sie auf der Registerkarte MAUS auf E INSTEL- keit vorübergehend anpassen LUNGEN und aktivieren das Kontrollkästchen MIT STRG-T ASTE VERLANGSAMEN UND MIT UMSCHALTTASTE BESCHLEUNIGEN.
3.8.4
Links zu weiterführenden Informationen
Weitere Informationen über Unterstützung für körperlich behinderte Nutzer finden Sie auf folgenden Webseiten: www.microsoft.com/enable/products/windowsvista/default.aspx www.rfbd.org
162 ________________________________________________ 3 Die Benutzerschnittstelle www.apple.com/accessibility/ www.hilfsmittel-scout.de/computer.html Wie Sie Internetseiten behindertengerecht gestalten, erfahren Sie unter dieser Seite: www.barrierefreies-webdesign.de
3.9
Umgang mit Anwendungen
Für den komfortablen Umgang mit Anwendungen stellt der Windows Explorer entsprechende Funktionen bereit. In den nachfolgenden Abschnitten finden Sie Informationen, was dabei im Hintergrund passiert und welche Eingriffsmöglichkeiten es gibt, um den Umgang mit Anwendungen zu steuern oder zu optimieren.
3.9.1
WindowsProgramme
EXE
DOS-Programme
Arten von Anwendungen
Es gibt verschiedene Arten von Anwendungen, die Sie unter Windows ausführen können: 32 Bit-Windows-Anwendungen Unter Windows Vista werden Sie wahrscheinlich zu 99% Anwendungen einsetzen, die als 32 Bit-Programme entwickelt worden sind und die Windows API (Application Programming Interface) bedienen. Die ausführbaren Programmdateien, die Sie als Benutzer zum Start dieser Anwendungen aufrufen, sind an der Dateierweiterung EXE zu erkennen. 16 Bit-Windows-Anwendungen Ältere Windows-Anwendungen können meist ebenfalls durch Windows Vista ausgeführt werden. Beachten Sie allerdings, dass diese in der Regel keine langen Dateinamen unterstützen, sodass Sie die Funktion der automatisch erstellten kurzen 8.3-Namen des NTFS-Dateisystems nicht deaktivieren sollten. Zu weiteren Einstellungen, die dem optimalen Programmablauf von 16 Bit-WindowsProgrammen dienen können, finden Sie Informationen in Abschnitt 3.9.7 Kompatibilität mit älteren Anwendungen ab Seite 172. Die 16 Bit-Anwendungen sind ebenso wie 32 Bit-Windows-Anwendungen durch EXE-Programmdateien gekennzeichnet. 64 Bit-Windows-Anwendungen Mit der Verfügbarkeit der 64 Bit-Version von Windows Vista stehen für spezielle Anwendungen entsprechend optimierte Programme zur Verfügung. 16 Bit-DOS-Anwendungen Alte DOS-Anwendungen sollten heute eigentlich keine Rolle mehr spielen. So mancher Anwender möchte aber auf sein 10 Jahre altes Lieblingsprogramm nicht verzichten. Versuchen Sie ein solches
3.9 Umgang mit Anwendungen_____________________________________________ 163 Programm auszuführen, meldet sich der Programm-Kompatibilitäts-Assistent automatisch, wenn Vista feststellt, dass es zu Komplikationen kommen könnte. Dieser Assistent startet ausschließlich automatisch. Er kann nicht manuell aufgerufen werden. So manch widerspenstiges Programm damit manchmal doch noch zur Mitarbeit bewegt werden (siehe Abschnitt DOS-Anwendungen ab Seite 174). Selbst für die Installation hat DOS ausgedient. An seine Stelle ist WinPE getreten. Ab Seite 80 ist die Erstellung eines WinPEMediums beschrieben. DOS-Programmdateien können in zwei verschiedenen Formaten auftreten: Zum einen als kompakte COM-Dateien, zum anderen im EXE-Format. Batch-Programme Für einfache Automatisierungsaufgaben eignen sich hervorragend Batch-Programme. In diesen können Sie beispielsweise Kommandozeilen-Befehle oder Aufrufe von Anwendungen unterbringen. Batch-Programmdateien sind normale Textdateien und durch die Erweiterungen BAT oder CMD gekennzeichnet. Script-Anwendungen Mit Script-Dateien, die als normale Textdateien vorliegen, können Sie komplexere Anwendungen schreiben. Voraussetzung ist allerdings, dass dazu auf dem System ein entsprechender Script-Host verfügbar ist. Dieser interpretiert die Anweisungen in der Datei (und wird deshalb meist Interpreter genannt) und steuert seinerseits wiederum die Windows-Programmier-Schnittstelle an. Eine Einführung in die in Windows Vista standardmäßig verfügbaren Möglichkeiten finden Sie in Kapitel 8 Gadgets-Scripting ab Seite 415. Script-Dateien tragen meist Erweiterungen wie VBS (VBScript), JS (JScript) oder WSF.
Programmdateien erkennen Der Windows Explorer blendet in der Standardeinstellung bekannte Dateierweiterungen aus, sodass manchmal das Finden der richtigen ausführbaren Programmdatei innerhalb eines Verzeichnisses nicht gerade erleichtert wird. Sie erkennen Anwendungen im ExplorerFenster dann nur an der Angabe im Detailfenster oder über Informationen in der Quickinfo (siehe auch Abschnitt 3.2.5 Quickinfos ab Seite 123). In Abschnitt 3.5.4 Dateierweiterungen anzeigen ab Seite 152 finden Sie weitere Informationen, wie garantiert alle Erweiterungen zu Programmdateien eingeblendet werden.
3.9.2
Verknüpfungen zu Anwendungen
Normalerweise starten Sie im Windows Explorer eine Anwendung über eine Verknüpfung, die im Startmenü abgelegt ist. Diese Verknüp-
COM, EXE
Batchdateien
BAT, CMD
VBS, JS, WSF, ...
164 ________________________________________________ 3 Die Benutzerschnittstelle fung wird meist automatisch durch das Installationsprogramm angelegt, in der Regel im Startmenü unter ALLE PROGRAMME zu finden.
Verknüpfung im Startmenü manuell einrichten
Verknüpfung automatisch erstellt
Möchten Sie für eine Anwendung eine Verknüpfung im Startmenü einrichten, gehen Sie wie folgt vor: 1. Öffnen Sie im Windows Explorer das Verzeichnis, welches die Anwendung enthält. 2. Klicken Sie auf die ausführbare Datei der Anwendung und ziehen Sie diese auf die START-Schaltfläche der Taskleiste. 3. Halten Sie die Maustaste weiterhin gedrückt, öffnet sich das Startmenü und Sie können die Verknüpfung zur Anwendung an die gewünschte Position ziehen. Mit diesem Vorgehen wird im Startmenü automatisch eine Verknüpfung angelegt. Es erfolgt keine Kopie der Programmdatei. Sie erkennen dies am kleinen Verknüpfungs-Zeichen am Symbol der Datei. Weitere Hinweise zum Umgang mit dem Startmenü finden Sie in Abschnitt 3.2.2 Das Startmenü ab Seite 105.
Verknüpfungen an anderen Orten erstellen Wollen Sie zu einem Programm eine Verknüpfung an einer anderen Stelle als im Startmenü erstellen, können Sie dies wie folgt erreichen: Ziehen Sie das Programmsymbol direkt auf den Desktop, wird automatisch eine Verknüpfung erstellt. Sie erkennen das an dem Verknüpfungs-Symbol, welches am Mauszeiger erscheint, solange Sie die Maustaste gedrückt halten. Ziehen Sie das Programmsymbol bei gleichzeitig gedrückter AltTaste an einen beliebigen Ort (dies kann auch dasselbe Verzeichnis sein). Wählen Sie aus dem Kontextmenü zur Programmdatei, welches erscheint, wenn Sie mit der rechten Maustaste auf diese klicken, den Punkt VERKNÜPFUNG ERSTELLEN. Dabei wird eine Verknüpfung im selben Verzeichnis angelegt. Zum schnellen Start der meistgenutzten Programme können Sie Verknüpfungen zu diesen in der Schnellstartleiste anlegen. Weitere Hinweise finden Sie dazu in Abschnitt Die Schnellstartleiste ab Seite 121.
3.9.3
Start/Ausführen
Direkter Aufruf von Programmen
Neben dem Doppelklick auf ein Programmsymbol in einem Windows Explorer-Fenster oder über eine Verknüpfung im Startmenü oder an einer anderen Stelle können Sie Anwendungen auch durch einen direkten Aufruf starten. Dazu gibt es diese Möglichkeiten: Startmenü: AUSFÜHREN
3.9 Umgang mit Anwendungen_____________________________________________ 165 Öffnen Sie das Startmenü und klicken Sie auf AUSFÜHREN. Es öffnet sich dann ein kleines Eingabe-Dialogfenster, in welches Sie den Namen der Programmdatei eingeben können. Abbildung 3.40: Ausführen-Dialog mit Historie-Funktion
Task-Manager: Menü DATEI|NEUER TASK (AUSFÜHREN) Der Task-Manager bietet über sein Datei-Menü ebenfalls einen Ausführen-Dialog an. Dieser wird hier nur NEUEN TASK ERSTELLEN genannt, gleicht aber sonst bis zur Historie-Funktion der oben beschrieben Variante. Der Task-Manager wird ausführlich in Abschnitt 4.5 Task-Manager ab Seite 229 beschrieben. Eingabe des Programms in der Suchzeile. Überschreiben Sie einfach die Aufforderung SUCHE STARTEN. Allerdings sollten Sie bei dieser Variante besonders darauf achten, dass Sie sich nicht verschreiben, weil automatisch die Suche, auch im Internet, gestartet wird. Eingabe des Programmdatei-Namens an der Eingabeaufforderung Windows Vista bietet eine Kommandozeile an, die Eingabeaufforderung genannt wird. Sie finden diese im Startmenü unter ALLE PROGRAMME|ZUBEHÖR. Sie starten die Eingabeaufforderung schneller, wenn Sie über den Ausführen-Dialog des Startmenüs gehen und dort CMD als Programmaufruf eintragen. CMD kann wie oben erwähnt auch in der Eingabezeile der Suchfunktion eingegeben werden. Sie gelangen ebenfalls in die schwarze Box. An der Eingabeaufforderung können Sie dann den Namen der Programmdatei eingeben. Alle Methoden, außer der Eingabe in der Suchebox, bieten Ihnen die Möglichkeit, für den Start der Programme zusätzliche Kommandozeilen-Parameter zu übergeben.
3.9.4
Programm unter anderem Konto starten
Windows Vista bietet wie seine Vorgänger Windows XP und 2000 die Funktion, ein Programm unter einem anderen Benutzerkonto zu star-
Task-Manager
Suchzeile
Kommandozeile
KommandozeilenParameter
166 ________________________________________________ 3 Die Benutzerschnittstelle ten. Dies ist vor allem dann sehr sinnvoll und zeitsparend, wenn Sie als Administrator am Computer eines Benutzers »eben schnell« ein Programm mit Ihren Rechten starten wollen, ohne dass der gerade aktive Benutzer seine Arbeit beenden und sich abmelden muss. In Windows Vista wurde das Kommando AUSFÜHREN ALS in ALS ADMINISTRATOR AUSFÜHREN umbenannt. Dieser Befehl sollte jedoch nur selten benötigt werden, weil Windows automatisch nach einem Administratorkonto verlangt, sobald es erforderlich ist. Für einige ältere Programme wird AUSFÜHREN ALS ADMINISTRATOR dennoch gebraucht, um den Ab- und Anmeldevorgang zu umgehen. Warum ist es sinnvoll mit einem Standardbenutzerkonto zu arbeiten anstatt immer ein Administratorkonto zu benutzen? Das Standardkonto hilft Ihren Computer zu schützen, indem Anwender daran gehindert werden versehentlich Änderungen vorzunehmen, die alle Benutzer des Computers betreffen. Microsoft empfiehlt für jeden Benutzer ein Standardbenutzerkonto einzurichten. Fast alle Funktionen können mit einem Standardbenutzerkonto genauso benutzt werden wie mit einem Administratorkonto. Werden mehr Rechte zum Ausführen von Programmen benötigt, fragt Vista wie gesagt automatisch. Die Benutzerkontensteuerung, beschrieben in Abschnitt 5.4 Benutzerkontensteuerung auf Seite 281, sollte aus Sicherheitsgründen aktiviert sein und bleiben.
Start des Programms als Administrator Gehen Sie wie folgt vor, wenn Sie dies im Windows Explorer durchführen wollen: 1. Klicken Sie mit gedrückter Umschalt-Taste und der rechten Maustaste auf die Programmdatei oder die dazugehörige Verknüpfung. 2. Wählen Sie im dann erscheinenden Kontextmenü den Punkt ALS ADMINISTRATOR AUSFÜHREN . 3. Geben Sie im folgenden Dialogfenster den Benutzernamen sowie das dazugehörige Kennwort ein. Das Programm wird daraufhin unter dem angegebenen Benutzerkonto gestartet. Mit allen Rechten versehen, können Sie so Konfigurationsaufgaben am Betriebssystem vornehmen.
Auswahl des Benutzerkontos für Programmstart festlegen Für eine Programmverknüpfung können Sie auch dauerhaft festlegen, dass beim Start des Programms das Benutzerkonto zur Auswahl angeboten wird. Damit lässt sich beispielsweise eine Verknüpfung zu einem immer wieder benötigten Administrationswerkzeug auf dem Desktop oder im Startmenü der normalen Benutzer anlegen. Ohne das Kennwort für den Administratorzugriff kann das entsprechende Pro-
3.9 Umgang mit Anwendungen_____________________________________________ 167 gramm nicht gestartet werden und ist somit vor unbefugter Ausführung geschützt. Gehen Sie so vor, um diese feste Zuordnung einzustellen: 1. Falls noch nicht vorhanden, erstellen Sie eine Verknüpfung zum betreffenden Programm (siehe Abschnitt 3.9.2 Verknüpfungen zu Anwendungen ab Seite 163). 2. Öffnen Sie das EIGENSCHAFTEN-Fenster zu dieser Verknüpfung über das Kontextmenü (rechte Maustaste). 3. Klicken Sie in der Registerkarte VERKNÜPFUNG auf die Schaltfläche ERWEITERT. 4. Aktivieren Sie das Kontrollkästchen ALS ADMINISTRATOR AUSFÜHREN und schließen Sie alle Dialogfenster. Abbildung 3.41: Zuordnung zur Ausführung unter einem anderen Benutzerkonto einstellen
Mit dem nächsten Start des betreffenden Programms über diese Verknüpfung kann der Benutzer wählen, ob er das Programm unter seinem eigenen oder einem anderen Konto ausführen will.
Das Kommandozeilen-Programm RUNAS.EXE Über die Eingabeaufforderung können Sie ebenfalls Programme unter einem anderen als dem gerade aktiven Benutzerkonto starten. Dazu dient das Programm RUNAS.EXE. Die wichtigsten Optionen sollen an dieser Stelle vorgestellt werden. Weitere Informationen finden Sie zu diesem Programm in der Online-Hilfe von Windows Vista (siehe Abschnitt 3.6 Hilfe- und Supportcenter ab Seite 154). Runas [/profile|/noprofile] /env /user: <programm> Syntax Zu den genannten Optionen werden in der nachfolgenden Tabelle einige Erläuterungen gegeben: Option /profile
Tabelle 3.4: Optionen von Für den Start des Programms wird das Profil Runas.exe des angegebenen Benutzers geladen (siehe auch Abschnitt 5.5 Benutzerprofile ab Seite 284). Dies ist die Standardeinstellung.
Bedeutung
168 ________________________________________________ 3 Die Benutzerschnittstelle Option
Kennwort-Eingabe
Beispiele
Bedeutung
/noprofile
Es wird das Profil des gerade aktiven Benutzers für die Programmausführung genutzt. Bestimmte Programme, die benutzerorientiert eingerichtet sind, verweigern dann aber unter Umständen die Arbeit oder zeigen Fehlfunktionen.
/netonly
Falls Anmeldeinformationen nur für den Fern(Remote-)zugriff gültig sind
/env
Es werden die Umgebungseinstellungen des aktiven Benutzerkontos benutzt und nicht die des Zielkontos.
/savecred
Verwendet Anmeldeinformationen (credentials), die von einem anderen Benutzer gespeichert wurden.
/smartcard
Falls Anmeldeinformationen von einer Smartcard zur Verfügung gestellt werden.
/user
Geben Sie hier für den Benutzernamen an. Sie können dies auch mit der Eingabe des Anmeldecomputers oder der Anmeldedomäne verbinden.
/showtrustlevels
Zeigt die Vertrauensstufen an, die als Argumente zu /trustlevel verwendet werden können
/trustlevel
, die in /showtrustlevels aufgelistet sein sollte
<programm>
Geben Sie den Dateinamen, gegebenenfalls mit komplettem Pfad, an.
Existiert zu dem angegebenen Benutzerkonto ein Kennwort, werden Sie zur Eingabe desselben aufgefordert. Nachfolgend finden Sie einige Beispiele: Runas /user:Administrator cmd Damit starten Sie die Eingabeaufforderung unter dem lokalen Administrator-Konto. Runas /noprofile /env /user:
[email protected] k.cmd In diesem Beispiel wird das Programm k.cmd unter dem Konto des Domänen-Administrators gestartet. Dabei werden sowohl Profil als auch Umgebung des aktuell angemeldeten Benutzers verwendet. Runas /user:Sysop mmc %Systemroot%\system32\secpol.msc Es wird die Managementkonsole LOKALE SICHERHEITSEINSTELLUNGEN unter dem Konto Sysop gestartet.
3.9 Umgang mit Anwendungen_____________________________________________ 169
3.9.5
Registrierungseinträge und die Path-Angabe
Damit Sie ein Programm durch alleinige Eingabe des Programmdateinamens starten können, muss das Betriebssystem wissen, wo es diese Datei finden kann. Dazu dient unter MS-DOS die PATH-Variable, die Sie dort in der System-Startdatei AUTOEXEC.BAT entsprechend belegen. Mit der Angabe der folgenden Zeile sucht das Betriebssystem bei der Eingabe eines Programmdateinamens in genau diesen beiden Verzeichnissen: PATH = C:\Programme;D:\Anwendg; Damit wird klar, dass bei einer großen Zahl installierter Programme diese PATH-Angabe sehr groß werden kann, da alle Verzeichnisse, die Programmdateien enthalten, hier eingetragen werden müssen. Für Windows gibt es ein anderes Konzept: Hier werden die Pfadangaben zu den Programmdateien durch das jeweilige Installationsprogramm in der Registrierungs-Datenbank eingetragen (siehe auch Abschnitt 9.6 Die Windows-Registrierung ab Seite 475). Sie finden diese Werte in folgendem Zweig: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \App Paths Beide Varianten werden durch Windows Vista unterstützt. Für Windows-Anwendungen brauchen Sie in der Regel keine manuellen Anpassungen vorzunehmen hier sollte das Installationsprogramm alle entsprechenden Einträge gesetzt haben. Die Path-Angabe können Sie an diesen Stellen unter Windows Vista an Ihre Erfordernisse anpassen: Sie finden diese Umgebungsvariable als Teil des Benutzerprofils im Dialogfenster SYSTEMSTEUERUNG|SYSTEM UND WARTUNG|SYSTEM. Klicken Sie zum Öffnen dieses Fensters im Startmenü mit der rechten Maustaste auf COMPUTER (oder über Windows-Taste+Untbr) und wählen Sie unter AUFGABEN Kontext den Punkt E RWEITERTE SYSTEMEINSTELLUNGEN . In der Registerkarte ERWEITERT finden Sie die Schaltfläche UMGEBUNGSVARIABLEN. Markieren Sie hier im unteren Bereich die Zeile PATH und klicken Sie auf BEARBEITEN, um diese anzupassen. Eine weitere Möglichkeit für die individuelle Anpassung gibt es auf Ebene der DOS-Anwendungsprogramme. Für die dazugehörigen Kompatibilitätseinstellungen hält Windows Vista standardmäßig eine AUTOEXEC.BAT-Datei vor. Diese heißt allerdings AUTOEXEC.NT, stammt, wie der Name schon vermuten lässt, bereits aus Zeiten von Windows NT und befindet sich in diesem Verzeichnis: %SystemRoot%\SYSTEM32
DOS: PATH-Angabe (Pfad)
Windows: Registrierungs-Datenbank
Path-Angabe anpassen
AUTOEXEC.NT für DOS-Programme
170 ________________________________________________ 3 Die Benutzerschnittstelle In dieser Datei können Sie eine PATH-Angabe eintragen, die dann für alle DOS-Programme gültig ist. Wollen Sie eine individuelle PATH-Angabe für ein bestimmtes Programm einrichten, sollten Sie für dieses eine eigene AUTOEXEC.NT-Datei einrichten und diese der entsprechenden Programmverknüpfung zuweisen. Weiterführende Hinweise finden Sie dazu in Abschnitt 3.9.7 Kompatibilität mit älteren Anwendungen ab Seite 172. Abbildung 3.42: Umgebungsvariablen anpassen
Global können Sie die Path-Umgebungsvariable über den entsprechenden Wert in diesem Registrierungszweig anpassen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Session Manager \Environment
3.9.6 Voraussetzung: Verknüpfung auf Desktop oder Startmenü
Tastenkombination zum Start einer Anwendung
Windows Vista bietet die Möglichkeit, den Start bestimmter Programme mit besonderen Tastenkombinationen auszulösen. Dazu bedarf es allerdings einer Voraussetzung: Zu dem betreffenden Programm gibt es im Startmenü oder auf dem Desktop eine Verknüpfung (siehe Abschnitt 3.9.2 Verknüpfungen zu Anwendungen ab Seite 163).
3.9 Umgang mit Anwendungen_____________________________________________ 171 Gehen Sie so vor, um für den Aufruf eines Programms eine Tastenkombination einzurichten: 1. Öffnen Sie das Eigenschaften-Fenster der betreffenden Verknüpfung über das dazugehörige Kontextmenü. Abbildung 3.43: Tastenkombination zu einer Verknüpfung einrichten
2. Klicken Sie in der Registerkarte VERKNÜPFUNG in das Eingabefeld TASTENKOMBINATION. Bei DOS-Anwendungen finden Sie dieses Feld in der Registerkarte PROGRAMM. 3. Drücken Sie eine Tastenkombination. Es empfiehlt sich, eine der Funktionstasten einzubeziehen, beispielsweise in der Kombination Alt-F8. Achten Sie nur darauf, dass diese Kombination nicht in Windows selbst oder einer Ihrer meistgenutzten Anwendungen bereits anderweitig belegt ist. Alternativ können Sie einen Buchstaben eingeben. Dieser wird dann automatisch durch ein vorangestelltes Strg-Alt ergänzt. Nach dem Schließen des Fensters über OK oder einen Klick auf ÜBERNEHMEN steht diese Tastenkombination sofort zur Verfügung. Zum Löschen der Tastenkombination aktivieren Sie wiederum im Löschen der TastenEigenschaften-Fenster das Eingabefeld TASTENKOMBINATION und drü- kombination cken auf die Taste Entf. Das Entfernen der Tastenkombination wird sofort übernommen. Die alte Kombination kann somit für eine andere Anwendung eingerichtet werden.
172 ________________________________________________ 3 Die Benutzerschnittstelle
3.9.7
Kompatibilität mit älteren Anwendungen
Windows Vista bietet sowohl für die Ausführung von Windows- als auch DOS-Anwendungen Einstellmöglichkeiten, die nachfolgend erörtert werden.
Kompatibilitätsmodus für ältere Windows-Anwendungen
256 Farben
Abbildung 3.44: Kompatibilitätsmodus für eine Anwendung einstellen. Die Auswahl ist nicht möglich, wenn Vista das Programm als kompatibel erkannt hat.
Die am häufigsten auftretende Meldung, wenn Sie ältere WindowsProgramme installieren oder ausführen wollen, wird sein, dass die erkannte Windows-Version nicht zulässig sei. Für diesen Fall können Sie Windows so einstellen, dass den Anwendungen die gewünschte Betriebssystem-Version vorgegaukelt wird. Diese Betriebsart, auch Kompatibilitätsmodus genannt, können Sie für ein Programm im Eigenschaften-Dialogfenster der Programmdatei einstellen. 1. Öffnen Sie das Eigenschaften-Dialogfenster der betreffenden Datei über das dazugehörige Kontextmenü (Rechtsklick). 2. Stellen Sie in der Registerkarte KOMPATIBILITÄT den gewünschten Modus ein. Zusätzlich können Sie hier festlegen, dass das Programm mit einer verminderten Farbtiefe (256 Farben) ausgeführt wird. Besonders einige ältere Windows-Spiele verweigern sonst die Arbeit, da sie mit der heute normalerweise gebotenen Farbtiefe von 32 Bit nichts anfangen können oder diese nicht korrekt erkennen.
3.9 Umgang mit Anwendungen_____________________________________________ 173 Weiterhin lässt sich festlegen, dass das Programm in der VGAStandardauflösung von 640 x 480 Punkten ausgeführt werden soll. Ältere Programme können manchmal auch durch die neuen visuellen Designs von Windows Vista aus dem Tritt kommen. Diese lassen sich hier ebenfalls deaktivieren. Lässt sich ein Setup-Programm nicht starten, können Sie für dieses den Kompatibilitätsmodus einstellen. Zwar ist ein schreibender Zugriff auf eine CD-ROM nicht möglich, trotzdem merkt sich der Windows Explorer die getroffene Einstellung. Gehen Sie wie folgt vor: 1. Öffnen Sie dazu im Windows Explorer die CD, indem Sie im Kontextmenü zum CD-Symbol ÖFFNEN auswählen. 2. Suchen Sie das betreffende Setup-Programm (meist SETUP.EXE) und wählen Sie aus dessen Kontextmenü den Punkt EIGENSCHAFTEN. Stellen Sie hier wie oben beschrieben den gewünschten Kompatibilitätsmodus ein und legen Sie, falls notwendig, weitere Einstellungen fest.
Auflösung 640x480 Visuelle Designs
Setup-Programme auf CD
Getrennte Speicherbereiche für 16 Bit-Windows-Programme 16 Bit-Windows-Programme werden standardmäßig in einem gemeinsamen Speicherbereich durch das Win32-Subsystem in einer so genannten virtuellen Maschine verwaltet. Da im Allgemeinen diese Art Anwendungen nur noch sehr selten auf modernen Computern anzutreffen ist, sind damit keine praktischen Einschränkungen verbunden. Nur für den Fall, dass Sie mehrere 16 Bit-Windows-Programme gleichzeitig einsetzen, können Sie deren gemeinsame Abarbeitung optimieren. Durch die gemeinsame virtuelle Maschine ist nämlich nur kooperatives Multitasking möglich, wie es unter Windows 3.x möglich war. Das bedeutet, dass eine blockierende Anwendung auch alle anderen 16 Bit-Windows-Anwendungen stoppt. Das Betriebssystem lässt sich zwar weiterhin bedienen, allerdings werden mit einer gewaltsamen Beendigung (siehe Abschnitt 3.9.10 Beenden abgestürzter Anwendungen ab Seite 180) auch alle anderen Programme dieser virtuellen Maschine mit beendet. Ändern Sie die Konfiguration so, dass jedes 16 Bit-Windows-Programm in einer eigenen virtuellen Maschine ausgeführt wird, können Sie diese Probleme beheben. Da jede einzelne Maschine wiederum wie eine eigenständige Anwendung behandelt wird, können die Programme in ihnen problemlos miteinander im preemptiven Multitasking auf Ihrem Computer laufen. Eine hängende Anwendung hat dann auch keinen Einfluss mehr auf die anderen. Allerdings werden pro virtuelle Maschine zusätzliche Hauptspeicher- und Systemressourcen gebunden, sodass diese Vorgehensweise nur auf ausreichend schnellen und gut mit RAM bestückten Computern zu empfehlen ist. Die Einstellung müssen Sie für jedes gewünschte 16 Bit-Windows-Programm separat vornehmen:
Standardmäßig ein Speicherbereich für alle Anwendungen
Eigener Speicherbereich für jedes Programm
Einstellung für jedes Programm extra
174 ________________________________________________ 3 Die Benutzerschnittstelle 1. Erzeugen Sie, wenn noch nicht geschehen, eine Verknüpfung zu dem betreffenden Programm (siehe Abschnitt 3.9.2 Verknüpfungen zu Anwendungen ab Seite 163). Für die Programmdatei selbst ist diese Einstellung nicht verfügbar. 2. Öffnen Sie das Eigenschaften-Dialogfenster zu dieser Verknüpfung über das zugehörige Kontextmenü. 3. Klicken Sie in der Registerkarte VERKNÜPFUNG auf die Schaltfläche ERWEITERT. Aktivieren Sie im folgenden Dialogfenster das Kontrolkästchen IN GETRENNTEM SPEICHERBEREICH AUSFÜHREN. Abbildung 3.45: Einen eigenen Speicherbereich für die 16 Bit-Windows-Anwendung festlegen
DOS-Anwendungen
Einstellungen unter SPEICHER
Inzwischen sicherlich seltener, aber aus manchen Bereichen noch nicht wegzudenken sind alte DOS-Anwendungen. Damit diese optimal funktionieren, bietet Windows Vista, wie bereits seine Vorgänger, eine entsprechende Kompatibilitätsschnittstelle. Realisiert wird dies übrigens über das gleiche Subsystem, welches auch für die Kompatibilität mit 16 Bit-Windows-Programmen sorgt. Im Unterschied dazu wird aber generell jedes DOS-Programm in einer eigenen virtuellen Maschine ausgeführt (siehe vorhergehender Abschnitt). Das ist durchaus logisch, da auf einem Standard-PC unter MS-DOS jedes Programm den ganzen Computer schließlich für sich alleine hat. Für DOS-Anwendungen gibt es eine Reihe von Einstellmöglichkeiten in den Registerkarten SPEICHER und BILDSCHIRM (siehe Abbildung 3.46). Öffnen Sie dazu das Eigenschaften-Dialogfenster zur betreffenden Programmdatei über das zugehörige Kontextmenü (rechte Maustaste). Bedeutsam ist vor allem die Registerkarte SPEICHER.
3.9 Umgang mit Anwendungen_____________________________________________ 175 Abbildung 3.46: Speicher-Einstellungen für DOS-Programme
Die wichtigsten Optionen werden nachfolgend kurz erläutert: KONVENTIONELLER SPEICHER Hier können Sie bestimmen, wie groß Hauptspeicher (INSGESAMT; bis 640 KByte, den DOS-Anwendungen direkt adressieren können) und UMGEBUNGSSPEICHER bemessen sein müssen, damit die Anwendung läuft. Teilweise laufen alte Anwendungen, vor allem wenn sie aus Batch-Teilprogrammen zusammengesetzt sind, erst, wenn der Umgebungsspeicher 512 Byte oder mehr beträgt. EXPANSIONSSPEICHER (EMS) EMS war eine Methode, Speicher oberhalb von 1 MB zu nutzen. Die meisten »moderneren« DOS-Programme nutzen diese recht langsame und ineffiziente Methode nicht, weshalb die Einstellung KEIN dann richtig ist. ERWEITERUNGSSPEICHER (XMS) Dies ist der Speicherbereich oberhalb von 1 MB, der durch den Treiber HIMEM.SYS bereitgestellt wird. DPMI-Speicher Das DOS Protected Mode-Interface (DPMI) stellte die letzte und am weitesten entwickelte Variante dar, mit der DOS-Anwendungen den Speicherbereich oberhalb von 1 MB ansprechen konnten. Auch hochentwickelte Spiele der letzten DOS-Ära steuern diese Schnittstelle an. Wollen Sie auf die beiden wichtigsten Konfigurationsdateien für den AUTOEXEC.NT und Start von DOS, AUTOEXEC.BAT und CONFIG.SYS, Einfluss nehmen, müs- CONFIG.NT sen Sie die folgenden beiden Dateien näher betrachten.
176 ________________________________________________ 3 Die Benutzerschnittstelle %SystemRoot%\SYSTEM32\AUTOEXEC.NT %SystemRoot%\SYSTEM32\CONFIG.NT Dies sind die standardmäßig für den Start des DOS-Systems verwendeten Dateien nicht die eventuell im Hauptverzeichnis der Festplatte C: befindlichen Dateien AUTOEXEC.BAT und CONFIG.SYS. Wollen Sie Ihrer Anwendung andere Konfigurationsdateien zuweisen, müssen Sie dies im Eigenschaften-Dialogfenster zur Programmdatei oder einer Verknüpfung auf diese vornehmen. Sie finden die entsprechende Einstellung in der Registerkarte PROGRAMM, wenn Sie dort auf die Schaltfläche ERWEITERT klicken.
3.9.8
Zuordnung der Dateierweiterungen ändern
Abbildung 3.47: Anwendung zum Öffnen der Datei auswählen
Dateierweiterungen und Anwendungen
Normalerweise sind Sie es sicher gewohnt, dass auf einen Doppelklick auf ein Dokument das passende Anwendungsprogramm gestartet wird, um dieses zu bearbeiten. Nun gibt es aber eine Reihe von Dateiformaten, die durch mehrere Programme bearbeitet werden können. Beispielsweise öffnet ein Doppelklick auf ein JPEG-Bild standardmäßig das Programm FOTOGALERIEANZEIGE obwohl Sie vielleicht Adobes Photoshop installiert haben und diese Bilder viel lieber mit diesem öffnen würden. Windows Vista unterscheidet, wie alle seine Vorgänger, Dateitypen nur an ihren Dateierweiterungen. Wollen Sie einem Dateityp eine andere Standard-Anwendung zuweisen, müssen Sie die Zuordnung der entsprechenden Dateierweiterung ändern. Gehen Sie dazu wie folgt vor: 1. Öffnen Sie zu einer Datei des betreffenden Typs das Kontextmenü im Windows Explorer über die rechte Maustaste und wählen Sie dort den Punkt ÖFFNEN MIT. Gehen Sie in das erscheinende weitere Menü und klicken Sie auf den Punkt STANDARDPROGRAMM AUSWÄHLEN .
3.9 Umgang mit Anwendungen_____________________________________________ 177 2. Suchen Sie die gewünschte Anwendung in der Liste und markieren Sie das Kontrollkästchen DATEITYP IMMER MIT DEM AUSGEWÄHLTEN PROGRAMM ÖFFNEN. Damit wird die Zuordnung zwischen dem Dateityp und der gewählten Anwendung dauerhaft festgelegt.
3.9.9
Zuordnen von Windows-Standardanwendungen
Microsoft sieht sich seit langem der Kritik ausgesetzt, dass viele Programme in das Windows-Betriebssystem fest integriert sind und damit andere Hersteller solcher Anwendungen bewusst außen vor gehalten werden. Das prominenteste Beispiel ist sicherlich die Einbettung des Webbrowsers Internet Explorer. Seit dieser fester Bestandteil von Windows geworden ist, brach dem ehemaligen Marktführer Netscape der Markt für sein bislang kostenpflichtig vertriebenes Hauptprodukt zusammen. Abbildung 3.48: Standardprogramme
Alle gerichtlich angestrengten Bemühungen gegen Microsoft, die vor allem in den USA unternommen worden sind, haben letztlich nur zu geringen Zugeständnissen des Softwareriesen geführt. Eine davon ist, dass der Internet Explorer 7 beim erstmaligen Starten fragt, ob er das Standardprogramm zum Anzeigen von Webseiten sein soll. Diese Zuordnung lässt sich ändern. Ein Klick auf den Start-Knopf reicht, um den Eintrag STANDARDPROGRAMME sichtbar zu machen. Klicken Sie an, bekommen Sie ein Menü (siehe Abbildung 3.48) zu sehen. Sie finden in diesem erweiterten Bereich vier Optionen vor: STANDARDPROGRAMME FESTLEGEN Es werden installierte Programme aufgelistet. Ein ausgewähltes Programm kann mit ALS STANDARD FESTLEGEN zu einem Standardprogramm erhoben werden.
178 ________________________________________________ 3 Die Benutzerschnittstelle Abbildung 3.49: Standardprogramme festlegen
STANDARDS FESTLEGEN gibt die Möglichkeit genau festzulegen auf welche Dateierweiterungen (Suffixen) das angegebene Programm reagieren soll. Abbildung 3.50: SuffixProgrammzuordnung
DATEITYP ODER PROTOKOLL EINEM PROGRAMM ZUORDNEN Der Dialog listet alle registrierten Dateierweiterungen auf. Zuordnungen können direkt zwischen Suffix und Programm hergestellt bzw. geändert werden. EINSTELLUNGEN FÜR AUTOMATISCHE WIEDERGABE ÄNDERN In der Vergangenheit gab es öfters Konfusionen, wenn neben den Microsoft-Programmen Software von Dritt-Herstellern installiert wurde, die dieselben Aufgaben erfüllen. Sind beispielsweise Nero Premium und Roxio Multimedia-Produkte installiert, muss genau festgelegt werden, wer was macht. Mit der Auswahl, die außerdem über SYSTEMSTEUERUNG|HARDWARE UND SOUND|AUTOMATISCHE
3.9 Umgang mit Anwendungen_____________________________________________ 179 WIEDERGABE aufgerufen werden kann, lässt sich präzise festlegen, welches Programm beispielsweise Audiodateien abspielt. Abbildung 3.51: Automatische Wiedergabe einstellen
STANDARDPROGRAMME FÜR DIESEN COMPUTER FESTLEGEN Soll keine benutzerspezifische Einstellung vorgenommen werden, können Sie hier festlegen, welche Standards für den Computer, und damit für alle Benutzer, gelten sollen. Sie finden in diesem erweiterten Bereich drei Optionen vor: - MICROSOFT WINDOWS Dies ist die Standardeinstellung und bestimmt, dass für die festgelegten Kategorien als Standardanwendungen nur die in Windows integrierten Programme gesetzt werden. Das hat jedoch keinen Einfluss auf die Ausführbarkeit von Programmen anderer Hersteller. - NICHT-MICROSOFT Mit dieser Option wird der Zugriff auf die von Microsoft mitgelieferten Standardanwendungen entfernt und es werden stattdessen Programme anderer Hersteller eingesetzt. Das setzt natürlich voraus, dass auch entsprechende Programme installiert sind. Ist dies für einzelne Kategorien nicht der Fall, bleibt es beim »gewohnten« Microsoft-Standard. - BENUTZERDEFINIERT Die meisten individuellen Einstellmöglichkeiten bietet diese Option. Je Kategorie kann genau festgelegt werden, ob als Standard das Programm eines anderen Herstellers eingesetzt werden soll und ob zusätzlich der Zugriff auf das MicrosoftPendant noch möglich sein soll.
180 ________________________________________________ 3 Die Benutzerschnittstelle
3.9.10 Beenden abgestürzter Anwendungen
Task-Manager ab Seite 229 TASKKILL.EXE ab Seite 474
»Hängt« eine Anwendung längere Zeit, kann dies ein Zeichen dafür sein, dass sie entweder sehr beschäftigt ist, beispielsweise Winword beim Umbruch eines großen Textes, oder dass sie abgestürzt ist. Bei einem modernen Betriebssystem wie Windows Vista können Sie dann diese Anwendung »gewaltsam« beenden, ohne dass dies Einfluss auf die Stabilität anderer Anwendungen oder das System selbst haben sollte. Einzig bei 16 Bit-Windows-Programmen sollten Sie dazu einige Besonderheiten beachten, welche in Abschnitt 3.9.7 Kompatibilität mit älteren Anwendungen ab Seite 172 behandelt werden. Ein abgestürztes Programm können Sie mit Hilfe des Task-Managers beenden. Wie Sie diesen aufrufen und bedienen, wird eingehend in Abschnitt 4.5 Task-Manager ab Seite 229 behandelt. Auf der Kommandozeilen-Ebene gibt es das Programm TASKKILL.EXE, mit dem Sie ebenfalls Programme beenden können. In Abschnitt Prozesse mit T ASKKILL.EXE beenden ab Seite 474 finden Sie dazu weiterführende Informationen.
3.9.11 DEP
Datenausführungsverhinderung
Eine neuere Funktion, die bei XP mit SP2 und bei Windows Server 2003 mit SP1 eingeführt wurde, ist die Datenausführungsverhinderung. Diese Funktion, auch mit DEP (Data Execution Prevention) abgekürzt, soll die Ausführung von Programmcode aus geschützten Bereichen heraus wirkungsvoll unterdrücken. Voraussetzung ist allerdings, dass die CPU des Computers eine hardwareseitige Unterstützung dazu mitbringt. Mittlerweile bieten sowohl Intel als auch AMD entsprechende CPUs an. DEP ist ein Feature, das das so genannte NX-Bit auswertet, das diese CPUs setzen können. NX steht für No Execute. DEP verhindert Stapelüberläufe und Heap-Angriffe. Damit kann einer »Schutzverletzung« des Speichers vorbeugt werden, die vergangenen Windows-Versionen zu schaffen machte. Mehr Informationen finden Sie dazu in Abschnitt DEP in Windows Vista ab Seite 181.
Buffer Overflows als Sicherheitsrisiko Ein Buffer Overflow (deutsch Pufferüberlauf) ist vereinfacht gesagt ein nicht erwünschter Zustand, der dann eintreten kann, wenn in einen Datenbereich (eine Variable beispielsweise) mehr Daten geschrieben werden als hineinpassen. Zum Überlauf kommt es, wenn der Programmierer vergessen hat, diesen Zustand abzufangen. Dringen überschüssige Bytes in einen benachbarten Datenbereich ein, werden vielleicht »nur« Daten verfälscht. Beherbergt dieser Bereich jedoch ausführbaren Code, kann das betreffende Programm gestört werden oder stürzt ganz ab. Buffer Overflows können aber auch gezielt eingesetzt werden, um ausführbaren Code auf einen Computer zu schleusen. Wird eine anfäl-
3.9 Umgang mit Anwendungen_____________________________________________ 181 lige Eingabemöglichkeit erkannt, versucht der Hacker, im übergebenen, zu langen Datenstrom Code unterzubringen, der direkt abgearbeitet werden kann. Über manipulierte Rücksprungadressen kann so dieser Code erreicht und schließlich abgearbeitet werden. Im Endergebnis erlangt ein erfolgreicher Hacker die totale Kontrolle über den Computer und Zugriff auf gespeicherte Daten.
DEP in Windows Vista Mit der DEP-Funktion werden alle Speicherseiten eines gestarteten Kennzeichnung der Prozesses im virtuellen Speicher als nicht ausführbar gekennzeichnet. Speicherseiten Ausgenommen davon sind nur die Bereiche, die explizit ausführbaren Code enthalten. Aufgrund dieser Kennzeichnung wird wirkungsvoll (auf Hardware-Ebene) verhindert, dass »eingeschmuggelter« Code in den als nicht ausführbar markierten Speicherseiten zur Ausführung kommen kann. Wird versucht, Code aus so einem »verbotenen Bereich« zu starten, erfolgt eine Ausnahmebehandlung und der Prozess wird sofort beendet. Zwei Arten von Ausnahmebehandlungen sind zu unterscheiden: ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY Diese wird generiert, wenn ein Prozess im Kernelmodus (Kernel Mode) eine DEP-Schutzverletzung ausgelöst hat. Das kann beispielsweise bei Fehlern in Gerätetreibern auftreten. Windows wird daraufhin mit einer STOP-Meldung beendet (Blue Screen). STATUS_ACCESS_VIOLATION (0xC0000005) Läuft der Prozess im Benutzermodus (User Mode), wird diese Fehlermeldung generiert. Das wird meist bei unsauber laufenden oder korrumpierten Anwendungsprogrammen zu beobachten sein. In so einem Fall läuft Windows weiter, nur der auslösende Prozess wird beendet. Voraussetzung ist allerdings nicht nur, dass die CPU des Computers PAE-Modus DEP unterstützt, sondern dass sie auch im PAE-Modus läuft. Mit Hilfe dieses Modus wird der Adressraum von 32 auf 36 Bit erweitert. Theoretisch können dann statt 4 GB maximal 64 GB Hauptspeicher verwendet werden. Für ein 32-Bit-Windows hat das allerdings keine praktische Auswirkung. Hier gilt bislang die Limitierung auf 4 GB bei der 32 Bit-Version. Viel wichtiger für DEP ist die Tatsache, dass die Verwaltung der Speicherseiten mit PAE »aufgebohrt« wird. Dadurch ist die Markierung der Seiten in die beiden Kategorien ausführbar und nicht ausführbar erst möglich.
Mögliche Probleme mit DEP In der Praxis kann DEP an zwei Stellen Probleme verursachen: Maschinencode wird dynamisch zur Laufzeit erzeugt Dynamisch zur Laufzeit erzeugter Code kann dank DEP natürlich nicht ausgeführt werden. Was bei Buffer Overflows eine beabsich-
182 ________________________________________________ 3 Die Benutzerschnittstelle tigte Funktion ist, kann bei anderen Anwendungen, die dies explizit benötigen, zu ernsten Problemen führen. Im nachfolgenden Abschnitt wird gezeigt, wie Sie im Bedarfsfall DEP für solche Anwendungen deaktivieren. Gerätetreiber kommen mit PAE nicht zurecht Mit der 36 Bit-Adressierung im PAE-Modus kommen manche Treiber nicht klar. So kann es passieren, dass ein Gerätetreiber beim Erkennen des PAE-Modes nicht startet. Nur sauber programmierte Treiber, die diesen Modus mit berücksichtigen, sind dann die Lösung.
Konfiguration von DEP in Windows Vista
Hardware- und Software-DEP
Abbildung 3.52: DEP für bestimmte Anwendungen deaktivieren
Die Konfiguration von DEP erreichen Sie über das Fenster das Systemeigenschaften-Fenster, welches über Windows-Taste+Untbr erscheint. Wählen Sie hier die ERWEITERTE SYSTEMEINSTELLUNGEN aus. Aktivieren Sie die Registerkarte ERWEITERT und klicken Sie in der Rubrik LEISTUNG auf die Schaltfläche EINSTELLUNGEN . Beachten Sie, dass die Hardware-unterstützte DEP-Funktion nur bei Computersystemen mit einer entsprechenden CPU verfügbar ist. Eine rein softwareseitige Unterstützung bietet Windows Vista durch sein Speichermodell zwar zusätzlich, in der Wirksamkeit erreicht es die Hardwarelösung allerdings bei Weitem nicht.
3.9 Umgang mit Anwendungen_____________________________________________ 183 DEP auf Hardware-Ebene lässt sich hier komplett abschalten. Das ist aus Sicherheitsgründen allerdings nicht zu empfehlen. Macht nur eine Anwendung durch ständige Abstürze aufgrund des Eingriffs von DEP Probleme, dann können Sie für diese DEP deaktivieren. Suchen Sie über die Schaltfläche HINZUFÜGEN die ausführbare Datei für die Anwendung. Nach Beantwortung einer Sicherheitsrückfrage erscheint sie dann in der Liste. Sie können jederzeit DEP für die Anwendung wieder aktivieren, indem Sie auf das Kontrollkästchen klicken. Deaktivieren Sie DEP nur dann für eine Anwendung, wenn Sie sicher sein können, dass diese »sauber« ist. Abstürze durch Eingriff von DEP können darauf hindeuten, dass eine Anwendung manipuliert oder von einem Virus befallen worden ist.
Abschalten von DEP beim Systemstart DEP lässt sich über Schalter im Bootloader per BCDEDIT.EXE bereits mit Schalter für dem Systemstart aus- oder einschalten. Vista unterstützt die Steue- BCDEDIT rung über die Boot.ini nicht mehr. In Abschnitt 12.1.7 BCD mit BCDEDIT.EXE anpassen auf Seite 622 sind weitere Schalter für die BCDEDIT.EXE beschrieben. So schalten Sie DEP unter Vista ab: 1. Wählen Sie im Startmenü den Punkt ALLE PROGRAMME|ZUBEHÖR. 2. Klicken Sie mit der rechten Maustaste auf den Punkt EINGABEAUFFORDERUNG und wählen Sie aus dem Kontextmenü ALS ADMINISTRATOR AUSFÜHREN. 3. Klicken Sie auf die Schaltfläche ZULASSEN, falls ein entsprechendes Abfrage-Dialogfenster erschient 4. Rufen Sie das Programm BCDEDIT.EXE mit den folgenden Parametern auf: bcdedit.exe /set {current} nx AlwaysOff Nach einem Neustart ist DEP abgeschaltet.
3.9 Umgang mit Anwendungen_____________________________________________ 185
II Vista administrieren
3.9 Umgang mit Anwendungen_____________________________________________ 187
4 4 Wichtige Administrationswerkzeuge In diesem Kapitel geht es um die wichtigsten Werkzeuge, die für die Administration unter Windows Vista zur Verfügung stehen. Auf die Basis der meisten Werkzeuge, die Microsoft Managementkonsole, wird besonders intensiv eingegangen. Weiterhin werden Werkzeuge vorgestellt, die der Analyse des Systems, der zeitgesteuerten automatischen Ausführung von Programmen sowie der Datensicherung dienen.
188 _______________________________________ 4 Wichtige Administrationswerkzeuge
Inhaltsübersicht Kapitel 4 4.1 4.2 4.3 4.4 4.5 4.6 4.7
Systemsteuerung........................................................... 189 Die Microsoft Managementkonsole ........................... 193 Leistungsüberwachung und -optimierung ............... 214 Ereignisanzeige ............................................................. 217 Task-Manager ................................................................ 229 Zeitgesteuerte automatisierte Verwaltung................ 238 Datensicherung ............................................................. 245
4.1 Systemsteuerung _____________________________________________________ 189
4.1
Systemsteuerung
Das Fenster Systemsteuerung gibt es bereits seit den ersten WindowsVersionen. Es ist die zentrale Anlaufstelle für die meisten gängigen Administrationsaufgaben.
4.1.1
Kategorieansicht oder klassische Ansicht?
Bis Windows 2000 ist die optische Gestaltung der Systemsteuerung stets gleich geblieben. In einem Fenster werden die einzelnen Applets aufgelistet. In Abhängigkeit von den konkreten Benutzerrechten können sie dann aufgerufen und für die Anpassung der Windows-Konfiguration benutzt werden.
Kategorieansicht für ungeübte Benutzer Um ungeübteren Benutzern den Umgang mit der Systemsteuerung zu erleichtern, hat Microsoft eine neue Ansicht mit Windows XP eingeführt. Diese so genannte Kategorieansicht wurde für Windows Vista überarbeitet und ist die Standardansicht für die Systemsteuerung. Abbildung 4.1: Kategorieansicht für die Systemsteuerung
In neun Kategorien sind die Systemsteuerungselemente, auch Applets genannt, hinterlegt. Die Zuordnung von Applets zu Kategorien ist in der Windows-Regis- Kategorientrierung verankert. Bei Bedarf können Sie dies ändern. In Abschnitt Zuordnung 4.1.4 Kategorien-Zuordnung ändern ab Seite 191 wird das gezeigt.
190 _______________________________________ 4 Wichtige Administrationswerkzeuge Klassische Ansicht Umfassenden Überblick erhalten Sie erst, wenn Sie auf die so genannte klassische Ansicht umschalten. Allerdings kann diese Ansicht etwas verwirren, denn es befinden sich über 50 Symbole auf einer Seite das wohlgemerkt, nachdem Vista »frisch« installiert ist. Durch die Installation von zusätzlicher Software wird diese Liste schnell erweitert. Abbildung 4.2: Systemsteuerung in der klassischen Ansicht
Auf eine Erläuterung der einzelnen Applets wird an dieser Stelle verzichtet. Im gesamten Buch wird auf einzelne Applets jeweils dann genauer eingegangen, wenn dies zur Beschreibung der konkreten Administrationsschritte notwendig ist.
4.1.2
Speicherorte der Applets
Applets sind als Dateien mit der Endung .CPL normalerweise in diesem Ordner abgelegt: %Systemroot%\System32 In der Registrierung finden Sie die entsprechenden Einträge für die Applets unterhalb des folgenden Zweiges: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Control Panel Einige Applets sind in anderen Speicherorten abgelegt, wie beispielsweise das Applet für die Sprachsteuerung, die SAPI.CPL. Sie liegt unter %Systemroot%\System32\Speech\SpeechUX
4.1 Systemsteuerung _____________________________________________________ 191 Applets von Drittherstellern können ebenfalls in anderen Ordnern abgelegt sein.
4.1.3
Verwaiste Applets entfernen
Es kann vorkommen, etwa aufgrund einer nicht geglückten oder nicht vollständig abgelaufenen Deinstallation, dass einige Applets von Programmen zurückbleiben, obwohl diese nicht mehr benötigt werden. Gehen Sie so vor, um solche Applets aus der Systemsteuerung zu entfernen: 1. Öffnen Sie den Registrierungs-Editor und suchen Sie unterhalb des Hauptzweiges Control Panel in diesen Unterzweigen nach einem Eintrag, der auf das Applet passt: - HKLM\SOFTWARE\Microsoft\Control Panel\Cpls - Extended Properties\{305CA226-D286-468e-B848-2B2E8E697B74} 2 Löschen Sie hier den Eintrag. Wenn Sie nicht sicher sind, ob das der richtige Eintrag ist, suchen Sie die Datei über den Windows Explorer und kontrollieren Sie im Eigenschaften-Fenster, Registerkarte VERSION , welche Bezeichnung und welcher Hersteller eingetragen sind. 2. Löschen Sie gegebenenfalls die CPL-Datei in diesem Ordner: %Systemroot%\System32 Das hilft immer dann, wenn in der Registrierung kein Eintrag auf das Applet mehr zu finden ist, dieses aber trotzdem in der Systemsteuerung auftaucht. Um die richtige CPL-Datei zu finden, hilft die Detailanzeige im Windows Explorer, sortiert nach TYP. Alle CPL-Dateien sind dann am Typ SYSTEMSTEUERUNGSELEMENT erkennbar. Die Änderung wird sofort aktiv, wenn Sie die Systemsteuerung neu starten oder die Ansicht über die Funktionstaste F5 aktualisieren.
4.1.4
Kategorien-Zuordnung ändern
Für die Kategorieansicht lassen sich alle Applets den vordefinierten Kategorien explizit zuweisen. Neue Kategorien können allerdings nicht generiert werden. Die nachfolgende Tabelle enthält die numerischen Werte für alle Kategorien: Wert
Kategorie
0x00000000
Weitere Optionen
0x00000001
Darstellung und Anpassung
0x00000002
Hardware und Sound
0x00000003
Darstellung und Anpassung
0x00000005
System und Wartung
Tabelle 4.1: Werte für die Zuordnung zu Kategorien
192 _______________________________________ 4 Wichtige Administrationswerkzeuge Wert
Kategorie
0x00000006
Zeit-, Sprach- und Regionaleinstellungen
0x00000007
Erleichterte Bedienung
0x00000008
Programme
0x00000009
Benutzerkonten und Jugendschutz
0x0000000a
Sicherheit
0xFFFFFFFF
Nicht in Kategorieansicht verfügbar
Der erste Wert 0x00000000 ist gleichbedeutend mit »Keine Kategorie«. Hier landen standardmäßig alle Applets, die keiner speziellen Kategorie zugeordnet sind. Im Gegensatz dazu kennzeichnet der letzte Wert 0xFFFFFFFF Applets, die in der Kategorieansicht nicht angezeigt werden sollen (wie das Applet Hardware, über das der Hardware-Assistent gestartet wird). Um ein Applet einer anderen Kategorie zuzuordnen, gehen Sie wie folgt vor: 1. Öffnen Sie den Registrierungs-Editor und dann diesen Zweig: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Control Panel \ Extended Properties \System.ControlPanel.Category 2. Suchen Sie hier den entsprechenden Eintrag für die CPL-Datei und ändern Sie den Wert gemäß den Vorgaben (siehe Tabelle 4.1). Ist für die CPL-Datei kein Eintrag vorhanden, erstellen Sie einfach einen neuen. Die geänderten Einstellungen werden sofort aktiv. Weder ein Neustart des Betriebssystems noch der Systemsteuerung ist notwendig.
4.1.5
Gruppenrichtlinien für die Systemsteuerung
Um den Zugriff auf die Systemsteuerung für Benutzer teilweise oder komplett zu unterbinden, gibt es entsprechende Gruppenrichtlinien. \Benutzerkonfiguration \Administrative Vorlagen \Systemsteuerung Diese Richtlinien stehen zur Verfügung: Zugriff auf die Systemsteuerung nicht zulassen Auf die Systemsteuerung kann gar nicht mehr zugegriffen werden.
4.2 Die Microsoft Managementkonsole ______________________________________ 193 Angegebene Systemsteuerungssymbole ausblenden Tragen Sie in eine Liste die Applets ein, die nicht angezeigt werden sollen. Nur angegebene Systemsteuerungssymbole anzeigen Tragen Sie hier nur die Applets ein, die der Benutzer sehen soll. Klassischen Stil der Systemsteuerung erzwingen Mit dieser Richtlinie können Sie erreichen, dass die Systemsteuerung generell in der klassischen Ansicht erscheint. Bestimmte Änderungen können vorgenommen werden, auch wenn das Applet in der Systemsteuerung nicht mehr erscheint. Die Bildschirmeinstellungen lassen sich beispielsweise ebenso über das Kontextmenü zum Desktop aufrufen. Um eine komplette Absicherung zu erreichen, müssen Sie weitere Richtlinien zur Anwendung bringen sowie die Benutzerrechte entsprechend einschränken. Weitere Hinweise finden Sie dazu in diesen Abschnitten: 5.3 Erweiterte Benutzerverwaltung ab Seite 270 5.6 Gruppenrichtlinien ab Seite 303 11.2.4 NTFS-Zugriffsrechte für Dateien und Ordner ab Seite 559
4.2
Die Microsoft Managementkonsole
Die bekannte Managementkonsole ist der zentrale Rahmen für die MMC Version 3.0 meisten Verwaltungswerkzeuge unter Windows Vista, welche im folgenden Text meist mit MMC (Microsoft Management Console) abgekürzt wird. Die verbesserte Version in Vista trägt die Versionsnummer 3.0, die ebenso für Windows Server 2003 SP1 bei Microsoft zum kostenlosen Download zur Verfügung steht. In den folgenden Abschnitten werden die grundlegenden Konzepte dazu vorgestellt.
4.2.1
Überblick
Die Microsoft Managementkonsole ist zunächst eine »normale« Windows-Anwendung, die einen einheitlichen Rahmen für die verschiedenen Verwaltungstools bildet. Die Managementkonsole gibt es auch als eigenständig installierbares Programm für Windows 9x/ME sowie Windows NT 4.0. Erstmals (fast) durchgängig konsequent als Bestandteil des Betriebssystems wurde die MMC in Windows 2000 eingeführt. Alle wesentlichen Administrationstools, von einigen wenigen Ausnahmen abgesehen, sind als Snap-Ins für die MMC ausgeführt und können ohne diese nicht benutzt werden. Die Snap-Ins können selbst aus einem oder mehreren Objekten, eigenständigen Snap-Ins oder von Snap-Ins abhängigen Erweiterungen, bestehen. Die Schnittstellen der Snap-Ins und ihrer Erweiterungen sind von Microsoft offengelegt und erlauben es auch Drittherstellern,
Einheitlicher Rahmen für Verwaltungswerkzeuge
MMC-Snap-Ins
194 _______________________________________ 4 Wichtige Administrationswerkzeuge
Snap-In-Verweise
Administrationstools für ihre Hard- bzw. Software zu entwickeln. Damit kann die Administration oder Bedienung von Softwarekomponenten unter Windows Vista vereinheitlicht werden. In einer Managementkonsole werden übrigens nicht die Snap-Ins selbst abgespeichert, sondern nur Verweise auf diese. Dadurch sind die Managementkonsolen an sich nur sehr kleine Konfigurationsdateien (mit der Endung MSC), die Sie beispielsweise leicht via E-Mail austauschen oder anderweitig verteilen können. Zu beachten ist dabei nur, dass die betreffenden Snap-Ins auf dem Zielsystem ebenfalls verfügbar sein müssen.
Das Programm MMC.EXE Es gibt zwei Möglichkeiten das Programm zu starten: Entweder Sie benutzen den Startknopf und tragen dann MMC in das Textfeld bei SUCHE STARTEN ein, oder Sie geben, falls Sie die Kommandozeilenumgebung mit CMD bereits geöffnet haben, MMC direkt an der Konsole ein. In jedem Fall erhalten Sie eine leere Managementkonsole. Das Programm kennt einen Parameter für den Aufruf: Mmc Pfad\Dateiname.msc [/a] [/64] [/32] Mit der Pfadangabe und dem Dateinamen kann eine bestehende Konfigurationsdatei mit aufgerufen werden. Der Schalter /a öffnet ein Snap-In im Autorenmodus, der Änderungen an dem Snap-In zulässt. Mit den Schaltern /64 und /32 lässt sich bestimmen, ob die 64- oder die 32-Bit-Version der MMC geöffnet werden soll. Das ist für Benutzer von 64-Bit-Systemen interessant, die 32-Bit-Snap-Ins benutzen wollen. Abbildung 4.3: Eine leere Managementkonsole
Eine leere Managementkonsole besteht zunächst nur aus dem Konsolenrahmen. Über das Menü DATEI können Snap-Ins hinzugefügt oder gelöscht, Konsolen geladen oder gespeichert und grundlegende Optionen festgelegt werden. Das Fenster KONSOLENSTAMM stellt den ei-
4.2 Die Microsoft Managementkonsole ______________________________________ 195 gentlichen Ausführungsrahmen Ihrer Managementkonsole dar. Unter dem KONSOLENSTAMM werden wie in einem hierarchischen Verzeichnis die Snap-Ins verwaltet, die Sie in dieser Managementkonsole anordnen. Im linken Teil des Fensters einer Managementkonsole befinden sich Baumstruktur die in einer Baumstruktur organisierten Snap-Ins beziehungsweise Ordner, im rechten Teil die Einstellungen oder Ausgaben (beispielsweise bei Protokollen) der einzelnen Komponenten. Über das Kontextmenü (erreichbar über die rechte Maustaste oder das Menü AKTION) können die jeweiligen Aktionen für die betreffende Komponente ausgelöst werden. Die Komponente BENUTZER des Snap-Ins LOKALE B ENUTZER UND GRUPPEN bietet mit seinem Kontextmenü folgerichtig den Eintrag NEUER B ENUTZER. Im rechten Teil des Fensters können Sie die einzelnen Benutzer wiederum über das entsprechende Kontextmenü umbenennen, Kennwörter festlegen oder auch löschen. Abbildung 4.4: MMC mit dem SnapIn Lokale Benutzer und Gruppen; geöffnetes Kontextmenü zur Komponente BENUTZER
Wie ein Benutzer die Managementkonsole sieht, können Sie festlegen. Das Aussehen kann Im oben abgebildeten Beispiel der Managementkonsole sieht der Be- verändert werden nutzer nur das gleichnamige Snap-In mit den beiden Objekten BENUTZER und GRUPPEN. Den äußeren Ausführungsrahmen mit den Menüoptionen KONSOLE und FENSTER, mit dem weitere Fenster mit Ansichten geöffnet werden könnten, hat er nicht im Zugriff. Ebenso stellt das Snap-In den Ursprung (vergleichbar mit der Verzeichniswurzel) in dieser Managementkonsole dar. Der Konsolenstamm selbst erscheint nicht. Wie Sie das für Ihre Managementkonsolen konfigurieren können, ist Inhalt des Abschnitts 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199. Zuvor sollten Sie jedoch eine Möglichkeit kennen lernen, wie Sie Ihre Managementkonsolen optisch attraktiver und übersichtlicher gestalten können: die Aufgabenblockansichten.
196 _______________________________________ 4 Wichtige Administrationswerkzeuge Aufgabenblockansichten Ansichten sind definierbar
Verweise
Managementkonsolen können durch den Einsatz von Aufgabenblockansichten noch einfacher bedienbar werden. In diese Ansichten integrieren Sie alle die Komponenten, die für den beabsichtigten Funktionsbereich oder einen bestimmten Benutzer beziehungsweise eine Gruppe notwendig sind. Dabei können Sie die Konsole so konfigurieren, dass der Benutzer nur auf die für ihn wichtigen Komponenten zugreifen kann. Diese auch Tasks bezeichneten Verweise müssen nicht nur Komponenten aus der Managementkonsole sein. Es lassen sich beispielsweise auch Verweise auf Webadressen, Assistenten, Menübefehle oder der Aufruf von Eigenschaftsseiten bestimmter Komponenten einbauen. Dabei können diese Verweise Funktionen ansprechen, die außerhalb der eigentlichen Managementkonsole liegen. Stark vereinfachen lassen sich somit Prozesse, die aus mehreren einzelnen Programmen oder Scripten zusammengesetzt sind und regelmäßig von einem Benutzer ausgeführt werden müssen. Sie können dafür einen einzigen Eintrag in einer Aufgabenblockansicht einrichten.
Abbildung 4.5: Individuelle MMC mit Aufgabenblockansicht
Es lassen sich für eine Managementkonsole mehrere Aufgabenblockansichten erstellen, die gruppiert nach Funktionen oder Benutzer organisiert sein können. Somit können Sie komplexe Managementkonsolen übersichtlicher strukturieren, als wenn alle Snap-Ins in ihrer herkömmlichen Anordnung eingebunden wären. Eine ausführliche Beschreibung, wie Sie Managementkonsolen, auch mit Aufgabenblockansichten, anlegen und konfigurieren, finden Sie in den Abschnitten 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199 und 4.2.4 Erstellen von Aufgabenblockansichten ab Seite 202.
4.2 Die Microsoft Managementkonsole ______________________________________ 197 Weiterführende Informationen zur Managementkonsole Im Internet hat Microsoft ein umfassendes Informationsangebot zu seiner Managementkonsolen-Technologie. Als Einstiegspunkt empfiehlt sich die MSDN-Seite. http://msdn.microsoft.com MSDN-Seite Über die entsprechende Suchfunktion finden Sie viele weiterführende Informationen zu diesem Thema, auch zu technischen Hintergründen.
4.2.2
Vorkonfigurierte Managementkonsolen
In Windows Vista ist eine Reihe von Managementkonsolen bereits vorkonfiguriert, mit denen Sie die wichtigsten Administrationsaufgaben erledigen können. Sie finden diese in SYSTEMSTEUERUNG | SYSTEM UND WARTUNG | VERWALTUNG. Abbildung 4.6: Werkzeuge der Verwaltung
An den grafischen Symbolen ist erkennbar, dass es sich bei den Objekten im Ordner VERWALTUNG nur um Verknüpfungen handelt. Diese zeigen auf die MMC-Konfigurationsdateien (mit der Endung MSC) in folgendem Verzeichnis: %SystemRoot%\system32 In der folgenden Tabelle finden Sie die wichtigsten vorkonfigurierten Managementkonsolen in einer Übersicht zusammengefasst. Managementkonsole ADMINISTRATOR FÜR SERVERERWEITERUNGEN
Tabelle 4.2: Vorkonfigurierte Erlaubt die Verwaltung der Frontpage-Ser- Managementkonvererweiterungen (wird zusammen mit den solen IIS installiert).
Beschreibung
198 _______________________________________ 4 Wichtige Administrationswerkzeuge Managementkonsole
Beschreibung
COMPUTERVERWALTUNG Funktionen für die Verwaltung des Computers wie Systemtools (Ereignisanzeige, Protokolle, Gerätemanager), Konfiguration und Wartung der Massenspeicher und die Betriebssystem-Dienste DATENQUELLEN (ODBC)
In XP noch als eigenständige Applikation implementiert, befindet sich die Verwaltung der ODBC-Datenquellen nun bei den anderen Managementkonsolen.
DEFRAGMENTIERUNG
Tool für die Datenträgerwartung
DIENSTE
Allein für die Konfiguration der Betriebssystem-Dienste; auch enthalten in der MMC COMPUTERVERWALTUNG
DRUCKVERWALTUNG
Eine MMC zur Verwaltung von Druckern, Druckservern und filtern
EREIGNISANZEIGE
Eine MMC ausschließlich mit dem Snap-In E REIGNISANZEIGE, auch in der MMC COMPUTERVERWALTUNG enthalten
GERÄTE-MANAGER
Der wohlbekannte Manager für Geräte und deren Treibern, mit Hilfe der Managementkonsole leicht zugänglich.
INTERNETINFORMATIONSDIENSTE
Administration der Internet Informationsdienste (IIS); wird zusammen mit diesen installiert
ISCSI-INITIATOR
Verwaltung des iSCSI-Initiator-Dienstes. Damit können Verbindungen zu iSCSIGeräten anderer Rechner aufgebaut werden.
LEISTUNGSDIAGNOSE-
Eine MMC mit dem Snap-In L EISTUNGSDIAGNOSE, das den Systemmonitor enthält. Berichte können Aufschluss über die Ressourcenauslastung und die Optimierung der Rechnerperformance geben.
KONSOLE
LOKALE SICHERHEITSRICHTLINIE
MMC für die individuelle Anpassung der lokalen Sicherheitsrichtlinien für den Computer. Bei einem Netzwerkeinsatz ist zu beachten, dass diese durch die Sicherheitsrichtlinien der übergeordneten Active Directory-Domäne wieder aufgehoben werden.
4.2 Die Microsoft Managementkonsole ______________________________________ 199 Managementkonsole
Beschreibung
SPEICHERDIAGNOSETOOL Überprüft den Computer auf Speicherprobleme SYSTEMKONFIGURATION
Ändert die Systemkonfiguration. Ist gut eignet für Testzwecke.
TASK SCHEDULER
Enthält das Snap-In Aufgabenplanung und verwaltet zeitgesteuerte Abläufe.
WINDOWS-FIREWALL
Konfiguriert die Windows-Firewall als wichtiges Sicherheitswerkzeug.
MIT ERWEITETER
SICHERHEIT
4.2.3
Benutzerspezifische MMCs erstellen
Windows Vista bietet die Möglichkeit, eigene Konsolen anzulegen und mit genau den Funktionen zu versehen, die benötigt werden.
Eine eigene Managementkonsole anlegen Gehen Sie so vor, um eine eigene MMC zusammenzustellen: 1. Starten Sie eine leere Managementkonsole, indem Sie im Startmenü über die Eingabezeile der Suchfunktion das Programm MMC aufrufen. Über den Punkt SNAP-IN HINZUFÜGEN /ENTFERNEN des Hauptmenüpunkts DATEI können Sie aus den verfügbaren Snap-Ins das gewünschte aussuchen. Die Tastenkombination dafür ist Strg + M. Abbildung 4.7: Aus der Liste der verfügbaren Snap-Ins auswählen
Wählen Sie das Snap-In und klicken Sie auf HINZUFÜGEN. Für das folgende Beispiel wird eine Managementkonsole mit dem Snap-In COMPUTERVERWALTUNG angelegt und individuell eingerichtet.
200 _______________________________________ 4 Wichtige Administrationswerkzeuge 2. Viele Snap-Ins für die Administration bieten die Funktionalität, auch entfernte Arbeitsstationen mit Windows-Versionen ab 2000 zu verwalten. Sie werden dazu nach Auswahl eines Snap-Ins aufgefordert, den zu verwaltenden Computer anzugeben. Abbildung 4.8: Auswahl zur Verwaltung eines lokalen oder entfernten Systems
Remote Administration möglich
Erweiterungen von Snap-Ins
Erweiterbarkeit durch Dritthersteller
Für eine Reihe von Snap-Ins können Sie diese Zuordnung zum lokalen oder zu einem entfernten Computer auch innerhalb der Managementkonsole jederzeit ändern, allerdings nicht bei allen. Ein großer Vorteil dieser Technologie besteht darin, dass Sie so ein Netzwerk von Windows-Arbeitsstationen oder -Servern remote administrieren können. Greifen Sie auf diese Weise mit einer Managementkonsole auf einen Windows 2000/2003-Server zu, stehen Ihnen damit auch automatisch erweiterte Funktionen zur Verfügung, die nur für diesen Server nutzbar sind. So können Sie beispielsweise RAID5-Volumes von einer Windows-Arbeitsstation aus auf einem Server anlegen, obwohl das lokal nicht unterstützt wird. 3. Im Fenster für die Konfiguration der zu dieser Managementkonsole gehörenden Snap-Ins können Sie für bestimmte Snap-Ins noch weitere Konfigurationen vornehmen. Snap-Ins können aus mehr als einer Komponente bestehen. Diese werden dann im Fenster unter E RWEITERUNGEN BEARBEITEN aufgeführt. Erweiterungen benötigen zum Funktionieren ein zugehöriges Basis-Snap-In oder stellen selbst ein eigenständiges Snap-In dar. In unserem Beispiel enthält die COMPUTERVERWALTUNG mehrere eigenständige Snap-Ins wie das DEFRAGMENTIERUNGSPROGRAMM oder L OKALE BENUTZER UND G RUPPEN. Durch das Konzept der Erweiterbarkeit können auch Dritthersteller von Hard- beziehungsweise Software für Windows Vista ihre Erweiterungen für existierende Snap-Ins liefern und diese so mit den benötigten Funktionen versehen.
4.2 Die Microsoft Managementkonsole ______________________________________ 201 Abbildung 4.9: Erweiterungen des Snap-Ins Computerverwaltung
Die so konfigurierte Managementkonsole präsentiert sich zunächst wie in der nachfolgenden Abbildung dargestellt: Abbildung 4.10: Die erstellte Managementkonsole
Im linken Bereich sehen Sie die Baumstruktur der eingebundenen Snap-Ins, ausgehend vom Konsolenstamm, in unserem Fall die COMPUTERVERWALTUNG mit all ihren Komponenten (allerdings jetzt
202 _______________________________________ 4 Wichtige Administrationswerkzeuge ohne das Defragmentierungsprogramm). Im rechten Teil werden die Objekte der gerade aktivierten Komponente eingeblendet.
Speicherorte für Managementkonsolen
Individuell je Benutzer
Für alle Benutzer
Wenn Sie die individuell konfigurierte Managementkonsole über DATEI | SPEICHERN sichern, wird standardmäßig das folgende Verzeichnis angeboten: %Appdata% \Microsoft \Windows \Startmenü \Programme \Verwaltung Legen Sie als Administrator Managementkonsolen für andere Benutzer an, können Sie diese in deren persönlichen Startmenüs unterbringen. Konsolen für alle Benutzer speichern Sie in diesem Verzeichnis oder erstellen in diesem einen Unterordner: %AllUsersProfile% Weitere Informationen zu Benutzerprofilen finden Sie in Abschnitt 5.5 Benutzerprofile ab Seite 284.
Übersichtlichkeit von Managementkonsolen erhöhen
Favoriten
Aufgabenblockansichten
Es ist ratsam, Managementkonsolen mit nicht zu vielen Snap-Ins zu versehen. Vereinfachen Sie den Umgang mit komplexen Managementkonsolen mit zwei Mitteln: Favoriten: Häufig benutzte Komponenten fügen Sie einfach über das Kontextmenü zu den Favoriten hinzu. So haben Sie diese ähnlich wie mit den Favoriten im Internet-Explorer immer im schnellen Zugriff. Aufgabenblockansichten: Mit den Aufgabenblockansichten können Sie wichtige Komponenten oder andere Tasks über einfache grafische Symbole verfügbar machen.
4.2.4
Erstellen von Aufgabenblockansichten
Aufgabenblockansichten lassen sich für die Managementkonsolen recht einfach mit Hilfe von Assistenten einrichten. Am Beispiel der im vorangegangenen Abschnitt erstellten Managementkonsole soll für die Komponente BENUTZER eine Aufgabenblockansicht erstellt werden, die die folgenden Funktionen zur einfachen Benutzerverwaltung enthält: Neuen Benutzer anlegen Benutzer löschen Kennwort ändern
4.2 Die Microsoft Managementkonsole ______________________________________ 203 Erstellen einer Aufgabenblockansicht Gehen Sie zum Erstellen dieser Aufgabenblockansicht wie folgt vor: 1. Aktivieren Sie in der Konsolenstruktur im linken Teil der MMC die Komponente BENUTZER und klicken Sie im Kontextmenü, welches sich mit der rechten Maustaste öffnen lässt, auf NEUE AUFGABENBLOCKANSICHT. Daraufhin startet ein Assistent, der Sie bei der Erstellung der Ansicht unterstützt. Nach dem obligatorischen Willkommen-Fenster gelangen Sie in ein erstes Konfigurationsfenster: Abbildung 4.11: Definieren der Aufgabenblockanzeige
2. Hier bestimmen Sie zunächst das grundsätzliche Aussehen der Aufgabenblockansicht. Die zu setzenden Optionen haben dabei die folgende Bedeutung: - FORMAT FÜR E RGEBNISFELD Sollen die einzelnen Komponenten des betreffenden Snap-Ins (in Listenform) angezeigt werden, so können Sie zwischen einer vertikalen oder horizontalen Anordnung der Liste auswählen. Die Ausdehnung der Liste in der Ansicht lässt sich dabei über das Auswahlmenü LISTENGRÖßE einstellen. Möchten Sie hingegen in der Aufgabenblockansicht ausschließlich mit selbst definierten Symbolen den Zugriff auf bestimmte Funktionen (»Aufgabenblock«) definieren, wählen Sie KEINE LISTE aus. Wollen Sie verhindern, dass Sie aus der Aufgabenblockansicht über die Registerkarte STANDARD zurück in die normale Ansicht des Snap-Ins wechseln können, deaktivieren Sie das Kontrollkästchen vor REGISTERKARTE STANDARDAUSBLENDEN. - FORMAT FÜR AUFGABENBESCHREIBUNGEN Hierbei können Sie bestimmen, wie die Aufgabenbeschreibungen angezeigt werden sollen. Eine elegante Variante stellt
Aussehen der Aufgabenblockansicht festlegen
Aufgabenbeschreibungen
204 _______________________________________ 4 Wichtige Administrationswerkzeuge INFOTIPP dar, da dann der Beschreibungstext automatisch über dem Symbol eingeblendet wird, wenn die Maus darüber verharrt. Wählen Sie TEXT, wenn die Beschreibung neben dem Symbol fest angezeigt werden soll. 3. Nach dem Definieren des grundsätzlichen Aussehens der Aufgabenblockansicht bestimmen Sie, wieweit diese in Ihrer Managementkonsole verwendet werden soll: Abbildung 4.12: Aufgabenblockziel bestimmen
Sie können in diesem Auswahlfenster festlegen, ob Ihre Aufgabenblockansicht nur auf das ausgewählte Strukturelement oder auf alle desselben Typs angewendet werden soll. Haben Sie beispielsweise in Ihrer Managementkonsole mehrmals eine bestimmte Komponente verwendet, für die Sie in dieser eine Aufgabenblockansicht entworfen haben, würde diese Ansicht automatisch immer wieder für diese Komponente angezeigt werden. Gleichzeitig können Sie in diesem Fenster einstellen, dass diese definierte Aufgabenblockansicht generell als Standardanzeige verwendet werden soll, wenn die Komponente ausgewählt wird. 4. Vergeben Sie dann Ihrer neuen Aufgabenblockansicht einen Namen sowie eine erklärende Beschreibung. Diese werden später als Titel für die Ansicht angezeigt. Abbildung 4.13: Name und Beschreibung vergeben
4.2 Die Microsoft Managementkonsole ______________________________________ 205 5. Jetzt fehlen in Ihrer Aufgabenblockansicht nur noch die Aufgaben. Sie werden dazu beim Erstellen einer neuen Ansicht vom Assistenten gleich weitergeführt. Abbildung 4.14: Auswahl des Befehlstyps für die neue Aufgabe
Es gibt drei Befehlstypen für Aufgaben: - MENÜBEFEHL Sie können eine Aufgabe definieren, die einen Menübefehl abbildet. Dabei können Sie einen Befehl aus dem Kontextmenü zu einem Element der Detailansicht (hier zum Kontextmenü eines Benutzers, wie KENNWORT FESTLEGEN) oder zur ganzen Komponente (hier zur Komponente BENUTZER; beispielsweise NEUER BENUTZER) auswählen. - SHELLBEFEHL Es lassen sich auch Aufrufe von externen Programmen in Ihre Aufgabenblockansicht einsetzen. So können Sie bestimmte Funktionen in Ihre Managementkonsole integrieren, die Sie allein durch das Snap-In und seine Erweiterungen vielleicht nicht realisieren könnten. - NAVIGATION Für den schnelleren Zugriff auf häufig benötigte Funktionen können Sie diese in die Liste der Favoriten aufnehmen. Mit einer Navigationsaufgabe lässt sich ein Favorit direkt in Ihre Ansicht einsetzen. Für das Beispiel, für das die Aufgabe NEUER B ENUTZER benötigt wird, setzen Sie mit der Definition einer Aufgabe als MENÜBEFEHL fort. 6. Bestimmen Sie im nächsten Dialogfenster die Befehlsquelle für den Kontextmenübefehl. Für das Beispiel wird ein Befehl zur Kategorie BENUTZER benötigt, nicht zum konkreten Benutzer selbst. Schalten Sie deshalb auf KNOTEN IN DER STRUKTUR um. Wählen Sie für BENUTZER rechts den Befehl NEUER BENUTZER aus.
Befehl aus Kontextmenü
Aufruf von Programmen
Navigation zu Favoriten
206 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.15: Kontextmenübefehl für eine Aufgabe auswählen
7. Legen Sie dann Namen und Beschreibung für die Aufgabe fest. 8. Im nächsten Dialogfenster kommen Sie zur Auswahl eines geeigneten grafischen Symbols für diese Aufgabe. Bei der mit Windows Vista ausgelieferten Version der Managementkonsole sind die hier angebotenen Symbole in Farbe verfügbar und können durch eigene Bilder erweitert werden. Jetzt haben Sie eine Aufgabenblockansicht, die die Benutzer in einer Liste zur Auswahl anzeigt und über eine Aufgabe verfügt, mit der Sie einen neuen Benutzer einrichten können. Abbildung 4.16: Grafisches Symbol auswählen
Weitere Aufgaben fügen Sie hinzu, indem Sie über das Kontextmenü zu BENUTZER den Menüpunkt AUFGABENBLOCKANSICHT BEARBEITEN wählen.
4.2 Die Microsoft Managementkonsole ______________________________________ 207 AUFGABENBLOCKANSICHT BEARBEITEN ist nur verfügbar, wenn für die betreffende Komponente die Aufgabenblockansicht sichtbar ist. Ist die normale Strukturansicht im Vordergrund, können lediglich neue Aufgabenblockansichten definiert werden. Wenn Sie nun auf die gleiche Weise noch die zwei fehlenden Aufgaben KENNWORT FESTLEGEN und LÖSCHEN hinzufügen, beachten Sie, dass Sie bei der Auswahl des Kontextmenübefehls als Befehlsquelle IM ERGEBNISFELD AUFLISTEN auswählen. Abbildung 4.17: Die neue Aufgabenblockansicht für die Benutzerverwaltung
Sie können für ein Element in einer Managementkonsole mehrere Aufgabenblockansichten definieren. Das Wechseln der Ansichten wird dann über die Navigationsregisterkarten ermöglicht.
Aufgabenblockansicht als einzige Ansicht einrichten Möchten Sie diese Aufgabenblockansicht als einzige Ansicht für die Managementkonsole einrichten, gehen Sie folgendermaßen vor: 1. Öffnen Sie über das Kontextmenü zu BENUTZER ein NEUES FENSTER. 2. Schließen Sie das dahinter liegende Fenster, welches die komplette Managementkonsole enthält. Abbildung 4.18: Optionen für eine eingeschränkte Konsole
208 _______________________________________ 4 Wichtige Administrationswerkzeuge 3. Maximieren Sie das verbleibende Fenster mit der Aufgabenblockansicht und schließen Sie die Strukturansicht mit einem Klick auf das entsprechende Symbol. 4. Nehmen Sie über DATEI | OPTIONEN die folgenden Einstellungen vor (siehe Abbildung 4.18): 5. Deaktivieren Sie über ANSICHT | ANPASSEN alle Ansichtsoptionen zu dieser Managementkonsole. Wollen Sie, dass der Benutzer zwischen eventuell mehreren angelegten Ansichten umschalten kann, müssen Sie das Kontrollkästchen AUFGABENBLOCK-NAVIGATIONSREGISTERKARTEN aktiviert lassen. Detailliert werden die Ansichtsoptionen und Benutzermodi in den folgenden beiden Abschnitten erläutert. 6. Speichern Sie über DATEI|SPEICHERN die Konsole unter einem eigenen Namen ab. Als Standardverzeichnis wird Ihnen dabei STARTMENÜ|PROGRAMME|VERWALTUNG unter Ihrem eigenen Benutzer-Verzeichnis angeboten (zu den Speicherorten für Managementkonsolen siehe auch Seite 202). Abbildung 4.19: Ansicht der MMC anpassen
Wenn Sie diese Managementkonsole aus dem Startmenü wieder aufrufen, erscheint diese ausschließlich mit der Aufgabenblockansicht. Abbildung 4.20: Die neue Managementkonsole
4.2 Die Microsoft Managementkonsole ______________________________________ 209 Mit dieser Managementkonsole können nur noch die angezeigten Rechte beachten Funktionen ausgeführt werden, um neue Benutzer anzulegen, Kennwörter zu ändern oder Benutzer zu löschen. Voraussetzung dazu ist natürlich, dass der Benutzer dieser Konsole die erforderlichen Rechte hat. Ein Standardbenutzer kann auch mit dieser Konsole lediglich sein eigenes Kennwort ändern. Dieses Beispiel soll aber zeigen, wie Sie eigene Managementkonsolen mit Hilfe der Aufgabenblockansichten zu übersichtlichen, spezifischen Werkzeugen verwandeln können.
Aufgabenblockansichten miteinander verknüpfen Wollen Sie mehrere Aufgabenblockansichten miteinander verknüpfen, also eine Managementkonsole anlegen, die dem Benutzer ausschließlich die Bedienung über Aufgabenblockansichten erlaubt, gehen Sie folgendermaßen vor: 1. Erstellen Sie zuerst für jedes betreffende Strukturelement eine eigene Aufgabenblockansicht mit allen erforderlichen Aufgaben. Die Aufgabenblockansicht muss dabei als Standardansicht für das Strukturelement eingerichtet sein. 2. Fügen Sie jede Aufgabenblockansicht zu den Favoriten hinzu. Achten Sie dabei darauf, dass jeweils die Aufgabenblockansicht aktiv ist und nicht die normale Strukturansicht. 3. Erstellen Sie nun eine Start-Aufgabenblockansicht für Ihre Konsole. Dies kann das erste Strukturelement Ihrer Konsole sein. In dieser Startansicht sollten Sie keine Liste für das Detailfenster anlegen, sondern nur Navigationsaufgaben zu den angelegten Favoriten. Über diese Aufgaben kommen Sie dann direkt in die Aufgabenblockansichten der anderen Strukturelemente. 4. Sie benötigen jetzt noch eine »Zurück«-Aufgabe für die Strukturelemente-Ansichten, um damit immer wieder in das Startfenster zurückzukommen. Dazu fügen Sie die Startansicht zu den Favoriten hinzu und erstellen in jeder untergeordneten Ansicht eine Navigationsaufgabe, den Sie »Zurück« nennen können. Benutzen Sie als Navigationsaufgaben die Favoriten, die Sie aus den Aufgabenblockansichten generiert haben, nicht die der Strukturelemente selbst. Beachten Sie das nicht, wird der Verweis immer wieder in der normalen Ansicht landen, anstatt die Aufgabenblockansicht aufzurufen, auch wenn Sie zuvor die Aufgabenblöcke als Standardansichten definiert haben.
4.2.5
Anpassen von Managementkonsolen-Ansichten
Das Aussehen der Managementkonsole können Sie weiter beeinflussen, indem Sie im Hauptmenü ANSICHT | ANPASSEN auswählen. Sie erhalten ein Fenster mit einer Auflistung der Ansichts-Optionen für das Erscheinungsbild der Managementkonsole (entspricht Abbildung 4.19 auf Seite 208).
210 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.21: Ansichtsobjekte einer MMC
Bereich MMC
Das Verhalten der einzelnen Optionen können Sie sehr gut erkennen, da die im Hintergrund geöffnete Managementkonsole gleich auf die Änderungen reagiert. In Abbildung 4.21 sehen Sie die einzelnen Bestandteile der Bedienoberfläche einer Konsole im Überblick. Im Bereich MMC des Optionsfensters ANSICHT ANPASSEN bestimmen Sie das Aussehen der Managementkonsole selbst, das heißt des äußeren Rahmens, in den die Snap-Ins eingebettet sind: KONSOLENSTRUKTUR Diese Option bestimmt, ob im linken Teil des Konsolenfensters die Konsolenstruktur angezeigt wird. Ist diese Option deaktiviert, bleiben hier nur die Favoriten, wenn angelegt, sichtbar. STANDARDMENÜS (AKTION und ANSICHT) Mit dieser Option lassen sich die beiden Standardmenüeinträge AKTION und ANSICHT ausblenden. STANDARDSYMBOLLEISTE Die Standardsymbolleiste dient zum Navigieren und schnellen Aufruf von Funktionen zur aktivierten Komponente der Managementkonsole. STATUSLEISTE In dieser Leiste erscheinen Meldungen der Konsole zum Programmablauf, beispielsweise wenn Komponenten längere Auswertungen ausführen. BESCHREIBUNGSLEISTE Es werden hier Hinweise gegeben, welche Komponente gerade aktiv ist. Das ist insbesondere dann wichtig, wenn die Struktur der Komponenten rechts ausgeblendet ist. AUFGABENBLOCK-NAVIGATIONSREGISTERKARTEN Diese Register dienen der Umschaltung der Ansichten im rechten Fensterbereich, wenn mehrere definiert worden sind, beispielsweise mit Hilfe der Aufgabenblockansichten.
4.2 Die Microsoft Managementkonsole ______________________________________ 211 AKTIONSFELD Das Aktionsfeld ist ein neues Feature der Version 3.0. Es listet verfügbare Aktionen auf, basierend auf momentan ausgewählten Objekten in der Konsolenstruktur oder dem Ergebnisfeld. Im SNAP-IN-Bereich des Optionsfensters ANSICHT ANPASSEN definieren Bereich SNAP-IN Sie zwei Ansichtsoptionen für das Verhalten der Snap-Ins: Menüs Snap-Ins können eigene Menüerweiterungen mitbringen, die dann neben den Standardmenüs AKTION und ANSICHT erscheinen. Wird diese Option deaktiviert, werden diese Menüs nicht eingeblendet. Symbolleisten Wie schon bei den Erweiterungen für Menüs können Snap-Ins auch ihre eigenen Symbole mitbringen, die dann neben oder unter der Standardsymbolleiste sichtbar werden. Deaktivieren Sie diese Option, wenn sich diese nicht zeigen sollen. Die Beschreibungstexte, die bei bestimmten Snap-Ins eingebettet sind, Beschreibungstexte werden bei einem Klick auf das Element eingeblendet. Sie können diese allerdings nicht generell aus- oder einblenden. Lediglich beim Umschalten auf die Standardansicht (Registerkarte STANDARD) werden die Texte nicht angezeigt. Umfangreiche Detailansichten von Strukturelementen als Liste im Spalten ändern rechten Teil der Managementkonsole können Sie ebenfalls in ihrem Darstellungsumfang beeinflussen. So gewinnen Detailansichten an Übersichtlichkeit, wenn nur die Spalten angezeigt werden, die Sie für den konkreten Zusammenhang als wichtig erachten. Über ANSICHT | SPALTEN HINZUFÜGEN /ENTFERNEN erhalten Sie ein Auswahlfenster, mit dem Sie die gewünschten Spalten der Anzeige beeinflussen können. Abbildung 4.22: Spaltenanzeige beeinflussen
Entfernen Sie einfach alle in dieser Ansicht nicht benötigten Spalten. Diese erscheinen dann im linken Bereich unter VERFÜGBARE SPALTEN. Die Reihenfolge der Spalten können Sie im Übrigen auch leicht ändern, indem Sie im rechten Teil eine Spalte markieren und mit NACH OBEN und NACH UNTEN neu positionieren. Bestimmte Spalten lassen sich nicht verschieben oder entfernen. Das hängt von der Program-
212 _______________________________________ 4 Wichtige Administrationswerkzeuge mierung des jeweiligen Snap-Ins ab. Mit WIEDERHERSTELLEN wird die Grundeinstellung des Snap-Ins wieder eingerichtet.
4.2.6
Keine Beschränkungen
Benutzermodi für Managementkonsolen
Managementkonsolen, die Sie für den Zugriff durch normale Benutzer erstellen, möchten Sie natürlich absichern. Benutzer sollen schließlich nur die Werkzeuge in die Hand bekommen, die sie auch benötigen und beherrschen. Damit das gewährleistet werden kann, gibt es Zugriffsoptionen, die Sie für jede Konsole individuell einstellen können. Über das Hauptmenü DATEI | OPTIONEN erhalten Sie ein Auswahlfenster, mit dem Sie den beabsichtigten Benutzermodus für die Konsole einstellen können. Sie können für Ihre Managementkonsole einen der vier Modi für die Benutzung auswählen: AUTORENMODUS Dieser Modus ist der Standard für eine neue Konsole. Sie können, auch als Benutzer, beliebig Änderungen an der Konsole vornehmen, Snap-Ins hinzufügen oder löschen bzw. die Erweiterungen für Snap-Ins anpassen. Möchten Sie angepasste Managementkonsolen Ihren Benutzern zur Verfügung stellen, sollten Sie diese auf keinen Fall im Autorenmodus belassen.
Abbildung 4.23: Auswahl des Konsolenmodus für eine MMC
Benutzermodi mit Beschränkungen
BENUTZERMODUS VOLLZUGRIFF In diesem Modus ist die Managementkonsole an sich geschützt. Benutzer können keine weiteren Snap-Ins aufnehmen oder vorhandene modifizieren bzw. löschen. Es ist aber erlaubt, für Kom-
4.2 Die Microsoft Managementkonsole ______________________________________ 213 ponenten andere Fensteransichten zu starten oder sich frei in allen installierten Komponenten zu bewegen. Dieser Modus eignet sich für erfahrene Benutzer, denen Sie bestimmte Administrationsaufgaben vollständig übertragen haben. BENUTZERMODUS BESCHRÄNKTER ZUGRIFF, MEHRERE FENSTER Sie können für eine Komponente einer Managementkonsole ein weiteres Sichtfenster öffnen (über das Kontextmenü). Schließen Sie jetzt alle weiteren Fenster außer das soeben erzeugte, stellen Sie mit diesem Benutzermodus sicher, dass der Anwender beim nächsten Öffnen der Konsole nur das zuletzt geöffnete sehen kann. Die anderen, übergeordneten Komponenten bleiben ihm verborgen. So können Sie gezielt Verwaltungsaufgaben für einen beschränkten Bereich, beispielsweise eines komplexen Snap-Ins wie die COMPUTERVERWALTUNG, an Benutzer übertragen bzw. diesen zugänglich machen. Der Benutzer kann jedoch noch weitere Fenster für die Komponenten öffnen, die Sie ihm zugeteilt haben. BENUTZERMODUS BESCHRÄNKTER ZUGRIFF, EINZELFENSTER Dieser Modus einer Managementkonsole bietet die meiste Absicherung vor Veränderungen durch den Benutzer. Es bleibt nur genau das Fenster sichtbar, welches beim Abspeichern sichtbar bzw. bei mehreren Fenstern der Konsole aktiv war. Weitere Fenster für eine Komponente können benutzerseitig nicht erzeugt werden. Für die drei Benutzermodi können Sie noch weitere Einstellungen vornehmen: ÄNDERUNGEN FÜR DIESE KONSOLE NICHT SPEICHERN Falls die betreffende Managementkonsole immer im gleichen Erscheinungsbild sichtbar sein soll, aktivieren Sie diese Option. Damit werden Änderungen, die ein Benutzer an der Konsole vornimmt, beim Schließen der Konsole nicht gespeichert. ANPASSEN VON ANSICHTEN DURCH BENUTZER ZULASSEN Deaktivieren Sie diese Option, wenn es dem Benutzer nicht erlaubt werden soll, das Aussehen der Managementkonsole zu beeinflussen. Wenn Sie die Konsole abspeichern und das nächste Mal aufrufen, sehen Sie diese nur noch im eingestellten Modus, auch wenn Sie als Administrator angemeldet sind. Möchten Sie nachträglich Änderungen an der Konsole vornehmen, öffnen sie diese einfach wieder mit dem folgenden Aufruf von der Eingabeaufforderung: mmc /a MMC im AutorenEs funktioniert ebenso ohne Dateinamen als Parameter. Starten Sie modus starten zuerst nur die Managementkonsole mit MMC / A und laden dann über das Hauptmenü KONSOLE | ÖFFNEN die gewünschte Konfigurationsdatei, die normalerweise die Erweiterung .msc trägt.
214 _______________________________________ 4 Wichtige Administrationswerkzeuge
4.3
Leistungsüberwachung und -optimierung
Windows Vista bringt die Windows-Leistungsdiagnosekonsole zur Überwachung von Leistungsdaten mit. Verschiedene Tools, wie Leistungsprotokolle und Warnungen, Systemmonitor und Server Performance Advisor, wurden zu einem Snap-In zusammengefasst. Leistungsdaten können über Datensammlergruppen erfasst und zusammen mit Ereignisablaufverfolgungssitzungen grafisch dargestellt werden. Neu ist der Zuverlässigkeitsmonitor, der Änderungen im Hinblick auf die Systemstabilität anzeigt.
4.3.1
Leistungsüberwachung
Der Begriff Leistung steht für die Geschwindigkeit, mit der ein Computer Programm- und Systemaufgaben ausführt. Begrenzt wird die Leistung eines Systems durch Eigenschaften der Hard- und Software. Die Prozessorgeschwindigkeit, die Prozessor-Anzahl und der zur Verfügung stehender Speicher zählen dazu, genauso wie die Zugriffsgeschwindigkeit der physischen Datenträger und der Datendurchsatz der Netzwerkschnittstellen. Nachdem die einschränkenden Faktoren auf der Hardwareseite identifiziert wurden, kann der Ressourcenverbrauch einzelner Anwendungen und Prozesse überprüft werden.
Überblick Mit Hilfe der Leistungsanalyse, die sowohl die einzelnen Anwendungen als auch die Gesamtkapazität berücksichtigt, können Sie Vorkehrungen treffen, um eine optimale Funktion des Systems zu gewährleisten. Abbildung 4.24: Leistungsdiagnosekonsole
4.3 Leistungsüberwachung und -optimierung_________________________________ 215 Der wichtigste Vorteil der Windows Leistungsdiagnosekonsole besteht darin, dass die Funktionen von Tools wie Systemmonitor, Leistungsprotokolle und Warnungen sowie Server Performance Advisor, nun in einem Modul zur Verfügung stehen, das einheitliche Verfahren für das Definieren der zu sammelnden Daten verwendet. Die Datensammlergruppe (Data Collector Set) ermöglicht es, eine Gruppe von Leistungsindikatoren mehrfach zu verwenden. Die Konsole starten Sie, indem Sie PERFMON.EXE an der Eingabeauf- Konsole starten forderung eingeben, die Sie im Kontextmenü mit ALS ADMINISTRATOR AUSFÜHREN geöffnet haben, oder das Snap-In LEISTUNGSDIAGNOSE in der MMC hinzufügen. Die Ressourcenansicht ist die Startseite der Windows Leistungsdiag- Ressourcenansicht nosekonsole. Wenn Sie die Konsole als Administrator starten, können Sie die Auslastung und Leistung von CPU, Datenträgern, Netzwerk und Speicher in Echtzeit überwachen. Zusätzliche Informationen können Sie durch Erweitern der Ressourcen mit Hilfe des Abwärtspfeils anzeigen und überprüfen. Über den Schaltflächen sind vier Animationen zu sehen, die die Auslastung der CPU-, Datenträger-, Netzwerkund Speicherressourcen des lokalen Computers in Echtzeit anzeigen.
CPU Die aktuelle Auslastung der CPU-Kapazität wird in Prozent angezeigt. Für die CPU stehen außerdem folgende Detailinformationen zur Verfügung: BILD: Die Anwendung oder der Dienst, die die CPU-Ressourcen nutzt PID: Die Prozess-ID der Anwendungsinstanz BESCHREIBUNG: Eine Beschreibung der Anwendung (Bild) THREADS: Die Anzahl der Threads, die aktuell für die Anwendungsinstanz aktiv sind CPU: Die CPU-Zyklen, die aktuell für die Anwendungsinstanz aktiv sind DURCHSCHNITTLICHE CPU-AUSLASTUNG: Die von der Anwendungsinstanz verursachte durchschnittliche CPU-Auslastung. Angezeigt wird der prozentuale Anteil an der Gesamtkapazität der CPU.
Datenträger In diesem Bereich wird die aktuelle Gesamtbelastung durch E-/AVorgänge angezeigt. Außerdem können folgende Detailinformation abgefragt werden: BILD: Die Anwendung, die die Datenträgerressourcen nutzt PID: Die Prozess-ID der Anwendungsinstanz DATEI: Die Datei, die von der Anwendungsinstanz gelesen und/oder geschrieben wird
216 _______________________________________ 4 Wichtige Administrationswerkzeuge LESEN: Die aktuelle Geschwindigkeit (in Bytes/min), mit der die Anwendungsinstanz Daten aus der Datei liest SCHREIBEN: Die aktuelle Geschwindigkeit (in Bytes/min), mit der die Anwendungsinstanz Daten in die Datei schreibt ANTWORTZEIT: Die Zeit, die der Datenträger braucht, um SchreibLesebefehle zu verarbeiten GESAMT: Die aktuell von der Anwendungsinstanz durchgeführten Ein- und Ausgaben für den Datenträger (in Bytes/min)
Netzwerk Der gesamte aktuelle Netzwerkverkehr wird in Kbit/s angezeigt. Folgende Detailinformationen für die Auslastung des Netzwerks werden zur Verfügung gestellt: BILD: Die Anwendung, die die Netzwerkressourcen nutzt PID: Die Prozess-ID der Anwendungsinstanz ADRESSE: Die Netzwerkadresse, mit der der lokale Computer Informationen austauscht, beispielsweise ein Server. Hier können ein Computername, eine IP-Adresse oder ein voll qualifizierter Domänenname angezeigt werden. SENDEN: Die Datenmenge (in Kbit/s), die die Anwendungsinstanz aktuell vom lokalen Computer an die Adresse sendet EMPFANGEN: Die Datenmenge (in Kbit/s), die die Anwendungsinstanz aktuell von der Adresse empfängt GESAMT: Die gesamte Bandbreite (in Kbit/s), die aktuell von der Anwendungsinstanz für das Senden und Empfangen genutzt wird
Speicher In diesem Bereich werden die aktuellen Seitenfehler pro Sekunde und der aktuell genutzte physische Speicher in Prozent angezeigt. Seitenfehler sind keine wirklichen Fehler! Ein Seitenfehler tritt auf, wenn sich die Seite der referenzierten Adresse nicht mehr im physischen Speicher befindet und ausgelagert wurde.
Zuverlässigkeit Die Zuverlässigkeit eines Systems spiegelt sich in der Häufigkeit wider, mit der ein System unerwartete Reaktionen von sich gibt. Dazu zählen das Abstürzen von Anwendungen, das Versagen von Diensten, fehlerhaftes Initialisieren von Treibern oder Fehlfunktionen des Betriebssystems. Mit dem Zuverlässigkeitsmonitor kann die durchschnittliche Stabilität angezeigt und nachverfolgt werden.
4.4 Ereignisanzeige ______________________________________________________ 217 Führen Sie folgende Schritte durch, wenn Sie die Zuverlässigkeit Ihres Systems überprüfen wollen: 1. Melden Sie sich mit einem Administratorkonto an und starten Sie eine leere Managementkonsole (MMC.EXE). 2. Fügen Sie über das Menü DATEI das Snap-In ZUVERLÄSSIGKEITSÜBERWACHUNG hinzu. 3. Klicken Sie in der Navigationsstruktur der Managementkonsole auf ZUVERLÄSSIGKEITSÜBERWACHUNG. Abbildung 4.25: Systemstabilitätsdiagramm
Der Monitor zeigt Ihnen nun die entsprechenden Daten an. Falls Ihr Computer noch keine 24 Stunden in Betrieb ist, kann es passieren, dass noch keine Daten gesammelt wurden. Sie erhalten dann eine entsprechende Fehlermeldung.
4.4
Ereignisanzeige
Das wichtigste Werkzeug, um Schwachstellen zu finden und Fehler zu beseitigen, ist die Ereignisanzeige von Windows Vista. Die Ereignisanzeige ist wie unter Windows XP ein Snap-In, welches in der gleichnamigen, vorkonfigurierten Managementkonsole zu finden ist (auch erreichbar in der Systemsteuerung unter VERWALTUNG; (siehe Abschnitt 4.2.2 Vorkonfigurierte Managementkonsolen ab Seite 197). Die Ereignisanzeige startet standardmäßig mit der Anzeige der Proto- Verbindung zu andekolle für den lokalen Computer. Über das Menü AKTION können Sie ren Computern auch Verbindungen zu anderen Computern herstellen, die unter Windows XP oder 2000/2003 laufen. Dabei werden gegebenenfalls weitere, zusätzliche Protokolle eingeblendet (wie VERZEICHNISDIENST für einen modernen Windows-Server).
218 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.26: Managementkonsole Ereignisanzeige
4.4.1
Protokollarten
In der Ereignisanzeige von Windows Vista gibt es zwei Gruppen von Protokollen, die Windows-Protokolle und die Anwendungs- und Dienstprotokolle.
Windows-Protokolle
Applikation
Die Windows-Protokolle enthalten die Protokolle, die schon aus früheren Windows-Versionen bekannt sind. Das sind das Applikations-, das Sicherheits- und das Systemprotokoll. Erweitert wurde diese Kategorie um das Setupprotokoll und ein Protokoll für weitergeleitete Ereignisse. In der Konsolenstruktur der Ereignisanzeige befinden sich somit fünf Protokolle unter dem Zweig Windows-Protokolle. Applikationsprotokoll In diesem Protokoll werden Meldungen aufgezeichnet, die von Anwendungsprogrammen ausgegeben werden. Dabei bestimmt der Programmierer, welche Meldungen das sind. Überwiegend werden sich hier Einträge von Drittherstellern finden, denn die Windows-Komponenten protokollieren ihre Ereignisse in der neuen Kategorie ANWENDUNGS- UND DIENSTPROTOKOLLE. Diese sind im gleichnamigen Abschnitt auf der nächsten Seite beschrieben. Das Anwendungsprotokoll und die Meldungen darin können durch Standardbenutzer eingesehen werden. Das Löschen von Ereignissen ist jedoch ausschließlich dem Administrator vorbehalten. Das Anwendungsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\Application.elf
4.4 Ereignisanzeige ______________________________________________________ 219 Systemprotokoll Das Systemprotokoll enthält Meldungen von Windows-Komponenten, wie beispielsweise Gerätetreibern und Dienstprogrammen. Sie finden hier die Meldungen, die den Erfolg oder Misserfolg eines Gerätetreiberstarts melden oder wer wie lange eine Datenfernverbindung genutzt hat. Einige Meldungen betreffen dabei auch die Sicherheit Ihres Systems. So können Sie beispielsweise sehen, wann der Computer hoch- oder heruntergefahren wurde. Dieses Protokoll kann ebenfalls durch normale Benutzer eingesehen werden. Das Löschen aber ist wiederum nur dem Administrator erlaubt. Das Systemprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\System.elf Sicherheitsprotokoll Dieses Protokoll ist das wichtigste in Bezug auf die Systemsicherheit. Hier werden Ereignisse protokolliert, die direkt den Zugang zum System und den Umgang mit Ressourcen betreffen. Was dabei protokolliert wird, stellen Sie über die Gruppenrichtlinien für Ihr System ein. Das Sicherheitsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\Security.elf Einstellungsprotokoll In diesem neuen Protokoll werden Ereignisse protokolliert, die das Setup betreffen. Bei Servern, die als Domänen-Controller eingerichtet sind, finden Sie hier zusätzliche Informationen. Das Einstellungsprotokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\Setup.eltx Protokoll für weitergeleitete Ereignisse Eine Neuheit in Vista ist der Austausch von Ereignisanzeigen zwischen verschiedenen Computern. Dazu müssen so genannte Abonnements definiert werden. Welche Einstellungen dafür benötigt werden erfahren Sie in Abschnitt 4.4.6 Ereignismeldungen anderer Computer ansehen ab Seite 226. Das Protokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\ForwardedEvents.evfx
Anwendungs- und Dienstprotokolle Microsoft hat sich für Windows-interne Ereignisse eine eigene Kategorie geschaffen. Klappen sie in der Konsolenstruktur der Ereignisanzeige die Anwendung- und Dienstprotokolle auf. Sie sehen zunächst vier Protokolle und zwei weitere Verzweigungen. Die standardmäßig eingeblendeten Protokolle werden nachfolgend beschrieben.
System
Sicherheit
Setup
Weitergeleitete Ereignisse
220 _______________________________________ 4 Wichtige Administrationswerkzeuge DFS-Replikation Der Dienst DFS (Distributed File System)-Replikation hat an dieser Stelle seine eigene Logdatei. Das Protokoll wird standardmäßig abgelegt unter: %Systemroot%\system32\winevt\Logs\DFS Replication.evtx Hardware-Ereignisse Defekte Hardware und damit verbundene Störungen werden festgehalten in: %Systemroot%\system32\winevt\Logs\HardwareEvents.evtx Internet Explorer Der Standard-Webbrowser von Microsoft führt sein Protokoll in dieser Datei: %Systemroot%\system32\winevt\Logs\Internet Explorer.evtx Media Center Einträge zu multimedialen Angelegenheiten werden in der folgenden Datei vermerkt: %Systemroot%\system32\winevt\Logs\Media Center.evtx Die Verzweigung Microsoft/Windows Viele Dienste sind in der Lage, detailliert »Meldung zu machen«. Nach der Installation von Vista finden sich hier circa 50 verschiedene Dienste ein, die Status- und Fehlermeldungen loswerden wollen. Die Verzweigung zum Jugendschutz von Microsoft Jugendschutz scheint auch in den USA ein großes Thema zu sein. Microsoft zeigt hier mit einem Verweis auf lokale Ereignisse auf ihrer Jugendschutzseite Flagge.
4.4.2
Meldungsarten
Es gibt verschiedene Arten von Meldungen, die durch den Ereignisprotokolldienst aufgezeichnet werden: Informationen Diese Meldungen zeigen Ihnen in der Regel die erfolgreiche Durchführung einer Aktion an. Beispielsweise finden Sie im Systemprotokoll erfolgreiche Meldungen über den Start von Gerätetreibern oder die Anwahl einer Datenfernverbindung. Warnungen Warnungen beinhalten meist keine akuten Fehler, sondern Meldungen, die auf wichtige Vorgänge aufmerksam machen sollen. So verursacht die Installation eines neuen Druckers eine Warnung, auch wenn dieser Prozess erfolgreich abgeschlossen worden ist. Ernstzunehmende Warnungen entstehen aber beispielsweise dann, wenn bestimmte wichtige Systemkomponenten nicht richtig laufen (wie der Installationsdienst, der bestimmte Komponenten einer Software nicht entfernen konnte) oder eine Hardwareressource erst
4.4 Ereignisanzeige ______________________________________________________ 221 sehr spät reagiert (wie eine Festplatte, die immer mehr Zeit zum Reagieren auf Anforderungen des Systems benötigt dies kann ein Hinweis auf einen bevorstehenden Ausfall sein). Solchen Warnungen sollten Sie daher besser auf den Grund gehen, damit daraus nicht irgendwann Fehler werden. Fehler Protokollierte Fehler sollten Sie immer ernst nehmen, da hier in jedem Fall das ordnungsgemäße Funktionieren des Gesamtsystems beeinträchtigt sein kann. Im Systemprotokoll finden Sie Fehlermeldungen häufig dann, wenn Gerätetreiber aufgrund von Hardware- oder Konfigurationsproblemen nicht gestartet oder bestimmte Systemaktionen nicht oder nicht vollständig ausgeführt werden konnten (wie beispielsweise das Sichern des Hauptspeicherinhalts auf die Festplatte, um in den Ruhezustand gehen zu können). Erfolgsüberwachung Diese Meldung im Sicherheitsprotokoll zeugt von einer erfolgreichen Überwachung eines Vorgangs. Wenn Sie beispielsweise die Anmeldeversuche überwachen lassen, können Sie durch diese Meldungen erkennen, wann welcher Benutzer sich am System angemeldet hat. Fehlerüberwachung Eine Meldung mit der Kennzeichnung FEHLERÜBERWACHUNG im Sicherheitsprotokoll zeugt von einem protokollierten Fehlversuch. Wenn Sie Anmeldeversuche überwachen lassen, können Sie sehen, wenn jemand versucht hat, sich mit einer ungültigen Benutzerkennung oder einem falschen Kennwort anzumelden. Für die Anwendungs- und Dienstprotokolle gibt es vier Unterkategorien für Ereignisse: Administrative Ereignisse Anwendungen speichern hier ihre Meldungen, wenn sie keine systemweiten Auswirkungen haben. Diese Meldungen sind für Standardbenutzer, Administratoren und Servicepersonal gedacht. Sie geben auch Hinweise, welche Aktionen zu unternehmen sind. Operative Ereignisse Operative Logs sind für IT-Profis gedacht. Für die Interpretation dieser Logs sind Wissen und Erfahrung über Zusammenhänge einzelner Ereignisse nötig. Analytische Ereignisse Die Stufe der Logs erzeugt eine große Datenmenge, die nicht mehr von Hand ausgewertet werden kann. Support-Spezialisten können mit entsprechenden Tools diese Ereignisse auswerten. Diese Stufe ist standardmäßig ausgeschaltet. Debugging Die Debugging-Stufe enthält noch mehr Details, die normalerweise nur für Entwickler interessant sind. Diese Stufe ist standardmäßig ausgeschaltet.
222 _______________________________________ 4 Wichtige Administrationswerkzeuge
4.4.3
Spalten in der Listenanzeige
Die Ereignisanzeige im Detail
Die angezeigten Meldungen aller Protokolle in der Ereignisanzeige werden in der Detailansicht in einer einheitlichen Listenform dargestellt (siehe Abbildung 4.26 auf Seite 218). Die einzelnen Spalten haben dabei die folgende Bedeutung: EBENE: Hier sehen Sie, welcher Art die Meldung ist (siehe vorhergehender Abschnitt). DATUM / UHRZEIT: Hier wird der Zeitpunkt angegeben, an dem die Meldung generiert worden ist. Wenn Sie sich über eine Netzwerkverbindung (im lokalen Netz oder über eine Fernverbindung) die Ereignisanzeige eines anderen Computers ansehen, beachten Sie, dass hier immer die lokale Zeit des betreffenden Computers gemeint ist. QUELLE: In dieser Spalte stehen die Namen der Prozesse, Anwendungen oder Dienste, die die Meldungen verursacht haben. Aus dieser Information können Sie in der Regel den Sinn der Meldung schon gut eingrenzen. EREIGNIS-ID: Jedes Ereignis besitzt eine eindeutige Nummer, eine so genannte Ereignis-ID. Diese kann helfen, eine Fehlerursache zu ergründen, wenn die Textaussagen in der Meldung nicht ausreichen sollten. In Abschnitt 4.4.7 Ereignismeldungen analysieren ab Seite 228 finden Sie weiterführende Informationen. TASKKATEGORIE: Bestimmte Meldungen generieren auch eine Kategorie-Bezeichnung, unter der diese dann weiter eingeordnet werden können. Besonders bedeutsam sind die Einträge im Sicherheitsprotokoll, da die Kategorien nach der zu überwachenden Sicherheitsrichtlinie untergliedert sind. So werden beispielsweise unter der Kategorie ANMELDUNG/ABMELDUNG alle Meldungen geführt, die aufgrund der überwachten An- und Abmeldevorgänge erzeugt worden sind. Ist eine Meldung ohne eine bestimmte Kategorie, wird hier nur KEINE angezeigt. BENUTZER: Ist für die Meldung ein Benutzerkonto verantwortlich, wird hier dessen Name ausgegeben. Das können eines der konkreten Benutzerkonten oder das allgemeine Systemkonto sein. Wurde beispielsweise durch den Administrator ein neuer Drucker angelegt, gibt es eine Meldung »Quelle: Print«, die für das Administratorkonto das Erstellen des Druckers aufzeichnet. Dazu gibt es eine Meldung für das Systemkonto, welches das Installieren der konkreten Treiberdateien für diesen Drucker protokolliert. Leider wird eine Reihe von Meldungen mit dem Eintrag NICHT ZUTREFFEND in der Spalte B ENUTZER generiert, obwohl die Meldung selbst auf einen auslösenden Benutzer verweist. So werden beispielsweise Einwahlen ins Internet »Quelle: Remote Access« sehr genau mit der Angabe der Einwahl-Benutzerkennung beim ISP (In-
4.4 Ereignisanzeige ______________________________________________________ 223 ternet Service Provider) protokolliert. Welcher Benutzer das verursacht hat, wird allerdings nicht angezeigt. COMPUTER: Hier wird der ausführende Computer angezeigt. Möchten Sie die Anzeige bestimmter Spalten unterdrücken oder die Reihenfolge ändern, um mehr Übersichtlichkeit zu erhalten, erreichen Sie das über das Menü ANSICHT | SPALTEN HINZUFÜGEN/ENTFERNEN. Wie bei jeder anderen Managementkonsole auch erhalten Sie dann das Auswahlfenster, um die Spaltenanzeigen zu manipulieren. Über das Menü AKTION | EIGENSCHAFTEN oder das Kontextmenü zu Ereignismeldung im einer Meldung (bzw. einfach ein Doppelklick darauf) öffnet sich das Detail entsprechende Eigenschaften-Fenster. Neben den auch in der Listenform angegebenen Informationen bekommen Sie hier einen Beschreibungstext, der oft schon sehr aussagekräftig ist. Mit den beiden PfeilSchaltflächen bewegen Sie sich bei geöffnetem Eigenschaften-Fenster durch die Meldungen in der Ereignisanzeige. Abbildung 4.27: Ereignismeldung im Detail
Für viele Meldungen können Sie, wenn Ihr System Zugang zum Internet hat, weitergehende Hilfe von Microsofts Support-Seiten bekommen. Klicken Sie dazu einfach auf den entsprechenden Link bei dem Feld WEITERE INFORMATIONEN. Eine zentrale Anlaufstelle ist eine Technet-Webseite von Microsoft: http://www.microsoft.com/technet/support/ee/ee_advanced.aspx Mit der Schaltfläche KOPIEREN Sie den Inhalt des gesamten Fensters als Text in die Zwischenablage. Dies kann Ihnen helfen, eine konkrete Meldung vollständig und schnell weiterzugeben, um vielleicht eine Fehlerursache zusammen mit anderen Spezialisten zu analysieren. Die Suche nach bestimmten Ereignis-Meldungen wird Ihnen über AKTIONEN | SUCHEN ermöglicht. In dem SUCHEN-Dialogfenster können Sie Ihren Suchbegriff definieren. Eine Suche nach Ereignissen, die zu einem bestimmten Zeitpunkt aufgetreten sind, ist nicht möglich. Die können Sie aber über die Filterfunktionen für die Anzeige erreichen. Die Definition von Anzeigefiltern erfolgt über ANSICHT | FILTER. Beachten Sie, dass auch hier die
Weitere Hilfe bei Microsoft
Inhalt kopieren
Suchen
224 _______________________________________ 4 Wichtige Administrationswerkzeuge Einstellung für das gerade in der Anzeige aktive Protokoll erfolgt und nicht für die gesamte Ereignisanzeige. Abbildung 4.28: Filtereigenschaften definieren
Spezifizieren Sie Ihre Anforderungen zu EREIGNISTYP, EREIGNISQUELLE usw. (siehe oben). Zusätzlich können Sie jedoch noch einen Zeitrahmen definieren, für den die gefundenen Ereignismeldungen angezeigt werden sollen. Ihren erstellten Filter können Sie im Aktionsfeld auf der rechten Seite unter dem Menüpunkt FILTER ALS BENUTZERDEFINIERTE ANSICHT SPEICHERN sichern. Geben Sie Ihrem Filter einen Namen und eine Beschreibung. Sie können ihn dann in der Navigationstruktur auf der linken Seite jederzeit aufrufen und wieder verwenden.
4.4.4
Einstellungen der Ereignisanzeige
Über das Kontextmenü EIGENSCHAFTEN eines Protokolls können Sie die Einstellungen zur Protokollgröße und zum Verhalten bei Erreichen dieser Voreinstellungen festlegen. Die nachfolgend beschriebenen Einstellmöglichkeiten gelten lokal für den jeweiligen Computer. In einem Active Directory-basierten Netzwerk bieten sich spezielle Gruppenrichtlinien an (siehe Abschnitt 5.6 Gruppenrichtlinien ab Seite 303), die Sie an dieser Stelle finden: \Computerkonfiguration \Windows-Einstellungen \Sicherheitseinstellungen \Ereignisprotokoll
4.4 Ereignisanzeige ______________________________________________________ 225 Die MAXIMALE PROTOKOLLGRÖßE ist einstellbar in 64 KBSchritten. Die Protokollgröße aktuell erreichte Größe können Sie übrigens im Ereignisprotokoll sehen, wenn Sie die Strukturwurzel EREIGNISANZEIGE aktivieren. Im rechten Fensterteil werden dann alle enthaltenen Protokolle mit ihrer aktuellen Größe angezeigt. Für den Fall, dass ein Protokoll die maximal zulässige Größe erreicht Das Protokoll ist voll! hat, können Sie das Verhalten des Systems festlegen: EREIGNISSE NACH BEDARF ÜBERSCHREIBEN Mit dieser Einstellung ersetzen bei Erreichen der Dateigröße neue Ereignismeldungen die jeweils ältesten. Das ist ausreichend, wenn Sie das Protokoll regelmäßig überprüfen oder die Wichtigkeit der Protokollierung nicht so sehr im Vordergrund steht. Abbildung 4.29: Einstellungen zum Protokoll
EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ___ TAGE SIND Sollen Protokolleinträge auf jeden Fall für einen bestimmten Zeitraum erhalten bleiben, beispielsweise um diese wöchentlich zu sichern, ist diese Einstellung zu empfehlen. Beachten Sie allerdings, dass keine neuen Ereignismeldungen hinzugefügt werden können, wenn das Protokoll die maximale Größe erreicht hat und keine Meldungen enthält, die älter als von Ihnen eingestellt sind. EREIGNISSE NIE ÜBERSCHREIBEN Wenn Sie möchten, dass garantiert alle Ereignismeldungen erhalten bleiben sollen, wählen Sie diese Einstellung. Dabei liegt es allein in der Verantwortung des Administrators, regelmäßig das Protokoll zu leeren und gegebenenfalls vorher zu archivieren.
226 _______________________________________ 4 Wichtige Administrationswerkzeuge
4.4.5
Protokolle speichern und weiterverarbeiten
Protokolle können Sie zur Archivierung oder Weiterverarbeitung durch andere Programme über das Menü AKTION | PROTOKOLL SPEICHERN UNTER abspeichern. Dabei können Sie zwischen dem nativen Dateiformat und XML auswählen: EREIGNISPROTOKOLL (*.EVTX) Dies ist das binäre Dateiformat für die Ereignisanzeige. Es lässt sich nicht mit herkömmlicher Software, wie beispielsweise einem Texteditor oder einer Tabellenkalkulation, öffnen. Zum Archivieren ist dieses Format deswegen nur bedingt geeignet. XML (*.xml) Die Extensible Markup Language (engl. für erweiterbare Auszeichnungs-Sprache), ist ein Standard zur Erstellung maschinen- und menschenlesbarer Dokumente in Form einer Baumstruktur.
4.4.6
Ereignismeldungen anderer Computer ansehen
Wenn Sie sich die Ereignismeldungen anderer Computer ansehen wollen, abonnieren Sie die Ereignisse der Remotecomputer. Vista verfügt über einen Dienst, der mit entsprechenden Rechten ausgestattet die Ereignismeldungen für Sie einsammelt. Beim erstmaligen Einrichten eines Abonnements, fragt Vista, ob der Dienst WindowsEreignissammlung gestartet und für einen automatischen Start konfiguriert werden soll. Die Meldung bestätigen Sie, damit der Empfang von Ereignissen gewährleistet werden kann. Mit einem Rechtsklick auf ABONNEMENTS öffnet sich das Kontextmenü. Abbildung 4.30: Abonnement erstellen
Wählen Sie ABONNEMENT ERSTELLEN aus und das Dialogfenster Abonnementeigenschaften erscheint.
4.4 Ereignisanzeige ______________________________________________________ 227 Abbildung 4.31: Dialogfenster Abonnementeigenschaften
Dem Abonnement vergeben Sie einen Namen und eine Beschreibung. Das dient der Übersichtlichkeit, vor allem, wenn Sie mehrere Server oder PCs abfragen wollen. Bei ZIELPROTOKOLL geben Sie an, wohin die empfangenen Ereignismeldungen gespeichert werden sollen (siehe Abschnitt 4.4.1 Protokollarten ab Seite 218). Im Bereich Q UELLCOMPUTER werden die zu kontrollierenden PCs angegeben. Sie können mehrere Computer zu einem Abonnement hinzufügen oder jeden Computer ein eigenes Abonnement einrichten. Die Befehlsschaltflächen HINZUFÜGEN und LÖSCHEN steuern die Mitgliedschaft im Abonnement. Die Schaltfläche DEAKTIVIEREN erlaubt das temporäre Ausklammern einzelner Computer. Achten Sie auf jeden Fall darauf, dass ein Kommunikationstest über die Schaltfläche TEST positiv verläuft. In einer Domänen-Umgebung sollten keine Probleme entstehen. Für ein Peer-to-Peer-Netzwerk beachten Sie die Anweisungen in Abbildung 4.32. Abbildung 4.32: Remoteverbindung für die Ereignisanzeige fehlgeschlagen
Die zu sammelnden Ereignisse können über einen Abfragefilter eingegrenzt werden. Über die Schaltfläche EREIGNISSE AUSWÄHLEN öffnen Sie das Dialogfenster ABFRAGEFILTER, das eine sehr genaue Selektion der Ereignisse ermöglicht.
228 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.33: Abfragefilter für Ereignisse entfernter Computer
Über die Schaltfläche ERWEITERT können zusätzliche Angaben zur Verbindung mit dem entfernten Computer gemacht werden. Abbildung 4.34: Erweiterte Abonnement-einstellungen
Der Bereich BENUTZERKONTO gibt den Sicherheitskontext an. In unteren Bereich des Dialogfensters können Einstellungen für die Bandbreitennutzung und Kommunikation vorgenommen werden.
4.4.7
Ereignismeldungen analysieren
Im Internet gibt es diverse Seiten, auf denen Ereignis-IDs (in Englisch als Suchbegriff Event ID verwenden) und dazugehörige Problemlösungen erläutert werden.
4.5 Task-Manager________________________________________________________ 229 Hervorzuheben ist die folgende Website: www.eventid.net eventid.net Bei Microsoft gibt es leider keinen allgemein zugänglichen Einstiegspunkt. Für MSDN-Abonnenten kann aber die Suchfunktion der MSDN-Website weiter helfen: http://msdn.microsoft.com MSDN
4.4.8
Ereignismeldung zum Syslog-Server senden
Syslog-Server sammeln Logdateien von verschiedenen Geräten. Dazu zählen Server mit UNIX oder Linux, Netzwerkgeräte, wie Router und Switches. Sogar manche netztauglichen Drucker verfügen über die Möglichkeit Statusmeldungen via Syslog zu übermitteln. Verfügen Sie bereits über eine zentrale Stelle zur Log-Verwaltung, sollten Sie es in Betracht ziehen, auch die Vista-Clients zu integrieren. Es gibt einige Freeware-Tools, die das für Sie bewerkstelligen. Achten Sie beim Download darauf, dass das Programm auch das neue Format geeignet? Logging-Format von Vista unterstützt und nicht nur Ereignisdateien im *.evt-Format umsetzt. www.kiwisyslog.com/products.php
4.5
Task-Manager
Der Task-Manager ist ein wichtiges Werkzeug, mit dem Sie direkt am System Prozesse überwachen oder in diese eingreifen können. Der Task-Manager liefert eine Reihe von aktuellen Systeminformationen. Allerdings stehen hier nur ausgewählte Indikatoren zur Verfügung. Darüber hinaus können Sie Prozesse beenden, starten oder in deren Verhalten in einem gewissen Umfang eingreifen.
4.5.1
Starten des Task-Managers
Den Task-Manager können Sie mit Hilfe verschiedener Methoden starten. Eine der bekanntesten ist sicherlich die über die Tastenkombination Strg-Alt-Entf. Damit kommen Sie direkt zum Task-Manager, wenn Ihr Computer standalone oder in einem kleinen Arbeitsgruppen-Netzwerk läuft und die Anmeldung über den Willkommen-Bildschirm läuft, zum Dialogfenster Windows-Sicherheit, wenn Ihr Computer in eine Active Directory-Domäne eingebunden ist oder die Anmeldung explizit auf das klassische Anmeldefenster eingestellt ist. Weitere Informationen zur Anmeldung finden Sie in Abschnitt 3.3.1 Der Windows Vista-Anmeldedialog ab Seite 132. Nachfolgend finden Sie weitere Möglichkeiten für den Start des TaskManagers.
230 _______________________________________ 4 Wichtige Administrationswerkzeuge
Kontextmenü der Taskleiste Aufruf von TASKMGR.EXE
Drücken Sie einfach die Tastenkombination Strg-Umschalt-Esc. Der Task-Manager erscheint dann sofort. Klicken Sie mit der rechten Maustaste (Linkshänder die linke) auf eine freie Stelle in der Taskleiste und wählen Sie aus dem erscheinenden Kontextmenü TASK-MANAGER aus. Starten Sie den Task-Manager über die Schnellsuche, START | AUSFÜHREN oder in einer Eingabeaufforderung: C:\>Taskmgr.exe Der Task-Manager ist eine originäre Windows-Anwendung und verfügt, anders als die Managementkonsole, nicht über die Möglichkeit, für entfernte Systeme ausgeführt zu werden.
4.5.2
Aufbau des Task-Managers
Sie finden im Task-Manager sechs Registerkarten, die jeweils unterschiedlichen Funktionsbereichen zugeordnet sind: ANWENDUNGEN Hier werden alle laufenden Anwendungen aufgeführt. Sie können Abgestürzte Anwendungen finden und erkennen, ob eine Anwendung abgestürzt ist, wenn längere Zeit in beenden der Spalte STATUS die Meldung KEINE RÜCKMELDUNG erscheint. Bei normal laufenden Anwendungen sehen Sie normalerweise WIRD AUSGEFÜHRT . Eine abgestürzte Anwendung können Sie mit Hilfe des Task-Managers leicht loswerden, indem Sie diese markieren und auf die Schaltfläche TASK BEENDEN klicken. Meist bekommen Sie dann eine entsprechende Rückfrage des Systems, wenn es feststellt, dass die Anwendung auf die Beenden-Forderung nicht reagiert. Abbildung 4.35: Anzeige der Anwendungen
4.5 Task-Manager________________________________________________________ 231 PROZESSE Das ist die aktuelle Prozessliste des Betriebssystems. Sie sehen hier, Prozessliste des welche Prozesse aktiv sind und erhalten darüber hinaus weitere Betriebssystems einsehen Informationen über deren Abarbeitung. Abbildung 4.36: Liste der Prozesse, hier mit der Anzeige zu den Benutzern
Aktivieren Sie das Kontrollkästchen PROZESSE ALLER BENUTZER ANZEIGEN, wenn mehrere Benutzer parallel an Ihrem System angemeldet sind und diese nur über BENUTZER WECHSELN zwischen den Anmeldungen hin- und herwechseln. Sie sehen dann alle Prozesse mit der Zuordnung der einzelnen Benutzernamen. Über die Schaltfläche PROZESS BEENDEN können Sie einzelne Prozesse gewaltsam beenden. Ratsam ist das allerdings nicht, da Sie die Stabilität des Gesamtsystems gefährden könnten, wenn Sie so Systemprozesse stoppen. Diese Option ist also als Notbremse zu verstehen, falls es ein Prozess schafft das System zu blockieren. DIENSTE Diese Registerkarte wurde für Vista neu hinzugefügt. Dienste werden in Korrelation zu den Prozess-ID-Nummern (PID) angezeigt. PIDs können natürlich erst angezeigt werden, wenn der Status des Dienstes auf WIRD AUSGEFÜHRT steht.
Die Schaltfläche DIENSTE führt zur Dienstesteuerung. Die Dienstesteuerung ist in dem gleichnamigen Abschnitt auf Seite 463 beschrieben.
232 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.37: Liste der Dienste: Eine neue Registerkarte im Task-Manager
LEISTUNG
Diese Ansicht des Task-Managers gibt Ihnen einen Überblick über die momentane Auslastung des Systems hinsichtlich einiger ausgewählter Parameter. Abbildung 4.38: Erkennen der momentanen Systemauslastung
4.5 Task-Manager________________________________________________________ 233 Hängt Ihr System des Öfteren oder ist die Performance nicht zu- Engpässe bei CPU frieden stellend, können Sie hier einen ersten Eindruck von der und Speicher erkenmomentanen Auslastung wichtiger Ressourcen wie CPU-Leistung nen oder Arbeitsspeicher-Belegung bekommen. Bei einem Mehrprozessorsystem erhalten Sie die grafische Anzeige für jede CPU getrennt. Die einzelnen Parameter dieser Anzeige werden im nachfolgenden Abschnitt näher vorgestellt. Die Schaltfläche RESSOURCENMONITOR führt zu einer Leistungsund Zuverlässigkeitsüberwachung, die in Abschnitt 4.3 Leistungsüberwachung und -optimierung beschrieben ist. NETZWERK In dieser Rubrik wird eine grafische Anzeige der momentanen Auslastung der Netzwerkschnittstelle dargestellt. Abbildung 4.39: Netzwerkauslastung des Systems
Sie sehen, wieweit die physikalisch mögliche Bandbreite Ihrer Netzwerkschnittstelle überhaupt ausgenutzt wird. Registrieren Sie hier niedrige Werte bei einer unbefriedigenden Netzwerkperformance zum Server, kann die Ursache ein ausgelasteter Server sein oder es kann an der Übertragungsstrecke (Kabel, aktive Komponenten) liegen. BENUTZER Diese Registerkarte ist nur bei Standalone-Systemen verfügbar, Lokale Benutzernicht jedoch bei Computern, die in eine Active Directory-Domäne sitzungen eingebunden sind. Sie gibt Auskunft über alle aktuell angemeldeten Benutzer an diesem System.
234 _______________________________________ 4 Wichtige Administrationswerkzeuge Abbildung 4.40: Anzeige der aktiven Benutzersitzungen
Als Administrator können Sie auch von hier aus über die Schaltflächen TRENNEN beziehungsweise ABMELDEN Benutzersitzungen beenden. Darüber hinaus können Sie eine NACHRICHT SENDEN, die der Benutzer dann beim Wiederanmelden empfängt.
4.5.3
Auslastung der CPUs
Auslastung des Speichers
Parameter in der Registerkarte LEISTUNG
Die in der Standardansicht des Task-Managers angezeigten Parameter haben folgende Bedeutung: VERLAUF DER CPU-AUSLASTUNG Sie sehen die momentane Belastung der CPU sowie eine Verlaufsgrafik der vergangenen Belastung. Diese Angabe in % gibt Auskunft darüber, wie viel sich die CPU pro Zeiteinheit nicht mit dem Leerlaufprozess beschäftigt, also etwas »Sinnvolles« tut. Bei Mehrprozessorsystemen werden standardmäßig separate Verlaufsgrafiken für jede einzelne CPU angezeigt (lässt sich über ANSICHT | CPU-VERLAUF anpassen). VERWENDUNGSVERLAUF DES PHYSIKALISCHEN SPEICHERS In dieser grafischen Darstellung bekommen Sie einen Überblick über den Stand der Nutzung des realen Speichers, des RAM, im System. PHYSIKALISCHER SPEICHER (MB) INSGESAMT
Installierter physischer RAM in Megabytes
4.5 Task-Manager________________________________________________________ 235 IM CACHE
Das ist der Anteil am RAM, der für den Systemcache vorgesehen ist und bei Bedarf durch diesen belegt wird. Diese Größe wird durch das Betriebssystem dynamisch angepasst.
FREI
Derzeit frei verfügbarer RAM
KERNEL-SPEICHER (MB) INSGESAMT
Der durch das Betriebssystem belegte Speicher für den Kernel in Megabytes
AUSGELAGERT
Größe des ausgelagerten Kernel-Speichers
NICHT AUSGE-
Größe des nicht ausgelagerten Kernel-Speichers Die Summe beider Werte ergibt INSGESAMT.
LAGERT
Prozessparameter
SYSTEM HANDLES
Anzahl aller Objekthandles der Prozesse
THREADS
Anzahl aller Threads. Das sind alle Threads der ausgeführten Prozesse sowie ein Leerlauf-Thread pro CPU.
PROZESSE
Anzahl der laufenden Prozesse
LAUFZEIT
Zeit seit Start des Systems
AUSLAGERUNGS- Die erste Zahl zeigt die derzeitige Größe der Auslagerungsdatei. Die zweite Zahl ist die maDATEI ximale Größe der Auslagerungsdatei. In dieser Task-Manager-Version wurde bewusst auf eine Vermengung von realem und virtuellem Speicher in der Anzeige verzichtet.
4.5.4
Anpassen des Task-Managers
Der Task-Manager kann über einige Einstellmöglichkeiten angepasst werden: AKTUALISIERUNGSGESCHWINDIGKEIT Die Zeitspanne, die zwischen zwei Messungen der Aktivitäten verstreicht, können Sie direkt beeinflussen. Gehen Sie dazu in das Menü ANSICHT und wählen Sie dort AKTUALISIERUNGSGESCHWINDIGKEIT. Sie können in dem folgenden Menü zwischen drei Stufen (HOCH, NORMAL, NIEDRIG) und der Einstellung ANGEHALTEN umschalten. Entscheiden Sie sich für die letzte Option, können Sie die Aktualisierung der Anzeige manuell über ANSICHT | AKTUALISIEREN oder mit Druck auf die Funktionstaste F5 erreichen. Bedenken Sie außerdem, dass diese systemnahen Messungen das System zusätzlich belasten. Eine hohe Aktualisierungsrate kann also die Messergebnisse beeinflussen.
Aktualisierungsgeschwindigkeit des Task-Managers einstellen
236 _______________________________________ 4 Wichtige Administrationswerkzeuge
CPU-Auslastungsanzeige
Kernel-Zeiten einblenden
CPU-VERLAUF Diese Option ist nur wählbar, wenn mehr als eine CPU im Computer installiert ist. Das betrifft übrigens auch Einzel-CPUs, die via Hyper Threading dem System zwei logische CPUs vorgaukeln (siehe Abschnitt Prozessor ab Seite 51). Sie können hier entscheiden, ob im Auslastungsdiagramm eine separate Grafik pro CPU angezeigt werden soll oder nicht. KERNEL-ZEITEN Zusätzlich können Sie sich anzeigen lassen, wie viele Ressourcen der CPU durch Kernel-Operationen des Betriebssystems belegt sind. Aktivieren Sie dazu über ANSICHT den Menüpunkt KERNELZEITEN ANZEIGEN. Die grafischen Anzeigen der CPU-NUTZUNG werden dann durch rote Linien ergänzt, welche die Belastung der CPU durch Kerneloperationen anzeigen.
4.5.5 Standard-Spalten
Anpassen der Spalten
Die Prozessliste im Detail
Die Prozessliste zeigt alle laufenden Prozesse. Die folgenden Spalten finden Sie standardmäßig vor: NAME Das ist der Name des Prozesses beziehungsweise des Programms, auch wenn dieses innerhalb einer Benutzerumgebung gestartet worden ist. BENUTZERNAME Der Benutzername weist auf den Eigentümer bzw. Auslöser des Prozesses hin. CPU-AUSLASTUNG (%) Dies ist eine prozentuale durchschnittliche Angabe, die Auskunft darüber gibt, wie hoch der Anteil an der in Anspruch genommenen Gesamt-CPU-Leistung innerhalb einer Zeiteinheit ist. SPEICHERAUSLASTUNG Je Prozess wird sein aktuell benutzter Hauptspeicheranteil angezeigt. Das wird auch als Workingset des Prozesses bezeichnet. Darüber hinaus können Sie alle Spalten selbst einrichten und zusätzliche Werte anzeigen lassen. Öffnen Sie dazu das entsprechende Auswahl-Dialogfenster über das Hauptmenü ANSICHT | SPALTEN AUSWÄHLEN. In der nachfolgenden Liste finden Sie einige interessante Parameter zur Speichernutzung, die Sie auch zur Fehlersuche einsetzen können. ARBEITSSPEICHER Diverse Anzeigen zur Nutzung des Arbeitsspeichers lassen sich in sieben verschiedenen Spalten einstellen. PID (PROZESS-ID) Die Prozess-ID wird für jeden Prozess einmalig vergeben. Diese ist allerdings nicht fest zugeordnet. Wird ein Prozess geschlossen und
4.5 Task-Manager________________________________________________________ 237 neu gestartet, wird eine neue ID vergeben, die zur vorhergehenden differieren kann. CPU-ZEIT Diese Angabe zeigt in Stunden:Minuten:Sekunden die seit dem Start des Prozesses effektiv verbrauchte CPU-Zeit an. Den höchsten Wert nimmt hier normalerweise der so genannte Leerlaufprozess als das Maß für die »Faulheit« der CPU ein. CPU-AUSLASTUNG Dieser Wert liefert Auskunft darüber, wie stark die CPU seit dem Start des Systems belastet war. Abbildung 4.41: Auswählen der Spalten, die in der Prozessliste erscheinen sollen
Zu allen anderen Parameter finden Sie weitergehende Hinweise in der Windows Vista-Online-Hilfe. Auf laufende Prozesse können Sie im Bedarfsfall direkten Einfluss nehmen. Klicken Sie dazu auf den betreffenden Prozess und öffnen Sie über die rechte Maustaste das Kontextmenü: PROZESS BEENDEN Damit beenden Sie einen laufenden Prozess »gewaltsam«. So können Sie aber beispielsweise eine hängende Anwendung, die als Dienst gestartet worden ist, schließen und im Bedarfsfall neu ausführen. »Hängt« ein Programm noch im Speicher, kann es nicht erneut ausgeführt werden. Mit PROZESS BEENDEN können Sie einen Neustart des gesamten Systems umgehen. Sie können neue Tasks beziehungsweise Anwendungen direkt aus dem Task-Manager heraus starten. Im Hauptmenü DATEI finden Sie dazu die Option NEUER TASK (AUSFÜHREN ...). Das kann für den Administrator eine interessante Funktion sein, wenn er beispielsweise über Gruppenrichtlinien den normalen Anwendern das Startmenü angepasst hat (AUSFÜHREN und
Laufende Prozesse beeinflussen:
Prozesse manuell beenden
238 _______________________________________ 4 Wichtige Administrationswerkzeuge
Prozesse mit allen Töchter-Prozessen beenden
Prozess-Prioritäten beeinflussen
Verteilung von Prozessen auf CPUs
EINGABEAUFFORDERUNG fehlen) und schnell an einem solchen Arbeitsplatz ein externes Programm über die Kommandozeile starten will. PROZESSSTRUKTUR BEENDEN Komplexere Prozesse initiieren den Start weiterer Prozesse, die Sie über diese Option mit beenden können. Teilweise werden dadurch erst alle Prozesse einer hängenden Anwendung geschlossen und die durch sie belegten Ressourcen wieder freigegeben. PRIORITÄT FESTLEGEN Prozesse binden Prozessorressourcen an sich, wenn sie ausgeführt werden. Dabei können den Prozessen verschiedene Prioritätsstufen zugewiesen werden. Die meisten Prozesse arbeiten mit der Einstellung NORMAL. Es gibt aber auch Prozesse, die in ECHTZEIT ausgeführt werden müssen. Über diese Option lassen sich die Priorität eines Prozesses und damit seine Abarbeitungsgeschwindigkeit in gewissen Grenzen beeinflussen. Beachten Sie, dass Sie damit auch Einfluss auf die Abarbeitung der verbleibenden Prozesse nehmen. ZUGEHÖRIGKEIT FESTLEGEN Bei Mehrprozessorsystemen kann hier die Zuteilung von Prozessen zu den verfügbaren CPUs beeinflusst werden. So können Sie verschiedene Prozesse oder Dienste gezielt auf verschiedene CPUs verteilen. Beachten Sie generell, dass manuelle Eingriffe in die Prozesse die Stabilität des Systems beeinträchtigen beziehungsweise zu Datenverlusten führen können. Besondere Sorgfalt ist beim Beeinflussen von Systemdiensten geboten. Gerade für die beiden letzten Optionen gilt: Normalerweise nimmt Windows Vista selbst die Verteilung der Ressourcen vor. Eine manuelle Einflussnahme ist nur selten wirklich notwendig.
4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung Regelmäßig wiederkehrende Administrationsaufgaben, wie beispielsDer ehemalige Taskplaner-Dienst weise die regelmäßige Datensicherung, werden meist automatisiert. heißt jetzt AufgabenWindows Vista bietet wie die Serversysteme dazu verschiedene Tools planung an, die alle auf dem zentralen Dienst Aufgabenplanung aufsetzen: Grafische Einrichtmöglichkeit über die vorgefertigte Managementkonsole Aufgabenplanung (TASKSCHD.MSC) Kommandozeilen-Tool SCHTASKS.EXE Kommandozeilen-Tool AT.EXE Alle drei Tools werden nachfolgend näher erläutert.
4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung__________ 239
4.6.1
Aufgabenplanung
Sie finden die Konsole Aufgabenplanung unter START | SYSTEMSTEUERUNG|VERWALTUNG. Die Aufgabenplanung kann Programme zu einer bestimmten Zeit starten, Programme beim Start oder Herunterfahren des Computers ausführen, Aufgaben zu einem späteren Zeitpunkt oder regelmäßig ausführen. Ist Ihr Computer ACPI-kompatibel, wird er auch aus dem Standbybetrieb geweckt, wenn eine Aufgabe auszuführen ist. Abbildung 4.42: Aufgabenplanung in der Übersicht
Die Konsolenfenster im Detail Nachfolgend werden die einzelnen Bereiche des Konsolenfensters näher vorgestellt: Navigationsfenster Normalerweise werden Aufgabenplanungen für den lokalen Computer angelegt. Wurde bereits eine Verbindung zu einem entfernten Rechnern (meist ein Server) über VERBINDUNG MIT ANDEREN COMPUTERN HERSTELLEN im Aktionsfenster etabliert, sind die Aufgabenplanungen auch für fremde Rechner verfügbar. Unterhalb der AUFGABENPLANUNG befindet sich die A UFGABENPLANERBIBLIOTHEK. Hier sind die Systemaufgaben verschiedener Dienste aufgeführt, die im Hauptfenster konfiguriert werden können, sobald sie ausgewählt sind.
240 _______________________________________ 4 Wichtige Administrationswerkzeuge Hauptfenster Neben der Einstellung der Systemaufgaben zeigt das Hauptfenster nach dem Starten der Konsole im oberen Drittel eine Zusammenfassung der Aufgabenplanung, die Bedienungshinweise enthält. Im unteren Teil wird der AUFGABENSTATUS präsentiert. In einer Tabelle sind alle eingerichteten Aufgaben darstellt. Zu jedem Aufgabennamen sind Informationen zum Start, Ende und Ausführungsergebnis erhältlich. Aktionsfeld Das Aktionsfeld verhält sich kontextsensitiv. Je nach Auswahl im Navigationsfenster ändert sich der Inhalt. Steht die Navigation auf der höchsten Ebene (beispielsweise Aufgabenplanung (lokal)), sind Einträge zum Erstellen neuer Aufgaben und zum Importieren von Aufgaben vorhanden. Außerdem können Sie Verbindungen zu anderen Computer aufbauen und eine Ansicht aller aktiven Aufgaben abrufen. Über die KONFIGURATION DES AT-DIENSTKONTOs legen Sie fest, unter welchem Sicherheitskontext der ab Seite 243 beschriebene AT-Dienst läuft. Abbildung 4.43: Ein Ausschnitt aus dem Hauptfenster
Ist in der Navigation eine einzelne Aufgabe aus der Aufgabenplanerbibliothek ausgewählt, sind Kommandos für diese Aufgabe verfügbar wie AUSFÜHREN, BEENDEN und DEAKTIVIEREN. Auch das Exportieren der Aufgaben ist möglich, um die oben genannte Import-Funktion auf einem anderen Computer nutzen zu können.
Eine neue Aufgabe erstellen Der Menüpunkt EINE EINFACHE AUFGABE ERSTELLEN ruft einen Assistenten auf, der nacheinander die Parameter der Aufgabe abfragt.
4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung__________ 241 Wird es etwas komplizierter, empfiehlt sich der Menüpunkt AUFGABE ERSTELLEN. Im folgenden Dialogfenster können Sie alle Angaben zu der Aufgabe machen. Abbildung 4.44: Aufgabe erstellen
Nachfolgend werden die wichtgigsten Optionen zu den einzelnen Registerkarten erläutert: ALLGEMEIN Sie können einen Namen und eine Beschreibung angeben. Die Sicheroptionen verlangen die Angabe des Benutzerkontos, mit dem die Aufgabe ausgeführt werden soll. Es kann eingestellt werden, ob die Anmeldung eines Benutzers erforderlich ist oder nicht. Damit der AUFGABENSTATUS übersichtlich bleibt, kann die Aufgabe ausgeblendet werden. Ausgeblendete Aufgaben können über die entsprechende Funktion in der ANSICHT im Aktionsfeld wieder sichtbar gemacht werden. Mit KONFIGURIEREN kann definiert werden, ob die zu erstellende Aufgabe für einen Vista-PC oder für einen Windows-Server gedacht ist. TRIGGER Hiermit richten Sie den Anlass (das Ereignis) ein, zu dem die Aufgabe ausgeführt werden soll. Das muss nicht zwangsweise ein Zeitplan sein. Starten, Anmelden oder Leerlauf sind weitere Optionen. Die Aufgabe kann auch abhängig von anderen Ereignissen gestartet werden. Das ist für Administratoren sehr interessant. Beispielsweise können Sie sich E-Mails schicken lassen, sobald bestimmte Ereignisse auf Ihrem Server passieren. AKTIONEN Hier wird die eigentliche Aufgabe definiert. Die Auswahl lässt das Starten eines beliebigen Programms und das Senden einer E-Mail
242 _______________________________________ 4 Wichtige Administrationswerkzeuge oder einer Nachricht zu. Aufrufparameter können ebenfalls angegeben werden. BEDINGUNGEN Weitere Voraussetzungen zum Ausführen der Aufgabe können hier eingetragen werden. So kann erreicht werden, dass bestimmte Konditionen, wie Leerlauf, Energie- und Netzwerkoptionen, zum Ausführen vorliegen müssen. EINSTELLUNGEN Unter dieser Registerkarte sind weitere Optionen zusammengefasst, die in der Regel aber nicht geändert werden müssen.
Eigenschaften einer Aufgabe Über das Kontextmenü oder ANSICHT | EIGENSCHAFTEN sehen Sie nun alle Einstellungen, die Sie beim Erstellen der Aufgabe vorgenommen haben. Abbildung 4.45: Registerkarte Verlauf im Eigenschafts-Fenster einer Aufgabe
Zusätzlich erscheint die Registerkarte VERLAUF, die genau anzeigt, wann und mit welchem Ergebnis die Aufgabe durchgeführt wurde.
4.6.2
Kommandozeilenwerkzeuge
Vista beinhaltet die althergebrachte Funktion AT.EXE und das mit Windows XP eingeführte Werkzeug SCHTASKS.EXE. Beide Tools werden in den nachfolgenden Abschnitten vorgestellt.
4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung__________ 243 Kommandozeilenwerkzeug AT.EXE Das Kommandozeilenwerkzeug AT lässt den automatischen Start von Programmen und Skripten zu einem beliebigen Zeitpunkt zu. Wenn mit AT Aufgaben geplant wurden, erscheinen diese ebenfalls in der Aufgabenplanung, die im vorherigen Abschnitt besprochen wurde. Zum Anlegen von Aufgaben nutzen Sie diese Syntax: Syntax At [] [] Das Löschen der Aufgabe erfolgt über die Kennung: At [] /delete [/YES] Die Kennung ermitteln Sie, indem Sie At ohne weitere Parameter aufrufen (ausgenommen gegebenenfalls der -Parameter). Die wichtigsten Optionen werden in der folgenden Tabelle erklärt: Option
Bedeutung
Hier wird der Zielcomputer angegeben, für den Aufgaben geplant werden sollen. Gültig ist nur die UNC-Notation. Eine IP-Adresse kann ebenfalls angegeben werden, nur muss diese dann mit den beiden Backslashes \\ versehen werden.
/Delete
Löscht die angegebene Aufgabe.
/Every:
Für können Sie hier angeben: Wochentage wie Mo, Di, Mi, Do, Fr, Sa, So Nummern für die Tage, z.B. 2 für jeden 2. Tag des Monats oder 1, 15 für den 1. und den 15. Tag des Monats
/Interactive
Ermöglicht dem angegebenen Befehl oder Programm, mit dem Desktop des angemeldeten Benutzerkontos zusammenzuarbeiten, um etwa Meldungen auszugeben oder auf Benutzereingaben zu warten.
/YES
Beantwortet automatisch eventuelle Rückfragen (nützlich in Stapelverarbeitungsdateien).
Tabelle 4.3: Optionen für At.exe
Beispiele Die nachfolgenden Beispiele verdeutlichen den Einsatz von AT.EXE. Die Stapelverarbeitungsdatei SICHER.CMD wird an jedem Arbeitstag um 22:00 Uhr aufgerufen: At 22:00 /Every:Mo,Di,Mi,Do,Fr C:\Tools\Sicher.cmd Das Programm DEFRAG.EXE wird wöchentlich am Samstag um 10:00 Uhr gestartet: At 10:00 /Every:Sa C:\Windows\System32\Defrag.exe C: Löscht das Ereignis mit der Kennung 1: At 1 /Delete
244 _______________________________________ 4 Wichtige Administrationswerkzeuge AT-Dienstkonto
Dienstkonto ändern
AT wurde früher immer unter dem lokalen Systemkonto ausgeführt. Bei der Ausführung von Programmen kann das zu Problemen führen, weil dieses Konto möglicherweise keine ausreichenden Rechte besitzt. Durch die Verknüpfung der beiden Werkzeuge kann das Ausführungsrecht nun nachträglich auf ein anderes Konto übertragen werden, beispielsweise das eines Sicherungsadministrators. Zum Ändern des AT-Dienstkontos öffnen Sie im Aktionsfenster der AUFGABENPLANUNG den entsprechenden Punkt. Im dann erscheinenden Dialogfenster können Sie zwischen der Standardvorgabe SYSTEMKONTO und einem anderen, von Ihnen beliebig auswählbaren Konto umschalten.
Abbildung 4.46: AT-Dienstkonto anpassen
Beachten Sie, dass alle über das Kommando AT erstellten Aufgaben generell über das eingestellte AT-Dienstkonto abgearbeitet werden. Das ist ein fundamentaler Unterschied zu den sonstigen Aufgaben in der AUFGABENPLANUNG, die jeweils unter verschiedenen Konten laufen können.
Kommandozeilenwerkzeug SCHTASKS.EXE
create
change run
end
Das Tool SCHTASKS.EXE bietet sechs Optionen, die durch einen Reihe von Parametern konfiguriert werden. Aufgaben (engl. tasks), die hier erzeugt werden, tauchen ebenfalls in der Managementkonsole Aufgabenplanung auf. Schtasks create Erstellt eine neue Aufgabe. Der folgende Befehl plant beispielsweise ein Sicherheitsskript, backup.vbs, das alle 60 Minuten ausgeführt wird. Schtasks /create /sc minute /mo 60 /tn "Sicherung" /tr \\central\data\scripts\backup.vbs Schtasks change Ändert eine oder mehrere Eigenschaften einer Aufgabe. Schtasks run Startet eine geplante Aufgabe unabhängig von der programmierten Startzeit sofort. Der Vorgang ignoriert den Zeitplan, verwendet jedoch den in der Aufgabe gespeicherten Pfad der Programmdatei, das Benutzerkonto und das Kennwort, um die Aufgabe sofort auszuführen. Schtasks end Beendet ein von einer Aufgabe gestartetes Programm.
4.7 Datensicherung_______________________________________________________ 245 Schtasks delete delete Löscht eine geplante Aufgabe. Schtasks query query Zeigt alle geplanten Aufgaben an. Eine genaue Beschreibung der Parameter mit vielen Beispielen finden Online-Hilfe Sie in der Online-Hilfe.
4.7
Datensicherung
Eine der wichtigsten und doch in der Praxis oft am meisten vernachlässigten Aufgaben ist die Datensicherung. Windows Vista bringt ein dafür geeignetes Werkzeug standardmäßig mit. In den folgenden Abschnitten finden Sie Informationen, wie Sie damit regelmäßig Sicherungen und im Notfall eine komplette Wiederherstellung durchführen können.
4.7.1
Überblick
Das standardmäßige Datensicherungsprogramm Windows Backup bietet unter anderem die folgenden Funktionen: Assistenten für die einfache Einrichtung von Sicherungs- und Wiederherstellungsaufgaben Sicherung aller Daten des gesamten Computers, einschließlich geöffneter Dateien. Der Dienst Volumenschattenkopien stellt nur sicher, dass auf diese Dateien zugegriffen werden kann. Ist eine Datei in Bearbeitung, dann wird so ihre bisher auf der Festplatte abgelegte Fassung gesichert. In Windows Server 2003 und Vista ist die Funktion weiter ausgebaut implementiert. Sie kann hier unter anderem dazu genutzt werden, verschiedene Versionen von Dateien auf Volumes zu speichern. Ab Seite 578 wird diese Funktion näher erläutert. Sicherung aller Systemdateien, sodass eine komplette, automatische Wiederherstellung des Betriebssystems durchgeführt werden kann Integrierte einfache Zeitplanungsfunktion. Die geplanten Sicherungen fügen sich in die AUFGABENPLANUNG ein, wie sie in Abschnitt 4.6.1 Aufgabenplanung ab Seite 239 beschrieben ist. Sicherung auf Bänder sowie auf lokale und Netzwerk-Laufwerke. Einfache Verwaltung von Sicherungsmedien. Die Sicherung der Benutzerdaten kann von jedem Benutzer selbst vorgenommen werden. Die komplette Sicherung des gesamten Computers und die Konfiguration der Sicherungen können jedoch nur Administratoren oder Mitglieder der Gruppe SICHERUNGS-O PERATOREN durchführen.
Windows Backup als Nachfolger von NTBACKUP
Rechte beachten
246 _______________________________________ 4 Wichtige Administrationswerkzeuge
4.7.2
»Einmalig«: AdHocSicherung des gesamten Systems
Regelmäßig: Daten
Sicherungsstrategien
Windows Vista bietet Ihnen verschiedene Möglichkeiten an, wie Sie Ihr Betriebssystem und die Daten sichern können. In der Praxis hat sich dabei folgendes Vorgehen als vorteilhaft erwiesen: Sicherung des Betriebssystem-Status für eine Wiederherstellung Sichern Sie Ihr komplettes Betriebssystem mit allen zur Wiederherstellung notwendigen Dateien. Sie sollten diese Sicherung immer dann durchführen, wenn an der Konfiguration des Systems oder an den Anwendungsprogrammen Änderungen vorgenommen worden sind. Sicherung der Daten Sichern Sie regelmäßig Ihre Daten. Praktische Hinweise dazu finden Sie in Abschnitt Grundsätzliches zur Sicherung ab Seite 247. Für ein Einzelplatzsystem ist das eine ausreichende Methode. Der Sicherungsassistent von Windows Vista leistet dazu wirksame Unterstützung.
Sicherung des gesamten Computers
Image-Datei
Vorteile von WINDOWS BACKUP
Für eine Sicherung des kompletten Betriebssystems, sodass im Notfall die Wiederherstellung in kürzester Zeit wieder vorgenommen werden kann, gibt es verschiedene Verfahren: Erstellen einer Image-Datei Mit Tools von Drittherstellern wie Norton Ghost oder Drive Image (www.symantec.de) können Sie von Ihrer System- und Startfestplatte eine komplette Spiegelung anfertigen. Im Notfall kann dann diese Spiegelung wieder zurück auf eine neue Festplatte oder einen neuen PC gespielt werden. Vorteil dieses Verfahrens ist die meist sehr schnelle Verfügbarkeit nach einer Wiederherstellung. Folgende Nachteile oder Umstände sollten allerdings bedacht werden: - Unterstützt das verwendete Tool auch die eventuell dynamisch verwaltete Systemfestplatte oder ist es auf Basisdatenträger beschränkt? - Wird die NTFS Version von Vista umfassend unterstützt? - Beachten Sie, dass zum Erstellen der Image-Datei in der Regel exklusiver Zugriff auf die Festplatte notwendig ist und die Sicherung somit separat, außerhalb von Windows Vista, gestartet werden muss. Nutzung von WINDOWS BACKUP Für die Nutzung von WINDOWS BACKUP spricht, dass Sie diese Sicherung auch während des laufenden Betriebes durchführen können. Mit Hilfe der bereits genannten Technologie Volumeschattenkopie können sogar offene Dateien, beispielsweise die Dateien des Betriebssystems, korrekt gesichert werden. Das war früher mit den
4.7 Datensicherung_______________________________________________________ 247 Sicherungsprogrammen von Windows NT oder 2000 nicht möglich, sodass eine problemlose Wiederherstellung nicht ohne weiteres zu bewerkstelligen war. Wie Sie eine solche Sicherung anfertigen können, ist Inhalt des Abschnitts Sicherung des Betriebssystems durchführen ab Seite 250. Hinzu kommt die einfach zu handhabende Möglichkeit der Wiederherstellung einer solchen Sicherung. Das Verfahren dazu wird in Abschnitt Betriebssystem wiederherstellen ab Seite 253 erörtert. Im weiteren Text wird die einfache Sicherung mit WINDOWS BACKUP näher erörtert. Wenn Sie sich für eine der Image-DateienLösung interessieren, finden Sie weitergehende Informationen auf der angegebenen Hersteller-Webseite.
Grundsätzliches zur Sicherung Für das Sichern der Benutzerdaten sollten Sie die folgenden Punkte bedenken: Chronologische Datensicherungen oder Arbeitskopien? Manche verlassen sich auf Arbeitskopien aktuelle, vollständige Duplikate ihrer Festplatten (beispielsweise auf anderen Festplatten oder Wechselplatten-Medien). Das ist einfach, aber nicht ideal. Was passiert, wenn eine wichtige Datei beschädigt ist und Sie es nicht gleich bemerken? Wenn Sie nur eine Arbeitskopie haben, wird die Datensicherung wahrscheinlich ebenfalls nur die beschädigte Datei enthalten. Gehen Sie dagegen chronologisch vor, ohne die vorhergehenden Dateiversionen zu löschen, können Sie bis zur letzten, noch nicht beschädigten Version der Datei zurückgehen. Speichermedien mit Doppelfunktion Sicherungen von Festplatten auf externe Wechselplattenlaufwerke sind sehr beliebt, weil diese Laufwerke auch noch für andere Aufgaben genutzt werden können. Das funktioniert, ist aber aus zwei Gründen nicht zu empfehlen: Erstens ist da immer die Versuchung, die Speichermedien für das ganz normale Speichern von Daten zu benutzen, wenn man schnell mal Speicherplatz braucht. Damit ist das Speichermedium aber nicht länger nur eine Sicherungskopie, sondern enthält ungesicherte Daten. Zweitens: Wer ein Wechselplattenlaufwerk hat, hat meist auch mehrere Medien, von denen einige ungesicherte Daten enthalten. Wie sollen die gesichert werden? Ein Band-Laufwerk, das nur für die Datensicherung da ist, ist deshalb die bessere Lösung. Speicherkapazität der Medien Bei Geräten zur Datensicherung ist zu überlegen, wie viele Daten es aufnehmen kann. Je kleiner die Kapazität eines Mediums, desto mehr Medien brauchen Sie, und das steigert die Kosten. Natürlich wird es auch schwieriger, ein unbeaufsichtigtes System zur Datensicherung einzurichten, je kleiner die Kapazität der Medien ist. Im Idealfall könnte man eine volle Datensicherung auf ein einziges
Chronologisch oder nur Arbeitskopien?
Speichermedien mit Doppelfunktion vermeiden
Speicherkapazität der Medien beachten
248 _______________________________________ 4 Wichtige Administrationswerkzeuge
Preis der Hardware
Preis der Speichermedien
Langlebigkeit der Geräte und des Medienformats
Zuverlässigkeit der Medien
Überprüfung der Datensicherung
Redundanz
Band machen und dann auf ein zweites Medium monatelang immer nur die Dateien sichern, die sich geändert haben, bevor man den Satz um weitere Medien erweitern müsste. Preis der Hardware Die meisten Benutzer schrecken vor dem Preis guter Sicherungsgeräte zurück. Vor allem moderne Bandlaufwerke sind schnell bei mehr als 500 Euro inklusive Sicherungsmedien. Wer Computer geschäftlich nutzt, kann aber im Falle eines Totalverlusts beispielsweise bei Diebstahl der kompletten Anlage sogar seine berufliche Existenz aufs Spiel setzen. Preis der Speichermedien Sicherheit kostet Geld. Beziehen Sie den Preis des Laufwerks und der Medien in Ihre Überlegungen ein. Professionelle Bandlaufwerke sind teuer, aber die Bänder speichern viele GByte für relativ wenig Geld. Rechnen Sie in Euro pro MB, dann haben Sie einen guten Vergleichswert. Langlebigkeit der Geräte und des Medienformats Wenn es um Geräte zur Datensicherung geht, ist Konformität das oberste Gebot. Niemand hat gerne die Datensicherung von Jahren und Archive in einem Format, das bei einem Defekt des entsprechenden Geräts nicht mehr zugänglich ist. Exoten sind hier fehl am Platz, auch wenn Sie noch so preiswert sind. Zuverlässigkeit der Medien Nicht alle Speichermedien sind gleich und eine beschädigte Datensicherung ist noch schlimmer als gar keine Datensicherung, denn möglicherweise zerstören Sie beim Rücksichern unbewusst vorher noch intakte Daten. Speichermedien sollten heutzutage mindestens einige Jahre halten hier gibt es bei keinem Medium Probleme. Wichtig ist es, wie Sie ihre Medien behandeln. Sie sollten an einem kühlen, trockenen, sauberen Ort aufbewahrt, nur in sauberen Laufwerken eingesetzt und generell vorsichtig behandelt werden. Überprüfung der Datensicherung Wie stellen Sie fest, dass eines Ihrer Bänder kaputt ist oder ob Ihre Datensicherung die richtigen Daten enthält? Überprüfung ist notwendig, um sicherzustellen, dass alles in Ordnung ist. Holen Sie immer wieder ein paar Dateien aus einer Sicherung zurück, um deren Integrität zu prüfen. Sie können auch die Überprüfungsfunktion des Sicherungsprogramms einschalten, wenn sie Bänder zur Datensicherung verwenden. Der Sicherungsvorgang dauert auf diese Weise zwar viel länger, aber er wird sicherer. Redundanz Eine der besten Methoden, um die Gefahr durch defekte Medien zu minimieren, ist der Einsatz mehrerer Medien bzw. MedienSätze. Wenn dann eines davon ausfällt, kann man auf ein anderes zurückgreifen. Selbst wenn das andere Medium schon ein wenig älter ist: Alte Daten sind immer noch besser als gar keine. Für wö-
4.7 Datensicherung_______________________________________________________ 249 chentliche Datensicherungen benutzen Sie drei verschiedene Sätze Bänder, wobei zwei immer wieder überspielt werden. Wenn der dritte Satz eine bestimmte Anzahl an Bändern erreicht hat, archivieren Sie ihn und fangen neu an. Automation Automation Oft liegt das Problem der Datensicherung vor allem darin begründet, dass es eine langweilige Aufgabe ist, die man regelmäßig erledigen muss. Nutzen Sie deshalb die Aufgabenplanung oder die eingebaute Planungsfunktion des Sicherungsprogramms für die Datensicherung. Diese Automatik-Funktionen sind dringend zu empfehlen. Der Ärger ist groß, wenn Sie eine Menge Arbeit verlieren, weil Sie die Datensicherung immer wieder vor sich hergeschoben haben. Aufbewahrungsort Aufbewahrungsort Denken Sie daran was passiert, wenn Ihr Büro von Einbrechern verwüstet wird. Wie ernst Sie das Thema der Aufbewahrung Ihrer Speichermedien außerhalb des Arbeitsplatzes nehmen, hängt davon ab, wie wichtig Ihre Daten sind. Wenn Sie in einem Büro arbeiten, können Sie problemlos jede Woche eine Sicherungskopie mit nach Hause nehmen und eine Sicherung Ihrer Daten von zu Hause mit ins Büro nehmen. Wenn Sie zu Hause arbeiten, sollten Sie darüber nachdenken, Ihre Sicherung einem Freund oder einer Freundin anzuvertrauen, die Sie regelmäßig sehen. Wenn Sie Ihre Medien am Arbeitsplatz aufbewahren, sollten Sie die Anschaffung eines kleinen feuerfesten Safes in Erwägung ziehen. Sie sollten aber darauf achten, dass er zum Schutz magnetischer Medien geeignet ist. Bei einem Brand können Temperaturen, die nicht ausreichen würden, um Papier zu entzünden (das versteht man im Allgemeinen unter »feuerfest«), ein Magnetband durchaus zerstören. Archivierung Archivierung Viele Administratoren meinen, Datensicherung sei dazu da, Daten zu schützen, an denen man gerade arbeitet. Eine gute Sicherungsstrategie kann jedoch auch alte Daten schützen, die man gerne aufbewahren möchte, aber nicht unbedingt auf seiner Festplatte haben will (wie beispielsweise Grafiken, Scans, Videos). Im Idealfall sollte ein Sicherungssystem auch wichtige, sich nicht mehr ändernde Dateien archivieren können. Oft werden die täglichen Sicherungen auf Bändern durchgeführt, aber zusätzlich erfolgt jedes Quartal eine Sicherung auf CD- oder DVD-ROM.
4.7.3
Der Sicherungsassistent
Einfach und bequem lässt sich eine Sicherung mit Hilfe des Siche- Assistent rungsassistenten durchführen. Dieser Sicherungsassistent wird über START|SYSTEMSTEUERUNG|SYSTEM UND WARTUNG|SICHERN UND WIEDERHERSTELLEN aufgerufen.
250 _______________________________________ 4 Wichtige Administrationswerkzeuge Zwei Arbeitsmodi des Sicherungsassistenten
Zwei Modi
Im ersten Dialogfenster des Assistenten haben Sie die Wahlmöglichkeit zwischen zwei grundlegenden Verfahren für die Sicherung: DATEIEN SICHERN: Das weitere Vorgehen wird in Abschnitt Sicherung von Benutzerdaten ab Seite 251 beschrieben. COMPUTER SICHERN: Im nächsten Abschnitt wird die Sicherung des gesamten Computers erläutert.
Abbildung 4.47: Startdialog des Sicherungs-Assistenten
Sicherung des Betriebssystems durchführen Wählen Sie zunächst das Ziel der Sicherung, also das Sicherungsmedium. Abbildung 4.48: Festplatte oder DVD
4.7 Datensicherung_______________________________________________________ 251 Als Sicherungsmedien eignen sich interne und externe Festplatten, andere Wechseldatenträger und DVDs. Ist die Festplatte in mehrere Partitionen aufgeteilt, empfiehlt sich die Sicherung der Systempartition auf eine Datenpartition. So lässt sich leicht der Urzustand des Systems wiederherstellen. Alle Dateien und Ordner auf dem Windows Vista-Startdatenträger (enthält %Systemroot% und auch %SystemDrive%\Benutzer) In einem separaten Verzeichnis die Konfigurationsinformationen zu den Datenträgern Systemstatusdateien: Registrierungsdatenbank, COM+-KlassenRegistrierungsdatenbank und Dateien für den Systemstart Entscheiden Sie sich für die Sicherung auf DVD, muss ein entsprechender Brenner im System verfügbar sein. Das Sicherungsabbild eines frisch installierten Systems beschreibt circa 3-6 DVDs. Die theoretisch mögliche Sicherung auf CDs sollte wegen der Menge an notwendigen Datenträgern nicht in Betracht gezogen werden. Auch wenn das zunächst nach Verschwendung aussieht, tun Sie sich den Gefallen und investieren in eine Spindel mit DVD-Rohlingen. Machen Sie eine Sicherung sofort nach der Installation und legen Sie diese am besten in einen Safe. Im Havariefall zahlt es sich aus, wenn Sie auf eine solche Sicherung zurückgreifen können. Es wird keine Diskette zum Speichern von Systeminformationen (ASR-Diskette) mehr benötigt und erstellt. Dieses Verfahren hat sich als unpraktisch erwiesen, zumal heutige PCs standardmäßig keine Diskettenlaufwerke mehr haben. Das Format, in dem die Sicherungsabbilder erstellt werden, heißt VHD. VHD steht für Virtual Harddisk und ist das native Format der Virtualisierungsprogramme Virtual PC 2004 und Virtual Server 2005. Das bedeutet, dass sich erstellte Sicherungen mit diesen Anwendungen mounten lassen. Für den Notfall oder für Testzwecke kann damit ein anderer Rechner »Gastgeber« für das erstellte Sicherungsimage sein.
Sicherung von Benutzerdaten durchführen Die Struktur der Benutzerdaten befindet sich unterhalb des Ordners auf den die Umgebungsvariable %Homepath% weist. Unterhalb dieses Ordners liegen alle standardmäßig eingerichteten Ordner für Benutzerdateien. Das ist auch der jeweils pro Benutzer verfügbare Ordner DOKUMENTE. Speichern generell alle Benutzer ihre Dateien ausschließlich hier ab, umfasst die Sicherung damit automatisch alle Benutzer-Dateien und -Ordner. Nach der Auswahl DATEIEN SICHERN werden Sie im nächsten Dialog aufgefordert zu bestimmen, ob Sie Ihre Daten lokal oder im Netzwerk sichern wollen. Die Netzwerksicherung eröffnet weitere Möglichkeiten der Sicherung. Legen Sie ihre Sicherung auf einem Server ab, können die Sicherungsprogramme des Servers beispielsweise für eine
Sicherungsumfang
Keine Diskette, Wiederherstellung über DVD
Abbildformat
252 _______________________________________ 4 Wichtige Administrationswerkzeuge Archivierung sorgen. Nach der Auswahl des Ziels entscheiden Sie welche Dateitypen gesichert werden sollen. Sie bemerken an dieser Stelle sicherlich, dass eine Selektion bestimmter Dateien nicht möglich ist. Wenn Sie diese Funktionalität brauchen, sollten Sie auf Programme von Drittherstellern zurückgreifen. Abbildung 4.49: Zu sichernde Dateitypen bestimmen.
Nach Bestimmung des Sicherungsturnusses startet die Sicherung. Die Benutzerdaten werden in circa 200 MByte großen ZIP-Dateien gesichert. Diese Sicherungsdateien lassen sich mit dem Indexdienst durchsuchen.
Sicherungsstatus abfragen und konfigurieren SDCLT.EXE
Das Sicherungsprogramm von Windows Vista (ohne AssistentenModus) finden Sie im Startmenü unter ALLE PROGRAMME | ZUBEHÖR | SYSTEMPROGRAMME | SICHERUNGSSTATUS UND -KONFIGURATION. Sie können es aber auch über START | AUSFÜHREN starten, indem Sie hier SDCLT.EXE eingeben. Wenn Sie die automatische Sicherung eingeschaltet haben, kontrollieren Sie in regelmäßigen Abständen, ob die Sicherung erfolgreich durchgeführt wurde. Diesen Dialog erreichen Sie auch über EINSTELLUNG ÄNDERN , sobald der Assistent einmal ausgeführt wurde.
4.7.4
Wiederherstellung von Sicherungen
Im Fall der Fälle müssen Daten aus Datensicherungen wiederhergestellt werden. Dabei wird unterschieden, ob das Betriebssystem kom-
4.7 Datensicherung_______________________________________________________ 253 plett wiederhergestellt werden soll oder ob nur bestimmte Dateien zurückgeholt werden müssen.
Betriebssystem wiederherstellen Für die Wiederherstellung des Betriebssystems benötigen Sie, wenn Sie mit dem Windows-eigenen Sicherungsprogramm gesichert haben, die Systemsicherung. Bevor Sie die Wiederherstellung starten, sollten Sie unbedingt die folgenden Punkte überprüfen: Da eine Komplett-Wiederherstellung immer schwerwiegende Ursachen hat, beispielsweise ein Festplatten-Crash, beheben Sie diese zunächst. Lässt sich das Betriebssystem wirklich nicht mehr starten, auch nicht im abgesicherten Modus? Falls wichtige Systemdateien beschädigt sind (oder zu sein scheinen), lohnt sich ein Reparaturversuch über die Wiederherstellungskonsole. Starten Sie diese und führen Sie das Kommando CHKDSK aus. Oft können logische Datenfehler im Dateisystem damit zuverlässig behoben werden und das System kann wieder starten. Weiterführende Informationen finden Sie in Abschnitt 9.7 Systemwiederherstellung nach Totalausfall ab Seite 488. Wenn sich das Betriebssystem doch starten lässt, dabei aber sehr instabil ist: Haben Sie Wiederherstellungsversuche mit der »normalen« Systemwiederherstellung unternommen? Weitere Hinweise finden Sie dazu in Abschnitt 9.3 Systemwiederherstellung ab Seite 448. Bei der automatischen Systemwiederherstellung von einem Sicherungsmedium wird das Systemvolume formatiert. Prüfen Sie deshalb zunächst, ob Sie hier seit dem Zeitpunkt der letzten Datensicherung eventuell Daten abgelegt haben, die dadurch sonst verloren gehen könnten. Haben Sie die Punkte geprüft und wollen die Wiederherstellung dennoch durchführen, gehen Sie wie folgt vor: 1. Schalten Sie den Computer aus. 2. Wenn Sie das ganze System auf DVDs gesichert haben, legen Sie die erste Sicherungs-DVD ein. Ist das Sicherungsmedium eine externe Festplatte, schließen Sie sie an 3. Starten Sie den PC und drücken Sie die Funktionstaste F8 4. Sie befinden sich in der Windows Wiederherstellungsumgebung. Sollte Ihnen die Wiederherstellungsumgebung nicht zur Verfügung stehen, starten Sie den Computer über die Windows VistaDVD und führen von dort die Systemwiederherstellung aus. 5. Wählen Sie WINDOWS SYSTEM IMAGE B ACKUP aus und folgen Sie den Anweisungen auf dem Bildschirm.
Check vor Wiederherstellung
Wiederherstellung starten
254 _______________________________________ 4 Wichtige Administrationswerkzeuge 6. Die Wiederherstellung wird nun selbstständig, einschließlich der Formatierung der Festplatte, durchgeführt. Nach einem abschließenden Neustart befindet sich der PC wieder in dem Zustand, der vor der Complete PC-Sicherung Bestand hatte.
Benutzerdaten wiederherstellen Für die Daten-Wiederherstellung mit WINDOWS BACKUP wird ein funktionierendes Windows Vista vorausgesetzt. Wählen Sie im Assistenten die Option DATEIEN WIEDERHERSTELLEN (siehe Abbildung 4.47 auf Seite 250). Abbildung 4.50: Auswahl der Sicherung
Nach Auswahl der Sicherung sehen Sie einen Dialog zur Auswahl der wiederherzustellenden Dateien. Abbildung 4.51: Auswahl der wiederherzustellenden Dateien
4.7 Datensicherung_______________________________________________________ 255 Bestimmen Sie die Dateien, die Sie wiederherstellen wollen. Danach erhalten Sie das Dialogfenster, in dem Sie bestimmen, an welchem Ort die Dateien wiederhergestellt werden sollen. Findet das Sicherungsprogramm eine gleichnamige Datei am Zielort vor, fordert es eine Entscheidung zum weiteren Vorgehen. Abbildung 4.52: Entscheidung bei Namensgleichung
Sie erhalten abschließend eine Meldung über den Erfolg der Wiederherstellung.
4.7 Datensicherung_______________________________________________________ 257
5 5 Benutzer- und Rechteverwaltung Windows Vista verfügt, wie bereits seine Vorgänger Windows XP und 2000, über eine ausgefeilte Mehrbenutzer-Unterstützung. Die Benutzerverwaltung ist auf den ersten Blick vereinfacht worden, wartet aber mit umfangreichen Einrichtungsmöglichkeiten auf.
258 _________________________________________ 5 Benutzer- und Rechteverwaltung
Inhaltsübersicht Kapitel 5 5.1 5.2 5.3 5.4 5.5 5.6
Überblick ........................................................................ 259 Vereinfachte Benutzerverwaltung.............................. 262 Erweiterte Benutzerverwaltung.................................. 270 Benutzerkontensteuerung ........................................... 281 Benutzerprofile.............................................................. 284 Gruppenrichtlinien ....................................................... 303
5.1 Überblick ____________________________________________________________ 259
5.1
Überblick
Windows Vista bietet im Hinblick auf die Mehrbenutzerfähigkeit eine Vielzahl von Funktionen. Damit ist das System sehr flexibel an die unterschiedlichsten Anforderungen anpassbar. Im Netzwerk eines größeren Unternehmens werden diese Anforderungen sicherlich etwas anders sein als im Arbeitszimmer eines Home-Office. Und gerade im Heimbereich gibt es wiederum nicht wenige Power-User, die höhere Ansprüche an die Systemsicherheit haben.
5.1.1
Vorteile eines mehrbenutzerfähigen Systems
Ein mehrbenutzerfähiges Betriebssystem bietet gegenüber einem ohne diese Fähigkeit eine Reihe von Vorteilen.
Mehr Sicherheit durch getrennte Benutzerkonten Windows Vista verfügt über eine konsequente Trennung der Konten der einzelnen Benutzer. Hier sind es die so genannten SIDs (Security Identifiers), die jedem Konto eindeutig zugeordnet sind. Benutzer wie auch Sicherheitsgruppen werden intern nicht über ihre Namen, sondern nur über diese SIDs verwaltet. Damit lassen sich beispielsweise Zugriffsrechte auf Datenbestände oder andere Systemressourcen genau regeln. Das Betriebssystem kann so eingerichtet werden, dass jeder Benutzer nur auf genau die Daten, lokal oder im Netzwerk gespeichert, zugreifen kann, für die er die entsprechenden Rechte besitzt. Vista unterscheidet den »normalen« Benutzer, also denjenigen, der das System lediglich benutzt, aber keine Installationen oder Konfigurationen vornimmt, und den oder die Administratoren, die mehr Rechte haben um genau diese Aufgaben auszuführen. Der »einfache« Benutzer, im Vista-Jargon Standardbenutzer genannt, wird wirkungsvoll davor bewahrt, dass er unabsichtlich (oder nicht) seinen Arbeitsplatz-PC »verkonfiguriert«. Das umfassende Recht zur Administration des Betriebssystems sollte nur denen zugestanden werden, die wirklich dafür verantwortlich sind. Hier bietet Vista mit der Benutzerkontensteuerung ein Instrument für mehr Sicherheit. Eine höhere Systemsicherheit kann sich mit der Trennung der Benutzerkonten in solche mit und solche ohne administrative Rechte auch außerhalb des Firmeneinsatzes ergeben. Wenn Sie viel im Internet surfen und häufig Download-Möglichkeiten nutzen, sollten Sie dies aus Prinzip niemals mit einem Benutzerkonto durchführen, welches über Administratorrechte verfügt. Für den Fall, dass Sie sich einen Computer-Virus einfangen, kann dieser sonst, versehen mit »Ihren« uneingeschränkten Benutzerrechten, unter Umständen deutlich mehr Schaden anrichten als unter einem Standardbenutzerkonto.
Eindeutige Security Identifier für Benutzer und Gruppen
Zugriffsrechte auf Daten und Ressourcen festlegen
Trennung von Administrator-Rechten und normalen Benutzerkonten
260 _________________________________________ 5 Benutzer- und Rechteverwaltung Individuelle Systemeinrichtung je Benutzer Oberfläche...
...und Anwendungsprogramme
Ein weiterer Vorteil kann sich im Hinblick auf die Produktivität und, nicht zu vergessen das psychologische Moment, mehr Spaß im Umgang mit dem Computer ergeben. Jeder Benutzer kann, völlig getrennt von den anderen, sich sein »eigenes« Windows einrichten. Das beginnt schon bei der Gestaltung des Designs der Oberfläche. So lassen sich alle Einstellungen zur Farbgebung, zum Aussehen von Startmenü und Taskleiste sowie den Fenstern individuell abspeichern. Anwendungsprogramme werden zwar »global« vom Administrator installiert, allerdings kann dieser im Bedarfsfall bestimmen, wer mit welchem Programm arbeiten darf und ob dieses überhaupt im Startmenü angezeigt wird.
Umfangreiche Steuerungsmöglichkeiten: Gruppenrichtlinien Umfassende Anpassungen des Systems lokal...
...und im Netzwerk
Die seit Windows 2000 eingeführten Gruppenrichtlinien finden auch in Vista ihre Anwendung. Mit diesen kann der Administrator sehr genau steuern, wie sich das System gegenüber seinen Benutzern verhält. Wenn erforderlich, können Sie damit Ihr Windows Vista genau auf Ihre Bedürfnisse nach Sicherheit, Bedienkomfort und Systemverhalten gegenüber den Benutzern »maßschneidern«. So lassen sich viele Eigenschaften vorgeben: ein einheitlicher Bildschirmhintergrund, Kennwortzyklen, Internet-Sicherheitseinstellungen des Browsers, um nur einige zu nennen. Der Einsatz von Gruppenrichtlinien wird erst richtig interessant, wenn Sie erkennen, wie Sie mit ihrer Hilfe die Administration der Arbeitsplatz-PCs netzwerkweit steuern können. Mit einmal definierten und zentral im Verzeichnis abgelegten Regeln können Sie computer- und benutzerspezifische Einstellungen sehr komfortabel und sicher vornehmen. Die in Windows Vista implementierten Gruppenrichtlinien sind ein umfassendes Thema, welchem der Abschnitt 5.6 Gruppenrichtlinien ab Seite 303 gewidmet ist.
5.1.2
Vistas Funktionen zur Benutzerverwaltung
Für die Verwaltung von mehreren Benutzern, ob lokal oder im Netzwerk, bietet Windows Vista verschiedene Funktionen.
Vereinfachte Benutzerverwaltung Vereinfachte Sicht auf eine komplexe Lösung
Die von Windows XP Home bekannte, einfache Unterscheidung von »privilegierten« Benutzern mit Administratorrechten und Standardbenutzern ist die in Windows Vista standardmäßige Benutzerverwaltung. Genau genommen ist hierbei nicht die Benutzerverwaltung an sich vereinfacht worden, sondern nur die Sicht auf diese. Im Hinter-
5.1 Überblick ____________________________________________________________ 261 grund arbeiten die gleichen Mechanismen mit eindeutig definierbaren Zugriffsrechten wie bei der erweiterten Benutzerverwaltung. Geht es nur darum, bei wenigen am betreffenden Computer arbeitenden Benutzern die Datenbestände sauber zu trennen und sicherzustellen, dass nur der Administrator alle Rechte zum Konfigurieren hat, so reicht diese Art der Benutzerverwaltung völlig aus. Im nachfolgenden Abschnitt finden Sie dazu weiterführende Informationen.
Erweiterte Benutzerverwaltung Sollte die vereinfachte Sicht nicht ausreichend sein, da Sie vielleicht Erweiterte Verwaldifferenziert Rechte über Sicherheitsgruppen steuern wollen, können tung ab Seite 270 Sie jederzeit in die erweiterte Benutzerverwaltung wechseln. Hier haben Sie dann alle Möglichkeiten, die es schon unter dem Vorgänger Windows XP Professional für die Verwaltung lokaler Benutzerkonten gibt. In Abschnitt 5.3 Erweiterte Benutzerverwaltung ab Seite 270 finden Sie dazu ausführliche Informationen.
Benutzerkontensteuerung Unter Vista arbeiten auch Administratoren vorerst als Standardbenutzer. Die Benutzerkontensteuerung verhindert das unfreiwillige Verändern des Systems, indem auch Administratoren gefragt werden, ob sie sicher sind, dass sie ein bestimmtes Tool verwenden wollen. Somit können keine Programme im Hintergrund im administrativen Kontext gestartet werden, ohne dass der Benutzer etwas davon mit bekommt. Dieses neue Sicherheitsfeature wird in Abschnitt 5.4 Benutzerkontensteuerung ab Seite 281 erklärt.
Einsatz im Unternehmensnetzwerk Windows Vista ist neben seinen Einsatzmöglichkeiten für lokal arbei- Active Directorytende PCs vor allem auch für den Einsatz im Unternehmensnetzwerk Client optimal gerüstet. Damit ist natürlich in erster Linie seine Funktion als Client-Betriebssystem in Microsofts Verzeichnisdienst Active Directory gemeint. Ohne Zweifel bietet aber die Kombination des modernen Serverbetriebssystems Windows Server 2003, beziehungsweise Windows Server 2007 Longhorn, mit Windows Vista funktional nahezu alles, was in einem Unternehmensumfeld an Anforderungen zu einer einfachen und leistungsfähigen Administrierbarkeit gestellt wird. Dieses Thema wird in Abschnitt 14.5 Einbindung als Client in Active Directory ab Seite 898 behandelt.
262 _________________________________________ 5 Benutzer- und Rechteverwaltung
5.2
Vereinfachte Benutzerverwaltung
Auf die vereinfachte Benutzerverwaltung stoßen Sie, wenn Sie in der Systemsteuerung das Applet B ENUTZERKONTEN unter der Rubrik BENUTZERKONTEN UND JUGENDSCHUTZ starten.
5.2.1
Funktionen
Es stehen ausgewählte Funktionen zur Verwaltung von Benutzerkonten zur Verfügung: Optionen für das eigene Konto: - KENNWORT ERSTELLEN Richten Sie Ihr Kennwort ein. Vermeiden Sie »schwache« Kennwörter, wie Vornamen von Angehörigen. Hinweise zur Wahl eines Kennwortes erhalten Sie unter dem Link WIE WIRD EIN SICHERES KENNWORT ERSTELLT. Mit Hilfe eines Assistenten können Sie eine Kennwortrücksetzdiskette erzeugen, die Ihnen hilft, wenn Sie Ihr eigenes Kennwort vergessen haben (mehr dazu in Abschnitt 5.2.6 Kennwortrücksetzdiskette erstellen auf Seite 267). - EIGENES BILD ÄNDERN Das Anmeldebild wird im Willkommenbildschirm und im Startmenü angezeigt (siehe Abschnitt 5.2.5 Ein Benutzerkonto ändern ab Seite 266). - EIGENEN KONTONAMEN ÄNDERN Da Benutzerkonten unter Windows ausschließlich über die SIDs (Security Identifiers; siehe auch Abschnitt Bedeutung der SID ab Seite 271) unterschieden werden, kann der Benutzername jederzeit geändert werden. - EIGENEN KONTOTYP ÄNDERN Der Kontotyp ist hier reduziert auf den Typ STANDARDBENUTZER oder ADMINISTRATOR (siehe nachfolgender Abschnitt). ANDERES KONTO VERWALTEN Alle unter OPTIONEN FÜR DAS EIGENE KONTO genannten Möglichkeiten können Sie für andere Benutzer einstellen. BENUTZERKONTENSTEUERUNG EIN- ODER AUSSCHALTEN Die in Abschnitt 5.4 Benutzerkontensteuerung beschriebene Funktion können Sie hier ein- oder ausschalten. EIGENE NETZWERKKENNWÖRTER VERWALTEN Im Leben eines Administrators gibt es viele digitale Identitäten. Damit Ihnen die Anmeldung an unterschiedliche Systeme nicht so schwer fällt, steht diese Funktion zur Verfügung.
5.2 Vereinfachte Benutzerverwaltung _______________________________________ 263 Abbildung 5.1: Erleichterte Anmeldungen an (Web-) Servern
DATEIVERSCHÜSSELUNGSZERTIFIKATE VERWALTEN Ohne Zertifikate können Sie auf verschlüsselte Daten nicht zugreifen. Mehr Informationen finden Sie dazu in Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572. ERWEITERTE BENUTZERPROFILEIGENSCHAFTEN KONFIGURIEREN Der Profil-Manager wird in Abschnitt 5.5.4 Der Profil-Manager ab Seite 289 beschrieben. EIGENE UMGEBUNGSVARIABLEN ÄNDERN In der Abbildung 3.42: Umgebungsvariablen anpassen auf Seite 170 wird gezeigt, wie sich Umgebungsvariablen anpassen lassen. Abbildung 5.2: Vereinfachte Benutzerverwaltung
Allein der erweiterten Benutzerverwaltung vorbehalten sind die fol- Fehlende Funktionen genden Funktionen: Zugriff auf das Administrator-Konto Auf das vordefinierte Konto ADMINISTRATOR können Sie über die vereinfachte Benutzerverwaltung nicht zugreifen. Zuweisen der Mitgliedschaft eines Benutzers zu weiteren vordefinierten Sicherheitsgruppen
264 _________________________________________ 5 Benutzer- und Rechteverwaltung Anlegen von neuen Gruppen Konto vorübergehend deaktivieren Einstellungen zum Benutzerprofil (siehe Abschnitt 5.5 Benutzerprofile ab Seite 284)
5.2.2
Unterstützte Kontentypen
Bei der vereinfachten Benutzerverwaltung kennt Windows Vista nur zwei Kontentypen: ADMINISTRATOR
STANDARDBENUTZER Die folgende Tabelle gibt Auskunft über die Rechte, die dem jeweiligen Typ in Bezug auf das Kontoverhalten und dessen Administration zugeordnet sind: Tabelle 5.1: Rechte der Benutzertypen
Recht
Administrator
Standardbenutzer
Installation von Hardware und Programmen Änderungen, die auf das gesamte System Auswirkungen haben Zugriff auf nichtprivate Daten Erzeugen und Löschen von Konten Änderungen an Konten Änderungen des eigenen Bildes Änderungen des eigenen Kennwortes Haben Sie für einen Benutzer über die erweiterte Benutzerverwaltung (siehe Abschnitt 5.3 Erweiterte Benutzerverwaltung ab Seite 270) weitere Gruppenzugehörigkeiten eingerichtet, wird dessen Kontotyp so lange als STANDARDBENUTZER angezeigt, wie er nicht über Administratorrechte verfügt.
5.2.3 Benutzer GAST
Das Gastkonto
Windows Vista verfügt über ein Gastkonto, das Sie vielleicht schon von Windows XP oder Windows 2000 kennen. Dieses ist der vordefinierten Gruppe GÄSTE zugeordnet (siehe Abschnitt Vordefinierte Gruppen ab Seite 276) und verfügt damit nur über sehr eingeschränkte Berechtigungen. Das Konto ist geeignet, einen Zugriff auf den Computer für Benutzer einzurichten, die über kein eigenes Konto auf diesem verfügen (sollen). Allerdings ist dann die Nutzbarkeit der meisten
5.2 Vereinfachte Benutzerverwaltung _______________________________________ 265 Anwendungen nur sehr eingeschränkt gegeben oder funktioniert ohne weitere Anpassungen gar nicht. In einem Peer-to-Peer-Netzwerk kann das aktivierte Gastkonto dazu benutzt werden, Zugriff für alle Netzwerkteilnehmer zu ermöglichen. Weitere Informationen zu diesem Thema bietet der Abschnitt 12.11.4 Anonymen Zugriff auf Freigaben zulassen ab Seite 705. Aus Sicherheitsgründen ist das Gastkonto nach der Installation gesperrt. Hintergrund dessen ist, dass ein potentieller Angreifer, vor allem wenn ohne Firewall im Internet gesurft wird, das offene Gastkonto benutzen kann, um sich Zugang zum System zu verschaffen. Solche »Schlupflöcher« waren schon oft Grund für herbe Kritik an Windows. Wenn es keinen wirklich triftigen Grund gibt, das Gastkonto freizugeben, sollten Sie dieses besser deaktiviert lassen. Auch wenn das Risiko bei einem korrekt eingerichteten Gesamtsystem eher als gering einzustufen ist, sollten Sie so wenig Angriffsfläche wie möglich bieten. Um das Gastkonto freizugeben, klicken Sie auf der Startseite der Benutzerverwaltung (siehe Abbildung 5.2 auf Seite 263) auf den Benutzereintrag GAST.
Zugriff im Netzwerk
Potenzielles Sicherheitsrisiko
Gastkonto freigeben
Abbildung 5.3: Standardmäßig gesperrtes Gast-Konto
Klicken Sie im folgenden Dialogfenster auf EINSCHALTEN .
5.2.4
Einen neuen Benutzer anlegen
Gehen Sie so vor, um einen neuen Benutzer anzulegen: 1. Klicken Sie auf ANDERES KONTO VERWALTEN in der Startseite (siehe Abbildung 5.2 auf Seite 263). 2. Klicken Sie auf NEUES KONTO ERSTELLEN. 3. Geben Sie einen Benutzernamen ein. Abbildung 5.4: Kontotyp auswählen
266 _________________________________________ 5 Benutzer- und Rechteverwaltung 4. Legen Sie im nächsten Schritt fest, welchen Typ das neue Benutzerkonto haben soll. Mit einem Klick auf KONTO ERSTELLEN wird das neue Benutzerkonto eingerichtet. Im nachfolgenden Abschnitt wird beschrieben, wie Sie diesem ein Kennwort zuweisen können.
5.2.5
Ein Benutzerkonto ändern
Über den Eintrag ANDERE KONTEN VERWALTEN in der Startseite der Benutzerverwaltung (siehe Abbildung 5.2 auf Seite 263) werden alle bereits eingerichteten Benutzer angezeigt. Klicken Sie auf das Anmeldebild des Kontos, das sie ändern wollen. Abbildung 5.5: Änderungs-Optionen für ein Benutzerkonto
Kontonamen ändern Wie bereits ausgeführt, können Sie aufgrund der eindeutigen Identifizierung der Benutzerkonten über die SID jederzeit den Namen eines Benutzers ändern.
Anmelde-Bild ändern Über die Option BILD ÄNDERN (beim eigenen Konto EIGENES BILD ÄNDERN) können Sie ein anderes Anmelde-Bild aussuchen. Abbildung 5.6: Auswahl eines neuen Anmelde-Bildes
5.2 Vereinfachte Benutzerverwaltung _______________________________________ 267 Wollen Sie ein eigenes Foto, was Sie beispielsweise über eine digitale Kamera aufgenommen haben, hier einsetzen, klicken Sie auf NACH WEITEREN BILDERN SUCHEN.
Kennwort erstellen oder ändern Ein Kennwort können Sie für Ihr eigenes Konto erstellen und ändern. Falls Sie Computeradministrator sind, gilt das auch für die Konten der anderen Benutzer (einschließlich anderer Administratoren). Abbildung 5.7: Kennwort ändern
Das nachträgliche Ändern eines Kennworts ist insofern abgesichert, Kennwort ändern als dass Sie das Ursprungs-Kennwort dazu wissen müssen. Insofern ist es auch nicht ohne weiteres möglich, als Administrator das Kennwort eines anderen Administrators auszuhebeln, um beispielsweise an dessen Daten zu gelangen. Für einen Standardbenutzer hingegen kann der Administrator ohne Kenntnis des alten Kennworts einfach ein neues einsetzen.
5.2.6
Kennwortrücksetzdiskette erstellen
Es kann recht schwierig werden, wenn Sie Ihr Kennwort vergessen sollten, selbst Administrator sind und auch kein weiteres Administratorkonto zum Zugriff zur Verfügung steht. Sie können mit Hilfe eines Assistenten eine Kennwortrücksetzdiskette erstellen, die Sie sicher verwahren sollten und über die Sie im Notfall Zugang zum System erhalten. Gehen Sie so vor, um diese Diskette zu erstellen: 1. Melden Sie sich mit Ihrem eigenen Benutzerkonto an. 2. Öffnen Sie das Benutzerkonten-Konfigurationsfenster (über die Systemsteuerung).
268 _________________________________________ 5 Benutzer- und Rechteverwaltung 3. Den Assistenten starten Sie über einen Klick auf KENNWORTRÜCKSETZDISKETTE ERSTELLEN in der Aufgaben-Liste links im Fenster. 4. Folgen Sie den Anweisungen des Assistenten.
5.2.7
Standardrechte für Benutzerdateien
Das Profil jedes Benutzers findet sich im symbolischen Link, der den Benutzernamen trägt und unterhalb des virtuellen Ordners Benutzer liegt. Dieser verweist auf den folgenden realen Ordner, in welchem der Benutzer seine eigenen Dateien standardmäßig ablegen kann: %Systemdrive%\Users\%Username% Der genaue Speicherort für die Benutzerdateien wird in der Systemvariablen %Userprofile% hinterlegt. Der Benutzername muss nicht unbedingt mit dem Ordnernamen übereinstimmen. Durch passiert etwa bei einer Umbenennung des Benutzernamens oder bei einer Neuanlage des Benutzerprofils, wenn ein gleichnamiger Ordner bereits existieren sollte. Abbildung 5.8: Private und öffentlicher Ordner: Unterschiedliche Symbole machen auf Berechtigungen aufmerksam
Zusätzlich gibt es einen weiteren Ordner, den jeder Benutzer über den virtuellen Ordner DESKTOP sieht: ÖFFENTLICH.
Datenaustausch über ÖFFENTLICH Windows XP: GEMEINSAME DOKUMENTE
Achtung: Standardbenutzer haben weitgehende Rechte
Voraussetzung: NTFS
Der Ordner ÖFFENTLICH entspricht dem von Windows XP bekannten Ordner GEMEINSAME DOKUMENTE und liegt an folgendem Speicherort: %SystemDrive%\Users\Public Auf diesen Ordner haben die Administratoren Zugriffsrechte zum Schreiben und Ändern von Daten, zum Erstellen von Ordnern und zum Setzen von Berechtigungen. Standardbenutzer haben, wenn sie sich lokal anmelden, über die Sicherheitsgruppe Interaktiv das Recht eigene Dokumente zu veröffentlichen, können jedoch die Berechtigungen nicht ändern. Einem Datenaustausch steht so nichts im Wege. Voraussetzung ist hierbei, dass NTFS als Dateisystem verwendet wird. Unter FAT32 sind keine Benutzerrechte auf Dateisystem-Ebene einstellbar.
5.2 Vereinfachte Benutzerverwaltung _______________________________________ 269 Mit der Lockerung der Sicherheitseinstellungen gegenüber Windows XP wird zwar bewerkstelligt, dass speziell Windows-Software, die nicht für Windows NT/2000/XP entwickelt worden ist, problemloser läuft (Standardbenutzer mussten zum Hauptbenutzer erhoben werden, damit diese Programme funktionieren), jedoch können auch Viren und Trojaner leichter zuschlagen. Alternativ können Sie die Zugriffsrechte auf diesen Ordner anpassen, Zugriffsrechte damit einfache Benutzer ebenso wie Hauptbenutzer schreibenden anpassen Zugriff erhalten. In Abschnitt 12.9 NTFS-Zugriffsrechte einstellen ab Seite 679 ist beschrieben, wie Sie dies einrichten können.
Private Benutzerordner Jeder Benutzer verfügt in seinem Benutzerprofil (siehe Abschnitt 5.5 Benutzerprofile ab Seite 284) über mehrere Unterordner. In Bezug auf die standardmäßig voreingestellten Zugriffsrechte ist dabei folgendes zu beachten: Besitzer hat Vollzugriff Der Benutzer, dem dieser Ordner »gehört«, hat Vollzugriff. Administrator hat Vollzugriff Zusätzlich haben Administratoren vollen Zugriff auf die Benutzerprofilordner aller Benutzer. Sie können Anpassungen so vornehmen, dass nur noch Sie als Benutzer Zugriff auf Ihre Dateien haben Administratoren sind dann ausgeschlossen. In Abschnitt 12.9 NTFS-Zugriffsrechte einstellen ab Seite 679 finden Sie weiterführende Informationen, wie Sie die Zugriffsrechte über grafische Werkzeuge einstellen können. Über das Tool CACLS.EXE stellen Sie die Rechte folgendermaßen ein: Rechte mit 1. Öffnen Sie eine Eingabeaufforderung. Diese starten Sie über ALLE C ACLS.EXE einstellen PROGRAMME|ZUBEHÖR oder über START|AUSFÜHREN|CMD. Sie landen damit in Ihrem eigenen Profile-Ordner, beispielsweise in: C:\Users\Laura Wenn Sie die Zugriffsrechte auf diesen Ordner so anpassen, dass Administratoren ausgeschlossen werden, wirkt sich das auch auf den Unterordner DOKUMENTE aus. Dieser Vorgang wird Rechtevererbung genannt und ist Inhalt des oben genannten Abschnitts ab Seite 679. 2. Wenn Sie Ihre eigenen Dateien vor dem Zugriff durch Administratoren schützen wollen, geben Sie folgendes Kommando ein: Cacls *.* /T /E /R Administratoren Damit werden für alle Dateien und Ordner (auch in Unterverzeichnissen) die Zugriffsrechte so geändert, dass die Gruppe der Administratoren ausgeschlossen ist. Alternativ könne Sie auch das neuere Tool ICACLS.EXE benutzen. Weitere Informationen zu CACLS finden Sie in Abschnitt 12.9.4 Die Kommandozeilen-Werkzeuge CACLS.EXE UND ICACLS.EXE ab Seite 692.
270 _________________________________________ 5 Benutzer- und Rechteverwaltung
5.3
COMPUTERVERWALTUNG aufrufen
Erweiterte Benutzerverwaltung
Die erweiterte Benutzerverwaltung unterscheidet sich nicht von der, die Sie vielleicht bereits aus Windows XP kennen. Sie ist als Snap-In für die Microsoft Managementkonsole (MMC) ausgeführt und in die vorgefertigte Konsole COMPUTERVERWALTUNG integriert. Die COMPUTERVERWALTUNG erreichen Sie über START|SYSTEMSTEUERUNG|VERWALTUNG. Alternativ können Sie sich eine eigene Managementkonsole mit dem Snap-In LOKALE BENUTZER UND GRUPPEN erzeugen. Zum Vorgehen finden Sie dazu weitere Informationen in Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199.
Abbildung 5.9: Erweiterte Benutzerverwaltung über das Snap-In LOKALE BENUTZER UND GRUPPEN
Vereinfachte Benutzerverwaltung ab Seite 262
Zusätzlich steht unter Windows Vista die vereinfachte Benutzerverwaltung zur Verfügung, die der in Windows XP Home ähnelt. Diese wird in Abschnitt 5.2 Vereinfachte Benutzerverwaltung ab Seite 262 beschrieben.
5.3.1 Snap-In LOKALE BENUTZER UND GRUPPEN
Funktionen
Über das Snap-In LOKALE BENUTZER UND G RUPPEN stehen Ihnen die folgenden Funktionen zur Verwaltung von Benutzerkonten zur Verfügung. Neue Benutzer hinzufügen oder bestehende löschen Benutzerkonten ändern: - Name des Benutzers. Da Benutzerkonten unter Windows ausschließlich über die SIDs (Security Identifiers) unterschieden werden, kann der Benutzername jederzeit geändert werden. - Kennwort. Setzen Sie das Kennwort von Benutzern zurück, wenn diese es vergessen haben sollten. Darüber hinaus können Sie Richtlinien zur Kennwort-Verwendung einstellen. - Gruppen-Mitgliedschaft. Weisen Sie den Benutzer einer oder mehreren Gruppen zu (siehe nachfolgender Abschnitt). - Profil-Einstellungen. Sie können Einstellungen zu Art und Speicherort des Benutzerprofils vornehmen (siehe Abschnitt 5.5 Benutzerprofile ab Seite 284). Benutzerkonten vorübergehend deaktivieren
5.3 Erweiterte Benutzerverwaltung _________________________________________ 271 Zugriff auf alle vordefinierten Benutzerkonten wie beispielsweise ADMINISTRATOR Gruppen-Verwaltung Über die erweiterte Benutzerverwaltung können Sie allerdings auf Fehlende Funkeinige neue Funktionen von Windows Vista nicht zugreifen. Diese tionen erreichen Sie nur über die vereinfachte Benutzerverwaltung (siehe Abschnitt 5.2 Vereinfachte Benutzerverwaltung ab Seite 262): Anmeldebild Assistenten für Erstellung einer Kennwortrücksetzdiskette EIGENE NETZWERKKENNWÖRTER VERWALTEN DATEIVERSCHÜSSELUNGSZERTIFIKATE VERWALTEN ERWEITERTE BENUTZERPROFILEIGENSCHAFTEN KONFIGURIEREN EIGENE UMGEBUNGSVARIABLEN ÄNDERN
5.3.2
Benutzer
Für ein Multibenutzersystem wie Windows Vista haben die Benutzerkonten eine zentrale Bedeutung. Bei einem lokal arbeitenden System, welches nicht in eine zentrale Verwaltungsinstanz wie ein Active Directory-Verzeichnis eingebunden ist, übernimmt die lokale Benutzerdatenbank die Verwaltung der Konten.
Bedeutung der SID Jeder Eintrag eines Benutzers wird in der Benutzerdatenbank über eine eindeutige SID (Security Identifier auch Sicherheitsbeschreibung genannt) geführt. Der Benutzer und ihm zugeordnete Zugriffsrechte werden daraufhin ausschließlich über diese SID identifiziert. Wie Sie die SID eines Benutzers ermitteln können, wird im nachfolgenden Abschnitt erläutert. Löschen Sie einen Benutzer in Ihrem System und erstellen Sie einen neuen mit dem gleichen Namen, wird diesem trotzdem eine neue SID zugeteilt. Somit handelt es sich für das System um einen neuen Benutzer, der mit dem alten nichts zu tun hat. Zugriffsrechte, die Sie vielleicht dem alten Benutzer zugewiesen hatten, gelten nicht für den neu angelegten Benutzer. Aus diesem Grund ist es besser, Sie vermeiden das Zuweisen von Zugriffsrechten auf Benutzer-Ebene und arbeiten stattdessen mit Gruppen. Erfahrungsgemäß werden diese seltener gelöscht und neu angelegt als Benutzerkonten. Weitere Hinweise finden Sie dazu in Abschnitt 5.3.3 Gruppen ab Seite 276.
Ermittlung der SID von Benutzern Um beispielsweise gezielt Registrierungs-Einträge von Benutzern zu WHOAMI.EXE ändern, müssen Sie die SID kennen. In Windows Vista gibt es dazu
272 _________________________________________ 5 Benutzer- und Rechteverwaltung
SID des aktuellen Benutzers ermitteln
SID anderer Benutzer ermitteln
GetSid.exe
Kostenloser Download
das Kommandozeilen-Programm WHOAMI.EXE. Mit WHOAMI lassen sich SIDs und die Anmelde-ID sowie Rechte- und Gruppenzuordnungen des aktuell angemeldeten Benutzers ermitteln. Mit den folgenden Optionen erhalten Sie die SID: Whoami /user Fügen Sie zusätzlich noch die Option /GROUPS hinzu, wird die Liste der Sicherheitsgruppen angezeigt: Whoami /user /groups Weitere Optionen und die Erklärungen dazu bekommen Sie angezeigt, wenn Sie WHOAMI /? aufrufen. Das Programm hat die kleine Einschränkung, dass nur Informationen zum aktuellen Benutzer angezeigt werden. Wollen Sie die SID eines anderen Benutzers erhalten, müssten Sie sich erst ab- und unter dessen Konto wieder bei Windows anmelden. Es geht aber auch schneller: Öffnen Sie einfach eine Eingabeaufforderung mit den entsprechenden Anmeldeinformationen des Benutzers über das Kommando RUNAS. Führen Sie dann in diesem neuen Sicherheitskontext das Kommando WHOAMI aus. Runas /user:Joerg cmd Whoami /user /groups Weitere Informationen zu RUNAS finden Sie in Abschnitt Das Kommandozeilen-Programm RUNAS.EXE ab Seite 167. Für die Ermittlung der SIDs von Benutzern steht noch ein weiteres Programm zur Verfügung: G ETSID.EXE. Dieses Kommandozeilen-Tool ist Teil der Windows XP Service Pack 2 Support Tools, welche kostenlos bei Microsoft zum Download angeboten werden. Dies ist die Einstiegsseite für die Suche nach diesen Tools: http://www.microsoft.com/downloads Diese Support Tools sind für Windows XP gedacht. Windows Vista verweigert zunächst die Installation mit einem entsprechenden Hinweis. Mit diesem Workaround können Sie dennoch GETSID mit Windows Vista nutzen: 1. Laden Sie die Installationsdatei von der Microsofts Webseite. 2. Starten Sie die Datei über START|AUSFÜHREN wie folgt: WindowsXP-KB838079-SupportTools-ENU.exe /C /T: Der Pfad gibt den Ordner an, in den die CAB-Archive der SupportTools abgelegt werden. 3. Durch einen Doppelklick auf die Datei SUPPORT.CAB öffnen Sie das Archiv. Wählen Sie GETSID.EXE aus und extrahieren Sie diese Datei durch Doppelklick. Mit G ETSID können Sie zwei SIDs miteinander vergleichen. Da die SIDs dabei ausgegeben werden, eignet es sich natürlich auch zur Ermittlung derselben. G ETSID erwartet die folgenden beiden Parameter: Getsid \\<server1> <username> \\server2 <username> Wenn Sie nur einen Eintrag abfragen möchten, setzen Sie die Werte für <server1> und <server2> sowie die beiden Benutzerkonten <user-
5.3 Erweiterte Benutzerverwaltung _________________________________________ 273 name> auf jeweils gleiche Werte. Ein großer Vorteil gegenüber WHOAMI ist, dass Sie zur Ermittlung der SID eines anderen als dem aktuell angemeldeten Benutzers keine umständliche Anmeldung durchführen müssen. Abbildung 5.10: Ermitteln der SID mit dem Werkzeug getsid
Im Übrigen können Sie damit auch die SIDs von integrierten Sicher- SIDs von integrierten Sicherheitsheitsprinzipalen finden, beispielsweise: prinzipalen SYSTEM = S-1-5-18 LOKALER DIENST = S-1-5-19 NETZWERKDIENST = S-1-5-20 Enthält die Bezeichnung Leerzeichen, fassen Sie diese einfach in Anführungszeichen: Getsid \\VistaPC01 Lokaler Dienst \\VistaPC02 Lokaler Dienst Weitere Hinweise finden Sie zu diesem Thema in Abschnitt Integrierte Sicherheitsprinzipale ab Seite 278.
SIDs im Peer-to-Peer-Netzwerk Verbinden Sie mehrere Windows Vista-PCs zu einem Peer-to-PeerNetzwerk und legen Sie gleich lautende Benutzerkonten mit denselben Kennwörtern auf diesen an, können Sie über Netzwerkfreigaben direkt miteinander kommunizieren, ohne dass scheinbar jedes Mal eine umständliche Anmeldung notwendig ist. In Wirklichkeit existieren aber in den lokalen Benutzerdatenbanken je- Verschiedene SIDs weils völlig verschiedene Benutzer mit unterschiedlichen SIDs. Den pro Computer Beweis liefert das im vorhergehenden Abschnitt beschriebene Tool GETSID.EXE. Abbildung 5.11: Vergleich der SIDs zweier scheinbar identischer Benutzereinträge auf zwei Computern
Der Verbindungsaufbau funktioniert nur deshalb so reibungslos, weil der Client für Windows-Netzwerke in Windows Vista zunächst versucht, sich mit dem Namen und dem Kennwort des aktuell angemeldeten Benutzers beim Fremdsystem anzumelden. Sie erhalten nur dann ein Eingabedialogfenster für Namen und Kennwort, wenn der erste Anmeldeversuch fehlschlägt.
274 _________________________________________ 5 Benutzer- und Rechteverwaltung Benutzen Sie zum Installieren der PCs Festplattenduplizierungsprogramme, sollten Sie darauf achten, dass Sie nach dem Vorgang dafür Sorge tragen, dass unterschiedliche SIDs auf den Rechnern vorhanden sind. Hierzu ist das Programm NEWSID von Sysinternals zu nennen. Die auftretenden Probleme sind auf der Webseite von Sysinternals beschrieben: http://www.sysinternals.com/Utilities/NewSid.html Die Probleme treten nicht auf, wenn ihre PCs Mitglieder einer Domäne sind.
Anlegen und Löschen von Benutzern Zum Anlegen eines neuen Benutzers über das Snap-In LOKALE BENUTZER UND GRUPPEN (siehe Abbildung 5.9 auf Seite 270) klicken Sie mit der rechten Maustaste auf BENUTZER und wählen im Kontextmenü NEUER BENUTZER. Die einzelnen Eingabefelder haben die folgende Bedeutung: BENUTZERNAME Dies ist der Name, mit dem sich der Benutzer anmeldet. Meist ist es der Vorname. In kleinen Firmennetzwerken kann dies auch eine Kombination aus Vor- und Nachname sein, beispielsweise LukasW aus Lukas und Werlich. VOLLSTÄNDIGER NAME Dieser Name wird in einigen Dialogen angezeigt. Es empfiehlt sich, diesen korrekt anzugeben. BESCHREIBUNG Für eine bessere Dokumentation können Sie hier eine Beschreibung eintragen. KENNWORT UND KENNWORT BESTÄTIGEN Das ist das erste Kennwort, mit dem sich der Benutzer anmelden kann. Abbildung 5.12: Anlegen eines neuen Benutzers
5.3 Erweiterte Benutzerverwaltung _________________________________________ 275 Die folgenden Optionen betreffen Eigenschaften zum Kennwort des Kennwortoptionen Benutzers: BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN Wenn der Administrator die Kennwörter der Benutzer nicht kennen soll, kann diese Option aktiviert werden (Standard). Der Benutzer muss dann bei der ersten Anmeldung das Startkennwort eingeben und anschließend ein eigenes vergeben. BENUTZER KANN KENNWORT NICHT ÄNDERN Ist diese Option aktiviert, kann der Benutzer sein eigenes Kennwort nicht ändern. Das ist empfehlenswert, wenn Sie als Administrator die volle Kontrolle über die Kennwörter behalten wollen. KENNWORT LÄUFT NIE AB Das Kennwort muss normalerweise nach den in den Gruppenrichtlinien vorgesehenen Abständen erneuert werden standardmäßig ist diese Option aber deaktiviert. Geben Sie die Option hier frei und ändern Sie die Gruppenrichtlinien, um eine regelmäßige Neuvergabe der Kennwörter zu erzwingen. Die Sicherheitseinstellung finden Sie an folgender Position (über SECPOL.MSC): Sicherheitseinstellungen \Kontorichtlinien \Kennwortrichtlinien \Maximales Kennwortalter KONTO IST DEAKTIVIERT Wenn der Benutzer mehrfach versucht hat, sich mit einem falschen Kennwort anzumelden, kann das Konto gesperrt werden. Wie die Kontrolle erfolgt, wird ebenfalls in den Gruppenrichtlinien festgelegt: Sicherheitseinstellungen \Kontorichtlinien \Kontosperrungsrichtlinien \Kontosperrungsschwelle Die Standardeinstellung ist hier »0«, das heißt, das Konto wird niemals gesperrt. Ist das Konto (nach Aktivierung der Einstellung) gesperrt worden, kann die Sperre durch Deaktivieren dieser Option wieder aufgehoben werden. Nachdem Sie auf die Schaltfläche ERSTELLEN geklickt haben, wird der Benutzer erzeugt und die Felder werden geleert. Sie können nun sofort einen neuen Benutzer anlegen. Um einen Benutzer wieder zu löschen, wählen Sie ihn aus der Liste Löschen eines Benutzers aus und aus dem Kontextmenü die Option LÖSCHEN.
Eigenschaften eines Benutzers anpassen Benutzer haben weitere Eigenschaften, die Sie erst nach dem Anlegen vergeben oder verändern können.
276 _________________________________________ 5 Benutzer- und Rechteverwaltung Benutzer einer Gruppe hinzufügen
Um einen Benutzer einer Gruppe hinzuzufügen, wählen Sie aus dem erscheinenden Kontextmenü den Punkt EIGENSCHAFTEN. Im folgenden Dialogfenster wechseln Sie zur Registerkarte MITGLIED VON. Standardmäßig sind alle Benutzer Mitglied der Gruppe BENUTZER. Weitere Gruppen können Sie über die Schaltfläche HINZUFÜGEN zuweisen. Der genaue Umgang mit dem Auswahldialogfenster wird in Abschnitt Auswahldialog für Benutzer und Gruppen ab Seite 687 erläutert.
5.3.3
Gruppen
Gruppen fassen mehrere Benutzer mit gleichen Zugriffsrechten zusammen. Sie vereinfachen die Verwaltung und können immer dann stellvertretend angegeben werden, wenn Benutzerrechte von Bedeutung sind.
Vordefinierte Gruppen Mit der Standardinstallation von Windows Vista stehen die folgenden Gruppen zur Verfügung: Administratoren Mitglieder können alle Verwaltungsaufgaben ausführen und haben uneingeschränkten Zugriff auf das System. Benutzer Benutzer verfügen im Vergleich zu Administratoren über deutlich eingeschränkte Rechte. Sie können Programme ausführen und eigene Dateien bearbeiten. Das ist die Gruppe in der sich alle Standardbenutzer wiederfinden, wenn sie über die vereinfachte Benutzerverwaltung eingerichtet wurden. Distributed COM-Benutzer Bei Distributed COM-Benutzern handelt es sich um eine neue vordefinierte Gruppe, die mit Windows Server 2003 Service Pack 1 eingeführt wurde. Mithilfe dieser Gruppe können den DCOMComputereinschränkungseinstellungen schneller Benutzer hinzugefügt werden. Ereignisprotokollleser Standardbenutzer dürfen die Ereignisprotokolle (siehe Abschnitt 4.4 Ereignisanzeige ab Seite 217) nicht lesen. Erst die Mitgliedschaft in dieser Gruppe verschafft Ihnen das Recht dazu. Gäste Gäste verfügen über sehr eingeschränkte Rechte. Das Gastkonto ist standardmäßig gesperrt und muss explizit freigegeben werden. Hauptbenutzer Hauptbenutzer verfügen über weit reichende Rechte. So können sie die meisten Programme installieren und systemweit allen Benutzern zur Verfügung stellen. Unter diesem Sicherheitskontext laufen auch die meisten älteren Programme problemlos, denen die
5.3 Erweiterte Benutzerverwaltung _________________________________________ 277 standardmäßig eingeschränkten Rechte eines »normalen« Benutzers nicht ausreichen. Mitglieder dieser Gruppe können darüber hinaus die folgenden Aufgaben durchführen: - Aufnahme von Benutzern in die Gruppen HAUPTBENUTZER und GÄSTE sowie Entfernen aus diesen - Einrichten von Netzwerkfreigaben IIS_IUSRS Die Internet Information Dienste (IIS 7) benötigen spezielle Rechte. Standardmäßig ist nur NT-Autorität\IUSR ein Mitglied dieser Gruppe. Kryptografie-Operatoren Mitglieder dieser Gruppe dürfen Programme zur Verschlüsselung ausführen. Leistungsprotokollbenutzer Für die Systemdiagnose ist die Auswertung des Leistungsprotokolls nötig. Mitglieder dieser Gruppe dürfen das im Gegensatz zu Standardbenutzern. Netzwerkkonfigurations-Operatoren Mitglieder dürfen das Netzwerk konfigurieren, jedoch keine andere Hardware. Damit können Sie diese Funktion beispielsweise an technisch versiertere Mitarbeiter delegieren, ohne die vollen Administratorrechte aus der Hand geben zu müssen. Remotedesktopbenutzer Mitglieder dieser Gruppe dürfen sich über die RemotedesktopFunktion (siehe Abschnitt 14.8.2 Einrichten der RemotedesktopFunktion ab Seite 931) am Computer anmelden. Diese Gruppe ist zunächst leer. Wenn Sie die entsprechenden RemotedesktopEinstellungen vornehmen, werden hier automatisch die Remotebenutzer eingetragen. Replikations-Operator Soll eine Dateireplikation zwischen verschiedenen DomänenComputern eingerichtet werden, kann diese unter dem Sicherheitskontext der Replikations-Operatoren passieren. Sicherungs-Operatoren Diese Gruppe kann Benutzern das Recht zur Sicherung von Dateien erlauben. Manche Bandsicherungsprogramme erlauben die Angabe eines Benutzerkontos, unter dessen Bedingungen die Sicherung erfolgt. Systemmonitorbenutzer Zur Analyse der Systemdaten werden Systemmonitor und ähnliche Programme benutzt. Administratoren können diese Aufgabe delegieren, indem sie Benutzer zu dieser Gruppe hinzufügt. Diese vordefinierten Gruppen reichen im Allgemeinen vollkommen aus, um Zugriffsrechte von Benutzern differenziert steuern zu können.
278 _________________________________________ 5 Benutzer- und Rechteverwaltung Wie Sie bei Bedarf eine neue Gruppe anlegen können, wird in Abschnitt Anlegen einer neuen Gruppe ab Seite 280 beschrieben.
Integrierte Sicherheitsprinzipale Für interne Verwaltungszwecke
Neben den Gruppen, denen Sie Benutzer für eine bessere Steuerung der Zugriffsrechte zuordnen können, sind in Windows Vista weitere Sicherheitsgruppen integriert, die internen Verwaltungszwecken dienen. Diesen Gruppen, auch Sondergruppen genannt, werden die betreffenden Benutzer jeweils automatisch durch das Betriebssystem zugewiesen. Als Administrator haben Sie darauf keinen direkten Einfluss. Sie können diese Gruppen allerdings verwenden, wenn es darum geht, Zugriffsrechte auf bestimmte Ressourcen (Daten, Freigaben etc.) festzulegen. Anonymous-Anmeldung Hiermit werden alle Netzwerkanmeldungen erfasst, die keine Anmeldeinformationen (Domäne, Benutzername, Kennwort) liefern. Anmeldungen von Benutzern über das Gastkonto sind hierbei aber nicht eingeschlossen. Seit Windows XP sind, im Gegensatz zu Windows 2000 und NT, die Mitglieder dieser Gruppe jetzt nicht mehr automatisch Mitglieder von Jeder. Wird dies dennoch gewünscht, muss eine Sicherheitsrichtlinie aktiviert werden: Sicherheitseinstellungen \Lokale Richtlinien \Sicherheitsoptionen \Netzwerkzugriff: Die Verwendung von Jeder-Berech tigungen für anonyme Benutzer ermöglichen Authentifizierte Benutzer Dies sind die Benutzer, die sich lokal oder über das Netzwerk erfolgreich angemeldet haben. Voraussetzung dazu ist, dass jeweils ein entsprechendes Benutzerkonto existiert, ob lokal oder bei einer Einbindung in ein Active Directory in der Anmeldedomäne. Anonym angemeldete Benutzer gehören nicht dazu. Batch Eine Benutzeranmeldung kann auch mittels einer Stapelverarbeitungsdatei erfolgen. Dazu dient diese interne Gruppe. Eine derartige Anmeldung erfolgt beispielsweise bei den durch die Aufgabenplanung ausgelösten Aufträgen (siehe auch Abschnitt 4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung ab Seite 238). Für die Steuerung dieses Zugriffsrechts gibt es zwei Sicherheitsrichtlinien (über SECPOL.MSC): Sicherheitseinstellungen \Lokale Richtlinien \Zuweisen von Benutzerrechten \Anmelden als Stapelverarbeitungsauftrag und \Anmeldung als Batchauftrag verweigern
5.3 Erweiterte Benutzerverwaltung _________________________________________ 279 Die zweite Richtlinie hat im Zweifelsfall Vorrang vor der ersten (Prinzip: Verweigerung hat Vorrang vor Erlaubnis). Weitere Informationen finden Sie in Abschnitt 5.6 Gruppenrichtlinien ab Seite 303. Dialup In dieser Gruppe werden Benutzer erfasst, die sich über eine direkte DFÜ-Einwahlverbindung mit dem Windows Vista-System verbunden haben (siehe auch Abschnitt 14.7.1 Direkte Einwahl ab Seite 908). Dienst Bestimmte Programme müssen als Dienst ausgeführt werden, damit sie ihren Zweck ordnungsgemäß erfüllen können. In dieser Gruppe werden die Benutzer erfasst, unter deren Kontext Programme als Dienst angemeldet worden sind. Sie können dies über die folgenden Sicherheitsrichtlinien (mittels SECPOL.MSC) konfigurieren: Sicherheitseinstellungen \Lokale Richtlinien \Zuweisen von Benutzerrechten \Als Dienst anmelden und \Anmelden als Dienst verweigern Ersteller-Besitzer In dieser Gruppe erscheinen Benutzer, die eine Ressource erzeugt haben (beispielsweise durch das Anlegen einer Datei oder den Start eines Druckauftrages). Erstellergruppe Dies ist die primäre Gruppe eines Benutzers, der ein Objekt erstellt hat (siehe ERSTELLER-BESITZER). Wird der Eintrag für die Zugriffssteuerung vererbt (beispielsweise bei Unterverzeichnissen; siehe auch Abschnitt 12.9 NTFS-Zugriffsrechte einstellen ab Seite 679), wird die SID des Benutzers durch seine primäre Gruppe, die SID der betreffenden E RSTELLERGRUPPE, ersetzt. Interaktiv In dieser Gruppe sind alle Benutzer erfasst, die sich momentan interaktiv angemeldet haben. Darunter ist die lokale Anmeldung am PC zu verstehen. Interaktive Remoteanmeldung Benutzer, die sich über eine Remotedesktop-Verbindung am System angemeldet haben, sind in dieser Gruppe erfasst. Jeder Hier sind alle Benutzer erfasst, die erfolgreich durch Windows Vista authentifiziert worden sind. In dieser Gruppe sind sowohl Authentifizierte Benutzer als auch Gäste enthalten.
280 _________________________________________ 5 Benutzer- und Rechteverwaltung Bei aktiviertem Gastkonto können Gäste auf alle Ressourcen zugreifen, bei denen Berechtigungen für die Gruppe Jeder existieren. Daraus kann sich ein Sicherheitsrisiko ergeben. Lokaler Dienst In dieser Gruppe werden Benutzer-SIDs erfasst, die als lokale Dienste ohne weitere weit reichende Berechtigungen laufen müssen. Zugriffe auf lokale Ressourcen erfolgen mit den Rechten der Gruppe BENUTZER, Netzwerkzugriffe mit denen von ANONYMOUSANMELDUNG. Netzwerk Hier sind Benutzer erfasst, die sich über das Netzwerk am System angemeldet haben. Netzwerkdienst Dienste, die zur Ausführung einen umfassenden Netzwerkzugriff benötigen, können dieser Gruppe zugewiesen werden. Netzwerkzugriffe erfolgen dann mit den Rechten der Gruppe SYSTEM, während auf lokale Ressourcen mit den Rechten der Gruppe B ENUTZER zugegriffen werden kann. System Dieses Konto wird vom Betriebssystem selbst für interne Zwecke verwendet und verfügt dementsprechend über weit reichende Zugriffsrechte. Terminalserverbenutzer Diese Gruppe hat auf einem Windows Vista-System keine Bedeutung, sondern nur auf Systemen, auf denen der Terminalserverdienst installiert worden ist (Windows 2000/2003-Serversysteme).
Anlegen einer neuen Gruppe Wollen Sie, beispielsweise zur besseren Differenzierung von Zugriffsrechten, eine neue Gruppe anlegen, finden Sie diese Funktion im Snap-In LOKALE BENUTZER UND GRUPPEN. Klicken Sie mit der rechten Maustaste auf GRUPPEN und wählen Sie aus dem erscheinenden Kontextmenü den Eintrag NEUE GRUPPE. Die Eingabefelder haben die folgende Bedeutung: GRUPPENNAME Geben Sie der Gruppe einen eindeutigen Namen. Diesen können Sie allerdings problemlos nachträglich jederzeit ändern. Die Gruppe wird schließlich nur über die eindeutige SID identifiziert. Genau wie bei den Benutzerkonten gilt auch hier: Löschen Sie eine Gruppe aus Ihrem System und erstellen Sie danach eine neue Gruppe mit dem gleichen Namen, handelt es sich trotzdem um eine völlig neue Gruppe. Zugriffsrechte, die Sie vielleicht der ersten Gruppe gegeben haben, sind dann für die neue nicht wirksam.
5.4 Benutzerkontensteuerung ______________________________________________ 281 BESCHREIBUNG Dieses Feld ist optional, aber empfehlenswert, wenn Sie für eine bessere Dokumentation eine Erklärung zum Zweck der Gruppe eintragen. MITGLIEDER In diesem Feld können Sie die Benutzer eintragen, die zu dieser Gruppe gehören sollen. Prinzipiell können Sie diese Liste aber auch leer lassen und - entweder die betreffenden Benutzer erst anlegen und dann später hier eintragen - oder innerhalb der Änderung eines bestehenden Benutzerkontos den Benutzer direkt einer Gruppe zuordnen. Um in der Liste neue Benutzer einzufügen, klicken Sie auf HINZUFÜGEN. Das weitere Vorgehen im dann folgenden Dialogfenster wird in Abschnitt Auswahldialog für Benutzer und Gruppen ab Seite 687 erläutert. Nachdem Sie auf die Schaltfläche ERSTELLEN geklickt haben, wird die Gruppe erzeugt und die Felder werden geleert. Sie können nun sofort eine neue Gruppe anlegen.
Löschen einer Gruppe Um eine Gruppe zu löschen wählen, Sie sie aus der Liste aus und klicken Sie im Kontextmenü auf die Option LÖSCHEN. Nach Bestätigung der Sicherheitsrückfrage wird die Gruppe endgültig aus dem System entfernt. Beachten Sie dazu auch den Hinweis auf Seite 280. Vordefinierte Gruppen (siehe Abschnitt Vordefinierte Gruppen ab Seite 276) können Sie grundsätzlich nicht entfernen.
5.4
Benutzerkontensteuerung
Die Benutzerkontensteuerung englisch User Account Control (UAC) ist eine neue Technologie in Vista, die verhindern soll, dass schädliche Software versehentlich gestartet wird. Ziel ist es, die Anwender vor den Auswirkungen dieser Programme zu bewahren und den Administratoren einen besser zu verwaltenden Desktop zur Verfügung zu stellen. Das kommt einem Lockdown gleich, denn alle Benutzer führen die Programme als Standardbenutzer aus, obwohl es, wie bereits erwähnt, zwei Ebenen von Benutzern, die Standardbenutzer und die Administratoren, gibt.
5.4.1
Modi zur Programmausführung
Startet ein Anwender eine Applikation, wird seine Berechtigung der Applikation zur Laufzeit gegenübergestellt. Das bedeutet, dass eine Anwendung, die von einem Administrator ausgeführt wird, die glei-
282 _________________________________________ 5 Benutzer- und Rechteverwaltung che Berechtigung erhält wie der Administrator selbst, genauso wie eine Anwendung, die von einem Standardbenutzer gestartet wurde und in dessen Sicherheitskontext läuft.
Merkmale »administrativ« und »standard« Auch Anwendungen können die Merkmale »administrativ« und »standard« haben. Kann Vista eine administrative Anwendung nicht als solche erkennen, startet Vista diese als Standardanwendung. Das ist die Voreinstellung. Wird eine Anwendung als »administrativ« gewertet, fragt Vista vor dem Start sicherheitshalber noch einmal nach. Abbildung 5.13: Ihre Zustimmung ist gefragt
Dieser Modus verlangt nach Zustimmung, auch wenn Sie als Administrator angemeldet sind. Schließlich führen auch Mitglieder der Administratorengruppe Programme erst im »normalen«, nichtprivilegierten Modus aus. Erst nach der Bestätigung wird die Berechtigungserweiterung oder »Elevation« durchgeführt und die Anwendung gestartet.
Administrativen Modus fest zuweisen Nun kann es für Sie als Administrator auf Dauer etwas nervig sein, jedes Mal diese Bestätigung abzugeben, wenn Sie ihr Lieblingstool verwenden möchten. Damit Sie die gewonnene Sicherheit nicht gleich wieder abschalten, gibt es die Möglichkeit, jedem einzelnen Programm zu erklären, dass Sie es im »administrativen« Modus auszuführen wünschen. Das stellen Sie wie folgt ein: 1. Öffnen Sie das Kontextmenü zum Programm Ihrer Wahl mit einem Rechtsklick auf das Programmsymbol und wählen Sie den Punkt EIGENSCHAFTEN. 2. Wählen Sie die Registerkarte KOMPATIBILITÄT aus. 3. Unter B ERECHTIGUNGSSTUFE markieren Sie das Kontrollkästchen PROGRAMM ALS ADMINISTRATOR AUSFÜHREN .
5.4 Benutzerkontensteuerung ______________________________________________ 283 Es kann mehrere Ursachen haben, wenn das Kontrollkästchen ausgegraut bleibt. Entweder ist diese Anwendung von dieser Funktion ausgenommen oder die Anwendung braucht keine erhöhten Rechte. Von der Funktion ausgenommen sind viele der mit Windows Vista mitgelieferten Anwendungen. Wenn Sie nicht als Administrator angemeldet sind, bleibt diese Option natürlich auch ausgeschaltet.
5.4.2
Die Benutzerkontensteuerung konfigurieren
Für die Benutzerkontensteuerung gibt es entsprechende Sicherheitsrichtlinien. Die lokalen Richtlinien beeinflussen Sie über die Konsole für lokale Sicherheitsrichtlinien (SECPOL.MSC):
Den Administratorbestätigungsmodus abschalten Sicherheitseinstellungen \Lokale Richtlinien \Sicherheitsoptionen \Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen: Deaktiviert
Bestätigung abschalten für Anwendungsinstallationen Sicherheitseinstellungen \Lokale Richtlinien \Sicherheitsoptionen \Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Deaktiviert
Verhalten der Anhebungsaufforderung für Standardbenutzer Sicherheitseinstellungen \Lokale Richtlinien \Sicherheitsoptionen \Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung für Standardbenutzer: Unter den folgenden Optionen können Sie für diese Richtlinie auswählen: AUFFORDERUNG ZUR EINGABE DER ANMELDEINFORMATIONEN Der Standardbenutzer kann sich für diese Aktion mit einem Benutzernamen aus der Administratorengruppe anmelden, falls ihm eines bekannt ist. AUFFORDERUNGEN FÜR ERHÖHTE RECHTE AUTOMATISCH ABLEHNEN Es erfolgt keine Reaktion, wenn die Anwendung von einem Standardbenutzer aufgerufen wird. Das hört sich aus Sicht eines Administrators erst einmal gut an. Bedenken Sie aber, keine Reaktion bedeutet, dass der Anwender nicht weiß, warum das Programm seinen Dienst versagt. Das lässt Platz für Mutmaßungen.
284 _________________________________________ 5 Benutzer- und Rechteverwaltung Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren Vorausgesetzt der Administratorbestätigungsmodus ist aktiviert, können Sie das Verhalten der Aufforderung ändern. Sicherheitseinstellungen \Lokale Richtlinien \Sicherheitsoptionen \Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für Administratoren: Wählen Sie aus den folgenden Optionen: AUFFORDERUNG ZUR EINGABE DER ZUSTIMMUNG Die bloße Bestätigung ist die Voreinstellung. AUFFORDERUNG ZUR EINGABE DER ANMELDEINFORMATIONEN In einer sicherheitssensitiven Arbeitsumgebung wäre es denkbar, dass Administratoren nur mit bestimmten Administrator-Kennungen spezielle Programme ausführen. Ein Wechsel dieses Kontextes wäre mit dieser Option möglich. ERHÖHTE RECHTE OHNE EINGABEAUFFORDERUNG Das ist sicherlich die lockerste Art, als Administrator mit der Benutzerkontensteuerung umzugehen.
5.5
Benutzerprofile
Für jedes Benutzerkonto wird durch Windows Vista automatisch ein Benutzerprofil eingerichtet. Dieses wird auf der Festplatte zum Teil versteckt gespeichert und enthält alle persönlichen Einstellungen und Daten des Benutzers.
5.5.1
Lokal
Server
Arten von Benutzerprofilen
Es gibt drei Arten von Benutzerprofilen, deren Kenntnis für die Einrichtung des Computers im Netzwerk wichtig ist: Lokales Benutzerprofil Dieses Profil wird erstellt, wenn der Benutzer sich zum ersten Mal anmeldet. Es wird auf der lokalen Festplatte des Computers gespeichert. Auf anderen Computern im Netzwerk ist dieses Profil nicht verfügbar. Diese Profilart wird im nachfolgenden Abschnitt näher betrachtet. Serverbasiertes Profil Das Profil wird vom Administrator auf einem Server abgelegt. Das Profil wird geladen, wenn sich der Benutzer am Netzwerk anmeldet. Beim Abmelden des Benutzers wird das Profil auf dem Server aktualisiert. In Abschnitt 5.5.7 Servergespeicherte Profile ab Seite 293 finden Sie dazu weiterführende Informationen.
5.5 Benutzerprofile _______________________________________________________ 285 Verbindliches Profil Verbindlich Verbindliche Profile werden vom Server geladen und vor allen anderen Profilen ausgeführt. Sie können nur vom Administrator erstellt werden und sind vom Benutzer nicht änderbar insbesondere erfolgt keine Aktualisierung des Profils. Über das Setzen einer Gruppenrichtlinien-Einstellung können Sie das Aktualisieren eines servergespeicherten Profils unterbinden. Weitere Informationen finden Sie dazu in Abschnitt Weitere Einstellungen und Optimierungen ab Seite 297.
5.5.2
Speicherort und Inhalt lokaler Benutzerprofile
Standardmäßig wird bei der Installation ein zentraler Profilordner USERS auf dem gleichen Laufwerk angelegt, auf dem auch die Betriebssystem-Dateien zu finden sind (das so genannte Startlaufwerk): %SystemDrive%\Users\%Username% Standard-SpeicherIst dies, wie bei vielen Standardinstallationen anzutreffen, C: und ist ort der Benutzername Uwe, ergibt sich folgender Speicherort für dieses Profil: C:\Users\Uwe Wie Sie Profile an einem anderen Speicherort unterbringen können, wird in Abschnitt 5.5.6 Alternativen Speicherort für Profile bestimmen ab Seite 291 beschrieben. Das Profilverzeichnis des aktuell angemeldeten Benutzers können Sie %U SERPROFILE% schnell herausfinden, wenn Sie an der Eingabeaufforderung oder im Windows Explorer die Systemvariable %USERPROFILE% verwenden. Abbildung 5.14: Dateien und Ordner in einem Benutzerprofil
286 _________________________________________ 5 Benutzer- und Rechteverwaltung
.
Tabelle 5.2: Elemente eines Benutzerprofils
Viele Dateien und Ordner, die Windows intern für die Speicherung des Profils verwendet, sind mit dem Attribut VERSTECKT versehen und können daher in der Standard-Ordnereinstellung nicht gesehen werden. In Abbildung 5.14 sehen Sie alle standardmäßig angelegten Dateien und Ordner eines Profils nach Anpassung der Ordneroptionen im Windows Explorer. Die Anpassung der Ordneroptionen nehmen Sie über ORGANISIEREN|ORDNER- UND SUCHOPTIONEN vor. Deaktivieren Sie die Einträge GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN und VERSTECKTE DATEIEN UND ORDNER AUSBLENDEN in der Registerkarte ANSICHT im Dialogfenster Ordneroptionen. Sie sollten niemals an versteckten Profildaten manuell Änderungen vornehmen. Anderenfalls können Fehlfunktionen oder Datenverluste die Folge sein. Wenn Sie ein Profil an einen anderen Ort verschieben wollen, sollten Sie das ausschließlich über den Profil-Manager (siehe Seite 289) vornehmen. In der nachfolgenden Tabelle finden Sie zu den einzelnen Elementen kurze Erläuterungen: Bezeichnung
Inhalt
BILDER
Entspricht dem von Windows XP bekannten Ordner E IGENE BILDER. Die Windows Fotogalerie nimmt diesen Ordner als Standardablage.
DESKTOP
Das ist das Verzeichnis, in welchem Windows Vista den Desktop des Benutzers speichert.
DOKUMENTE
Dieser Link zeigt auf den Ordner DOCUMENTS im Dateisystem und stellt die Nachfolge von E IGENE DATEIEN dar.
DOWNLOAD
Über den Internet Explorer oder anderen Internetprogramme heruntergeladene Dateien werden hier ablegt.
FAVORITEN
Liste der Favoriten, die im Internet Explorer und über Programme, die den neuen DATEI ÖFFNEN -Dialog unterstützen, genutzt werden kann
GESPEICHERTE SPIELE Damit Spielstände für jeden Benutzer separat gespeichert werden können, wurde dieser Ordner eingerichtet. Bisher hatte jeder Hersteller dafür seine eigene Systematik. KONTAKTE
Das gute alte Adressbuch hat ausgedient. Windows Mail und andere Programme benutzen hier gepflegte (E-Mail-)Adressen von Bekannten und Geschäftspartnern.
5.5 Benutzerprofile _______________________________________________________ 287 Bezeichnung
Inhalt
LINKS
Dieser Ordner enthält weitere Verknüpfungen (Links) zur internen Verwaltung.
MUSIK
Mediendateien finden sich hier wieder und können bewertet werden ein Ordner, der für den Media Player sehr wichtig ist.
SUCHVORGÄNGE
Vista kann Suchvorgänge speichern. Das hilft, wenn der Computer wiederholt nach denselben Mustern durchsucht werden soll. Hier wird auch die Liste der zuletzt verwendeten Dokumente gepflegt.
VIDEOS
Wie der Name sagt, ist das die Standardablage für Videos und deren Bearbeitungs- und Abspielprogramme.
APPDATA
Dies ist eine Ordnerstruktur, die Anwendungsdaten enthält. APPDATA löst somit ANWENDUNGSDATEN in seiner Funktion ab.
Außerdem enthält dieser Ordner versteckte Verknüpfungen, die offenbar aus Kompatibilitätsgründen vorhanden sind, sich aber nicht anklicken lassen. Diese alten Bekannten wurden von Windows XP benutzt für: Bezeichnung ANWENDUNGSDATEN
Tabelle 5.3: Elemente, die von XP Hier speichern Anwendungsprogramme be- bekannt sind nutzerspezifische Einstellungen ab. Teilweise wird durch englischsprachige Software ein zusätzlicher Ordner APPLICATION DATA erzeugt, der dem gleichen Zweck dient.
Inhalt
COOKIES
Hier speichert der Internet Explorer die Cookies des Benutzers ab (siehe auch Abschnitt Einstellungen zu Cookies und PopupBrowserfensternEinstellungen zu Cookies und Popup-Browserfenstern ab Seite 998).
EIGENE DATEIEN
Das ist das Standard-Verzeichnis für den Ordner EIGENE DATEIEN.
LOKALE EINSTELLUNGEN
Dient wie der Ordner ANWENDUNGSDATEN zur Speicherung von Daten durch Anwendungen.
NETZWERKUMGEBUNG
Temporär angelegte Verknüpfungen für die Netzwerkumgebung
RECENT
Liste der zuletzt verwendeten Dokumente
288 _________________________________________ 5 Benutzer- und Rechteverwaltung Bezeichnung
Inhalt
SENDTO
Persönliche Verknüpfungen für das SENDEN AN-Menü (über das Kontextmenü zu einer Datei erreichbar)
STARTMENÜ
Persönliche Verknüpfungen für das Startmenü des Benutzers
USERDATA
Benutzerspezifische Einstellungen für Windows Systemfunktionen
VORLAGEN
Benutzerspezifische Vorlagen von Anwendungsprogrammen wie Microsoft Office
NTUSER.*
Benutzerspezifischer Teil der Systemregistrierung (siehe auch Abschnitt 9.6 Die WindowsRegistrierung ab Seite 475)
Im Verzeichnis LOKALE EINSTELLUNGEN speichern manche Anwendungsprogramme auch wichtige Benutzerdaten. So legt beispielsweise Outlook 2000 hier die persönlichen Ordner eines Benutzers inklusive aller E-Mails und Kontakte ab. Diese Daten sollten Sie bei Bedarf mit den entsprechenden Funktionen des Anwendungsprogramms (in Outlook: Exportieren) sichern.
5.5.3
Lokalisation
Geben Sie in die Navigationsleiste des Explorers einen Pfad, beispielsweise C:\Users\%Benutzername%, ein, werden Sie feststellen, dass sich der Inhalt der Leiste ändert, sobald Sie die Eingabetaste drücken. Sie sehen jetzt den Systempfad BENUTZER > UWE. Die Systempfade wurden lokalisiert, also sprachlich angepasst. C:\Users heißt also in verschiedenen Sprachversionen unterschiedlich. Nur im Deutschen eben BENUTZER. Weitere Systempfade heißen: Tabelle 5.4: Systempfade in Windows Vista
Systempfad
Realer Pfad unter %SystemDrive%
PROGRAMME
\Program Files
ÖFFENTLICH
\Users\Public
BILDER
\Users\%Username%\Pictures
DESKTOP
\Users\%Username%\Desktop
DOKUMENTE
\Users\%Username%\Documents
DOWNLOAD
\Users\%Username%\Downloads
FAVORITEN
\Users\%Username%\Favorites
GESPEICHERTE SPIELE
\Users\%Username%\Saved Games
5.5 Benutzerprofile _______________________________________________________ 289 Systempfad
Realer Pfad unter %SystemDrive%
KONTAKTE
\Users\%Username%\Contacts
LINKS
\Users\%Username%\Links
MUSIK
\Users\%Username%\Music
SUCHVORGÄNGE
\Users\%Username%\Searches
VIDEOS
\Users\%Username%\Videos
TV-AUFZEICHNUNGEN
\Users\Public\Recorded TV
5.5.4
Der Profil-Manager
Sie können mit dem Profil-Manager Benutzerprofile löschen oder an einen anderen Speicherort kopieren. Abbildung 5.15: Profil-Manager in Windows Vista
Den Profil-Manager starten Sie folgendermaßen: 1. Manövrieren Sie sich über START|SYSTEMSTEUERUNG|SYSTEM zum Dialog, in dem die Basisinformationen zum Computer zu sehen sind 2. Auf der linken Seite unter AUFGABEN klicken Sie auf ERWEITERTE SYSTEMEIGENSCHAFTEN. 3. Aktivieren Sie die Registerkarte ERWEITERT. Klicken Sie auf die Schaltfläche EINSTELLUNGEN in der Rubrik B ENUTZERPROFILE.
Profil kopieren Sie können ein bestehendes Profil zu einem neu angelegten Benutzer kopieren, sodass dieser alle Einstellungen und Dateien dieses Profils erhält. Gehen Sie dazu wie nachfolgend beschrieben vor.
290 _________________________________________ 5 Benutzer- und Rechteverwaltung 1. Wählen Sie im Profil-Manager das zu kopierende Profil aus und klicken Sie auf KOPIEREN NACH. Beachten Sie, dass Sie dazu Administratorrechte benötigen. Sie können übrigens nicht das Profil des aktuell angemeldeten Benutzers kopieren, da dieses durch das System gesperrt wird. Melden Sie sich im Bedarfsfall ab und unter einem anderen Konto mit Administratorrechten an. Abbildung 5.16: Profil auf ein anderes Benutzerkonto kopieren
2. Wählen Sie den Profilordner des Benutzers aus, auf den das Profil kopiert werden soll. Ist dieses noch nicht vorhanden, geben Sie den Benutzernamen als Ziel ein. Achten Sie auf eine korrekte Schreibweise, da anderenfalls das Profil nicht dem Benutzer zugeordnet wird. Geben Sie auch unbedingt den Standard-Speicherort %SYSTEMDRIVE%\USERS an. Wie Sie ein Profil davon abweichend an einen anderen Speicherort verschieben oder kopieren können, wird im nachfolgenden Abschnitt beschrieben. 3. Klicken Sie unter Benutzer auf ÄNDERN und tragen Sie hier das Ziel-Benutzerkonto ein. Damit wird sichergestellt, dass alle Dateiberechtigungen korrekt für das angegebene Benutzerkonto gesetzt werden. Haben Sie alle Einstellungen vorgenommen, können Sie über einen Klick auf OK den Kopiervorgang starten. Bedenken Sie, dass ein bereits vorhandenes Profil des Benutzers beim Kopiervorgang komplett überschrieben wird. Kopieren Sie nur dann Profile, wenn Sie das Grundprinzip wirklich verstanden haben.
Profil löschen Dateien des Benutzers retten?
Über den Profil-Manager können Sie auch ein Profil unwiederbringlich von Ihrem Computer entfernen. Für die durch den Benutzer angelegten Dateien gibt es aber einen Rettungsversuch durch Windows Vista: Es fragt Sie vor dem endgültigen Löschen, ob Sie diese Dateien
5.5 Benutzerprofile _______________________________________________________ 291 behalten wollen. Antworten Sie positiv, werden die Dateien auf Ihrem Desktop abgelegt.
5.5.5
Neues Standard-Profil erstellen
Wenn Sie einen neuen Benutzer auf Ihrem System einrichten, müssen Sie meistens noch weitere Einrichtungsschritte durchführen. Programmsymbole müssen im Startmenü eingerichtet werden. Manche Programme, wie beispielsweise MS Office, verlangen nach weiteren Einstellungen beim erstmaligen Anmelden eines Benutzers. Für jeden neuen Benutzer wird als Vorlage für dessen Profil ein Standard-Profil herangezogen. Bei der ersten Anmeldung wird dieses aus dem folgenden Ordner auf den neuen Profilordner des Benutzers kopiert: %SystemDrive%\Users\Default Speicherort Über den Profil-Manager können Sie hier ein eigenes Standard-Profil hinterlegen. Gehen Sie dazu wie folgt vor: 1. Richten Sie einen neuen Benutzer ein. Melden Sie sich dann als dieser an und nehmen Sie alle Einstellungen für dessen Startmenü, Anwendungsprogramme etc. vor. 2. Melden Sie sich richtig ab und melden Sie sich als ein anderer Benutzer wieder an, der Administratorrechte haben muss. 3. Starten Sie den Profil-Manager und kopieren Sie das Profil des zuvor angelegten Benutzers mit den folgenden Einstellungen: - Geben Sie als Ziel den Ordner des Standard-Profils an. - Geben Sie als Ziel-Benutzerkonto JEDER an. Wenn Sie nun einen neuen Benutzer anlegen und dieser sich das erste Mal anmeldet, wird das neue Standard-Profil auf ihn übertragen.
5.5.6
Alternativen Speicherort für Profile bestimmen
In diesem Abschnitt wird beschrieben, wie Sie für ausgewählte oder alle Benutzer einen anderen Speicherort als %SYSTEMDRIVE%\USERS für die Profile festlegen können.
Registrierungs-Zweig Die Zuordnung des Standard-Profilverzeichnisses %SYSTEMDRIVE%\ USERS ist in der Windows-Registrierung verankert: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \ProfileList
292 _________________________________________ 5 Benutzer- und Rechteverwaltung
Profile-Speicherort vor der Installation festlegbar!
Unterhalb dieses Schlüssels werden die Zweige für alle Benutzer verwaltet. Dabei sind diese Einträge nach den SIDs der Benutzer aufgelistet, nicht nach deren Benutzernamen. Weiterführende Informationen zur Registrierung finden Sie dazu in Abschnitt 9.6 Die WindowsRegistrierung ab Seite 475. Der Standard-Speicherort %SYSTEMDRIVE%\USERS wird bereits durch das Setup-Programm von Windows Vista festgelegt. Sie können vor der Installation bei Bedarf einen alternativen Speicherort bestimmen.
Profil eines Benutzers an einen anderen Ort verschieben
Windows-Registrierung manipulieren
Gehen Sie so vor, wenn Sie das Profil eines ausgewählten Benutzers an einen anderen Speicherort verschieben wollen: 1. Melden Sie sich als Administrator am System an. Beachten Sie, dass Sie niemals die Einstellungen zum Profil des aktuell angemeldeten Benutzers ändern können. 2. Kopieren Sie mit Hilfe des Profil-Managers (siehe Seite 289) das Profil des Benutzers an den neuen Speicherort. 3. Starten Sie den Registrierungseditor REGEDIT (siehe Abschnitt 9.6.2 Bearbeiten der Registrierung ab Seite 478) und öffnen Sie den folgenden Zweig (siehe Abschnitt zuvor): ... \ProfileList \ Für wählen Sie die SID des betreffenden Benutzers, die Sie wie in Abschnitt Ermittlung der SID von Benutzern ab Seite 271 beschrieben erhalten können. 4. Tragen Sie unter PROFILEIMAGEPATH den neuen Speicherort ein. 5. Melden Sie sich unter dem betreffenden Benutzerkonto an, um zu prüfen, ob die Änderungen korrekt durchgeführt worden sind. Erst danach sollten Sie das alte Profil löschen.
Profile aller Benutzer an einen anderen Ort verschieben Wollen Sie generell alle bestehenden Benutzerprofile an einen anderen Speicherort verschieben, gehen Sie so vor: 1. Melden Sie sich als Administrator am System an. 2. Erstellen Sie über den Windows Explorer ein neues Profilverzeichnis, beispielsweise D:\PROFILE. 3. Kopieren Sie alle Profile bis auf das des aktuell angemeldeten Benutzers über den Profil-Manager an den neuen Speicherort. Verwenden Sie exakt die gleichen Namen für die Unterordner (die im Allgemeinen den Benutzernamen entsprechen), wenn Sie vermeiden wollen, diese noch separat in der Registrierung anpassen zu müssen.
5.5 Benutzerprofile _______________________________________________________ 293 4. Melden Sie sich ab und unter einem zweiten Benutzer mit Administratorrechten an, um das noch nicht kopierte letzte Profil kopieren zu können. 5. Melden Sie sich abermals ab und als Administrator wieder an. Windows-RegistriePassen Sie nun den Eintrag ProfilesDirectory mit Hilfe des Registrie- rung manipulieren rungseditors an. Er befindet sich unter: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \ProfileList Nach einem Neustart des Systems wird das neue Profilverzeichnis genutzt und Sie können das alte Verzeichnis löschen.
Profil von einem Computer zu einem anderen kopieren Haben Sie sich einen neuen Computer angeschafft, auf welchem ebenfalls Windows Vista installiert ist, können Sie das Profil vom alten PC auch auf den neuen übertragen. Lassen Sie sich aber nicht dazu hinreißen, es mit einem normalen Kopiervorgang über Datenträger oder das Netzwerk zu versuchen. Die SID, die dem Benutzerkonto für das Profil zugrunde liegt, ist einzigartig und auf dem neuen PC nicht bekannt. Zum Kopieren von Profilen zwischen Computern hat Microsoft einen speziellen Assistenten, den Windows Easy Transfer, entwickelt. Dieser wird in Abschnitt 2.9 Übertragen von Dateien und Einstellungen ab Seite 86 detailliert behandelt.
5.5.7
Nicht über normales Kopieren!
Spezieller Assistent verfügbar
Servergespeicherte Profile
Sie können servergespeicherte Profile auf jedem freigegebenen Ordner im Netzwerk ablegen. Als »Server« können damit auch eine Windows-Arbeitsstation (unter XP Professional oder Vista ab Business) oder ein Windows 2000/2003-Server ohne den Verzeichnisdienst Active Directory verwendet werden. Statten Sie die Computer in einem Netzwerk identisch mit Software (Betriebssystem-Einstellungen und Anwendungen) aus, können Sie über servergespeicherte Profile erreichen, dass sich jeder Benutzer an jedem Arbeitsplatz anmelden kann und überall seinen Desktop und seine Anwendungsdaten wieder findet.
Prinzipielle Funktion Nach Erstellung des servergespeicherten Profils wird dieses bei der Standard: Lokale Anmeldung auf die Arbeitsstation übertragen. Auf der wird eine loka- Kopie
294 _________________________________________ 5 Benutzer- und Rechteverwaltung
Abgleich der Profile
Weitreichende Eingriffsmöglichkeiten
le Kopie dieses Profils abgelegt. Die lokale Kopie wird dann bei der Anmeldung aktiviert, wenn Folgendes eintritt: Die Netzwerkverbindung oder auch nur der Pfad zum Profilordner auf dem Server sind nicht verfügbar. Die Verbindung weist eine zu geringe Übertragungsrate auf. Standardmäßig ist dieser Wert mit 500 KBit/s (circa 62 KB/s) bemessen, kann aber angepasst werden (siehe unten). Wenn die Netzwerkverbindung zum Profilserver besteht, wird mit jeder Anmeldung untersucht, ob das lokale oder das servergespeicherte Profil aktueller ist. Das aktuellere Profil wird schließlich dann auf das andere abgeglichen und aktiviert. Mit der Abmeldung erfolgt ein Übertragen des nun geänderten lokalen Profils auf den Server. Als Administrator können Sie das Verhalten von Windows Vista in Bezug auf den Umgang mit servergespeicherten Profilen weit gehend anpassen. Weitere Informationen finden Sie dazu in Abschnitt Weitere Einstellungen und Optimierungen ab Seite 297.
Lokales zu einem servergespeicherten Profil umwandeln Gehen Sie so vor, um aus einem lokalen Benutzerprofil ein servergespeichertes Profil zu machen: 1. Erstellen Sie eine Netzwerkfreigabe auf dem betreffenden Server. 2. Melden Sie sich als Administrator an und öffnen Sie den ProfilManager (siehe Abschnitt 5.5.4 Der Profil-Manager ab Seite 289). 3. Markieren Sie das Profil des betreffenden Benutzers und klicken Sie im Profil-Manager auf KOPIEREN NACH. Geben Sie im Eingabefeld für das Ziel den UNC-Namen des Netzwerkpfades ein. Abbildung 5.17: Profil auf den Server kopieren
4. Öffnen Sie im Snap-In LOKALE BENUTZER UND G RUPPEN das Eigenschaften-Dialogfenster zu dem betreffenden Benutzer. In der Registerkarte PROFIL tragen Sie im Eingabefeld PROFILPFAD den Netzwerkpfad des Profils ein.
5.5 Benutzerprofile _______________________________________________________ 295 Mit dem nächsten Anmeldevorgang wird das Profil ab sofort vom Server geladen. Beim Abmelden erfolgt ein Aktualisieren des Profils auf dem Server. Abbildung 5.18: Angabe des neuen Pfades in den Benutzerkonten-Eigenschaften
Wenn Sie nicht in eine Active Directory-Domäne eingebunden sind, sondern in einem Peer-to-Peer-Netzwerk servergespeicherte Profile verwenden wollen, müssen Sie sicherstellen, dass auf dem betreffenden Server ein gleich lautendes Benutzerkonto (gleicher Anmeldename und identisches Kennwort) existiert und dieses für das betreffende Profilverzeichnis volle Zugriffsrechte zugewiesen bekommt. Wollen Sie überprüfen, ob das Profil tatsächlich vom Server geladen Überprüfung worden ist, öffnen Sie nach der Anmeldung unter dem betreffenden Benutzerkonto hier den Profil-Manager. Sie sehen dann nur das eigene Profil. Die Einträge unter TYP und STATUS müssen übereinstimmend SERVERGESPEICHERT lauten.
Neues Benutzerkonto mit servergespeichertem Profil anlegen Wenn Sie einen neuen Benutzer anlegen, können Sie gleich einen entsprechenden Profilpfad (siehe Abbildung 5.18) angeben. Sie müssen nur sicherstellen, dass dieser Benutzer auch auf dem anderen Server bekannt ist, falls Sie kein Active Directory einsetzen. Mit der ersten Anmeldung wird auf dem Server das Profil erzeugt. Eine Kopie davon wird ebenfalls auf der Arbeitsstation lokal hinterlegt (siehe dazu nachfolgenden Abschnitt).
296 _________________________________________ 5 Benutzer- und Rechteverwaltung Lokale Kopien von servergespeicherten Profilen Servergespeicherte Profile werden generell auch lokal auf den jeweiligen Arbeitsstationen zwischengespeichert. Damit soll sichergestellt werden, dass Benutzer selbst dann noch arbeiten können, wenn der Profil-Server einmal ausfällt. Ist der Server wieder verfügbar, wird bei der Anmeldung verglichen, wo das aktuellere Profil besteht. Gegebenenfalls wird dieses dann erst von der Arbeitsstation auf den Server kopiert, falls es hier aktueller ist. Wenn Sie serverbasierte Benutzerprofile und die Standardordner DOKUMENTE, BILDER, MUSIK usw. verwenden und der Benutzer dort seine Daten ablegt, werden alle diese Daten auf dem Server gespeichert. Bei den heute üblichen Datenmengen kann ein solches Profil schnell einige GByte groß werden. Da serverbasierte Profile komplett bei jedem An- und Abmelden über das Netz verschoben werden, entsteht viel Netzverkehr. Lange Startzeiten und ein enormer Speicherverbrauch auf der Serverfestplatte sind die Folge. Verschieben Sie gegebenenfalls den Speicherort DOKUMENTE auf ein separates Netzwerklaufwerk, sodass er nicht mehr unter USERS liegt. Sie erreichen dies über das Eigenschaften-Dialogfenster zum Symbol DOKUMENTE, welches Sie über das Kontextmenü aufrufen können. Abbildung 5.19: Ordner DOKUMENTE verschieben
5.5 Benutzerprofile _______________________________________________________ 297 Anmeldetyp für die Arbeitsstation ändern Wollen Sie vorübergehend nur mit der lokalen Kopie des servergespeicherten Profils arbeiten, obwohl der Profilserver ordnungsgemäß arbeitet, können Sie dies über den Profil-Manager einstellen. Klicken Sie auf das betreffende Profil und dann auf TYP ÄNDERN. Abbildung 5.20: Ändern des Profiltyps für die betreffende Arbeitsstation
Wählen Sie LOKALES PROFIL, wird bei der nächsten Anmeldung an diesem Arbeitsplatz-Computer die hier lokal gespeicherte Profil-Kopie verwendet.
Weitere Einstellungen und Optimierungen Für den Umgang mit servergespeicherten Profilen gibt es einige Gruppenrichtlinien-Einstellungen. Dabei muss unterschieden werden, ob Sie diese lokal oder für eine Organisationseinheit im Active Directory anwenden. Umfassendere Einstellmöglichkeiten sind mit dem Einsatz im Active Directory möglich. Nur hier haben Sie auch die Möglichkeit, diese für verschiedene Benutzer und Computer differenziert festzulegen. Lokale Gruppenrichtlinien hingegen wirken generell für alle Benutzer des betreffenden Computers. Die Gruppenrichtlinien für den Einsatz im Active Directory werden in unseren Büchern Windows 2000 im Netzwerkeinsatz sowie Windows Server 2003 eingehend behandelt. Nachfolgend finden Sie Erläuterungen zu den wichtigsten lokalen Gruppenrichtlinien, mit denen Sie die Konfiguration servergespeicherter Profile ohne Active Directory beeinflussen können. Alle lokalen Gruppenrichtlinien können Sie über die Managementkonsole GPEDIT.MSC manipulieren. Generelle Informationen zu diesem Thema finden Sie in Abschnitt 5.6 Gruppenrichtlinien ab Seite 303. Verzeichnisse ausschließen Über diese Gruppenrichtlinien-Einstellung können Sie definieren, dass bestimmte lokale Verzeichnisse nicht im servergespeicherten Profil abgespeichert werden. Die folgenden Verzeichnisse könnten Sie dabei bestimmen: - Temporäre Dateien - %AppData%\Local %UserProfile%\AppData\Local\Temp
Mehr Möglichkeiten mit Active Directory
GPEDIT.MSC
Verzeichnisse aus Profil ausschließen
298 _________________________________________ 5 Benutzer- und Rechteverwaltung
Lokale Kopie des Profils löschen
Aktualisierung von Profilen verhindern
- Arbeitsdateien, die nicht mit kopiert werden müssen %UserProfile%\AppData\Local\Anwendungsdaten - Temporäre Internet-Explorer-Dateien %UserProfile%\AppData\Local\Temporary Internet Files %UserProfile%\AppData\Local\Verlauf Sie finden die entsprechende Einstellung im Snap-In RICHTLINIEN FÜR LOKALER COMPUTER (auch direkt mit G RUPPENRICHTLINIEN bezeichnet) an der folgenden Position: Richtlinien für lokaler Computer \Benutzerkonfiguration \Administrative Vorlagen \System \Benutzerprofile \Verzeichnisse aus servergespeichertem Profil ausschließen Lokale Kopie löschen Wenn Sie verhindern wollen, dass die lokale Kopie eines servergespeicherten Profils auf dem Arbeitsplatzcomputer verbleibt, aktivieren Sie die folgende Richtlinie: Richtlinien für lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Benutzerprofile \Zwischengespeich. Kopien von servergesp. Profilen löschen Damit wird bei jeder Abmeldung die lokale Kopie vom Computer wieder gelöscht. Diese Einstellung sollten Sie aber nur dann einsetzen, wenn Sie immer eine schnelle Netzwerkverbindung zwischen Client und Server sicherstellen können. Bei Ausfall des Profilservers oder einer erkannten langsamen Netzwerkverbindung (siehe nächster Punkt) kann sonst keine Anmeldung vorgenommen werden. Aktualisierung servergespeicherter Profile verhindern Mit dieser Einstellung können Sie erreichen, dass Änderungen an servergespeicherten Profilen durch Benutzer nicht durchgeführt werden können. Richtlinien für lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Benutzerprofile \Propagierung von Änderungen an servergespeicherten Profilen auf den Server verhindern Damit bleiben einmal erstellte servergespeicherte Profile unverändert. Dies eignet sich beispielsweise für den Einsatz auf öffentlich zugänglichen Computern, die damit zwar normal benutzbar bleiben, aber vor Benutzereingriffen geschützt werden können. Zu-
5.5 Benutzerprofile _______________________________________________________ 299 sätzlich sollten Sie dann aber noch weitere Einstellungen bezüglich der Zugriffsrechte vornehmen. Nur lokale Profile zulassen Über diese Richtlinie können Sie für einen Computer festlegen, dass lediglich lokale Profile verwendet werden dürfen. Richtlinien für lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Benutzerprofile \Nur lokale Benutzerprofile zulassen Langsame Netzwerkverbindung erkennen und definieren Wird durch das Betriebssystem eine langsame Netzwerkverbindung erkannt, lädt dieses in der Standardeinstellung nur die lokale Kopie. Dieses Verhalten können Sie über diese Richtlinien beeinflussen: Richtlinien für lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Benutzerprofile \Langsame Netzwerkverbindungen nicht erkennen Mit Aktivierung dieser Einstellung deaktivieren Sie die Erkennung langsamer Verbindungen. Das hat zur Folge, dass generell das servergespeicherte Profil geladen wird. Bei einer langsamen Verbindung bedarf dies allerdings unter Umständen sehr viel Zeit. \Zeitlimit für langsame Verbindungen für Benutzerprofile Mit dieser Richtlinie können Sie genau einstellen, wann eine Verbindung als langsam einzustufen ist. Die Standardwerte sind 500 KBit/s beziehungsweise 120 ms. Weitere Richtlinien, die das Systemverhalten für langsame Verbindungen steuern, sind folgende: \Benutzer bei langsamen Verbindungen zum Bestätigen auffordern und \Zeitlimit für Dialogfelder Damit steuern Sie, ob und wie lange eine Aufforderung auf dem Bildschirm erscheinen soll, in der der Benutzer vor die Wahl gestellt wird, ob er das lokale oder das servergespeicherte Profil laden möchte. \Setzen Maximumzeit bis das Netzwerk bereit, um servergespeichertes oder lokales Benutzerprofil zu laden Vista wartet normalerweise maximal 30 Sekunden bis das Netzwerk aktiv ist, um das serverbasierte Benutzerprofil zu laden. Nach Ablauf der Zeit wird das lokale Profil geladen. Für manche Netzwerke wie WLANs kann diese Zeit zu kurz sein.
Nur lokale Profile auf dem Computer einsetzen
Langsame Netzwerkverbindung
300 _________________________________________ 5 Benutzer- und Rechteverwaltung \Pfad setzen unter dem das Profil auf dem Computer abgelegt wird Die genaue Beschreibung für das »Verbiegen« dieser Pfadangabe entnehmen Sie der Beschreibung der Gruppenrichtlinie im Editor.
5.5.8
Benutzerverwaltung in einer AD-Domäne
Ist die Windows Vista-Arbeitsstation in eine Active Directory (AD)Domäne eingebunden, verliert die lokale Benutzerdatenbank an Bedeutung. Sinn und Zweck eines Domänen-basierten Netzwerks ist schließlich unter anderem die zentrale Administration der Benutzerkonten.
Verwaltung von Domänen-Benutzerkonten Snap-In Active Directory-Benutzer und -Computer
Für die Verwaltung von Benutzern und Gruppen im Active DirectoryVerzeichnis gibt es das Managementkonsolen-Snap-In Active Directory-Benutzer und -Computer. Diese Snap-In können Sie auch auf einer Windows Vista-Arbeitsstation in eine Managementkonsole einbinden und dann von dieser aus das Verzeichnis administrieren. Damit das Snap-In benutzt werden kann, ist die Installation der AdminPak.msi nötig. Da es für Vista noch kein angepasstes Administrator-Paket gibt, ist die Version von Windows Server 2003 Service Pack 1 zu benutzen. Gehen Sie so vor, um das Snap-In Active Directory-Benutzer und -Computer unter Windows Vista zu installieren: 1. Laden Sie sich das Service Pack 1 von Windows Server 2003 herunter auf Ihre Arbeitsstation herunter, sofern es Ihnen noch nicht auf CD vorliegt. Die Datei heißt WindowsServer2003-KB889101-SP1-x86DEU.exe in der Standardversion für 32-Bit-Systeme. 2. Öffnen Sie diese Datei über den Windows Explorer. Es beginnt die Dekomprimierung der Dateien in einen temporären Ordner. Da das Service Pack für Windows Server konzipiert ist, erhalten Sie eine Fehlermeldung, weil Ihr Administrator-PC unter einem anderen System läuft. Bevor Sie die Fehlermeldung bestätigen, wechseln Sie im Windows Explorer zu dem temporär angelegten Ordner. Mit einem Rechtsklick öffnen Sie das Kontextmenü und wählen Eigenschaften aus. Markieren Sie den Schreibschutz für den Ordner und alle Unterordner. Erst dann können Sie die Fehlermeldung bestätigen. 3. Die können den Temporär-Ordner jetzt mit einem »sprechenden« Namen versehen und den Schreibschutz wieder entfernen. 4. Das AdminPak.msi lässt eine simple Installation durch Doppelklick auf Windows Vista nicht zu. Es behauptet in einer Fehlermeldung zu Recht, dass es für Windows XP (SP 2) oder Windows Server (SP 1) entwickelt wurde. Diese Fehlermeldung wird umgangen, in dem das Paket entpackt und manuell installiert wird.
5.5 Benutzerprofile _______________________________________________________ 301 5. Um das Paket Adminpak.msi zu entpacken, wird ein Administrative Installation durchgeführt. Dazu geben Sie folgendes in eine Eingabeaufforderung oder unter START | AUSFÜHREN ein: Msiexec /a Adminpak.msi Es öffnet sich ein Dialog, der den Netzwerkinstallationspfad abfragt. Der Pfad muss kein Netzwerkpfad sein. Eine lokale Installation ist ebenso möglich. 6. In dem Netzwerkinstallationspfad sind drei Unterordner angelegt worden: Programme, system32 und Windows. Den Inhalt dieser Ordner kopieren Sie in die entsprechenden Ordner auf Ihren Vista-PC. Achten Sie darauf, dass bestehende Dateien nicht überschrieben werden, denn sie sind neuer. 7. Erstellen Sie eine Textdatei mit einem Editor und nennen Sie sie RegisterAdminPak.cmd. Fügen den folgenden Inhalt in diese Datei ein und speichern ihn ab: @echo off REM RegisterAdminPak.cmd REM (c) 2006 Microsoft Corporation. All rights reserved. set filelist=adprop.dll azroles.dll azroleui.dll ccfg95.dll set filelist=%filelist% certadm.dll certmmc.dll certpdef.dll certtmpl.dll set filelist=%filelist% certxds.dll cladmwiz.dll clcfgsrv.dll clnetrex.dll set filelist=%filelist% cluadmex.dll cluadmmc.dll cmproxy.dll cmroute.dll set filelist=%filelist% cmutoa.dll cnet16.dll debugex.dll dfscore.dll set filelist=%filelist% dfsgui.dll dhcpsnap.dll dnsmgr.dll domadmin.dll set filelist=%filelist% dsadmin.dll dsuiwiz.dll imadmui.dll lrwizdll.dll set filelist=%filelist% mprsnap.dll msclus.dll mstsmhst.dll mstsmmc.dll set filelist=%filelist% nntpadm.dll nntpapi.dll nntpsnap.dll ntdsbsrv.dll set filelist=%filelist% ntfrsapi.dll rasuser.dll rigpsnap.dll rsadmin.dll set filelist=%filelist% rscommon.dll rsconn.dll rsengps.dll rsjob.dll set filelist=%filelist% rsservps.dll rsshell.dll rssubps.dll rtrfiltr.dll set filelist=%filelist% schmmgmt.dll tapisnap.dll tsuserex.dll vsstskex.dll set filelist=%filelist% w95inf16.dll w95inf32.dll winsevnt.dll winsmon.dll set filelist=%filelist% winsrpc.dll winssnap.dll ws03res.dll
Listing 5.1 Skript zum Registrieren des AdminPaks
302 _________________________________________ 5 Benutzer- und Rechteverwaltung for %%i in (%filelist%) do ( echo Registering %%i ... regsvr32 /s %%i ) echo. echo Command Completed 8. Klicken Sie auf START | ALLE PROGRAMME, dann auf ZUBEHÖR. Mit der rechten Maustaste klicken Sie auf E INGABEAUFFORDERUNG und dann auf ALS ADMINISTRATOR AUSFÜHREN. 9. Wechseln Sie in den Ordner, der die Datei REGISTERADMINPAK.CMD enthält und starten Sie dieses Skript. Es registriert die kopierten DLLs. 10. Die vorgefertigten Managementkonsolen lassen sich jetzt in der Eingabeaufforderung aufrufen: - Active Directory-Benutzer (DSA.MSC) - Active Directory-Standort (DSSITE.MSC) - Active Directory-Domänen und -Vertrauensstellungen (DOMAIN.MSC) Abbildung 5.21: Snap-In Active Directory-Benutzer und -Computer in einer MMC unter Vista
Selbstverständlich können Sie sich Verknüpfungen für die mscDateien erstellen. Die Standardablage für die Verknüpfungen der bereits vorhandenen Managementkonsolen ist in diesem Ordner zu finden: C:\%AllUsersProfile%\Microsoft\Windows\Startmenü\Programme\Verwaltung Weitergehende Informationen bietet dazu der Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199. Sie können das Snap-In Active Directory-Benutzer und Computer nur dann einsetzen, wenn Sie an einer Active Directory-Domäne angemeldet sind. Wollen Sie hier Verwaltungsaufgaben an Benutzerkonten durchführen, benötigen Sie die entsprechenden AdministrationsRechte.
5.6 Gruppenrichtlinien ____________________________________________________ 303 In Abschnitt 14.5 Einbindung als Client in Active Directory ab Seite 898 finden Sie weiterführende Informationen zur Einrichtung von Windows Vista als AD-Client.
Verwaltung lokaler Benutzerkonten Nach wie vor können Sie natürlich an der Arbeitsstation lokale Benutzerkonten führen. Dazu benutzen Sie die erweiterte Benutzerverwaltung, die über als Snap-In LOKALE BENUTZER UND GRUPPEN verfügbar ist (siehe Abschnitt 5.3 Erweiterte Benutzerverwaltung ab Seite 270). Für die Anmeldung mit einem lokalen Konto müssen Sie im Anmeldedialogfenster lediglich statt des Domänennamens den Rechnernamen des lokalen Rechners angeben. Beachten Sie, dass der Benutzer, den Sie lokal auf Ihrem System führen, sich von einem Benutzer, der in der Domäne verwaltet wird, unterscheidet. Das gilt auch dann, wenn beide den gleichen Anmeldenamen und das gleiche Kennwort verwenden sollten. Die Auswirkung ist, dass für beide Benutzer unterschiedliche Benutzerprofile angelegt und verwendet werden. Damit finden Sie sich, abhängig von der lokalen Anmeldung oder der Anmeldung an der Domäne, immer in verschiedenen Umgebungen (Desktop, Dokumente etc.) wieder. Weitere Informationen dazu enthält der Abschnitt Bedeutung der SID ab Seite 271.
5.6
Snap-In LOKALE BENUTZER UND GRUPPEN
Anmeldung an lokalem Konto Unterschiedliche SIDs beachten
Gruppenrichtlinien
Mit den Gruppenrichtlinien steht Ihnen als Administrator ein sehr mächtiges Werkzeug zur Verfügung, mit dessen Hilfe Sie das Systemverhalten gezielt steuern können. Gruppenrichtlinien haben, auch wenn die Bezeichnung etwas anderes suggeriert, nichts mit Sicherheitsgruppen, meist Gruppen genannt, zu tun (siehe Abschnitt 5.3.3 Gruppen ab Seite 276).
5.6.1
Einführung
Die Gruppenrichtlinien wurden erstmals mit Windows 2000 eingeführt. Sie sind eine Weiterentwicklung der Windows NT-Systemrichtlinien und nur unter den folgenden Betriebssystemen einsetzbar: Unterstützte SysWindows 2000 Professional teme Windows XP Professional Windows 2000 Server-Familie Windows Server 2003-Familie Windows Vista ab Business Edition (siehe Abschnitt 1.3.1 Vista für den Arbeitsplatz die Versionen )
304 _________________________________________ 5 Benutzer- und Rechteverwaltung Windows NT und 9x/Me
Gruppenrichtlinien haben Vorrang!
Unter den Windows Vista Home Editionen sind Gruppenrichtlinien nicht nutzbar, ebenso wenig unter Windows NT oder 9x/Me. Grundsätzlich funktionieren Gruppenrichtlinien so, dass über eine spezielle Erweiterung der Registrierungssteuerung Einträge in der Registrierungsdatenbank vorgenommen werden. Die Aktualisierung erfolgt dabei in der Standardeinstellung regelmäßig im Hintergrund. Dieses Intervall beträgt 90 Minuten, wobei eine zufällig generierte Verzögerung von bis zu 30 Minuten hinzukommt. Dieses Verhalten können Sie wiederum über spezielle Richtlinien anpassen. Gruppenrichtlinien haben Vorrang vor allen anderen Einstellungen und Benutzerrechten. Aktivieren Sie beispielsweise die Richtlinie KLASSISCHES STARTMENÜ ERZWINGEN, so findet der Benutzer zum Einen nur noch das klassische Startmenü vor, kann zum Anderen dieses aber nicht mehr selbst auf das neue Design umschalten. Dabei nützen ihm auch Administratorrechte nichts im Eigenschaften-Fenster zur Taskleiste und zum Startmenü fehlt dann einfach die entsprechende Option zum Umstellen (siehe auch Abbildung 3.6 auf Seite 112). Als Administrator kann er allerdings die Einstellung über das Snap-In Gruppenrichtlinie wieder rückgängig machen (siehe nachfolgender Abschnitt).
Lokale Gruppenrichtlinien Lokales Gruppenrichtlinienobjekt
Lokale Gruppenrichtlinien sind eingeschränkt
Bei einem allein stehenden oder in eine Arbeitsgruppe integrierten Windows Vista-PC gibt es nur ein lokales Gruppenrichtlinienobjekt. In diesem können Sie nur Einstellungen zu diesem lokalen System vornehmen. Wollen Sie mehrere PCs in einem kleinen Netzwerk mit den gleichen Einstellungen versehen, müssen Sie zwangsläufig die Einstellungen auf allen PCs separat vornehmen. Immerhin können Sie das von einem Arbeitsplatz aus tun die Remote-Funktionalität des SnapIns für die Managementkonsole macht es möglich. Dazu müssen Sie jedoch eine eigene Managementkonsole mit dem Snap-In GRUPPENRICHTLINIE anlegen (siehe Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199). Hierbei können Sie dann den Computer auswählen, dessen Gruppenrichtlinienobjekt Sie bearbeiten wollen. Lokale Gruppenrichtlinien gelten immer für den betreffenden Computer und alle hier lokal geführten Benutzer. Eine weitere Differenzierung ist nicht möglich. So muss leider ein Administrator mit denselben Einschränkungen leben, die er vielleicht für alle anderen Benutzer eingerichtet hat. Es bleibt eigentlich nur der Ausweg, vorübergehend diese Richtlinien wieder zurückzusetzen. Mit einem kleinen Trick können Sie das aber dennoch vermeiden. Das lokale Gruppenrichtlinien-Objekt ist in diesem Verzeichnis gespeichert: %Systemroot%\system32\GroupPolicy Standardmäßig sind hier für die Sicherheitsgruppe Authentifizierte Benutzer Leserechte und für Administratoren Vollzugriff eingestellt. Damit die Richtlinien auf die Gruppe der Administratoren nicht wirkt,
5.6 Gruppenrichtlinien ____________________________________________________ 305 muss für diese das Leserecht explizit verweigert werden. Zum Bearbeiten der Richtlinien brauchen Sie dann nur für den Moment der Bearbeitung das Recht Vollzugriff wieder einzustellen.
Gruppenrichtlinien im Active Directory Alle Möglichkeiten zur Vereinfachung und Zentralisierung der Administration mittels Gruppenrichtlinien eröffnen sich erst, wenn Sie ein Active Directory zur Verfügung haben. Hier können Sie Gruppenrichtlinienobjekte einzelnen Containern zuweisen. Damit ergibt sich eine weit reichende Differenzierungsmöglichkeit. So lassen sich auf diesem Wege zentral verbindliche Einstellungen für verschiedene Benutzer oder Computer vornehmen. Lokale Gruppenrichtlinien werden durch die im Active Directory verankerten generell überschrieben. Damit wird sichergestellt, dass Einstellungen auf Domänen-Ebene immer Vorrang vor lokalen haben. Dies ist nicht zuletzt auch eine Frage der Sicherheit. Manipulationen am Betriebssystem werden bei der richtigen Einstellung der Gruppenrichtlinien deutlich erschwert. Active Directory-Gruppenrichtlinien sind somit das mächtigste Werkzeug für Administratoren. Im vorliegenden Buch werden nur die lokalen Gruppenrichtlinien näher betrachtet. Informationen zur Erstellung und Anwendung von Gruppenrichtlinienobjekten im Active Directory finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
Alle Möglichkeiten erst mit Active Directory
Active DirectoryGruppenrichtlinien haben Vorrang vor lokalen
Überblick über wirksame Gruppenrichtlinien Für den Administrator kann es sehr wichtig sein herauszufinden, welche Richtlinien wirksam sind. Ebenso wichtig ist für anspruchsvolle Installationen eine korrekte Dokumentation. Das könnte insbesondere bei einer komplex strukturierten Active Directory-Domäne zu einer echten Herausforderung werden wenn es dafür nicht leistungsfähige Tools gäbe. Mit Windows Vista werden zwei Werkzeuge mitgeliefert. Als grafisches Dienstprogramm steht das Snap-In RICHTLINIENERGEBNISSATZ zur Verfügung. Alternativ oder ergänzend dazu gibt es das Kommandozeilen-Tool GPRESULT.EXE. Beide Werkzeuge werden in Abschnitt 5.6.5 Wirksame Gruppenrichtlinien ab Seite 314 näher vorgestellt.
5.6.2
Grundsätzliche Struktur
Für das Verständnis der Gruppenrichtlinien, die Sie über das gleichnamige Snap-In einstellen können, ist ein Blick auf die grundlegende Struktur hilfreich.
Effektive Einstellungen und Dokumentation
SNAP-IN RICHTLINIENERGEBNISSATZ und GPRESULT.EXE
306 _________________________________________ 5 Benutzer- und Rechteverwaltung Komponenten der Gruppenrichtlinien Zu den Gruppenrichtlinien gehören mehrere Komponenten, die zusammenwirken und nur im Zusammenspiel betrachtet werden sollten. Tabelle 5.5: Komponenten der lokalen Gruppenrichtlinien
Komponente
Bedeutung
Softwareeinstellungen
Anpassungen für Software von anderen Herstellern
Windows-Einstellungen
Remoteinstallationsdienste, Skripts, die zur Begleitung des An- und Abmeldeprozesses sowie beim Hoch- und Herunterfahren benutzt werden, Sicherheitseinstellungen, Richtlinienbasierter QoS (Quality of Service), Bereitstellung von Druckern, Internet-Explorer-Wartung
Administrative Vorlagen
Desktopeinstellungen, Freigegebene Ordner, Netzwerkrichtlinien, Anpassungen für Startmenü und Taskleiste, System ,Systemsteuerung und Windows-Komponenten
Zusätzlich gibt es diese Komponenten, die in den lokalen Gruppenrichtlinien nicht verfügbar sind: Tabelle 5.6: Zusätzliche Komponenten der Gruppenrichtlinien im Active Directory
Komponente
Bedeutung
Softwareinstallation
Zuweisen und Veröffentlichen von Software
Ordnerumleitung
Zuordnen von speziellen Ordnern zu Netzwerklaufwerken
Computer- und Benutzereinstellungen Computer
Benutzer
Gruppenrichtlinien werden in zwei Kategorien eingeteilt: Computerkonfiguration In diese Kategorie fallen alle Richtlinien, die der Konfiguration des Computersystems selbst dienen. Sie werden beim Start von Windows Vista wirksam. Benutzerkonfiguration Hier sind alle benutzerorientierten Richtlinien zusammengefasst. Sie werden wirksam, sobald sich ein Benutzer am System anmeldet. Das lokale Gruppenrichtlinienobjekt erlaubt allerdings, wie bereits eingangs erwähnt, keine Differenzierung der Richtlinien auf Benutzerebene. Sie gelten also immer für alle Benutzer, die in der lokalen Benutzerdatenbank geführt werden. Mit dem Tipp auf Seite 304 können Sie das teilweise umgehen.
5.6 Gruppenrichtlinien ____________________________________________________ 307 Entscheidend für die letztlich wirksamen Richtlinien ist die Reihenfolge der Abarbeitung. Bei einem lokalen System werden mit dem Start des PCs zuerst die Richtlinien für die Computerkonfiguration wirksam. Beim Anmeldeprozess kommen dann die Richtlinien für die Benutzerkonfiguration zum Tragen. Bei einem in eine Active Directory-Domäne integrierten System werden mit dem Start des PCs zunächst alle Computer-Gruppenrichtlinien abgearbeitet. Die Reihenfolge lautet dabei: 1. Standort-Richtlinien 2. Domänen-Richtlinien 3. Organisationseinheiten-Richtlinien Bei hierarchisch ineinander verschachtelten Organisationseinheiten (OUs) überschreiben jeweils die zuletzt wirksamen eventuell zuvor gesetzte andere Einstellungen. Dieser Prozess der Vererbung kann jedoch durch den Administrator gezielt beeinflusst werden. Die Benutzer-Gruppenrichtlinien kommen dann bei der Anmeldung zur Anwendung. Hier ist ebenso die Reihenfolge ihrer Abarbeitung von den Standort- bis zu den OU-Richtlinien entscheidend. Lokale Gruppenrichtlinien werden in jedem Fall durch die aus dem Active Directory überschrieben. Zu beachten ist, dass Computer- und Benutzerobjekt verschiedenen OUs zugeordnet sein können. Meldet sich ein Benutzer an verschiedenen Computern an, können so unterschiedliche Einstellungen die Folge sein. Hinweise zur gezielten Planung von Gruppenrichtlinien im Active Directory finden Sie in unseren Büchern Windows Server 2003 und Windows 2000 im Netzwerkeinsatz.
Reihenfolge der Abarbeitung ist entscheidend
Gute Planung erforderlich
Gruppenrichtlinien-Abarbeitung weiter beeinflussen Die Art und Weise, wie das Betriebssystem Gruppenrichtlinien verarbeitet, ist nicht starr festgeschrieben. Durch eine Reihe von speziellen Richtlinien kann sie weiter angepasst werden: \Computerkonfiguration oder Benutzerkonfiguration \Administrative Vorlagen \System \Gruppenrichtlinien Besonders hervorzuheben ist die Möglichkeit, mit einem Loopbackver- Loopback arbeitungsmodus die Abarbeitung von Benutzerrichtlinien zu beeinflussen. Wie viele dieser Einstellungen hat auch diese nur in einer Active Directory-Domäne eine sinnvolle Anwendung. Wollen Sie etwa verhindern, dass benutzerdefinierte Richtlinien bei bestimmten Computern zur Anwendung kommen, gehen Sie so vor: 1. Richten Sie für die betreffende OU ein Gruppenrichtlinienobjekt ein oder passen Sie ein bestehendes an.
308 _________________________________________ 5 Benutzer- und Rechteverwaltung
Aktualisierungsintervall
Weitere Einstellungen
2. Aktivieren Sie diese Richtlinie: \Computerkonfiguration \Administrative Vorlagen \System \Gruppenrichtlinien \Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie 3. Wählen Sie dann in der Richtlinieneinstellung aus: - ERSETZEN : Benutzer-Einstellungen für das Computerobjekt kommen für den Benutzer anstelle der für ihn eigentlich vorgesehenen Einstellungen zum Tragen. - ZUSAMMENFÜHREN: Die Benutzer-Einstellungen für das Benutzerobjekt und die Benutzer-Einstellungen, die für das Computerobjekt zur Anwendung kommen, werden zusammengeführt. Im Konfliktfall gewinnt die Einstellung für das Computerobjekt. Ein praktischer Anwendungsfall kann darin bestehen, dass Benutzer neben den für sie vorgesehenen Arbeitsstationen unter ihrem Konto auch an speziellen Computern arbeiten müssen. Das können allgemein zugängliche Terminals sein oder Serversysteme, beispielsweise für die Steuerung von Drucksystemen in Druckereien. Ohne diese Loopback-Möglichkeit würden benutzerdefinierte Einrichtungen über Gruppenrichtlinien, wie beispielsweise das Aussehen des Desktops oder des Startmenüs, an diesen Systemen ebenfalls generell wirken. So aber kann dies gezielt ausgeschaltet werden. Voraussetzung ist allerdings, dass die betreffenden Computer- und Benutzerobjekte im Gültigkeitsbereich verschiedener Gruppenrichtlinien sind. Im Active Directory lässt sich dies elegant mit OUs erledigen. Weiterhin können die Aktualisierungsintervalle angepasst werden. Standardmäßig werden alle 90 Minuten die Richtlinien erneuert. Zwischenzeitliche Manipulationen an der Registrierung werden so automatisch wieder rückgängig gemacht. Neben diesen gibt es noch eine ganze Reihe weiterer Einstellungen zur Beeinflussung der Richtlinien-Abarbeitung. In der erweiterten Sicht des Gruppenrichtlinien-Editors finden sich dazu jeweils ausführliche Hinweise.
Echte und unechte Richtlinien Unterschied zu NTSystemrichtlinien
Die Gruppenrichtlinien sind von den NT-Systemrichtlinien abgeleitet worden. Gruppenrichtlinien setzen im Gegensatz zu NT-Systemrichtlinien die Einträge in der Registrierung nicht dauerhaft. Wenn Windows NT-Systemrichtlinien geändert werden sollten, mussten explizit alle eingestellten Werte neu gesetzt werden, denn NT »tätowierte« die Registrierung regelrecht. Unterlaufen dem Administrator bei einer Vielzahl von Richtlinien dabei Fehler, kann es schnell dazu kommen, dass vielleicht einige hundert Clients mit falschen Konfigurationseinstellungen zurückbleiben.
5.6 Gruppenrichtlinien ____________________________________________________ 309 Damit dies bei Gruppenrichtlinien nicht mehr passiert, werden Änderungen durch diese nur in speziellen Bereichen der Registrierungsdatenbank vorgenommen: Richtlinien der Computerkonfiguration: HKEY_LOCAL_MACHINE\Software\Policies\Windows\CurrentVersion\ HKEY_LOCAL_MACHINE\Software\Policies\WindowsNT\CurrentVersion\ Richtlinien der Benutzerkonfiguration: HKEY_CURRENT_USER\Software\Policies\Microsoft Beim Abmelden werden hier gesetzte Einstellungen wieder entfernt, sodass der ursprüngliche Zustand der Registrierung automatisch wiederhergestellt wird. Die »echten« Richtlinien werden auch als vollständig verwaltbare Richtlinieneinstellungen bezeichnet. HKCU\SOFTWARE\Policies und HKLM\SOFTWARE\Policies werden von Microsoft als bevorzugte Bereiche für die Manipulation der Registrierung durch Gruppenrichtlinieneinstellungen benannt. Die »unechten« Richtlinien spielen bei Vista keine Rolle mehr und sollten nicht mehr zur Anwendung kommen.
Spezielle Bereiche in der Registrierung
Vollständig verwaltbar
Bevorzugte Bereiche in der Registry Systemrichtlinien nicht mehr verwenden
WMI-Filter Mit Windows Server 2003 sind WMI-Filter (WMI = Windows Manage- Ab Windows XP ment Instrumentation) eingeführt worden. Mit diesen können Sie Be- Professional dingungen festlegen, bei deren Erfüllung Richtlinien erst wirksam werden. So ist es für die Installation von Programmen über die Remoteinstallationsdienste hilfreich, wenn der verfügbare Speicherplatz am Client auf diese Weise zuvor überprüfbar ist. WMI-Filter wirken nur bei Clients ab Windows XP Professional (und natürlich unter Windows Server 2003), nicht jedoch bei Windows 2000 oder darunter. Hier werden sie ignoriert. Es gibt getrennte Richtlinien für Clients für Windows XP und Vista. WMI-Filter werden in unserem Buch Windows Server 2003 detailliert behandelt.
Speicherort der Gruppenrichtlinien Lokale Gruppenrichtlinienobjekte werden zusammen mit den admi- Gruppenrichtlinienobjekt nistrativen Vorlagen in folgendem Ordner gespeichert: %Systemroot%\System32\GroupPolicy Dort finden Sie zwei Ordner: USER Dieser Ordner enthält die Benutzerkonfiguration. Im Ordner SCRIPTS werden die An- und Abmeldeskripte des Benutzers abgelegt. In der Datei REGISTRY.POL werden die konfigurierten Gruppenrichtlinien gespeichert.
310 _________________________________________ 5 Benutzer- und Rechteverwaltung MACHINE Hier finden Sie die Richtlinien, die für den Computer gelten unabhängig vom aktuell angemeldeten Benutzer. Es gibt hier ebenfalls einen Ordner SCRIPTS für die Skripte, die beim Hoch- und Herunterfahren ausgeführt werden sollen, sowie eine Datei namens REGISTRY.POL für die konfigurierten Richtlinien Den von Windows XP Professional bekannten Ordner ADM gibt es nicht mehr. Die standardmäßig vorhandenen administrativen Vorlagen sind jetzt im Ordner POLICYDEFINITIONS unterhalb des Windows-Ordners (%Windir%) ablegt. Weitere Vorlagen können Sie selbst hinzufügen, um häufige administrative Aufgaben zu erleichtern. Wie das geht und wie sich Vistas administrative Vorlagen von seinen Vorgängern unterscheidet, wird in Abschnitt 5.6.4 Administrative Vorlagen ab Seite 313 erläutert.
5.6.3 Snap-In GRUPPENRICHTLINIE
GPEDIT.MSC
Bearbeitung der Gruppenrichtlinien
Für die Bearbeitung der Gruppenrichtlinien steht ein separates SnapIn für die Managementkonsole zur Verfügung. Das Snap-In GRUPPENRICHTLINIE können Sie in eine eigene Managementkonsole integrieren (siehe Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199). Eine entsprechende vorgefertigte Managementkonsole ist allerdings schon vorhanden. Sie können diese über eine Eingabeaufforderung oder den Punkt AUSFÜHREN im Startmenü aufrufen: Gpedit.msc
Abbildung 5.22: MMC Gruppenrichtlinienobjekt-Editor
Ändern eines Richtlinieneintrags Zum Ändern eines Richtlinieneintrags über eine administrative Vorlage doppelklicken Sie auf diese. Im dann folgenden Dialogfenster können Sie die Einstellung der Richtlinie vornehmen. Sie können eine der folgenden Optionen wählen: NICHT KONFIGURIERT Die Richtlinie wird ignoriert. AKTIVIERT Die Richtlinie kommt zum Einsatz.
5.6 Gruppenrichtlinien ____________________________________________________ 311 DEAKTIVIERT Die Richtlinie kommt explizit nicht zum Einsatz. Abbildung 5.23: Ändern eines Richtlinieneintrags
Überblick über geänderte Richtlinieneinstellungen Die Gruppenrichtlinien umfassen in Vista circa 2 400 Einstellungen, Anzeigefilter über die Sie schnell den Überblick verlieren können. Für alle Richtlinien, die Sie über administrative Vorlagen einstellen, kann in der Managementkonsole ein Anzeigefilter aktiviert werden. Über diesen Filter lassen sich beispielsweise Richtlinien selektieren, die Sie geändert haben. So aktivieren Sie den Anzeigefilter: 1. Markieren Sie im Gruppenrichtlinienobjekt-Editor einen der Zwei- Filter aktivieren ge ADMINISTRATIVE VORLAGEN (oder einen Zweig oder Eintrag unterhalb dieser Struktur). 2. Wählen Sie im Menü ANSICHT den Punkt FILTERUNG. Im Dialogfenster Filtern können Sie die folgenden Optionen einstellen: NACH ANFORDERUNGSINFORMATIONEN FILTERN Filtern Sie die Gruppenrichtlinien nach bestimmten Kriterien, beispielsweise um herauszufinden, welche eine bestimmte Systemumgebung voraussetzen oder Einstellmöglichkeiten für eine spezielle Windows-Komponente bieten. NUR KONFIGURIERTE RICHTLINIENEINSTELLUNGEN ANZEIGEN Diese Option kann sehr nützlich sein, wenn Sie nur die Richtlinien angezeigt haben wollen, die Sie geändert haben.
312 _________________________________________ 5 Benutzer- und Rechteverwaltung NUR
VOLLSTÄNDIG
VERWALTBARE
RICHTLINIENEINSTELLUNGEN
ANZEIGEN
Diese Option ist standardmäßig aktiviert und blendet »unechte« Richtlinieneinstellungen aus (siehe auch Abschnitt Echte und unechte Richtlinien ab Seite 308). Abbildung 5.24: Dialogfenster Filtern
Die Filter-Einstellungen beziehen sich nur auf den jeweiligen Hauptzweig ADMINISTRATIVE VORLAGEN. Filter-Einstellungen, die Sie unter COMPUTERKONFIGURATION vorgenommen haben, sind unter BENUTZERKONFIGURATION nicht wirksam und umgekehrt. Abbildung 5.25: Festlegen eines Desktop-Hintergrundbildes mittels einer Richtlinie
Zusätzlich können für den Fall der Aktivierung einer Richtlinie weitere Optionen zur Auswahl kommen. In dem obigen Beispiel kann ein Hintergrundbild angegeben werden, das für alle Benutzer gilt.
5.6 Gruppenrichtlinien ____________________________________________________ 313
5.6.4
Administrative Vorlagen
Die administrativen Vorlagen hatten in Windows XP Professional ihre eigene Auszeichnungssprache und wurden in Dateien mit dem Suffix ADM verwaltet. Der Aufbau und die Erstellung dieser ADM-Dateien sind in unserem Buch Windows XP Professional ausführlich beschrieben. In Windows Vista sind diese Dateien gegen XML-basierte Dateien ersetzt worden, den so genannten ADMX-Dateien. XML ist zurzeit sehr in Mode, denn es erlaubt die Erstellung von Parameterdateien, die für Mensch und Maschine gleichermaßen lesbar sind. Diese neuen Vorlagen machen es leichter, die Richtlinien für die Registrierdatenbank in Windows Vista und Windows Server »Longhorn« 2007 zu verwalten. Der in Vista enthaltene Gruppenrichtlinieneditor verwendet ADMX-Dateien nur dann, wenn die Registrierung von Vista-Computer oder Windows Server »Longhorn« 2007 bearbeitet wird. Außerdem erkennt der Editor weiterhin die Benutzung von ADM-Dateien. Existiert jedoch ein ADMX-Pendant, wird die ADMX-Datei bevorzugt. Das betrifft unter anderem die folgenden Dateien: SYSTEM.ADM INETRES.ADM CONF.ADM WMPLAYER.ADM WUAU.ADM Änderungen an diesen Dateien werden von Vistas Gruppenrichtlinieneditor weder ausgelesen noch angezeigt. Anders als AdmDateien, werden ADMX-Dateien nicht in eigenen GPOs (Gruppenrichtlinienobjekten) gespeichert. In Active Directory-Domänen können Administratoren die ADMX-Dateien an zentraler Stelle, im Ordner SYSVOL, vorhalten. Das verringert den Replikationsaufwand, wenn viele Richtlinien unternehmensweit eingesetzt werden.
XML als Auszeichnungssprache für administrative Vorlagen
Abbildung 5.26: Beispiel einer admxDatei
314 _________________________________________ 5 Benutzer- und Rechteverwaltung Internationale Bearbeitung der Richtlinien ist möglich.
REGISTRY.POL
ADMX-Dateien sind sprachneutral. Die sprachlichen Anpassungen sind in ADML-Dateien gespeichert. Vista lädt automatisch die passenden ADML-Dateien. International agierende Unternehmen können sich das zu Nutze machen, denn es ermöglicht, dass Administratoren aus verschiedenen Ländern mit denselben Vorlagen arbeiten. Die Beschreibung der Gruppenrichtlinien steht Ihnen in der jeweiligen Landessprache zur Verfügung. ADMX-Dateien sind wie ADM-Dateien nur Vorlagen. Die Gruppenrichtlinien werden weiterhin über REGISTRY.POL-Dateien auf die Clients gebracht. Das ist der Grund, warum ADMX-Dateien und ADM-Dateien koexistieren können.
5.6.5
Wirksame Gruppenrichtlinien ermitteln
Bei der Vielzahl der verfügbaren Richtlinien ist es mitunter nicht einfach, den Überblick über die gesetzten Einstellungen zu behalten. In einer Active Directory-Domäne ist die Problematik noch schwieriger zu beherrschen. Die letztendlich effektiven Richtlinien für einen Clientcomputer beziehungsweise einen Domänen-Benutzer ergeben sich unter Umständen aus einer vererbten Kette von mehreren Gruppenrichtlinienobjekten. Nachfolgend wird gezeigt, wie Sie mit Hilfe der für Windows Vista verfügbaren Werkzeuge die wirksamen Gruppenrichtlinien zuverlässig ermitteln können. Dabei werden hier nur die lokalen Richtlinien untersucht. Zu den wirksamen Gruppenrichtlinien im Active Directory finden Sie in unseren Büchern Windows Server 2003 und Windows 2000 im Netzwerkeinsatz weiterführende Informationen.
Richtlinienergebnissatz für lokale Richtlinien ermitteln Resultant Set of Policy
Auswahl des zu analysierenden Computers
Der Richtlinienergebnissatz (engl. Resultant Set of Policy) bestimmt die wirksamen Richtlinien für einen bestimmten Benutzer oder Computer. Den Richtlinienergebnissatz ermitteln Sie über das entsprechende MMC-Snap-In. Erstellen Sie dazu eine Managementkonsole mit diesem Snap-In (siehe Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199). Gehen Sie dann wie folgt vor: 1. Ist das Snap-In eingebunden, starten Sie den Assistenten, indem Sie aus dem Kontextmenü oder dem Menü AKTION den Punkt RICHTLINIENERGEBNISSATZDATEN GENERIEREN wählen. 2. Im Fenster Modusauswahl steht bei einem lokal arbeitenden Computer lediglich die Option PROTOKOLLIERUNGSMODUS zur Verfügung. Der Planungsmodus ist nur im Active Directory verfügbar. 3. Wählen Sie im nächsten Schritt aus, auf welchem Computer die Richtlinien analysiert werden sollen. Standardmäßig wird der lokale Computer erfasst. Sie können mit dem Kontrollkästchen KEINE RICHTLINIENEINSTELLUNGEN FÜR DEN AUSGEWÄHLTEN COMPUTER AN-
5.6 Gruppenrichtlinien ____________________________________________________ 315 außerdem die Anzeige der Computereinstellungen der Gruppenrichtlinie unterdrücken. ZEIGEN
Abbildung 5.27: Lokal ist nur der Protokollierungsmodus verfügbar
4. Anschließend wählen Sie den betreffenden Benutzer aus. Beachten Sie, dass die lokalen Richtlinien für alle Benutzer eines Computers gelten. Insofern macht die Auswahl eines bestimmten Benutzers hier kaum Sinn. Nach Abschluss der Einstellungen wird der Richtlinienergebnissatz erstellt. Sie finden die gleiche Struktur wie im GruppenrichtlinienEditor vor. Angezeigt werden jedoch nur die gesetzten Richtlinien. Abbildung 5.28: Ermittelter Richtlinienergebnissatz
Analyse der Vererbung Im Eigenschaften-Fenster zu den Zweigen COMPUTERKONFIGURATION und BENUTZERKONFIGURATION sind einige Informationen zu finden, die vor allem zur Fehlersuche bei komplexen Vererbungsmodellen von Richtlinien dienen können. Sie öffnen dieses Fenster über das Kontextmenü zu den genannten Zweigen in der Strukturansicht der MMC oder über das Menü AKTION.
316 _________________________________________ 5 Benutzer- und Rechteverwaltung In der Registerkarte ALLGEMEIN sind alle Gruppenrichtlinienobjekte aufgelistet, deren Richtlinien angewendet werden. Das Objekt mit der höchsten Priorität steht dabei an erster Stelle. Bei einem lokalen PC ist hier allerdings nur das lokale Gruppenrichtlinienobjekt zu finden. Deutlich aussagekräftiger ist diese Liste bei einem Active DirectoryClientcomputer. Abbildung 5.29: Liste der Richtlinienobjekte mit Angabe der Revisionsinformationen
Drei zusätzliche Optionen können in der Liste angezeigt werden. Dazu sind die entsprechenden Kontrollkästchen zu aktivieren: FILTERSTATUS Hier wird angezeigt, ob das Objekt tatsächlich vererbt und wirksam geworden ist. VERWALTUNGSBEREICH Diese Option zeigt an, in welcher Organisationseinheit das Objekt definiert wurde. Beim lokalen Richtlinienobjekt wird hier nur LOCAL angezeigt. REVISIONSINFORMATIONEN Hier finden Sie die Anzahl der Überarbeitungen.
Fehleranalyse Zur Fehleranalyse finden Sie ebenfalls im Eigenschaften-Fenster zu den Zweigen COMPUTERKONFIGURATION und BENUTZERKONFIGURATION weiterführende Hinweise.
5.6 Gruppenrichtlinien ____________________________________________________ 317 Abbildung 5.30: Informationen, ob Richtlinien richtig angewendet werden konnten
Wirklich aussagekräftig sind diese Informationen aber erst bei Anwendung der Richtlinien im Active Directory. Lokal dürften hier kaum Fehler auftreten.
Analyse mit Kommandozeilen-Werkzeug GPRESULT Neben dem MMC-Snap-In besteht noch eine Analyseoption das Kommandozeilenwerkzeug GPRESULT. Die Ausgabe kann in eine Datei umgeleitet werden, was die spätere Auswertung oder den Versand per E-Mail erleichtert. Das Werkzeug verwendet folgende Syntax: GPRESULT anwenden Gpresult [/S [/U <domäne>\ /P ]] [/user ] [/scope {user|computer}] [/V] [/Z] bezeichnet den Computer, auf dem die Analyse ausgeführt werden soll. Ohne diese Angabe wird der lokale Computer analysiert. Falls zur Anmeldung an einem entfernten Computer erweiterte Rechte erforderlich sind, können Sie das benötigte Konto mit <domäne>/ angeben. Der Benutzer, für den die Richtlinien analysiert werden sollen, wird mit angegeben. Auch diese Angabe ist optional standardmäßig wird der aktuelle Benutzer verwendet. Mit der Option /scope schränken Sie die Analyse auf den Teil Benutzerkonfiguration oder Computerkonfiguration ein. /v zeigt ausführliche Informationen an (v steht für verbose). Mit /z werden alle verfügbaren Informationen angezeigt. Den lokalen Computer und aktuellen Benutzer analysieren Sie folgen- Beispiel dermaßen: gpresult /z > analyse.txt
318 _________________________________________ 5 Benutzer- und Rechteverwaltung Zeigen Sie die Ergebnisdatei dann folgendermaßen an: notepad analyse.txt Abbildung 5.31: Ausgabe der Analyse mit gpresult
5.6 Gruppenrichtlinien ____________________________________________________ 319
6 6 Drucken und Faxen Drucken ist eine der wichtigsten Aufgaben bei der täglichen Arbeit mit Windows Vista. Auf der Seite des Betriebssystems stehen dazu leistungsfähige Funktionen zur Verfügung. In diesem Kapitel werden die technischen Grundlagen näher beleuchtet vom internen Ablauf bis zur integrierten professionellen Farbmanagement-Technologie. Hinzu kommen praktische Anleitungen für die Einrichtung und die Verwaltung von lokalen und Netzwerkdruckern. Windows Vista bietet eine integrierte Faxlösung, die fast ebenso einfach einzurichten und zu bedienen ist wie das Drucken. Diese Funktion wird ebenfalls in diesem Kapitel behandelt.
320 _____________________________________________________ 6 Drucken und Faxen
Inhaltsübersicht Kapitel 6 6.1 6.2 6.3 6.4 6.5 6.6 6.7
Überblick ........................................................................ 321 Grundprinzipien der Druckansteuerung .................. 322 Installation lokaler Drucker......................................... 339 Drucken im Netzwerk .................................................. 343 Weitere Druckfunktionen ............................................ 361 Farbmanagement .......................................................... 367 Faxfunktionen................................................................ 380
6.1 Überblick ____________________________________________________________ 321
6.1
Überblick
Die Druckfunktionen unter Windows Vista sind direkt von Windows XP übernommen worden. Die Plug&Play-Mechanismen zur automatischen Druckererkennung und installation sind weiter verfeinert worden. Zudem ist die Liste der mitgelieferten Druckertreiber noch größer geworden. Die Lebenszyklen von preiswerten Tintenstrahldruckern sind jedoch so kurz, dass Sie für die neusten Geräte mit ziemlicher Sicherheit stets aktuelle Treiber des Herstellers einsetzen müssen. Das sind die wesentlichen Merkmale der Druckfunktionen: Automatische Druckererkennung durch Plug&Play Drucker werden durch den Hardwareassistenten erkannt und bei Verfügbarkeit eines Treibers automatisch eingebunden. Die Erkennung funktioniert nahezu reibungslos, wenn Sie den Drucker via USB an Ihr System anschließen. Über den Parallelport betriebene Drucker werden nur eingeschränkt automatisch erkannt. Weitere Hinweise zu diesem Thema finden Sie in Abschnitt 6.3.2 Druckererkennung durch Plug&Play ab Seite 340. Netzwerk-Druckunterstützung Mit Windows Vista können Sie Netzwerkdrucker direkt ansprechen. So lassen sich beispielsweise Druckserver nutzen, die unter UNIX-Systemen laufen. Drucker, die über IPP- oder das TCP/IPDrucken unterstützen, können Sie ebenfalls direkt ansteuern. In Abschnitt 6.4.6 Netzwerkdrucker clientseitig einbinden ab Seite 354 werden diese Funktionen näher vorgestellt. Druckserver-Funktionen Einfache Druckserverfunktionen bietet bereits Windows Vista. Bis zu 10 Netzwerkbenutzer können gleichzeitig die damit bereitgestellten Druckdienste nutzen. So lassen sich in kleineren Netzwerken komfortabel lokal angeschlossene Arbeitsplatz-Drucker teilen. In Abschnitt 6.4.2 Konfiguration des Druckservers ab Seite 345 sind diese Funktionen näher beschrieben. Zusätzlich können Sie lokal verwaltete Drucker im Verzeichnisdienst Active Directory veröffentlichen. Das funktioniert aber nur dann, wenn das System selbst in eine Active Directory-Domäne integriert worden ist. Damit lassen sich auf sehr einfache Art und Weise alle Druckressourcen, eben auch lokal angeschlossene Drucker, flexibel im Netzwerk nutzen. Farbmanagement Windows Vista unterstützt eine neue Entwicklungsplattform für spezielle Farbanwendungen und geräte. Microsoft taufte dieses Farbmanagement der nächsten Generation Windows Color System (WCS). Lesen Sie in Abschnitt 6.6 Farbmanagement ab Seite 367 einiges zu den Hintergründen.
Lokal: USB bevorzugt
Netzwerk-Drucker
Arbeitsplatz-Drucker teilen
Veröffentlichung im Active Directory
Farbmanagement WCS
322 _____________________________________________________ 6 Drucken und Faxen
6.2
Grundprinzipien der Druckansteuerung
In diesem Abschnitt werden grundlegende Verfahren der Druckansteuerung unter Windows Vista behandelt.
6.2.1
Logische und physische Drucker
Unter allen heute auf dem Markt befindlichen Windows-Betriebssystemen (Windows 9x/ME, NT, 2000, XP und Vista) wird zwischen logischen und physischen Druckern unterschieden. Abbildung 6.1: Logischer und physischer Drucker
Logische Drucker Druckertreiber
Logische Drucker werden unter Windows mit der Installation eines Druckertreibers eingerichtet. Diese Softwarekomponente ist ihrerseits wiederum eng mit dem Windows Druckerspooler verbunden. Der Spooler leitet die mit dem logischen Drucker generierten Daten an den oder die entsprechenden physischen Drucker weiter.
Physische Drucker Gerät
Hohe Flexibilität
Offline drucken
Logische Drucker können Sie wiederum einem oder mehreren physischen Druckern oder auch einem virtuellen Port, beispielsweise für die Ausgabe in eine Datei oder die Übergabe an eine Faxsoftware, zuordnen. Als physischer Drucker wird das konkrete technische Gerät bezeichnet, auf dem der Druck hergestellt wird. Diese konsequente Trennung von logischen und physischen Komponenten verhilft zu einer hohen Flexibilität bei der Einbindung und Organisation von Druckressourcen im Betriebssystem. Einen logischen Drucker können Sie auch dann für die Druckausgabe benutzen, wenn der physische Drucker nicht vorhanden ist. So haben Sie die Möglichkeit, den Anschlussport des logischen Druckers auf FILE umzustellen und den Druckdatenstrom in eine Datei umzuleiten.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 323 Diese Druckdatei können Sie dann bei einem anderen, kompatiblen Drucksystem laden oder Sie stellen den logischen Drucker auf Offline verwenden. Im zugeordneten Spooler werden die Druckdaten so lange aufbewahrt, bis Sie den logischen Drucker wieder Online schalten. So können Benutzer im Netzwerk weiterhin Druckaufträge senden, auch wenn ein Drucker kurzzeitig ausgefallen ist. Ist der Drucker wieder verfügbar, werden alle bisher aufgelaufenen Druckjobs abgearbeitet. Neben der Möglichkeit, logische Drucker offline zu verwenden, kön- Umleitung nen Sie für die Benutzer transparent eine Umleitung von Druckjobs vornehmen. Ohne dass sich für den Benutzer in der Ansteuerung »seines« Druckers etwas ändert, kann der Auftrag auf einem anderen, vielleicht über das Netzwerk angeschlossenen Drucker erfolgen. Bedingung ist dann nur, dass dies ein zum ersten Drucker kompatibles Gerät ist.
Mehrere logische Drucker verwenden Für bestimmte Anwendungsfälle kann es sinnvoll sein, für einen physischen Drucker mehrere logische Drucker einzurichten. Sie sind da in der Entscheidung völlig frei. Unter Windows Vista können Sie theoretisch beliebig viele logische Drucker einrichten. Die einzige Bedingung ist die eindeutige Unterscheidbarkeit durch den gewählten Namen. Abbildung 6.2: Zwei verschiedene logische Drucker für ein physisches Gerät
In Abbildung 6.2 sehen Sie einen möglichen Anwendungsfall für die Verwendung mehrerer logischer Drucker für den Betrieb eines physischen Gerätes. Das angenommene Drucksystem versteht zwei Druckersprachen: PCL und Postscript. Der PCL-Druckertreiber verfügt gegenüber dem Postscript-Treiber über mehr Funktionen, beispielsweise um aus einem mehrseitigen Dokument elektronisch eine fertige Broschüre zu erstellen und auszugeben. Mit dem Postscript-Treiber können Sie wiederum aus Layout-Programmen wie PageMaker oder Quark XPress zum Offsetdruck standverbindliche Probedrucke herstellen. Um die Vorteile beider Druckertreiber jeweils nutzen zu können, installieren Sie diese und erhalten im Ergebnis zwei logische Drucker, die mit einem physischen Gerät verbunden sind.
324 _____________________________________________________ 6 Drucken und Faxen
6.2.2
GDI
Verbesserte Grafikausgabe auch auf dem Bildschirm: GDI+
DDI
Der Druckspooler
Local Print Provider
Interner Ablauf beim Drucken
Die Druckdienste sind in Windows Vista, wie viele andere Systembestandteile, modular aufgebaut. Jeder Teil übernimmt eine spezifische Funktion bei der Abwicklung des Druckauftrages. Das Zusammenspiel der einzelnen Komponenten soll die Abbildung 6.3 auf Seite 325 verdeutlichen. Das Graphical Device Interface (GDI) ist die zentrale universelle Schnittstelle für die Aufbereitung der Daten der Anwendung für die Ausgabe auf dem Bildschirm oder einem Drucksystem. Für die Druckaufbereitung kommuniziert die Graphics Engine über das GDI mit dem Druckertreiber. Diese enge Verbindung zwischen den technischen Merkmalen des Druckertreibers und der Bildschirmdarstellung können Sie immer dann registrieren, wenn nach dem Wechsel auf einen anderen Druckertreiber beispielsweise eine Anwendung wie Microsoft Word beginnt, das Dokument neu umzubrechen. Andere Anwendungen, etwa professionelle Satzprogramme wie Quark XPress oder Adobe InDesign, kennen diese Probleme nicht. Diese schalten für die Bildschirmanzeige eigene Routinen dazwischen. In Windows 2000/XP ist ein gegenüber Windows NT 4.0 weiterentwickeltes GDI implementiert worden. Verbesserungen betreffen beispielsweise die Performance und Funktionalität, auch für die Grafikausgabe auf dem Bildschirm. So können unter anderem Cursor in Echtfarben oder Text-Antialising hardwareunterstützt programmiert werden. Ein deutliches Erkennungszeichen des neuen GDI ist übrigens der schattiert dargestellte Cursor. Hier wird eine AlphaBlending-Technologie des neuen GDI+ genutzt. Installieren Sie Grafiktreiber von Drittherstellern, die noch nicht diese Funktion des GDI nutzen, erscheint der Windows-Cursor wie gewohnt ohne Schatten. Die Anwendung übergibt die zu druckenden Daten über GDI-Aufrufe an das Device Driver Interface (DDI), welches für den Druckprozess natürlich mit dem Druckertreiber verbunden ist. Über den Druckertreiber erfolgt dann die Umsetzung der anwendungsspezifischen Daten in die geräteabhängigen Daten, die das jeweilige Drucksystem versteht. So werden beispielsweise die GDI-Aufrufe in PostscriptCode für Belichter oder PCL-Code für Bürolaserdrucker umgesetzt. Die nächste Stufe ist die Übergabe der über das DDI generierten Druckdaten an den Spooler. Dieser ist als typische Client-ServerAnwendung implementiert und besteht aus zwei Teilen. Clientseitig arbeitet WINSPOOL.DRV, der die fertigen Druckdaten entgegennimmt. Serverseitig wird SPOOLSV.EXE eingesetzt, um die gespoolten Daten zu übernehmen. Wird lokal gearbeitet, laufen beide Programme auf dem gleichen System. Wenn der Spooler auf dem Server die Daten übernommen hat, sorgt der Druckrouter für die Weiterleitung an die Schnittstellen. Die Schnittstellen werden auch hier noch nicht direkt angesprochen, sondern von einer logischen Schicht verwaltet dem Local Print Provider (LPP). Falls sich der Drucker im Netzwerk befindet, stellt der Netzwerkserver den LPP bereit. Der LPP verwaltet die Druckprozessoren. Das sind niedere Treiber für spezielle Druckformate. Der
6.2 Grundprinzipien der Druckansteuerung __________________________________ 325 Druckprozessor sorgt auch für den Einbau von Trennseiten oder das Hinzufügen der abschließenden Seitenumbrüche beim Datentyp RAW [FF APPENDED]. Abbildung 6.3: Ablauf beim lokalen Drucken
Ist der Druckauftrag vom Druckprozessor fertiggestellt, wird er an die Portmonitore weitergeleitet. Diese Komponenten überwachen die physikalische Schnittstelle zum Drucker. Falls es sich um eine bidirektionale Schnittstelle handelt, wird der Druckauftrag mit dem Sprachmonitor (Print Job Language Monitor) bedient. So kann er mit dem Drucker kommunizieren und dessen Status abfragen. Fallen Daten an, werden diese bis zum Druckerdialog weitergereicht und stehen dort zur Verfügung oder werden als Popup-Dialog angezeigt. Wird eine
326 _____________________________________________________ 6 Drucken und Faxen
Spooldatei
Speicherort
unidirektionale Schnittstelle verwendet, werden die Daten einfach zum Port gesendet. Auch das übernimmt der Portmonitor. Die Druckdaten werden über den Druckspooler in Spooldateien zwischengespeichert. Dazu werden pro Druckjob zwei Dateien angelegt: .SPL steht für einen Dateinamen, der aus einem fünfstelligen numerischen Zähler gebildet wird. 00012.SLP steht beispielsweise für die zwölfte Spooldatei. In der SPL-Datei sind die reinen Druckdaten abgelegt, welche dann so an den Drucker gesendet werden. .SHD Der Dateiname der SHD-Datei entspricht exakt dem der dazugehörigen SPL-Datei. In der SHD-Datei werden administrative Informationen zum Druckjob wie Benutzer- und Dokumentname gespeichert. Diese Dateien bleiben so lange erhalten, bis der Druckvorgang erfolgreich beendet worden ist. Damit gehen keine Daten verloren, auch wenn es zu einem vorübergehenden Ausfall eines Druckers oder Servers kommt. Standardmäßig werden die Spooldateien hier abgelegt: %Systemroot%\System32\Spool\Printers Sie können als Administrator den Speicherort sowohl für den Server insgesamt als auch für einzelne Drucker ändern. Die entsprechenden Administrationsschritte finden Sie in Abschnitt 6.4.2 Konfiguration des Druckservers ab Seite 345.
Spool-Datenformate
EMF
Raw
Raw [FF appended]
Für die Übergabe der Druckaufträge an den Spooler stehen die folgenden Formate zur Verfügung: EMF EMF (Enhanced Metafile) ist das Standardformat. Hierbei wird der Druckauftrag beim Client zusammengestellt. Die eigentliche Verarbeitung, beispielsweise das Erzeugen von Kopien oder die Umdrehung der Druckreihenfolge, erfolgt im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. Raw Raw ist das Standardformat für alle Clients, die nicht unter Windows ab Windows NT laufen. Die Daten werden im Spooler nicht verändert und direkt an den Drucker weitergeleitet. Es gibt zwei Modifikationen des Datentyps: - Raw [FF appended] Hierbei wird bei jedem Druckauftrag ein Seitenvorschub angehängt. Laserdrucker und andere Seitendrucker geben die letzte Seite nicht aus, wenn sie nicht vollständig ist. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 327 - Raw [FF auto] Raw [FF auto] Mit dieser Option prüft der Spooler, ob die letzte Seite bereits mit einem Seitenumbruch abgeschlossen wird. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt. Text Mit der Einstellung Text werden reine ANSI-Daten gesendet, die Text nicht vom Spooler modifiziert werden. Der Drucker gibt diese in seiner Standardschriftart aus.
Anschlussmonitore Wie im vorhergehenden Abschnitt erläutert, wird die physische Schnittstelle zu den Drucksystemen über Anschlussmonitore gesteuert. In diesem Abschnitt werden die wichtigsten standardmäßig vorhandenen lokalen und Remote-Anschlussmonitore vorgestellt. In der folgenden Tabelle sind die lokalen Anschlussmonitore aufge- Lokale Anschlussmonitore führt, welche Sie in Windows Vista standardmäßig vorfinden: Anschluss
Erklärung
LPT1 ... n
Parallelport 1 bis n (Standard 1 bis 3)
COM1 ... n
Serieller Port 1 bis n (Standard 1 bis 4)
FILE
Ausgabe in Datei
USB
Der USB-Anschlussport wird automatisch über die Plug&Play-Funktionen eingerichtet, wenn ein entsprechender Drucker an dieser Schnittstelle vorgefunden wird.
XPSPort
Dieser Anschlußport wird für die XML Paper Dieser Anschlußport wird für die XML Paper Specification, Microsofts geräteunabhängiges Dokumentenformat der nächsten Generation, benutzt. Es basiert auf XML.
Local Port
Tabelle 6.1: Lokale Anschlussmonitore
Weitere lokale Anschlüsse (siehe nächste Tabelle)
Weitere lokale Ports können Sie als Administrator hinzufügen. Die nachfolgende Tabelle enthält dafür mögliche Werte, welche Sie dabei für die Portbezeichnung verwenden können. Lokaler Port
Erklärung
Geben Sie einen Namen einer beliebigen Ausgabedatei an. Der Druck wird dann automatisch in diese Datei geleitet, beispielsweise für die automatische Weiterverarbeitung durch andere Programme über Hotfolder. Existiert bereits eine Datei gleichen Namens, wird diese allerdings ohne Vorwarnung überschrieben.
Tabelle 6.2: Lokale Ports
328 _____________________________________________________ 6 Drucken und Faxen Lokaler Port
Erklärung
Sie können auch direkt einen im Netzwerk freigegebenen Drucker als Port angeben. Damit können Sie beispielsweise das Spoolen auf dem entsprechenden Druckserver unterbinden. Die Druckdaten werden stattdessen lokal auf dem Server zwischengespeichert, der über diesen Port die Daten versendet. Es ist nur diese Notation zulässig: \\<server oder domäne>\
Remote-Anschlussmonitore
Tabelle 6.3: Remote-Anschlussmonitore
NUL
Gibt als Ausgabeziel das NUL-Device an. Damit können Sie Druckaufträge ins »Nichts« leiten und so beispielsweise die Funktionsfähigkeit von Druckservern überprüfen.
IrDA
Spezifiziert den Infrarot-Port nach dem IrDAStandard (Infrared Data Association).
1394
Gibt als Ausgabeport einen Anschluss nach der IEEE-1394-Spezifikation an.
Über die Remote-Anschlussmonitore werden Drucker angesteuert, die über eine Netzwerkschnittstelle verfügen. Auch hier können Dritthersteller spezielle Monitore entwickeln, um bestimmte Funktionen ihrer Drucksysteme spezifisch ansteuern zu können. Die nachfolgende Tabelle enthält die wichtigsten standardmäßig unter Windows Vista verfügbaren Remote-Anschlussmonitore. Monitor SPM
Erklärung Standard TCP/IP Port Monitor Dient der Verbindung mit TCP/IP-Drucksystemen. Dabei wird auch SNMP (Simple Network Management Protocol; RFC 1759) unterstützt, über das erweiterte Statusabfragen des Druckers erfolgen können. SPM ist leistungsfähiger und besser konfigurierbar als der LPR-Portmonitor und sollte diesem, wenn möglich, vorgezogen werden, wenn Sie einen TCP/IP-Drucker ansteuern wollen.
LPR
LPR-Anschlussmonitor Diese unter Unix weit verbreitete Methode der Anbindung von Drucksystemen wird unter Windows Vista durch einen entsprechenden LPR-Client unterstützt. Für die Ansteuerung wird auf der Seite des Druckers ein LPD-Dienst benötigt. Beim LPR-Client werden dann der Hostname des LPD-Servers und der RemoteDruckername für den Netzwerkdrucker angegeben.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 329
6.2.3
Druckertreiber
Die Funktion von Druckertreibern wurde schon im vorhergehenden Abschnitt kurz beschrieben: Die Umwandlung der geräteunabhängigen GDI-Aufrufe in die Befehle oder Codes, die das jeweilige Drucksystem versteht. Dabei werden mehrere Grundtypen von Druckertreibern unterschieden, deren drei wichtigste in den folgenden Abschnitten beschrieben sind.
Universeller Druckertreiber Der Universelle Druckertreiber wird für die meisten Druckertypen eingesetzt, die sich im typischen Geschäfts- oder Heimumfeld befinden. Dieser Treibertyp wird auch als Rastertreiber bezeichnet, da er das Drucken von Rastergrafiken direkt übernehmen kann. Für den Farbdruck werden verschiedene Farbtiefen und eine Reihe von Rasterverfahren unterstützt. Für den Druck von reinem Text sind druckerspezifische Schriftarten einsetzbar. Diese haben aber heute mit Truetype und Opentype nahezu an Bedeutung verloren, garantieren doch diese unabhängigen Formate erst einen gleichartigen Ausdruck auf den verschiedensten Druckern mit einer weitgehenden Übereinstimmung zum Bildschirm (What you see is what you get WYSIWYG). Der Unidriver unterstützt diese drei Arten von Schriften. Als eine Untermenge der durch den Unidriver unterstützten Druckersprachen findet sich auch die von Hewlett Packard entwickelte Printer Control Language (PCL) wieder heute neben Postscript ein Standard für viele Drucksysteme im geschäftlichen Umfeld. Der Unidriver wird mit einer Beschreibungsdatei für das jeweilige Druckmodell vom Druckerhersteller versorgt, in der die druckerspezifischen Merkmale wie beispielsweise Papierformate, Farbfähigkeit oder Auflösung vermerkt sind. Daneben wird es sicher nach wie vor komplexe Druckertreiber von Herstellern geben, die über die standardmäßig gebotenen Features des Unidriver hinausgehen wollen und eigene weitergehende Komponenten mitliefern. Dabei sollten Sie nach Möglichkeit Treibern mit Signatur den Vorzug geben. Steht ein solcher Treiber nicht zur Verfügung, ist es für die Sicherstellung eines reibungslosen Betriebes manchmal besser, einen in Windows Vista enthaltenen, kompatiblen Treiber zu wählen, als auf einen älteren Treiber des Herstellers zurückzugreifen.
Unidriver
PCL
Beschreibungsdatei *.gpd
Treiber mit Signatur
Postscript-Druckertreiber Der Standard in der grafischen Industrie schlechthin ist heute Post- Postscript script. In Windows Vista ist ein in Zusammenarbeit mit Adobe entwickelter moderner Postscript-Treiber enthalten. Der Postscript-Treiber bildet das universelle Grundsystem für die Generierung der Befehle dieser Seitenbeschreibungssprache. Die Qualität des Postscriptcodes wird aber keineswegs allein durch Applikationsden Postscript-Treiber bestimmt. Vielmehr muss die Anwendung die abhängig Ausgabe der Daten für Postscript entsprechend optimiert steuern
330 _____________________________________________________ 6 Drucken und Faxen
PPD-Dateien
Postscript-Schriften
können. Moderne Grafik- oder Satzprogramme bieten deshalb für die Ausgabe auf einem Postscript-Drucksystem erweiterte Einstellmöglichkeiten an und greifen ihrerseits auch direkt auf die PPD-Dateien zurück. Diese PPD-Dateien (Postscript Printer Description) enthalten die druckerspezifischen Merkmale wie Auflösung, Farbfähigkeit oder Papierformate. In diesen Textdateien sind die entsprechenden DruckerParameter in spezieller Postscript-Syntax eingebettet. Neben Truetype und Opentype-Schriftarten können Sie auf die heute erhältliche breite Palette von Postscript-Schriften zurückgreifen. Diese lassen sich ebenso einfach einbinden, da eine von Adobe lizensierte Type Manager-Erweiterung seit Windows 2000 zum festen Bestandteil des Betriebssystems gehört. Weitere Hinweise finden Sie zu diesem Thema in Abschnitt 6.2.5 Schriftenverwaltung ab Seite 333.
Druckertreibertypen und ihre Systemdateien In der folgenden Tabelle finden Sie die beiden Grundtypen mit ihren wesentlichen Windows-Systemdateien in einer Übersicht. Tabelle 6.4: Systemdateien der Treibertypen
Treibertyp
Systemdatei
Funktion
Unidriver
UNIDRV.DLL UNIDRV.HELP UNIDRVUI.DLL < DRUCKER>.GPD
Druckertreiber Hilfedatei Benutzeroberfläche (User Interface) Drucker-Beschreibungsdatei
Postscript
PSCRIPT5.DLL PSCRIPT.HLP PS5UI.DLL .PPD .BPD
Druckertreiber Hilfedatei Benutzeroberfläche (User Interface) Postscript Printer Description Enthält die benutzerspezifischen Einstellungen wie ausgewähltes Papierformat etc.
Je nach Druckermodell kann hier noch eine Reihe weiterer Dateien hinzukommen.
Kompatibilität zu früheren Windows-Versionen Inkompatibel zu Windows 9x/ME Windows 2000- oder XP Treiber
Die meisten Windows XP-Treiber sollten unter Windows Vista problemlos funktionieren. Manchmal ist dies die bessere Alternative zu den standardmäßig mitgelieferten Treibern. Sie müssen auf Windows XP- oder Windows 2000-Treiber zurückgreifen, wenn für ihren Drucker (noch) kein Vista-Treiber verfügbar ist. Mitunter sind das sogar die ausgereifteren Versionen.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 331
6.2.4
Lokale Anschlussmöglichkeiten
Für den Anschluss eines normalen lokalen Arbeitsplatzdruckers an einen PC gibt es heute praktisch drei Möglichkeiten: Parallelport, USB oder die Infrarot-Schnittstelle (IrDA), wie sie viele moderne Notebooks mitbringen.
Parallele Schnittstelle Der klassische Parallelport erlebte Ende der 90er Jahre des letzten Jahrhunderts mit EPP/ECP und DMA-Datentransfer noch einmal eine Renaissance. Neben einer verbesserten Datentransferrate ist damit auch eine einfache bidirektionale Kommunikation mit dem Drucker möglich. Entsprechende Drucksysteme können sich bei der Abfrage durch das Betriebssystem identifizieren und so die Treibereinbindung vereinfachen. Zudem kann über den Abarbeitungsstand des Druckauftrages Auskunft gegeben werden. Nachfolgend finden Sie drei grundlegende Parallelport-Typen: Standard Parallel Port Der Standard Parallel Port (SPP) wurde in den ersten XT-Computern eingeführt und bringt es auf eine vergleichsweise bescheidene Datentransferrate von 50 bis 150 KB pro Sekunde. Enhanced Parallel Port Der Enhanced Parallel Port (EPP) ist gekennzeichnet durch eine gesteigerte Performance bei der Datenübertragung gegenüber SPP. Aktuelle Implementierungen erreichen durch bidirektionalen Blockmodus-Datentransfer 2 MB pro Sekunde, was in der Praxis etwa mit einer Geschwindigkeit in einem 10 MBit Netzwerk vergleichbar ist. Zu älteren, nicht EPP-fähigen Drucksystemen wird Kompatibilität sichergestellt, sodass diese problemlos an diesem Port funktionieren sollten. Extended Capabilities Port Gegenüber EPP verfügt der Extended Capabilities Port (ECP), wie der Name schon verspricht, über erweiterte Funktionen. Um eine höhere Bandbreite für anspruchsvolle Endgeräte zu erreichen, wurden gemäß den Konventionen des Standards IEEE P1284 die folgenden Erweiterungen implementiert: - Hochgeschwindigkeitskanäle in beiden Richtungen (jeweils halbduplex) - Protokolldefinitionen für höchstmöglichen Datentransfer, unter anderem für Datenkompression (Single Bit RLE-Kompression) - Eingebaute Peer-to-Peer Netzwerkfähigkeiten Wichtig ist, dass die angeschlossenen Drucker ebenfalls diese erweiterten EPP- beziehungsweise ECP-Funktionen beherrschen, um von den Fortschritten zu profitieren. Die meisten Geräte sind derzeit nicht in der Lage, die Druckdaten in der maximal möglichen Transferrate von 1 bis 2 MB pro Sekunde abzunehmen. In der Praxis sind aber
Parallelport
SPP
EPP
ECP
Möglichkeiten der Drucker
332 _____________________________________________________ 6 Drucken und Faxen
Erkennung durch Windows Vista
Beschleunigungen gegenüber dem Standard-Parallelport um den Faktor 2 bis 15 realisierbar. Eine Weiterentwicklung wird es in diesem Bereich angesichts der überlegenen Möglichkeiten von USB aber nicht mehr geben. Verfügt Ihr Computer über einen EPP/ECP-Parallelport, stehen dessen erweiterte Funktionen erst dann zur Verfügung, wenn die entsprechende Einstellung im BIOS-Setup aktiviert ist. Standardmäßig sind bei vielen Mainboards die Parallelports als Standard-Port vorkonfiguriert. Windows Vista erkennt und konfiguriert aktivierte EPP/ECP-Parallelports automatisch. Für die Erkennung und Einbindung eines Druckers, muss dieser ebenfalls Plug&Play-Fähigkeiten mitbringen. Das ist bei fast allen modernen Druckern der Fall.
Universal Serial Bus USB
USB 2.0
Der eigentliche Fortschritt beim Anschluss eines Arbeitsplatzdruckers zeigt sich, wenn Sie ein modernes Gerät an einen USB-Port anschließen. Das Peripheriegerät wird sofort erkannt und kann bei laufendem Betrieb wieder problemlos entfernt werden. Neben dieser auch Hot Plug bezeichneten Fähigkeit des USB ist für das Drucken vor allem interessant, dass Sie ohne weiteres mehrere Geräte gleichzeitig anschließen können. Moderne PCs verfügen von Hause aus meist über zwei Schnittstellen. Über einfache USB-Hubs können leicht 4 oder mehr (theoretisch bis zu 127 Geräte) gemeinsam betrieben werden. Die mit USB 1.1 erreichbare Transferrate von circa 1,2 MBit/s wird dann aber unter den Systemen aufgeteilt, wenn sie gleichzeitig Daten übertragen wollen. Trotzdem ist das Ganze so flexibel ausgelegt, dass Peripheriegeräte mit verschiedenen Transferraten und sowohl asynchroner aus auch synchroner Übertragungsart koexistieren können. Auf Initiative von Intel, dem maßgeblichen Entwickler von USB, wurde in den letzten Jahren an einer Erweiterung des Standards gearbeitet. Ergebnis ist die Spezifikation USB 2.0, die eine drastisch erhöhte Datentransferrate von bis zu 480 MBit/s ermöglicht. Voraussetzung ist dabei natürlich, dass auch die angeschlossenen Peripheriegeräte USB 2.0 unterstützen. Windows Vista enthält eine native USB 2.0Unterstützung.
IrDA Infrarot
Weitere Infos
Die Infrarot-Schnittstelle eignet sich für die schnurlose Anbindung von Druckern, vor allem im Hinblick auf das Drucken aus Notebooks heraus. IrDA steht für Infrared Data Association, einer internationalen Organisation mit Sitz in Walnut Creek, Kalifornien (USA). Sie wurde 1993 zur Entwicklung von Standards für die Infrarot-Datenübertragung gegründet. Weitere Informationen erhalten Sie unter folgender Adresse: www.irda.org Das sind die wesentlichen Merkmale der IrDA-Schnittstelle:
6.2 Grundprinzipien der Druckansteuerung __________________________________ 333 Abdeckung eines Bereichs von circa 1 m (2 m in der Praxis erreichbar). Voraussetzung ist natürlich, dass sich Sender und Empfänger direkt gegenüber befinden (sehen können). Eine Variante, die besonders sparsam mit Energie umgeht (verbraucht etwa 10 mal weniger Strom), erreicht laut Spezifikation eine Entfernung von circa 20 cm zwischen zwei gleichartigen LowPower-Geräten. Die erreichbare Datentransferrate beträgt momentan maximal 4 MBit/s. In der Praxis sind damit Werte zu erzielen, die einer EPP/ECP-Parallelschnittstelle kaum nachstehen. Die IrDA-Schnittstelle ist wie USB voll Plug&Play-tauglich. Ein Drucker, der durch das Betriebssystem am aktiven IrDA-Port erkannt wird, kann damit automatisch eingebunden werden (passende Druckertreiber vorausgesetzt).
IEEE 1394 Der Vollständigkeit halber sei hier noch der auch FireWire genannte FireWire Anschlussport angeführt. Diese Hochgeschwindigkeitsschnittstelle ist inzwischen auf vielen PCs standardmäßig anzutreffen. Allerdings wird sie vor allem in Geräte implementiert, wo sie durch ihre geringe Baugröße der Anschlüsse und die trotzdem gegebene hohe Transferrate von bis zu 50 MegaByte/s punkten kann: In Notebooks und digitalen Camcordern. Bei Druckern hingegen ist sie kaum vertreten. Trotzdem würde sie, insbesondere bei Farbdruckern, wo es beim Ausdruck von Bitmaps eine hohe Menge an Daten zu verarbeiten gibt, einen enormen Geschwindigkeitsvorteil gegenüber anderen lokalen Schnittstellen bringen. Mit der Entwicklung von USB 2.0 (siehe oben) macht aber inzwischen diese Schnittstelle das Rennen bei Druckern. Bei Anschluss eines Gerätes an den FireWire-Port wird dieses, wie auch bei USB, sofort erkannt und bei Vorhandensein von Treibern auch automatisch installiert.
Seriell Als weiterer möglicher Anschluss für einen Drucker kann theoretisch Serieller COM-Port der serielle Port eines Computers genutzt werden. Dieser Port hat jedoch aufgrund seiner geringen Datentransferrate für die Druckausgabe heute keine Bedeutung mehr.
6.2.5
Schriftenverwaltung
Windows Vista hat die Schriftenverwaltung von Windows XP und Windows 2000 geerbt. Damit wird eine hohe Flexibilität im Umgang mit Schriften und den verschiedenen Font-Formaten möglich.
334 _____________________________________________________ 6 Drucken und Faxen Font-Formate Die folgenden Font-Formate sind heute am Markt verbreitet: Truetype-Schriften Truetype Dieses Font-Format ist inzwischen in der Windows-Welt am meisten verbreitet. Es wurde von 1987 bis 1989 von Apple in Zusammenarbeit mit Microsoft entwickelt und kam seither in den Betriebssystem-Familien Windows (ab Version 3.1) und MAC OS (ab Version 6) zum praktischen Einsatz. Truetype wurde von den beiden Herstellern vor allem mit dem Ziel entwickelt, das Monopol von Adobe bei professionell und universell einsetzbaren Schriften mit dem Type 1-Format zu brechen. Mit Truetype ist der Anwender nicht mehr auf spezielle DruckerUnabhängig von Drucker-Schriftarten schriftarten angewiesen, um ansprechende Dokumente zu gestalten. Schriften, die der Drucker nicht selbst bietet, können über den Truetype-Rasterizer entsprechend aufbereitet werden. Truetype-Schriften können heute auch mit Postscript-Druckern Postscript & Truetype: Senden eingesetzt werden. Die meisten Geräte und Druckertreiber unterals Type 42-Font... stützen das Senden von Truetype-Fonts im Type 42-Format. Dieses Format wurde von Adobe entwickelt, um eine bessere Kompatibilität mit Truetype zu erreichen und wird heute von fast allen Postscript Level II und Postscript 3-Interpretern unterstützt. Ergänzend dazu bieten die meisten Systeme Schriften-Ersetzungs...Ersetzungstabelle... möglichkeiten über eine spezielle Tabelle. Schriftarten, die sich sehr ähnlich sehen, wie beispielsweise Arial (Postscript-Pendant: Helvetica) oder Times New Roman (Postscript-Pendant: Times), werden im Druck direkt gegen die passende Postscript-Schrift ausgetauscht. Das bringt, gerade bei langsameren Postscript-Interpretern, einen deutlichen Geschwindigkeitszuwachs. Als letzte Möglichkeit bleibt, Truetype-Schriften an einen Post...oder Senden als Bitmap script-Drucker als Bitmap-Fonts zu senden. Damit kann allerdings ein mehr oder weniger großer Qualitätsverlust einhergehen. Dieser wird besonders deutlich, wenn Sie für einen Postscript-Druckjob über die Skalierungsfunktion des Postscript-Interpreters nachträglich die Ausgabegröße verändern. Truetype gehört wie Opentype und Type 1 zu den KonturschriftarKonturschriftarten ten, bei denen die einzelnen Zeichen durch Linien und Kurven mathematisch beschrieben werden. Hinzu kommen zusätzliche Informationen zur Verbesserung der Ausgabequalität, wie beispielsweise die zum Hinting (siehe weiter unten). Zusätzlich können Truetype-Fonts über ein gesetztes spezielles Flag vor dem direkten Einbetten in PDF-Dateien gehindert werden. Das dient dem Schutz von Urheberrechten, verursacht in der Druckvorstufen-Praxis allerdings manche Schwierigkeiten. Opentype-Schriften Opentype Dieses Format wurde nach Beilegung des »Font-Krieges« gemeinsam von Adobe und Microsoft im Jahre 1996 angekündigt. Nach einem fast vier Jahr währenden Entwicklungs- und Reifezeitraum erschien mit Windows 2000 das erste Betriebssystem mit einer um-
6.2 Grundprinzipien der Druckansteuerung __________________________________ 335 fassenden Opentype-Unterstützung. Für Windows Vista stellen Opentype Schriftarten den Standard dar. In Opentype sind Truetype und Type 1 in einem Format zusammengeführt worden. Hier flossen auch die leistungsfähigen erweiterten Funktionen des Truetype-Formats ein, die bessere typografische Möglichkeiten bieten. Opentype tritt intern mit zwei »Unterformaten« auf: Als TruetypeOutlines, mit dem die Kompatibilität zu älteren Windows-Versionen sichergestellt wird, und als Postscript-Outlines. Bei letzterem kommt ein deutlich erweitertes Format zum Einsatz, welches mit Type 2 bezeichnet wird. Opentype-Fonts lassen sich heute direkt zwischen Apple Macintosh-Computern (ab MAC OS X) und Windows 2000/XP/VistaSystemen austauschen. Durch die Unicode-Unterstützung können die 65535 Glyphen (grafische Schriftzeichen) des Systems genutzt werden. OpentypeSchriftarten bieten somit einen erweiterten Schriftsatz. Type 1 Das Mitte der 80er Jahre von Adobe entwickelte Fontformat dominierte die Postscript-Welt bis zum Jahrtausendwechsel. Es wurde ursprünglich durch Adobe sehr restriktiv geschützt und entsprechend geheim gehalten. So konnte Adobe damit eine relativ lange Zeit die Preise hoch halten. Nur Hersteller, die einen originalen Adobe Postscript-Interpreter einsetzten (und damit nicht unerhebliche Lizenzgebühren abführen mussten), konnten diese FontTechnologie in ihren Systemen einsetzen. Das Format ermöglicht einen sehr kompakten Aufbau der Font-Dateien und wird durch Postscript-Interpreter schnell verarbeitet. Allerdings stößt es mittlerweile an seine technischen Grenzen, vor allem wenn es mit den typografischen Möglichkeiten von Opentype verglichen wird. Eine weitere Einschränkung stellt die Begrenzung auf maximal 256 Zeichen pro Fontdatei dar, denn Unicode wird von diesem nicht unterstützt. Außerdem ist es nicht plattformübergreifend einsetzbar. Type 1-Fonts können ohne Umwege direkt mit Windows 2000, XP und Vista genutzt werden. Dafür sorgt das integrierte Type Manager Modul, welches von Adobe beigesteuert worden ist. Type 3 Da das Type 1-Format lange Zeit von Adobe geheim gehalten wurde und einer kostenpflichtigen Lizenzierung unterlag, suchten insbesondere Postscript-Clone-Hersteller alternative Wege, Fonts auf Postscript-Geräten ausgeben zu können. Es entstand das Type 3 genannte Format, welches für die Fontdarstellung »normale« Postscript-Routinen einsetzt. Damit weisen diese Fonts im Vergleich zum Type 1-Format allerdings eine schlechtere Qualität auf. Insbesondere Hinting-Informationen können so nicht direkt eingebettet werden.
Truetype-Outlines und Type 2
Universell einsetzbar auf MAC und PC
Type 1-Schriften Standard-Format der Postscript-Welt
Type 3-Schriften
336 _____________________________________________________ 6 Drucken und Faxen Vektor-Schriften
Bitmap-Schriften
Hinting
Anpassungen bei Schrifterstellung notwendig
Vektor-Schriftarten Seit Windows XP werden Vektor-Schriftarten unterstützt. Dieses Font-Format basiert auf mathematischen Verfahren und kann mit bestimmten Plotter-Modellen genutzt werden. Diese Schriften können problemlos in der Größe skaliert werden, bieten aber nicht die hochwertigen typografischen Merkmale der Konturschriftarten. Bitmap-Schriften Dieses alte Font-Format wird nach wie vor unterstützt, da es von einigen Windows-Anwendungen, vor allem für die Ausgabe auf dem Bildschirm, benötigt wird. Bei einer Bitmap-Schriftart sind die möglichen Schriftgrößen in Abhängigkeit von der tatsächlichen Auflösung des Ausgabegerätes festgelegt. In Windows Vista sind diese Schriften enthalten: - Courier (10, 12, 15 nur für VGA, also Standard-BildschirmAuflösung von 640 x 480 ) - Modern (alle Auflösungen) - MS Sans Serif (8, 10, 12, 14, 18, 24 nur VGA) - MS Serif (8, 10, 12, 14, 18, 24 nur VGA) - Roman (alle Auflösungen) - Script (alle Auflösungen) - Small Fonts (nur VGA) In Klammern stehen die Punkt-Größen, für die diese Schriften erstellt worden sind. Mit Hilfe der Hinting-Informationen eines Fonts erfolgt eine optimale Umsetzung in das Bitmap-Raster auf dem Bildschirm und auf dem Drucksystem. Vor allem kleine Schriftgrößen müssen hier angepasst werden, damit das Schriftbild homogen wirkt und nicht aufgrund immer schmalerer Linien oder »unglücklich« platzierter Pixel wie zerrissen aussieht. Hinting-Informationen werden bei allen Konturschriftarten unterstützt. Die möglichen Optionen bei Truetype und Opentype übertreffen die bei Type 1-Schriften deutlich. Trotzdem heißt dies nicht automatisch, dass solche Schriften im Druckbild und bei der Anzeige am Bildschirm hochwertiger wirken müssen. Vielmehr kommt es darauf an, dass bei der Erstellung einer Schrift die Hinting-Informationen richtig angepasst werden. Ein allein automatisch mit einem einfachen Fonteditor erzeugter Font wird hinsichtlich der Qualität in der Regel für professionelle Zwecke nicht ausreichen. Deshalb werden in der digitalen Druckvorstufe professionell erstellte Type 1-Fonts nach wie vor bevorzugt eingesetzt. Diese sind dann aber von einem erfahrenen Typografen erstellt und in ihren wichtigsten Parametern manuell nachbearbeitet worden.
Schriftoptionen in Postscript-Druckertreibern einstellen Ersetzungstabelle bearbeiten
Die Ersetzungstabelle finden Sie im Postscript-Druckertreiber in der Registerkarte GERÄTEEINSTELLUNGEN.
6.2 Grundprinzipien der Druckansteuerung __________________________________ 337 Abbildung 6.4: Ersetzungstabelle in den Geräteeinstellungen des Druckertreibers bearbeiten
Hier können Sie für jede installierte Truetype-Schrift angeben, ob und durch welche Type 1-Schriftart sie ersetzt werden soll. Zur Auswahl stehen, abhängig vom Druckermodell, in der Regel die 35 StandardPostscript-Schriften. Übliche Ersetzungen sind dabei schon voreingestellt, wie beispielsweise Arial durch Helvetica. In der Registerkarte ALLGEMEIN finden Sie die Schaltfläche Behandlungsart für DRUCKEINSTELLUNGEN. Wenn Sie auf diese klicken, können Sie im Truetype nächsten Dialogfenster in der Registerkarte ERWEITERTE OPTIONEN das Laden von Truetype-Schriftarten auf Postscript-Druckern einstellen. Die dabei möglichen Optionen sind wiederum abhängig vom konkreten Druckermodell und dem dort installierten Postscript-Interpreter. Abbildung 6.5: Behandlung von Truetype-Schriften konfigurieren
338 _____________________________________________________ 6 Drucken und Faxen Wenn Sie hier ALS SOFTFONT IN DEN DRUCKER LADEN auswählen, werden Truetype-Fonts generell als Type 42-Fonts übergeben. Damit wird die Ersetzungstabelle ignoriert.
Schriftarten installieren Zum Installieren von Schriftarten öffnen Sie über die Systemsteuerung (klassische Ansicht) das Fenster SCHRIFTARTEN. Dieses zeigt in einer speziell angepassten Ansicht die Font-Dateien an, die in diesem Systemverzeichnis abgelegt sind: %Systemroot%\Fonts Zum Installieren eines neuen Fonts brauchen Sie lediglich die betreffende Datei in dieses Fenster zu ziehen. Alternativ können Sie den Dialog SCHRIFTARTEN HINZUFÜGEN aufrufen, den Sie über das Kontextmenü erreichen, wenn der Fonts-Ordner in der linken Navigationsleiste des Explorers markiert ist. Abbildung 6.6: Hinzufügen von Schriftarten
An den folgenden Dateiendungen und Symbolen erkennen Sie FontDateien: Tabelle 6.5: Font-Formate an den Dateiendungen und Symbolen erkennen
Endung Format TTF
Symbol
Truetype-Fonts Opentype-Fonts mit Truetype-Outlines
OTF
Opentype-Fonts Outlines
mit
Postscript-
TTC
Truetype-Fontsammlung
PFM
Postscript Type 1-Fonts
FON
Vektor- und Bitmap-Schriftarten
6.3 Installation lokaler Drucker _____________________________________________ 339 Das Fenster SCHRIFTARTEN bietet die Möglichkeit, verschiedene An- Schrift anzeigen sichten zu aktivieren. Über einen Doppelklick auf ein Font-Symbol wird die Schrift in einem separaten Fenster mit einem Mustertext angezeigt.
Schriftarten entfernen Zum Löschen einer Schriftart markieren Sie diese und wählen im zugehörigen Kontextmenü (rechte Maustaste) den Punkt LÖSCHEN . Sie können auch das Symbol der Schrift mit der Maus an einen anderen Speicherort verschieben.
6.3
Installation lokaler Drucker
Die Installation eines lokalen Arbeitsplatzdruckers erweist sich aufgrund der umfassenden Treiberunterstützung von Windows Vista und der Hilfe des Assistenten im Zusammenspiel mit Plug&Play in den meisten Fällen als einfacher und schneller Vorgang.
6.3.1
Verwaltungsort lokaler Drucker
Zentrale Verwaltungsstelle für die Drucker ist ein spezielles Konfigurationsfenster, welches Sie über START |SYSTEMSTEUERUNG|HARDWARE UND SOUND| DRUCKER öffnen können. Installieren Sie häufiger Drucker, können Sie die Verknüpfung im Startmenü anzeigen lassen. Wie Sie das Startmenü individuell konfigurieren können, erfahren Sie in Abschnitt 3.2.2 Stil und Verhalten des Startmenüs anpassen ab Seite 111. Abbildung 6.7: Konfigurationsfenster für Drucker und Faxgeräte
Hier finden Sie auch alle in Ihrem System registrierten und eingerichteten Drucker. Über DRUCKER HINZUFÜGEN in der Menüleiste haben Sie die Möglichkeit, manuell die Installation eines neuen lokalen oder Netzwerkdruckers zu starten.
340 _____________________________________________________ 6 Drucken und Faxen
6.3.2
Druckererkennung durch Plug&Play
Die meisten modernen Drucker lassen sich heute über die Plug&PlayFunktionen von Windows Vista erkennen und einbinden. Der Typ und das Modell des neuen Druckers werden dabei durch das Betriebssystem automatisch ermittelt und die passenden Treiber selbstständig installiert. Sind diese Treiber nicht in Windows Vista enthalten, werden Sie zum Einlegen eines entsprechenden Datenträgers oder der Angabe eines alternativen Speicherortes aufgefordert. Die folgende Tabelle zeigt, bei welchen der wichtigsten Ports Plug&Play funktioniert: Tabelle 6.6: Plug&Play-Fähigkeiten von lokalen Anschlussports
Port Parallel Seriell
Plug&Play im Netzwerk
Plug&Play
Bemerkungen
Eingeschränkt Nicht alle Drucker werden an diesem Port sofort erkannt. Nein
Keine Plug&Play-Fähigkeit
USB
Ja
Volle Plug&Play-Fähigkeit
IEEE1394
Ja
Volle Plug&Play-Fähigkeit
Plug&Play funktioniert mit Windows Vista jetzt auch in einer bestimmten Form über das Netzwerk. Verfügbare Netzwerkdrucker werden automatisch eingeblendet. Dazu müssen Sie nicht einmal an einer Active Directory-Domäne angemeldet sein Automatisch erscheinen alle Drucker, für die Windows Vista selbst den geeigneten Treiber besitzt oder diesen vom Server übermittelt bekommt. Um auf einen solchen Drucker zugreifen zu können, sind die entsprechenden Zugriffsrechte notwendig. Zur richtigen Benutzereinrichtung finden Sie weiterführende Informationen in Kapitel 5 ab Seite 257. Sie können auch auf einer Windows Vista-Arbeitsstation Drucker so freigeben, dass geeignete Treiber für Clients mit installiert werden. Weitere Informationen finden Sie dazu in Abschnitt 6.4.3 Drucker freigeben und Client-Treiber einrichten ab Seite 349.
Manuelle Installation am Parallelport Parallelport
Neustart...
Die in der Vergangenheit am häufigsten benutzte Schnittstelle zum Anschluss eines Druckers war der Parallelport. Auch heute verfügen die meisten Computersysteme noch über so eine Schnittstelle. Neue Drucker werden zwar fast ausschließlich mit USB-Anschlüssen hergestellt, aber es existieren noch genug alte Drucker, die nur über den Parallelport ansteuerbar sind. Eine Übersicht zu den Portversionen finden Sie in Abschnitt 6.2.4 Lokale Anschlussmöglichkeiten ab Seite 331. Wird ein neu zu installierender Drucker am Parallelport nicht sofort durch das System automatisch erkannt, sind entweder ein Neustart oder der manuelle Start des Druckerinstallationsassistenten notwendig.
6.3 Installation lokaler Drucker _____________________________________________ 341 Möchten Sie einen Neustart vermeiden, starten Sie den Druckerinstal- ...oder über den lationsassistenten über DRUCKER HINZUFÜGEN des Druckerkonfigurati- Assistenten onsfensters. Abbildung 6.8: Lokalen Drucker installieren
Nach dem Begrüßungsfenster des Assistenten geben Sie an, dass Sie einen LOKALEN DRUCKER installieren möchten. Danach beginnt der Suchvorgang nach Plug&Play-Druckern. Wird ein Drucker gefunden, erscheint eine entsprechende Meldung und die Einbindung wird bei Verfügbarkeit eines Treibers selbstständig vorgenommen. Wird kein Drucker gefunden, erwartet der Assistent die Angabe der Schnittstelle. Dann wählen Sie das Druckermodell aus der Liste der mitgelieferten Treiber aus. Abbildung 6.9: Auswahl des Druckermodells
Links in diesem Dialogfenster sehen Sie alle Hersteller, rechts die dazugehörigen Druckermodelle. Es sind hier im Übrigen zusätzlich alle die Druckertreiber aufgeführt, die nicht standardmäßig in Windows Vista unterstützt werden und die Sie bis zu diesem Zeitpunkt nach-
342 _____________________________________________________ 6 Drucken und Faxen
Treiber manuell angeben
träglich installiert haben. Haben diese betreffenden Treiber keine Signatur, werden Sie später bei der Installation darauf hingewiesen. Bringt Windows Vista selbst keinen Treiber für das Modell mit, müssen Sie das Installationsmedium einlegen oder einen alternativen Pfad zu den Treiberdateien angeben. Dafür ist die Schaltfläche DATENTRÄGER vorgesehen. Weitere Hinweise dazu finden Sie auch in Abschnitt Kompatibilität zu früheren Windows-Versionen ab Seite 330. Einen Drucker, den Sie über USB oder IEEE1394 (FireWire) an Ihrem PC angeschlossen haben, sollten Sie hier nicht einbinden. Diese werden ausschließlich über die Plug&Play-Fähigkeiten dieser Ports erkannt. Das Vorgehen dazu finden Sie in Abschnitt 6.3.2 Druckererkennung durch Plug&Play ab Seite 340. Nach Auswahl des entsprechenden Treibers können Sie den Namen des Druckers verändern, mit dem dieser sich dem Benutzer präsentiert.
Abbildung 6.10: Drucker benennen
Zusätzlich können Sie schon hier entscheiden, ob der neue Drucker als STANDARDDRUCKER festgelegt werden soll. Mit dem optionalen Drucken einer Testseite endet der Assistent. Die Freigabe des Druckers erfolgt über das zugehörige Kontextmenü. Dazu muss die generelle Freigabe von Druckern über das Netzwerk- und Freigabecenter eingeschaltet sein. Ist die Windows Vista-Arbeitsstation in einer Active Directory-Domäne integriert, wird der freigegebene Drucker gleichzeitig für die Veröffentlichung im Verzeichnis markiert (siehe auch Abschnitt Drucker im Active Directory veröffentlichen ab Seite 350).
Alternative Ausgabeports Port FILE:
Ist ein bestimmter Drucker physisch nicht verfügbar, können Sie für diesen trotzdem Druckdateien erstellen. Dazu verbinden Sie ihn mit dem Port FILE. Bei der Druckausgabe erfolgt die Aufforderung des Spoolers, einen Pfad und Dateinamen für die Speicherung der Druck-
6.4 Drucken im Netzwerk__________________________________________________ 343 daten anzugeben. Diese Druckdatei können Sie dann beispielsweise auf einem anderen Computer an den dort angeschlossenen Drucker senden. Eine Druckdatei, die Sie über den Port FILE erzeugen, wird speziell für den bestimmten Drucker über dessen Druckertreiber generiert und kann damit nur auf einem baugleichen oder kompatiblen Drucksystem ausgegeben werden. Zum komfortablen Umgang mit Druckdateien erfahren Sie mehr in Abschnitt Ausgeben fertiger Druckdateien ab Seite 363. Alternativ zum Anschlussport FILE können Sie allerdings aus den meisten Anwendungen heraus in eine Druckdatei schreiben lassen. Das ist der einfachere Weg, wenn Sie diese Funktion nur gelegentlich nutzen wollen. Neben den lokalen Anschlussports wie LPT1 oder FILE können Sie auch logische Ports angeben, die beispielsweise für eine Ansteuerung eines Druckers über das Netzwerk geeignet sind. Das betrifft alle Netzwerkdrucksysteme, die nicht durch einen Windows-Druckserver oder im Active Directory bereitgestellt werden. Beispielsweise können das Drucker sein, die über TCP/IP eingebunden werden (siehe auch Abschnitt TCP/IP-Druckunterstützung ab Seite 343).
6.4
Druckdatei direkt aus Anwendung
Alternative Netzwerkports
Drucken im Netzwerk
Windows Vista bringt ab der Business-Edition eine umfassende Unterstützung für die Ansteuerung von Netzwerkdruckern mit. Dabei verfügt das System auch über Druckserver-Funktionen.
6.4.1
Unterstützte Schnittstellen
Für die netzwerkseitige Einbindung werden verschiedene Protokolle und Standards unterstützt, wobei TCP/IP eine zentrale Bedeutung zukommt.
TCP/IP-Druckunterstützung Für die Einbindung von Netzwerkdrucksystemen über das TCP/IPProtokoll bietet Windows Vista zwei grundlegende Möglichkeiten: Standard TCP/IP Port Monitor Mit Hilfe des Standard TCP/IP Port Monitors (SPM) können Sie Dru- SPM und SNMP cker einbinden, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und sich dabei an die Standards gemäß RFC 1759 halten. Dieser auch Simple Network Management Protocol (SNMP) genannte Standard definiert, wie entsprechende Drucker im Netzwerk kommunizieren. Ziel ist eine möglichst einfache Einbindung auf Clientseite und eine einfache Administration. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen.
344 _____________________________________________________ 6 Drucken und Faxen
UNIX-Druckserver
Windows Vista als LPD-Druckserver
Typische Geräte, die über SPM in Windows Vista eingebunden werden können, sind moderne Drucksysteme von HP (inklusive der HP JetDirect-Karten) oder Netzwerkports von Intel (Intel NetPort). Weitere Informationen finden Sie in Abschnitt Einbinden von Druckern über den TCP/IP Port Monitor ab Seite 359. LPR-Anschlussmonitor (Line Printer) Der LPR-Anschlussmonitor dient in erster Linie zum Einbinden von Druckern, die auf Unix-Druckservern bereitgestellt werden. Gegenüber SPM ist die Einbindung weniger komfortabel und es werden weniger detaillierte Rückmeldungen zum Druckerstatus geliefert. Für die Einrichtung eines über LPR ansprechbaren Druckers müssen dessen Hostname oder IP-Adresse sowie der Name des Druckers (standardmäßig meist lp) angegeben werden. Zusätzlich kann es notwendig sein, dass das Zugriffsrecht auf den Drucker am UNIX-System explizit für den Benutzer eingerichtet werden muss. Mit Installation des LPD-Druckdienstes sind automatisch alle freigegebenen Drucker unter Windows Vista über LPR von anderen Computern über das Netzwerk erreichbar. Als Druckername dient exakt der Name der entsprechenden Druckerfreigabe. Die Einrichtung des LPD-Druckdienstes finden Sie in Abschnitt Drucker über LPR ansteuern ab Seite 359.
Internet Printing Protocol (IPP)
IPP 1.0
IPP 1.1
Bereits mit Windows 2000 wurde die Unterstützung für IPP eingeführt. Das Protokoll wurde unter Federführung der Internet Engineering Task Force (IETF) entwickelt, um Druckvorgänge über das Internet ausführen zu können. Die Gründungsmitglieder der dazu gebildeten Printer Working Group (PWG) waren 1996 die Hersteller IBM, Novell und Xerox. Die praktische Umsetzung wurde später vor allem von Microsoft und Hewlett Packard vorangetrieben, die diese Arbeiten im Simple Web Printing-Papier (SWP) veröffentlichten. IPP erlaubt das Drucken über eine Webverbindung, also über das Protokoll HTTP. Diese Funktionen werden durch das darauf aufsetzende IPP realisiert: Übermittlung der grundlegenden technischen Merkmale eines Drucksystems sowie dessen aktueller Status an den Nutzer Senden von Druckaufträgen durch Benutzer Einsicht in die Druckwarteschlange des Benutzers mit der Möglichkeit der Stornierung von Aufträgen Aktuell ist die Spezifikation IPP 1.1. Diese sieht im Wesentlichen die folgenden Erweiterungen vor: Erweiterte Administrations-Funktionen Funktionen für die Nachrichtenübertragung vom Server zum Client
6.4 Drucken im Netzwerk__________________________________________________ 345 Abrechnungsfunktionen, beispielsweise Feststellung von Druckvolumen Kopplung mit kommerziellen Transaktionen, beispielsweise Bezahlvorgängen Weitergehende Informationen, auch zu aktuellen RFCs, finden Sie Weitere Infos unter der folgenden Adresse: www.pwg.org/ipp/ In Windows Vista wird die Spezifikation IPP 1.1 unterstützt, allerdings lediglich als IPP-Client. Ein IPP-Druckserver ist in Vista nicht enthalten. Standardmäßig mit installiert, finden Sie den IPP-Client unter START|PROGRAMME|PROGRAMME UND FUNKTIONEN|WINDOWSFUNKTIONEN EIN- ODER AUSSCHALTEN. Unterhalb des Eintrags DRUCKDIENSTE ist er als INTERNETDRUCKCLIENT aufgeführt.
6.4.2
Konfiguration des Druckservers
Windows Vista ab Business Edition kann als Druckserver im Netz- 10 gleichzeitige werk eingesetzt werden. Beschränkt wird der Einsatz nur aufgrund Verbindungen der von Microsoft angegebenen Limitierung auf 10 Benutzer, die gleichzeitig auf so einen Druckserver zugreifen können. Die Einstellungen zum Druckserver finden Sie im Kontextmenü des Druckerordners. Abbildung 6.11: Druckservereigenschaften aufrufen
Im folgenden Eigenschaften-Dialogfenster können Sie alle Einstellungen für Ihr Windows Vista-System festlegen, die sein Verhalten als Druckserver im Netzwerk beeinflussen. Voraussetzung für das Ändern der Einstellungen ist, dass Sie die Servereigenschaften über ALS ADMINISTRATOR AUSFÜHREN aufrufen. FORMULARE Registerkarte FORMULARE Im ersten Register der Servereinstellungen können Sie die Formulare verwalten, die Ihr Druckserver anbieten soll.
346 _____________________________________________________ 6 Drucken und Faxen
Eigene Formulare erstellen
Hier finden Sie alle Papierformate, die der Druckserver generell über seine freigegebenen Drucker anbieten kann. Von Formularen ist deshalb die Rede, weil neben der eigentlichen Bogengröße ein nicht bedruckbarer Rand definiert werden kann. Zu den standardmäßig vorhandenen Formularen können Sie eigene definieren, die dann jeder Benutzer des freigegebenen Druckers im Netzwerk verwenden kann. Das betrifft natürlich auch Drucker, die lokal an Ihrem System installiert und nicht freigegeben sind. Zum Erstellen eines Formulars gehen Sie folgendermaßen vor:
1. Aktivieren Sie das Kontrollkästchen NEUES FORMULAR ERSTELLEN. 2. Geben Sie dem neuen Formular einen eindeutigen Namen. 3. Tragen Sie die Maße für die Bogengröße und die Druckbereichsbegrenzungen ein. 4. Sichern Sie das neue Formular über einen Klick auf die Schaltfläche FORMULAR SPEICHERN. Abbildung 6.12: Formulare verwalten
ANSCHLÜSSE
Das Formular können Sie nun auch über die Einstellungen zu den Druckern bestimmten Papierschächten zuordnen, beispielsweise ein Formular Briefbogen in Schacht 2. Wählt ein Benutzer diesen Drucker aus, braucht er nur noch in seiner Anwendung als Papierformat Briefbogen zu wählen. Der Druckserver weist dann automatisch diesen Druckjob dem Schacht 2 zu. Beachten Sie, dass lokal für ein System oder einen Druckserver definierte Formulare nicht auf verfügbaren Netzwerkdruckern vorhanden sind, die Sie über einen anderen Druckserver verwenden. Registerkarte ANSCHLÜSSE Über das zweite Register zu den Druckservereigenschaften können Sie zentral alle verfügbaren Anschlüssen einrichten.
6.4 Drucken im Netzwerk__________________________________________________ 347 Neben der Verwaltung der lokalen Schnittstellen eignet sich dieses Dialogfenster vor allem zum Einrichten weiterer Netzwerkverbindungen, die nicht freigegebene Druckressourcen anderer Windows-Druckserver betreffen. Das sind beispielsweise Ports zu TCP/IP-Druckern. Abbildung 6.13: Anschlüsse einrichten
Registerkarte TREIBER TREIBER Hier erhalten Sie eine Liste aller direkt installierten Druckertreiber auf Ihrem System. Abbildung 6.14: Liste installierter Druckertreiber
Dabei werden alle Treiber aufgeführt, die bislang installiert worden sind. Das betrifft auch die, für die der eingerichtete Drucker längst wieder gelöscht worden ist. Windows Vista hält diese Treiber weiterhin gespeichert.
348 _____________________________________________________ 6 Drucken und Faxen
ERWEITERTE OPTIONEN
Im Feld PROZESSOR erkennen Sie, für welche Betriebssystemplattform Treiber verfügbar sind. In Abschnitt 6.4.3 Drucker freigeben und Client-Treiber einrichten ab Seite 349 wird beschrieben, wie Sie weitere Druckertreiber für einen freigegebenen Drucker installieren können. Beachten Sie, dass Druckertreiber standardmäßig im Benutzermodus und nicht im Kernelmodus ausgeführt werden. Registerkarte ERWEITERT Das letzte Register im Dialogfenster zu den Druckservereinstellungen enthält weitergehende Optionen, mit denen Sie festlegen, wie sich der Druckserver bei der Abarbeitung von Aufträgen verhält.
Abbildung 6.15: Erweiterte Druckserver-Optionen
Folgende Einstellungen sind möglich: - SPOOLORDNER Hier bestimmen Sie den Ort, an dem die Daten zwischengespeichert werden. Für umfangreiche Druckjobs empfiehlt sich die Angabe eines anderen Laufwerks als das des Startdatenträgers von Windows Vista. - SPOOLERFEHLER PROTOKOLLIEREN Im System-Ereignisprotokoll werden Fehler des Spoolers aufgezeichnet. - SPOOLERWARNUNGEN PROTOKOLLIEREN Im System-Ereignisprotokoll werden Warnungen des Spoolers aufgezeichnet. - SPOOLERINFORMATIONEN PROTOKOLLIEREN Hiermit werden alle Meldungen des Spoolers im Ereignisprotokoll aufgezeichnet. Diese Option müssen Sie aktivieren, wenn Sie Druckleistungen über das Ereignisprotokoll überwachen wollen (siehe auch Abschnitt 6.4.4 Überwachung von Druckleistungen ab Seite 353).
6.4 Drucken im Netzwerk__________________________________________________ 349 - SIGNALTON BEI FEHLERN VON REMOTEAUFTRÄGEN WIEDERGEBEN Ein Signalton wird ausgegeben, wenn Druckerfehler auftreten. - INFORMATIVE B ENACHRICHTIGUNGEN FÜR LOKALE DRUCKER ANZEIGEN
Der Status von Druckaufträgen wird in einem Popup-Fenster angezeigt, wenn ein Druckjob an einen lokalen Drucker gesendet wird. - INFORMATIVE BENACHRICHTIGUNGEN FÜR NETZWERKDRUCKER ANZEIGEN
Der Status von Druckaufträgen wird in einem Popup-Fenster angezeigt, wenn ein Druckjob an einen Netzwerkdrucker gesendet wird.
6.4.3
Drucker freigeben und Client-Treiber einrichten
Drucker lassen sich auch unter Windows Vista, wie bisher unter allen anderen Windows-Versionen, auf einfache Art und Weise freigeben. Das Freigabeverfahren wird jedoch unter Windows Vista restriktiver gehandhabt.
Drucker freigeben Das Freigabe-Dialogfenster eines Druckers erreichen Sie über dessen Kontextmenü im Konfigurationsfenster DRUCKER. Dieses Fenster öffnen Sie über den entsprechenden Eintrag im Startmenü, wenn das Startmenü entsprechend angepasst ist oder über START|SYSTEMSTEUERUNG|HARDWARE UND SOUND. Aktivieren Sie hier den Eintrag ALS ADMINISTRATOR AUSFÜHREN, anschließend FREIGEBEN. Legen Sie dann bei FREIGABENAME die Bezeichnung fest, unter der der Drucker im Netzwerk erreichbar sein soll. Abbildung 6.16: Drucker freigeben
350 _____________________________________________________ 6 Drucken und Faxen Client-Treiber
Über die Schaltfläche ZUSÄTZLICHE TREIBER können Sie Client-Treiber einrichten, die für andere Windows-Versionen bereitgestellt werden. Weitere Hinweise finden Sie dazu in Abschnitt Client-Treiber installieren ab Seite 351. Beachten Sie, dass das Freigeben des Druckers eine Lockerung der Freigaberegeln im Netzwerk- und Freigabecenter zur Folge hat. Nach dem Freigeben des ersten Druckers ändert sich der Eintrag DRUCKERFREIGABE EINSCHALTEN in der Sektion FREIGABE UND ERKENNUNG DES NETZWERK- UND FREIGABECENTERS.
Abbildung 6.17: Ausschnitt aus dem Netzwerk- und Freigabecenter
Schalten Sie hier die Druckerfreigabe wieder ab, gilt das für alle lokalen Drucker. In einem sicheren Arbeitsumfeld sollten Sie dafür sorgen, dass das kennwortgeschützte Freigeben immer eingeschaltet bleibt.
Drucker im Active Directory veröffentlichen Ist die Windows Vista-Arbeitsstation in eine Active Directory-Domäne integriert, können Sie lokal freigegebene Drucker im Verzeichnis veröffentlichen. Sie finden das entsprechende Kontrollkästchen in der Registerkarte FREIGABE im Eigenschaften-Dialogfenster des Druckers. Diese Option kann über eine Richtlinie gesteuert werden. In Abschnitt 6.4.5 Gruppenrichtlinien zur Druckerkonfiguration ab Seite 353 sehen Sie die entprechenden Einträge. Weitergehende Informationen zur richtigen Einrichtung einer Active Directory-Domäne finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
6.4 Drucken im Netzwerk__________________________________________________ 351 Abbildung 6.18: Option zum Veröffentlichen eines Druckers
Client-Treiber installieren Um eine Installation eines freigegebenen Netzwerkdruckers auf einem anderen Windows-Client zu vereinfachen und zu beschleunigen, können Sie für den Drucker entsprechende Client-Treiber auf dem Druckserver hinterlegen. Seitens des Windows-Clients genügt dann ein einfacher Doppelklick auf die Netzwerkressource und die Treiber werden vom Server geladen und installiert. Abbildung 6.19: Zusätzliche Treiber installieren
352 _____________________________________________________ 6 Drucken und Faxen Treiberdateien notwendig
Für die Installation des Treibers aktivieren Sie das gewünschte ClientBetriebssystem aus der angezeigten Liste. Mit Klick auf OK wird nach den Treiber-Installationsdateien verlangt. Nach der Installation des Treibers kann ein entsprechender Client automatisch mit dem richtigen Treiber bei der Installation des Netzwerkdruckers versorgt werden.
Sicherheitseinstellungen festlegen
Administration delegieren
Für jeden eingerichteten Drucker sind spezifische Sicherheitseinstellungen definierbar. Über das Eigenschaften-Fenster des Druckers können Sie diese einstellen (siehe Abbildung 6.20). Wollen Sie beispielsweise einem weiteren Benutzer die Administration des Druckers übertragen, fügen Sie diesen in die Liste hinzu und erteilen ihm die entsprechenden Rechte DRUCKER VERWALTEN beziehungsweise DOKUMENTE VERWALTEN.
Abbildung 6.20: Sicherheitseinstellungen festlegen
So kann jeweils genau festgelegt werden, welche Benutzer oder Gruppen Drucker nutzen beziehungsweise administrieren dürfen. Wollen Sie wirksam verhindern, dass Benutzer eigenmächtig Drucker anlegen oder löschen, richten Sie entsprechende Gruppenrichtlinien ein. Die helfen vor allem dann, wenn die Benutzerrechte solche Operationen eigentlich zulassen würden. Weitere Hinweise finden Sie dazu in Abschnitt 6.4.5 Gruppenrichtlinien zur Druckerkonfiguration ab Seite 353.
6.4 Drucken im Netzwerk__________________________________________________ 353
6.4.4
Überwachung von Druckleistungen
Die Ausführung von Druckjobs können Sie im Ereignisprotokoll aufzeichnen lassen. Voraussetzung ist eine entsprechende Einstellung der erweiterten Optionen in den Druckservereinstellungen (siehe dazu Abschnitt 6.4.2 Konfiguration des Druckservers ab Seite 345). Dem Ereignisprotokoll können Sie dann regelmäßig entnehmen, welches Druckvolumen die einzelnen Benutzer in Anspruch genommen haben. Druckereignisse werden dabei im Systemprotokoll gespeichert. Abbildung 6.21: Protokoll eines Druckauftrags
6.4.5
Gruppenrichtlinien zur Druckerkonfiguration
Für die Einrichtung genereller administrativer Regelungen können Sie auf spezielle Gruppenrichtlinien zurückgreifen. Starten Sie eine Managementkonsole mit dem entsprechenden Snap-In (siehe auch Abschnitt 5.6 Gruppenrichtlinien ab Seite 303).
Lokale Richtlinien für Drucker Für die Verwaltung der Druckressourcen steht eine Reihe von Richtlinien zur Verfügung. Diese finden Sie im Gruppenrichtlinien-Editor in den folgenden Zweigen: Richtlinien für lokaler Computer Computer \Computerkonfiguration \Administrative Vorlagen \Drucker Ob ein Drucker sofort nach seiner Einrichtung im Active Directory bekannt gemacht wird, steuert der Eintrag: Richtlinien für lokaler Computer \Computerkonfiguration \Administrative Vorlagen
354 _____________________________________________________ 6 Drucken und Faxen \Drucker \Neue Drucker automatisch in Active Directory veröffentlichen Abhängig von den Anmelde-Benutzerkonten können Sie die nachfolgenden Richtlinien zur Anwendung bringen: Benutzer
Hinzufügen und Löschen von Druckern verhindern
Richtlinien für lokaler Computer \Benutzerkonfiguration \Administrative Vorlagen \Systemsteuerung \Drucker Besonders interessant sind die Richtlinien für die Benutzerkonfiguration. Mit dieser Richtlinie entziehen Sie den Benutzern die Rechte zum Hinzufügen von Druckern: Richtlinien für lokaler Computer \Benutzerkonfiguration \Administrative Vorlagen \Systemsteuerung \Drucker \Hinzufügen von Druckern verhindern Wollen Sie sicherstellen, dass Benutzer eingerichtete Drucker nicht wieder entfernen können, aktivieren Sie diese Richtlinie: \Löschen von Druckern verhindern Damit Netzwerkdrucker nicht eigenmächtig eingebunden und genutzt werden können, deaktivieren Sie diese Richtlinie: \Netzwerk nach Druckern durchsuchen Um das alternative Einbinden von Druckern über Websites zu verhindern, deaktivieren Sie schließlich noch diese Richtlinie: \Websites nach Druckern durchsuchen Mit der letztgenannten Richtlinie haben Sie aber auch die Möglichkeit, eine spezielle Website für die Druckerinstallation vorzugeben.
Drucker-Richtlinien im Active Directory In einem Active Directory-basierten Netzwerk können Sie zum Drucken ebenfalls Richtlinien definieren. Eventuell getroffene lokale Einstellungen werden dann durch diese überschrieben. Weitere Informationen dazu finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
6.4.6
Netzwerkdrucker clientseitig einbinden
Die Einbindung von im Netzwerk bereitgestellten Drucksystemen in ein Windows Vista gehört mit zu den häufigsten Konfigurationsaufgaben. Neben der Unterstützung der Windows-eigenen Netzwerkwelt können Sie Drucksysteme ansteuern, die aus anderen Umgebungen angeboten werden.
6.4 Drucken im Netzwerk__________________________________________________ 355 Drucker über den Assistenten einbinden Die Einbindung von Netzwerkdruckern, die durch einen WindowsDruckserver bereitgestellt werden, ist auf verschiedene Art und Weise möglich. Wie in Abschnitt 6.3.2 Druckererkennung durch Plug&Play ab Seite 340 erwähnt, gibt es unter Windows Vista einen Automatismus zur komfortablen Einbindung von Netzwerkdruckern auf Clients. Gelingt das nicht oder sind die entsprechenden Einstellungen, beispielsweise über Gruppenrichtlinien, deaktiviert, können Sie die Einbindung mit Hilfe des Druckerinstallations-Assistenten vornehmen. Gehen Sie zur Suche und Einbindung eines Netzwerkdruckers dazu wie folgt vor: 1. Öffnen Sie die Druckerkonfiguration über START|SYSTEMSTEUERUNG|HARDWARE UND SOUND|DRUCKER. Klicken Sie in der Menüleiste auf DRUCKER HINZUFÜGEN. 2. Aktivieren Sie dann im Dialogfenster des Assistenten die Schaltfläche NETZWERK-, DRAHTLOS- ODER B LUETOOTHDRUCKER HINZUFÜGEN.
Automatische Einbindung
Druckerinstallations-Assistent
Abbildung 6.22: Auswahl im Assistenten zum Einbinden eines Netzwerkdruckers
Die Suche nach Druckern im Netzwerk beginnt sofort. Dauert Ihnen die Suche zu lange, können Sie die Suche abbrechen und den Drucker explizit angeben. 3. Im folgenden Dialogfenster können Sie den Netzwerknamen des Druckers direkt eingeben oder gezielt nach diesem suchen lassen. Abbildung 6.23: Dialogfenster für Suche oder direkte Eingabe des Netzwerkdruckers
Die Optionen haben dabei folgende Bedeutung:
356 _____________________________________________________ 6 Drucken und Faxen - DRUCKER SUCHEN Wissen Sie den Namen des Druckers nicht, gelangen Sie mit dieser aktivierten Option und einem Klick auf WEITER in ein Suchen-Dialogfenster. Mit einem Doppelklick auf einen Computer in dieser Auflistung werden dessen freigegebene Drucker angezeigt. Markieren Sie das gewünschte Gerät und klicken Sie auf AUSWÄHLEN. Abbildung 6.24: Suchen-Dialogfenster
Drucker suchen im Active Directory
Ist Ihr System in eine Active Directory-Domäne eingebunden, heißt die erste Option im Dialogfenster des Assistenten EINEN DRUCKER IM VERZEICHNIS
SUCHEN.
Abbildung 6.25: Suche im Verzeichnis starten
Sie gelangen damit in ein Suchen-Dialogfenster mit stark erweiterten Möglichkeiten. So können Sie gezielt nach Druckern mit speziellen Eigenschaften suchen.
6.4 Drucken im Netzwerk__________________________________________________ 357 Reichen die Eigenschaften in der Registerkarte FUNKTIONEN zur Auswahl nicht aus, können Sie über ERWEITERT aus einer Vielzahl weiterer eine sehr spezifische Suche gestalten. - EINEN FREIGEGEBENEN DRUCKER ÜBER DEN NAMEN AUSWÄHLEN Diese zweite Option hat bei einem Computer, der nicht in eine Active Directory-Domäne eingebunden ist, exakt die gleiche Funktion wie die erste. Zusätzlich können Sie aber den Freigabenamen des Druckers in dieser Form eingeben: \\<servername>\ Bei einem System mit Einbindung in eine Active DirectoryDomäne kommen Sie in das einfache Suchfenster (wie in Abbildung 6.24 gezeigt). Sie können damit die aufwändige Suche im Verzeichnis umgehen, wenn Sie genau wissen, wo Sie den gewünschten Drucker finden. - EINEN DRUCKER UNTER VERWENDUNG EINER TCP/IP-ADRESSE ODER EINES HOSTNAMENS HINZUFÜGEN Mit der dritten Option haben Sie die Möglichkeit, direkt die URL eines IPP-Netzwerkdruckers einzugeben. Wissen Sie die genaue Syntax nicht, können Sie einen derartigen Drucker einfacher über den Internet Explorer aussuchen (siehe Abschnitt Netzwerkdrucker über IPP einbinden ab Seite 358). Abbildung 6.26: Drucker über Hostnamen oder IPAdresse hinzufügen
4. Die entsprechenden Rechte vorausgesetzt, können Sie nach dem Finden des Druckers und der Bestätigung des abschließenden Assistenten-Dialogfensters mit Klick auf FERTIGSTELLEN sofort über das Netzwerk drucken. Dabei brauchen Sie nicht einmal separat einen Druckertreiber zu installieren, wenn der Druckserver ebenfalls ein Windows Vista-Drucksystem auf der gleichen HardwarePlattform ist. Bei anderen Windows-Druckservern werden Sie gegebenenfalls zuvor zur Angabe der Treiberdateien aufgefordert, wenn diese unter Windows Vista nicht im Standard-Lieferumfang enthalten sein sollten.
Weitere Möglichkeiten Ein weiterer einfacher Weg zur Einbindung eines Netzwerkdruckers ergibt sich, wenn Sie über START | NETZWERK die Ressourcen eines Computers, der auch als Druckserver fungiert, anzeigen lassen.
358 _____________________________________________________ 6 Drucken und Faxen Druckersymbol per Drag&Drop in das eigene System ziehen
Gehen Sie dazu wie folgt vor, wenn Ihr System nicht Mitglied einer Active Directory-Domäne ist: 1. Öffnen Sie das Dialogfenster NETZWERK über den genannten Weg. 2. Doppelklicken Sie auf das Symbol des Computers, der auch als Druckserver fungiert und den gewünschten Drucker ansteuert.
Abbildung 6.27: Anzeige der Ressourcen eines Computers im lokalen Netz
Direkte Eingabe des Druckernamens
3. Ziehen Sie den betreffenden Drucker in Ihren eigenen Ordner DRUCKER . Es geht aber auch noch schneller: Geben Sie einfach den Netzwerkpfad oder die URL des Netzwerkdruckers im Dialogfeld START | AUSFÜHREN ein. Ist die Angabe korrekt, wird der entsprechende Drucker ohne weitere Umwege direkt eingebunden.
6.4.7
TCP/IP-Drucker clientseitig einbinden
Windows Vista unterstützt im Netzwerk Drucker, die über verschiedene TCP/IP-Druckstandards angesteuert werden können.
Netzwerkdrucker über IPP einbinden
Druckerserver-URL
Drucker-Warteschlange einsehen
Drucker-URL
Über das Internet Printing Protocol (IPP; siehe dazu auch Abschnitt Internet Printing Protocol (IPP) ab Seite 344) können Sie auf entsprechenden IPP-Druckservern freigegebene Drucker mit Hilfe eines normalen Internet-Browser einsehen und verwalten. Um einen mit IPP arbeitenden Server anzusprechen und seine Drucker einzusehen, geben Sie im Browser die folgende URL an: http:///printers/ Für tragen Sie Name oder IP-Adresse eines entsprechenden Servers ein. Über einen Mausklick auf einen der angebotenen Drucker gelangen Sie in die Anzeige der entsprechenden Drucker-Warteschlange und erhalten Einblick in den aktuellen Status. Sie können aber auch gleich direkt den betreffenden Drucker ansprechen, indem Sie die folgende Syntax verwenden: http:///printers//.printer
6.4 Drucken im Netzwerk__________________________________________________ 359 Einbinden von Druckern über den TCP/IP Port Monitor Für die Ansteuerung von TCP/IP-Druckern steht in Windows Vista SPM und SNMP der Standard TCP/IP Port Monitor (SPM) zur Verfügung. Dieser ist kompatibel zum verbreiteten Simple Network Management Protocol (SNMP) gemäß RFC 1759. Gegenüber dem bisher bevorzugten TCP/IP-Druckverfahren über LPR zeichnet sich SPM durch eine einfachere Installation aus. Hinzu kommt die Möglichkeit, vom Drucker detailliertere Rückmeldungen zu erhalten. Dazu muss aber auch der Drucker SPM beziehungsweise SNMP beherrschen. Drucksysteme, die Sie so über TCP/IP ansteuern können, verfügen beispielsweise über eine HP JetDirect-Karte oder einen Intel Netport. Zum Installieren eines neuen Druckers, der mit SPM angesteuert wird, Installation wie gehen Sie über DRUCKER HINZUFÜGEN im Fenster DRUCKER. Wichtig ist, lokaler Drucker dass Sie im nächsten Dialogfenster LOKALER DRUCKER angeben. Im dann folgenden Dialogfenster für die Anschlussauswahl wählen Sie bei EINEN NEUEN ANSCHLUSS ERSTELLEN den STANDARD TCP/IPPORT aus. Abbildung 6.28: Standard TCP/IPPort als Anschluss wählen
Es erscheint der Dialog in Abbildung 6.26. Geben Sie im ersten Eingabefeld den Hostnamen oder die IP-Adresse des Drucksystems an. Wird vom Hersteller des Systems nicht explizit ein Portname angegeben, lassen Sie das zweite Eingabefeld unberührt. Hier trägt der Assistent einen Standardnamen ein, der in der Regel auch für den Drucker gültig ist. Danach versucht der Assistent, mit dem Drucksystem Kontakt aufzunehmen. Gelingt dies, ist damit die Einbindung meist schon fertig. Wird kein entsprechender Netzwerkdrucker gefunden, erfolgt eine Keine Einbindung entsprechende Fehlermeldung. Sie erhalten die Möglichkeit, eine gelungen Netzwerkkarte aus der Liste der mitgelieferten Treiber auszuwählen oder per Hand in die Konfiguration einzugreifen.
Drucker über LPR ansteuern Windows Vista unterstützt die Einbindung von Unix-Druckern über den LPR-Port (Line Printer). Wichtigste Voraussetzung dafür ist die Installation der Unix-Druckdienste. Öffnen Sie über das Startmenü die Systemsteuerung und wählen Sie Installation der Unixhier die Kategorie PROGRAMME. Starten Sie den Dialog WINDOWS- Druckdienste FUNKTIONEN über die Schaltfläche WINDOWS FUNKTIONEN EIN- ODER
360 _____________________________________________________ 6 Drucken und Faxen AUSSCHALTEN.
Im folgenden Auswahlfenster WINDOWS-FUNKTIONEN öffnen Sie den Zweig DRUCKDIENSTE. Abbildung 6.29: Unix-Druckdienste installieren
Drucker über LPR einbinden
Installation wie lokaler Drucker
Abbildung 6.30: LPR-Port als Anschluss wählen
Nach der Installation der Unix-Druckdienste steht der LPR-Port sofort zur Verfügung. Ein Neustart des Systems ist nicht notwendig. Bei einem über den LPR-Port angebundenen Drucker eines UnixHosts unter Windows Vista wird der Druckjob direkt an dessen Spooler übergeben. Danach erfolgt die Verwaltung des Jobs dort. Der Windows Spooler hat keine Kontrolle mehr über ihn. Zum Installieren eines neuen Druckers, der mit LPR angesteuert wird, gehen Sie ebenso vor wie zur Installation eines normalen TCP/IPDruckers (siehe Seite 359). Wählen Sie aber im Dialogfenster für die Anschlussauswahl bei ANSCHLUSSTYP den LPR-PORT aus.
6.5 Weitere Druckfunktionen _______________________________________________ 361 Geben Sie im nächsten Dialogfenster die IP-Adresse oder den Hostnamen des Servers ein, der den Port bereitstellt. Darunter tragen Sie den Namen des Druckers ein. Abbildung 6.31: Host- und Druckernamen angeben
Meist wird der Standard-Druckerport auf einem Unix-System mit »lp« bezeichnet. Es können aber auch andere Bezeichnungen Verwendung finden. Wichtig ist hier auf jeden Fall die Unterscheidung zwischen Groß- und Kleinschreibung. Der Rest der Installation entspricht dann mit der weiteren Auswahl des Druckertreibers wieder dem normalen Vorgehen bei lokalen Druckern und ist in Abschnitt 6.3 Installation lokaler Drucker ab Seite 339 beschrieben. Bei der Installation der Unix-Druckdienste kann auch der LPD- LPD-Druckserver Druckdienst automatisch eingerichtet werden. Sie können dann sofort von anderen Clients freigegebene Drucker auf Ihrem WindowsComputer über LPR ansteuern. Dabei entsprechen der Hostname oder die IP-Adresse dem LPR-Host, der Freigabename dem Druckernamen. Vista startet dazu den TCP/IP-Druckserver, der über START|SYSTEMSTEUERUNG|VERWALTUNG|DIENSTE steuerbar ist. Der Druckserver erwartet Druckdaten auf Port 515/TCP.
6.5
Weitere Druckfunktionen
Dieser Abschnitt beschreibt weitergehende Druckfunktionen, die Ihnen unter Windows Vista zur Verfügung stehen.
6.5.1
Drucken aus MS-DOS-Anwendungen
Ältere Anwendungen, die noch unter MS-DOS laufen und keine direkte Windows-Unterstützung mitbringen, sind auch heute noch aus manchen Büros nicht wegzudenken. Für die Druckausgabe auf einen lokalen Port wie LPT1 wird in der Regel keine besondere Einrichtung erforderlich sein. Solange die Anwendung im MS-DOS-Kompatibilitätsmodus von Windows Vista reibungslos funktioniert, wird auch die Druckausgabe an die Parallelschnittstelle kein Problem darstellen. Anders sieht es aus, wenn der benötigte Drucker nur über eine Netz- Netzwerkdrucker werkfreigabe oder gar über einen der neuen Ports wie USB oder und andere Ports IEEE1394 (FireWire) anzusteuern ist. Hier werden die meisten MSDOS-Programme keinen Weg zum Druck kennen. MS-DOS-Anwendungen steuern Drucker über eigene Druckertreiber an. Damit der Druck funktionieren kann, muss der Drucker eine mit
362 _____________________________________________________ 6 Drucken und Faxen
LPT umleiten
Umleitung wieder aufheben
der Anwendung kompatible Druckersprache (wie beispielsweise PCL oder Postscript) beherrschen. GDI-Drucker ohne eigene »Intelligenz«, bei denen die Datenaufbereitung eine spezielle Software auf dem PC übernimmt, können in der Regel nicht über MS-DOS-Programme angesteuert werden. Windows Vista kennt, wie seine Vorgänger, glücklicherweise die Möglichkeit, den benötigten LPT-Port auf eine Netzwerkfreigabe umzuleiten. Für einen Drucker, der beispielsweise über USB lokal angeschlossen ist, müssen Sie deshalb zunächst eine Freigabe einrichten (siehe auch Abschnitt 6.4.3 Drucker freigeben und Client-Treiber einrichten ab Seite 349). Mit Hilfe des NET-Befehls können Sie dann den gewünschten LPT-Port auf die Netzwerkfreigabe umleiten: net use LPTx: \\\ /YES Das kleine x bei LPTx steht für eine der Portnummern für die parallele Schnittstelle. Üblich ist hier die Verwendung von LPT1 bis LPT3. Mit der Option /YES geben Sie an, dass eventuell bereits gesetzte Umleitungen und die darauf folgende Rückfrage übergangen werden. Das kann beim Einsatz dieses Befehls in einer Stapelverarbeitungsdatei nützlich sein. Denken Sie daran, dass Sie mit der Umleitung von LPT1 den lokalen physischen Parallelport außer Kraft setzen. Wenn Sie diesen benötigen, sollten Sie einen der anderen Parallelports verwenden oder diesen nach Gebrauch durch die MS-DOS-Anwendung wieder freigeben: net use LPT1: /d Dies kann notwendig sein, wenn eine alte Anwendung ausschließlich Drucker am Parallelport 1 ansteuern kann. Wenn Sie diese beiden Befehlszeilen in die Stapelverarbeitungsdatei einfügen, mit der diese Anwendung aufgerufen wird, haben Sie eine mögliche Lösung für das Problem.
6.5.2
Drucken per Drag&Drop
Eine weitere Möglichkeit unter Vista für das bequeme Drucken von Dokumenten wird in diesem Abschnitt beschrieben. Per Mausklick oder Drag&Drop können Sie schnell fertige Druckdateien ausgeben.
Drucken von Dokumenten Unter Windows Vista ist es möglich, Dokumente per Drag&Drop zum Drucken zu bringen. Voraussetzung ist, dass für das zu druckende Dokument eine Applikation vorhanden und in der Registrierung bekannt ist. Dann können Sie Dokumente auf das Druckersymbol ziehen, entweder im Druckerordner oder bequemer durch eine Verknüpfung mit dem Drucker auf dem Desktop. Der Druckbefehl steht außerdem im Kontextmenü zum Dokument im Windows Explorer zur Verfügung. Nach Start des Druckbefehls wird das Dokument mit Hilfe von DDE (Dynamic Data Exchange) an die Anwendung übergeben und mit deren Druckfunktionen auf dem Standarddrucker genau einmal ausgegeben.
6.5 Weitere Druckfunktionen _______________________________________________ 363 Benötigen Sie mehrere Kopien oder andere spezielle Druckereinstellungen, müssen Sie dies zuvor im Druckertreiber einstellen oder das Dokument konventionell mit der Anwendung öffnen und drucken.
Ausgeben fertiger Druckdateien Nicht immer sind alle Drucksysteme mit allen Computern vernetzt Druckdateien und stehen damit dem Benutzer direkt zur Verfügung. Einen Ausweg erstellen bieten für den entsprechenden Drucker erzeugte Druckdateien. Diese können Sie erstellen, wenn Sie die Druckausgabe in eine Datei umleiten. Der standardmäßige Dateityp derart erzeugter Druckdateien ist meist PRN. Für die Ausgabe einer solchen Datei auf einen lokal angeschlossenen Drucker könnte man meinen, dass ein einfaches Drag&Drop oder ein Doppelklick den Druck startet. Aber leider passiert bei jeder dieser Aktionen nichts dergleichen. Bei Doppelklick erscheint nur ein Dialogfenster zur Angabe einer dazugehörigen Anwendung. Ziehen Sie die Druckdatei per Drag&Drop auf das Druckersymbol im Druckerkonfigurationsfenster (über START|DRUCKER), erscheint, wenn der betreffende Drucker noch nicht der Standarddrucker ist, zunächst eine viel versprechende Aufforderung: Abbildung 6.32: Drucker als Standard definieren?
Die dann folgende Fehlermeldung zeigt wieder nur an, dass keine Anwendung mit Ihrem Druckjob verknüpft ist. Abbildung 6.33: Drucken ist leider doch nicht möglich!
Da Windows Vista (wie auch schon Windows XP und 2000) so sehr auf eine Anwendung besteht, kann die Lösung nur die Erstellung einer solchen Anwendung für die Weiterleitung einer Druckdatei an den Drucker sein. Im folgenden Text wird eine solche einfache Möglichkeit gezeigt, die Sie problemlos weiteren Anforderungen anpassen können. Die einfachste Methode zur Programmierung einer Anwendung, die Anwendung zur eine übergebene Datei an einen Druckerport ausgibt, ist die Erstellung Druckausgabe erstellen einer Stapelverarbeitungsdatei: copy %1 LPT1 Diese kleine Stapelverarbeitungsdatei, die hier nur eine Zeile enthält, können Sie mit dem Texteditor erzeugen. Mit Hilfe des copy-Befehls
364 _____________________________________________________ 6 Drucken und Faxen
Dateiendung PRN verknüpfen
wird die über den Kommandozeilenparameter %1 übergebene Datei auf den parallelen Port LPT1 ausgegeben. Statt LPT1 können Sie natürlich auch einen anderen Port oder eine Netzwerkressource angeben: copy %1 \\Druckserver\Drucker1 Diese Stapelverarbeitungsdatei soll in diesem Beispiel unter dem Namen D:\DRUCKE.BAT abgespeichert sein. Die Dateiendung PRN, die für alle Druckdateien gelten soll, muss nun noch Windows Vista als Verknüpfung zur neuen Druckausgabe-Anwendung DRUCKE.BAT zugewiesen werden. Mit einem Doppelklick auf die PRN-Datei öffnet sich ein Dialog, der zur Auswahl des dazugehörigen Programms auffordert. Wählen Sie PROGRAMM AUS EINER LISTE INSTALLIERTER PROGRAMME AUSWÄHLEN. Geben Sie in der Beschreibung an, dass es sich um Druckdaten handelt. Über die Schaltfläche DURCHSUCHEN wählen Sie die erstellte Datei D:\DRUCKE.BAT aus Achten Sie darauf, dass das Häkchen bei DATEITYP IMMER MIT DEM AUSGEWÄHLTEN PROGRAMM ÖFFNEN gesetzt ist. Der Dateityp PRN ist jetzt registriert und mit der Stapeldatei verknüpft. Das können Sie überprüfen. Dazu wählen Sie den Eintrag STANDARDPROGRAMME aus dem Startmenü. In der folgenden Auswahl selektieren Sie den Eintrag DATEITYP ODER PROTOKOLL EINEM PROGRAMM ZUORDNEN.
Abbildung 6.34: Zuordnung der Dateitypen zu den Anwendungen
Das reicht allerdings noch nicht aus. Es muss noch ein neuer Vorgang für das kleine Programm angelegt werden. Erstellen Sie dazu eine Textdatei mit der Endung .reg. Diese hat folgenden Inhalt: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\prn_auto_file\shell\print] [HKEY_CLASSES_ROOT\prn_auto_file\shell\print] @=\D:\\Drucke.bat\ \%1\ Mit einem Doppelklick auf die Reg-Datei fügen Sie die Einträge der Registrierung hinzu.
6.5 Weitere Druckfunktionen _______________________________________________ 365
6.5.3
Trennseiten definieren
Die Trennfunktion fügt an bestimmten Stellen Trennseiten ein, um die Sortierung von Druckaufträgen auf einem gemeinsam benutzten Drucker zu erleichtern. Verantwortlich für die Steuerung ist der Trennseitenprozessor.
Einstellen einer Trennseite Zum Einstellen einer Trennseite gehen Sie über das EigenschaftenDialogfenster eines Druckers, welches Sie über dessen Kontextmenü im Fenster DRUCKER erreichen. Auf der Registerkarte ERWEITERT klicken Sie auf die Schaltfläche TRENNSEITE... Abbildung 6.35: Einstellung einer Trennseite
Trennseiten im Detail Trennseiten können Steuerzeichen für den Drucker enthalten und zusätzlich bestimmte Codes, mit denen der Inhalt der Trennseite individuell gesteuert werden kann. Die folgenden Trennseiten-Musterdateien sind bereits vorbereitet: %Systemroot%\system32\pcl.sep %Systemroot%\system32\pscript.sep PCL.SEP: Für PCL-Drucker, beispielsweise HP LaserJet PSCRIPT.SEP: Für Postscript-Drucker Eine modifizierte PCL.SEP finden Sie in folgendem Listing: \ Listing 6.1: \H1B\L%-12345X@PJL ENTER LANGUAGE=PCL Modifizierte Trenn\H1B\L&l1T\0 seiten-Datei PCL.SEP \B\S\LNeuer\U \B\S\LAuftrag\U \5 \LSender : \N\3 \LAutrag : \I\3 \LDatum : \D\3
366 _____________________________________________________ 6 Drucken und Faxen \LZeit : \T\3 \E Abbildung 6.36 zeigt, wie diese Trennseite auf dem Drucker erscheint. Abbildung 6.36: Beispiel für eine Trennseite
Tabelle 6.7: Steuerzeichen in Trenndateien
Steuerzeichen
Beschreibung
\
Einleitung einer Trennseite. Muss immer am Anfang stehen.
\N
Fügt den Namen des Benutzers ein.
\I
Druckauftragsnummer
\D
Datum (Formatierung entsprechend Systemeinstellung)
\T
Uhrzeit (Formatierung entsprechend Systemeinstellung)
\Lxxx \Fyyyyyy
Fügt freien Text xxx ein. Fügt eine Datei ein, die unter dem Pfad yyyyyy liegt, beispielsweise \FC:\WINNT\SYSTEM32\LOGO.SEP.
\Hhh
Fügt ASCII-Zeichen mit dem Hexadezimalwert hh ein.
\Wbbb
Breite der Trennseite. Der Standardwert ist 80 Zeichen, der Maximalwert 256.
\B\S
Blockzeichen einfacher Breite
6.6 Farbmanagement _____________________________________________________ 367 Steuerzeichen \B\M
Beschreibung Blockzeichen doppelter Breite
\U
Schaltet Blockzeichen wieder ab und erzeugt einen Zeilenvorschub.
\00
Fügt 00 Leerzeilen ein, beispielsweise \5 für fünf Zeilen.
\E
Seitenumbruch. Dadurch können mehrere Trennseiten erzeugt werden. \E\E erzeugt eine zusätzliche Leerseite.
6.6
Farbmanagement
In Windows Vista ist das neue Windows Color System (WCS) integriert, WCS - Windows das den bisher etablierten ICC-Farbmanagementstandard ablöst. In Color System diesem Abschnitt soll Ihnen ein Überblick über das moderne Farbmanagement an sich sowie über die Technologien und Standards gegeben werden. Eine umfassende Behandlung eines so komplexen Themas wie Farbmanagement würde allerdings den Rahmen dieses Buches sprengen. Deshalb müssen bestimmte Grundlagen wie elementare Kenntnisse in der Farbenlehre vorausgesetzt werden. Trotzdem kann diese Einführung in das Farbmanagement einige Fragen klären helfen, die sich immer wieder im Zusammenhang mit dem Farbdruck allgemein ergeben, wie beispielsweise die, warum Bildschirmfarben oft von den Druckfarben abweichen.
6.6.1
Einführung
Viele Farbmanagementlösungen, die in den letzten 15 Jahren eingeführt wurden, versprachen ein Allheilmittel zu sein, wenn es darum ging, Farbkonsistenz über verschiedene Anwendungen und Bildverarbeitungsgeräte herzustellen. Diese Versprechen konnten bislang keine der bestehenden Lösungen und Standards einhalten. Microsofts Windows Color System könnte hier laut Microsoft helfen, denn es bietet eine große, zukunftsweisende Plattform für künftige Innovationen am Grafikmarkt. Farbanzeigen aller Art und das Druckwesen werden vom neuen System gleichermaßen bedient. Informationen zur praktischen Anwendung finden Sie in Abschnitt 6.6.5 Neue Wege mit dem Windows Color System ab Seite 376.
6.6.2
Farbe und Farbdruck
Für das Verstehen des Prinzips eines Farbmanagementsystems ist es Licht und Farbe wichtig, sich über die Entstehung von Farbe Gedanken zu machen. Farbe ist nämlich keine physikalische Eigenschaft eines Gegenstandes, sondern entsteht im Auge beziehungsweise genauer im Gehirn des Betrachters. Die wesentliche Rolle dabei spielt das Licht. Licht, das
368 _____________________________________________________ 6 Drucken und Faxen
Weißes Licht
Farbe entsteht aktiv...
...oder passiv
Euroskala und SWOP
von der Sonne kommend die Erde erreicht, hat eine ganz bestimmte Zusammensetzung. Die Licht-Wellenlängen werden in Nanometer (nm) angegeben und reichen von 380 nm (Violett) bis 780 nm (Rot). Man nennt das auch den sichtbaren Teil des elektromagnetischen Spektrums. Sichtbar bezieht sich hierbei auf uns, den Durchschnittsmenschen. Es gibt bekanntlich Tiere, die einen ganz anderen sichtbaren Bereich haben. So können beispielsweise viele Nachttiere im Dunkeln deutlich besser sehen als wir. Sonnenlicht oder das Licht einer Lampe wird meist auch als Weißes Licht bezeichnet. Weiß ist es deshalb, weil alle Bestandteile des sichtbaren Spektrums zusammengefasst unserem Auge weiß beziehungsweise sehr hell erscheinen. Dass es dabei meist Unterschiede zwischen unserer Bürobeleuchtung, die manchmal eher kalt wirkt, und dem Sonnenlicht gibt, ist der abweichenden Zusammensetzung des Lichtes künstlicher Quellen zum Sonnenlicht geschuldet. Farbe wird an einem Monitor aktiv erzeugt. Dabei regt beispielsweise ein Kathodenstrahl drei nebeneinander liegende Farbpigmente Rot, Grün und Blau zum Leuchten an. Werden alle drei Punkte gleich stark angesteuert, entsteht im Ergebnis ein weißer Punkt. Bei keiner Ansteuerung der Punkte bleibt der Ort auf dem Bildschirm schwarz. Die Färbung der Bildröhrenoberfläche bestimmt dabei allein die Tiefe dieser Schwärzung. Rot und Grün zusammen angesteuert ergibt dann Gelb, Blau und Rot den Farbton Magenta usw. Je nach Verhältnis der Grundfarben zueinander entstehen dabei die Mischfarben. Diese aktive Farberzeugung wird auch additive Farbmischung genannt, da durch Addition der Grundfarben Rot, Grün und Blau die Mischfarben erzeugt werden. Papier hat leider keine selbstleuchtenden Eigenschaften, die uns die Farben als Lichtstrahlen erzeugen könnten. Deshalb muss die Farbinformation hier anders entstehen. Das zugrunde liegende Prinzip funktioniert genau entgegengesetzt zur aktiven Farberzeugung auf dem Monitor. Während am Monitor Farbe als Ergebnis der Ansteuerung aktiv entsteht, müssen dem auf das Papier auftreffenden (weißen) Licht Bestandteile entzogen werden, bevor sie unser Auge wieder erreichen. Das erreicht man, indem als Grundfarben die Komplementärfarben von Rot, Grün und Blau eingesetzt werden: Cyan, Magenta und Gelb. Schwarz wird deshalb noch als separate Farbe für den Druck hinzugenommen, weil Cyan, Magenta und Gelb auf einem Punkt zusammen kein reines Schwarz ergeben würden. Der Grund dafür ist, dass die Druckfarben nicht 100% chemisch rein herstellbar sind und somit keine vollständige Absorbtion der gewünschten Lichtbestandteile erreicht werden kann. Schwarz wird auch als Key (K) bezeichnet, womit sich die Abkürzung CMYK für das Farbmodell ergibt. Für die Druckindustrie in Europa sind die Grundfarben Cyan, Magenta und Gelb nach der so genannten Euroskala standardisiert. Ein anderer Standard sind beispielsweise die amerikanischen Specifications for Web Offset Publications (SWOP), die etwas »leuchtendere« Farben definieren und sich von der Euroskala deutlich unterscheiden.
6.6 Farbmanagement _____________________________________________________ 369 Die Umwandlung von RGB nach CMYK erfolgt auf Basis mathematischer Berechnungen. Allerdings ist der darstellbare Farbumfang mit CMYK stark abhängig vom verwendeten Druckverfahren und dem Bedruckstoff (Papier). Mit den vier Standarddruckfarben Cyan, Magenta, Gelb und Schwarz, die auch in der Druckindustrie und vielen Bürofarblaserdruckern verwendet werden, kann nur ein Teil des Monitorfarbraumes RGB abgebildet werden. Das bedeutet, dass Sie grundsätzlich auf dem Monitor mehr Farben in einer höheren Leuchtkraft darstellen können, als der Drucker aufs Papier bringen kann. Damit sind Probleme vorprogrammiert. Die am Monitor entworfene farbenfrohe und leuchtende Präsentation verliert im Ausdruck deutlich an Brillanz, oft werden sogar die Farbtöne verfälscht. Geben Sie die Daten auf zwei verschiedenen Farbdruckern aus, werden Sie feststellen, dass Sie dann auch noch zwei verschiedene Druckergebnisse in der Hand halten. Haben Sie keine anderen Technologien zur Verfügung, bleibt nur der Weg über manuelles Feintuning an Einstellungen am Drucker, an den Bilddaten oder am Druckertreiber. Bis zur Schaffung eines einheitlichen Standards wurde auch in der professionellen Druckindustrie viel mit »Trial and Error« gearbeitet und es wurden Werkzeuge verwendet, die speziell bestimmte Probleme lösen halfen. Um einen einheitlichen Lösungsansatz zu finden, wurde unter Mitwirkung namhafter Firmen das International Color Consortium (ICC) gegründet. Das Prinzip, das dem ICC-konformem Farbmanagementansatz zugrunde liegt, wird in seinen Grundzügen in Abschnitt 6.6.4 Prinzip des ICC-Farbmanagements ab Seite 371 vorgestellt.
6.6.3
Transformation RGB CMYK
CMYK-Farbraum kleiner als RGB
Farbmanagement als Ausweg ?
Historische Entwicklung
Im Jahre 1993 wurde auf Initiative der Münchner Forschungsgesell- 1993: Gründung des schaft Druck e.V. (FOGRA) und unter Beteiligung der folgenden Fir- ICC men das International Color Consortium (ICC) gegründet: Adobe Systems Incorporated Agfa-Gevaert N.V. Apple Computer, Inc. Eastman Kodak Company Microsoft Corporation Silicon Graphics Inc. Sun Microsystems Inc. Taligent, Inc. Mittlerweile umfasst das ICC 77 Mitglieder, Firmen und Organisatio- Link: www.color.org nen auf der ganzen Welt. Aufgabe des Gremiums ist die Schaffung allgemeingültiger technischer Standards und Richtlinien für die Farbreproduktion. In der Spec ICC.1:1998-09 finden Sie die ICCSpezifikation für die Farbreproduktion mittels Farbprofile. Der Aufbau dieser Profile ist ein offener Standard und kann von allen Firmen dazu benutzt werden, darauf aufbauend Farbmanagementlösungen zu entwickeln.
370 _____________________________________________________ 6 Drucken und Faxen Colorsync
ICM
1996: Gründung der ECI
Link: www.eci.org
Eine ICC-konforme Farbmanagementlösung sieht die Implementierung der wesentlichen Transformationsfunktionen in das Betriebssystem vor. Erstmals wurde das auf dem Apple-Betriebssystem MacOS mit dem Einzug von Colorsync umgesetzt. Microsoft implementierte Farbmanagement als so genanntes Image Color Management (ICM) das erste Mal unter Windows 98. Die Profile sind dabei mit den unter Colorsync verwendeten voll kompatibel. Das bedeutet, dass Sie Profile, die beispielsweise mit einer Profilierungssoftware auf dem MAC erstellt worden sind, auch unter Windows einbinden können. 1996 wurde die European Color Initiative (ECI) ins Leben gerufen, und zwar auf Initiative dieser vier bedeutenden deutschen Verlagshäuser: Heinrich Bauer Verlag Hubert Burda Media Gruppe Gruner+Jahr Axel Springer Verlag Die Expertengruppe unter Vorsitz von Olaf Drümmer befasst sich mit der medienneutralen Verarbeitung von Farbdaten in digitalen Publikationssystemen unter Beachtung der ICC-Spezifikationen. Die ECIRichtlinien liegen als ECI White Paper allgemein zugänglich zum Download bereit. Die wichtigsten Ziele der ECI1 sind: 1. Medienneutrale Aufbereitung, Verarbeitung und Austausch von Farbdaten auf der Basis der Color-Management-Standards des International Color Consortiums (ICC) 2. Harmonisierung von Datenaustauschformaten zwischen Kunden und Dienstleistern im Publikationsprozess 3. Festlegung von Richtlinien (beispielsweise Farbraum, Datenformat) zum Austausch von Farbdaten für Printmedien 4. Kooperation mit nationalen und internationalen Organisationen und Standardisierungsgruppen. Das beinhaltet beispielsweise Formulierungen von Praxisanforderungen für das ICC oder die International Standardization Organisation (ISO). 5. Verpflichtung aller Mitglieder zur Veröffentlichung für sie gültiger Farbprofile, Unterstützung des ICC-Standards und der ECI-Empfehlungen 6. Veröffentlichung der ICC-Farbprofile von ECI-Mitgliedern und interessierten Unternehmen sowie von Tools und zielkonformen Informationen 7. Etablierung von ICC-basierten Proofprozessen 8. Erfahrungsaustausch, Schulungsmaßnahmen, Unterstützung und Verbreitung von ICC-basierten Color-Management-Prozessen 9. Zusammenarbeit mit relevanten Hard- und Softwareherstellern, insbesondere Herstellern von Standard-Applikationen (wie Adobe, Quark, Macromedia, Anbieter von Color-Management-Tools) 1
Quelle: ECI
6.6 Farbmanagement _____________________________________________________ 371 Die Bestrebungen sowohl der ECI als auch des ICC sind darauf gerichtet, die Standards für das professionelle Farbmanagement weiter zu verbreiten und in die Werkzeuge und Verfahrensweisen in der Praxis zu verankern.
6.6.4
Prinzip des ICC-Farbmanagements
In diesem Abschnitt sollen die Grundprinzipien des ICC-Farbmanagements übersichtsweise vorgestellt werden. Es wird dabei versucht, diese Prozesse auch dem Nicht-Reprofachmann näherzubringen. Für weitergehende Informationen muss auf spezielle Fachliteratur beziehungsweise auf die entsprechenden Quellen im Internet hingewiesen werden: www.fogra.org Weitere Infos www.color.org www.eci.org
Anforderungen an den Farbreproduktionsprozess Die Anforderungen, die an einen Farbreproduktionsprozess gestellt werden, können in den folgenden Punkten zusammengefasst werden: Beim Digitalisieren eines Bildes (Scanner, Digitalkamera) sollen die Farbinformationen nicht verfälscht werden. Die Anzeige der Bildinformationen soll auf allen Monitoren gleich erscheinen. Das betrifft auch am Computer erzeugte Farbinformationen, beispielsweise mit Vektor- oder Präsentationsgrafikprogrammen. Der Ausdruck von Bild- und anderen Farbinformationen soll auf allen Drucksystemen gleich sein.
Probleme bei der Farbreproduktion Leider sind aber nicht alle Geräte in ihren technischen Merkmalen hinsichtlich der Erfassung von Farbe oder bei der Farbwiedergabe gleich. Selbst zwischen zwei baugleichen Monitoren oder Scannern kann es Abweichungen geben, die zu unterschiedlichen Ergebnissen führen. Hinzu kommen die Probleme bei der Umrechnung der RGBFarben in die Druckfarben CMYK (siehe Abschnitt 6.6.2 Farbe und Farbdruck ab Seite 367). Aber nicht nur die Geräte zur Farberfassung und ausgabe sind Ursachen für Farbverfälschungen. Auch die Anwendungsprogramme, wenn sie ohne Farbmanagementunterstützung arbeiten, benutzen für die Anzeige und Ausgabe ihre eigenen Routinen. So kann es passieren, dass ein und dasselbe Bild, geladen in zwei verschiedene Anwendungsprogramme, unterschiedlich angezeigt und ausgedruckt wird.
372 _____________________________________________________ 6 Drucken und Faxen Abweichungen: Scannen
Anzeige am Monitor
Ausdruck
Abweichungen zur Originalfarbe der gescannten Bildvorlage und zu den in der Software erzeugten entstehen an den folgenden Stellen: Im Scanner bei der Bilddigitalisierung aufgrund technischer Abweichungen und Alterung der CCD-Elemente und der Lampe, welche die Vorlagen beleuchtet Bei der Anzeige am Monitor durch technische Abweichungen von der eigentlich zugrunde liegenden Norm und unterschiedlichen Einstellungen am Monitor für Farbtemperatur, Helligkeit, Kontrast etc. sowie durch unterschiedliche Darstellungsweisen der Anwendungsprogramme bei Verwendung eigener Anzeigeroutinen Beim Ausdruck auf einem Farbdrucksystem bei nicht genormter Umrechnung der RGB-Farbinformationen in die Druckfarben CMYK. Das betrifft auch Unterschiede zwischen zwei verschiedenen Farbdrucksystemen.
Das Windows Color System (WCS) Das WCS ist ein neues Farbmanagementparadigma und infrastruktur und eine transparente, modulare Farbverarbeitungspipeline, die das Troubleshooting erleichtert. Es stellt eine Entwicklungsplattform für Profigeräte und Grafikanwendungen dar. Diese Plattform für Innovationen im Farbmanagement stellt laut Microsoft einen ersten soliden Schritt dar. Entwickelt wurde das WCS von Microsoft in der Zusammenarbeit mit Canon. Die Entwicklung soll in den nächsten WindowsVersionen fortgeführt werden. Das WCS besteht aus neuen XML-basierten Profilformaten. Diese werden im nächsten Abschnitt näher beschrieben. Zum WCS gehören außerdem die Color Infrastructure & Translation Engine (CITE), das Farbwahrnehmungsmodell (CAM), das auf CIECAM02 basiert, Gamut Begrenzungen und Shell-Funktionen, grundsätzliche Device Model Sets und Gamut Mapping Model Sets und ICM-Profilen, die der ICM Profil Version 4 entsprechen.
Profile Geräteabhängig: RGB und CMYK
Geräteunabhängig: CIE-Farbraum
Abhilfe schafft hier nur ein Farbmanagementsystem, in das alle Komponenten, Hardware und Software, integriert sind. Grundlage dabei ist ein allgemein gültiger Bezugspunkt für die Definition der Farbdarstellung. RGB und CMYK sind zunächst geräteabhängige Farbbeschreibungsmodelle. Der RGB-Farbraum2 eines Monitors kann beispielsweise zu einem anderen Monitor abweichend sein. Das trifft natürlich auch auf die Farbräume von Druckern zu. Als geräteunabhängige Instanz wird beim Farbmanagement auf den in seinen Grundzügen bereits 1931 definierten CIE-Farbraum zurückgegriffen. Die Variante CIELAB ist heute die Grundlage für die Bestimmung und Umrechnung der Farbräume im ICC-Farbmanagement. 2
Der Farbraum eines Geräts wird oft mit Gamut bezeichnet.
6.6 Farbmanagement _____________________________________________________ 373 Das Farbverhalten jedes Ein- und Ausgabegerätes wird in einem so ICC-Profile genannten ICC-Profil erfasst. Dieses Profil beschreibt genau, wie sich das System im CIE-Farbraum verhält. Die Definition des Profilformats ist offen gelegt und kann beim ICC (www.color.org) abgerufen werden. Ein Profil kann mit einer speziellen Profilierungssoftware, beispielsweise ProfileMaker von Gretag Macbeth, erstellt werden. Dabei werden Messwerte mit den tatsächlichen Sollwerten verglichen. So werden für die einzelnen Geräteklassen ICC-Profile erzeugt: Scanner ICC-Profile erzeugen Ein Scanner wird profiliert, indem unter Standardbedingungen ein exakt vermessenes Referenz-Testchart eingelesen wird und die ermittelten Farbwerte mit den gemessenen Originalwerten verglichen werden. Drucker Für die Profilierung eines Drucksystems erfolgt die Ausgabe eines Referenzdruckes. Dieser wird dann mit Hilfe eines Spektralphotometers vermessen. Monitore Monitore kann man mit einem speziellen Messgerät vermessen. Eine Software erzeugt dabei Referenzfarbfelder, die durch das Messgerät, welches auf der Monitoroberfläche angebracht wird, erfasst werden. Aus der Differenz zwischen Soll und Ist errechnet die Software dann das jeweilige Profil. Die Erzeugung von Profilen setzt Messtechnik und spezielle Software Mitgelieferte Profile voraus. Diese individuell erzeugten Profile haben natürlich die höchste Genauigkeit für die Farbwiedergabe. Für die meisten Benutzer, die im Büro- oder Heimumfeld mit Farbe arbeiten wollen, ist die Erstellung von Profilen allerdings derzeit nicht praktikabel. Deshalb liefern viele Hersteller Profile für ihre Systeme mit oder stellen diese im Internet zum Download bereit. Sie sollten bei Verwendung dieser Profile allerdings bedenken, dass diese nur eine Annäherung an Ihre konkreten Bedingungen darstellen. Für die Farbwiedergabe müssen Sie dabei mit Kompromissen leben.
Rendering Intents Bei der Umrechnung von Farbdaten von einem Quellprofil in ein Zielprofil stehen vier grundlegende Umrechnungsmethoden zur Verfügung, auch Rendering Intents genannt. Diese sind vor allem dann bedeutsam, wenn zwischen Quell- und Zielfarbraum Differenzen entstehen. Was passiert also, wenn ein bestimmter heller Grünton am Bildschirm im Farbraum des Druckers nicht wiedergegeben werden kann? Bei der Vorstellung dieser vier Umrechnungsmethoden wird diese Frage beispielhaft beantwortet. Wahrnehmung (Perceptual) Fotos Diese Einstellung eignet sich vor allem für die Wiedergabe von Fotos. Bei der Umwandlung wird darauf geachtet, dass die relativen Bezüge zwischen den Farbanteilen eines Bildes gewahrt bleiben,
374 _____________________________________________________ 6 Drucken und Faxen
Grafiken
Farbmetrisch: - relativ
- absolut
auch wenn beispielsweise der Drucker den Farbumfang nicht genau wiedergeben kann. Farben können sich, absolut gesehen, verändern. Der Zusammenhang zwischen den Farben im Bild bleibt aber bestmöglich erhalten. Die Einstellung Wahrnehmung versucht, unsere Sehgewohnheiten bei der Farbwiedergabe mit einzubeziehen und kann als Standard für die Umrechnung von Fotos und Bildern eingesetzt werden. Der leuchtende Grünton wird in einen anderen Grünton umgerechnet, wobei der Gesamtfarbeindruck des Bildes, beispielsweise bei der Darstellung einer satten grünen Wiese im gleißenden Sonnenlicht, erhalten bleibt. Sättigung (Saturation) Bei der Wiedergabe von Farbgrafiken stehen meist weniger die absoluten Farbwerte als mehr die Farbigkeit an sich im Mittelpunkt. Bei dieser Einstellung werden die Sättigungswerte erhalten. Farbwerte, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch Farbwerte ersetzt, die darstellbar sind und die gleiche Sättigung aufweisen. Damit ist diese Einstellung vor allem für die Wiedergabe von Präsentationsgrafik geeignet. Für das Beispiel des leuchtenden Grüns bedeutet das, dass dieses durch einen ähnlichen Grünton ersetzt wird, der mit einer genauso großen Sättigung wiedergegeben werden kann, sodass die Signalwirkung der Farbe, in der Regel in einer Präsentationsgrafik, erhalten bleibt. Absolut gesehen wird mit dieser Methode der Ursprungs-Farbton am stärksten verfälscht. Relativ farbmetrisch (Relative Colorimetric) Diese Einstellung verändert Farben möglichst in ihren Absolutwerten nicht. Farben, die im Farbraum des Ausgabeprofils nicht mehr enthalten sind, werden durch die nächstgelegene enthaltene ersetzt, welche die gleiche Helligkeit aufweist. Der Weißpunkt des Originals wird aber durch den des Zielsystems ersetzt deswegen auch die Bezeichnung relativ farbmetrisch. Diese Einstellung kann helfen, eine absolut gesehen exaktere Übereinstimmung zu den Originalfarbdaten zu erhalten als mit der Methode Wahrnehmung. Diese Umrechnungsmethode wird vor allem in der professionellen Druckvorstufe bevorzugt eingesetzt. Das leuchtende Grün verliert damit deutlich an Brillanz, wird aber dem Ursprungs-Farbton weitgehend entsprechen. Absolut farbmetrisch (Absolute Colorimetric) Bei dieser Einstellung wird versucht, eine größtmögliche absolute Übereinstimmung zwischen Original und Reproduktion zu erhalten. Maßstab ist dabei aber nicht die menschliche Sehgewohnheit, sondern dass messtechnisch die geringsten Abweichungen feststellbar sind. Der Weißpunkt des Originals bleibt dabei auch unverändert (absolut farbmetrisch), sodass beispielsweise die Farbe des Fotopapiers einer gescannten Aufsichtsvorlage ebenfalls wiedergegeben wird der Bildhintergrund sieht dann in der Regel etwas gelblich oder bläulich aus.
6.6 Farbmanagement _____________________________________________________ 375 Das leuchtende Grün im Beispiel wird in seiner Darstellung dem bei Verwendung der relativ farbmetrischen Methode entsprechen bis auf den unter Umständen veränderten Bildhintergrund, der wiederum zu einem anderen Gesamtfarbeindruck führen kann.
Profile richtig einsetzen Um von den Vorteilen des modernen Farbmanagements profitieren zu können, müssen die folgenden Voraussetzungen gegeben sein: Sie verfügen über die richtigen Profile für alle relevanten Ein- und Ausgabesysteme. Die Anwendungen, die Sie für die Erstellung und Ausgabe von Farbdokumenten verwenden, müssen sich an die ICC-Spezifikationen für die Farbausgabe halten und damit auf die Betriebssystemfunktionen zurückgreifen. Externe Farbdaten, die Sie bekommen, bringen die benötigten Profile mit, die für Ihre Erzeugung benutzt worden sind (beispielsweise die richtigen Scanner-Profile), oder liegen in einem standardisierten Format vor. Insbesondere der letzte Punkt ist im Zusammenhang mit der Einbindung externer Daten in der Praxis oft besonders problematisch. Wenn kein Profil vom erzeugenden System (in der Regel Scanner) verfügbar ist, kann die Weiterverarbeitung nur noch mit Näherungswerten erfolgen mit den bekannten Folgen für die Genauigkeit der Reproduktion. Es gibt zwei Möglichkeiten, dieses Problem zu entschärfen: 1. Einbettung der Profile Gemäß ICC-Standard können Profile auch in Bilddateien (wie im Tagged Image Format, TIFF) eingebettet werden. Beim Öffnen oder Weiterverarbeiten solcher Daten muss die Applikation allerdings in der Lage (und richtig konfiguriert!) sein, damit die korrekte Umrechnung in den Zielfarbraum erfolgen kann. 2. Bilddaten im standardisierten Format weitergeben Einfacher ist es natürlich, wenn alle Bilddaten bereits in einem allgemein anerkannten Standard-Farbformat vorliegen. Ein solches international anerkanntes Format ist Standard-RGB, auch mit sRGB bezeichnet. Für die Weitergabe eines Bildes muss dieses nach dem Scannen durch die entsprechende Bildverarbeitungssoftware unter Nutzung des speziellen Scanner-Profils in das sRGB-Format konvertiert werden. Dieser zweite Weg scheint sich in der Praxis als Erfolg versprechender durchzusetzen. sRGB ist auch mittlerweile das Standard-Farbformat für die Ausgabe im Internet auf den Webseiten und in Adobes Portable Document Format (PDF) und somit universell einsetzbar. Weiterführende Informationen finden Sie dazu auf dieser Website: www.srgb.com Für die professionelle Druckvorstufe wurde von der European Color Initiative (ECI; siehe auch Abschnitt 6.6.3 Historische Entwicklung ab Seite 369) das Standard-RGB-Format ECI-RGB entwickelt und veröf-
FarbmanagementVoraussetzungen
Problem: Externe Daten
Profileinbettung
Standard-RGB
sRGB
ECI-RGB
376 _____________________________________________________ 6 Drucken und Faxen fentlicht. Von Vorteil sind der gegenüber sRGB größere Farbraum und damit die Eignung für die Erstellung hochwertiger Druckvorlagen.
6.6.5
Neue Wege mit dem Windows Color System
In der Praxis gibt es heute eine Vielzahl von ICC-basierten, funktionierenden Farbmanagement-Lösungen. Dennoch ist der korrekte Umgang mit ICC-Profilen, verbunden mit befriedigenden Ergebnissen bei der Farbwiedergabe, nach wie vor Experten vorbehalten.
Grenzen bisheriger Lösungsansätze FarbmanagementSupport in vielen Anwendungen unzureichend
Initiative von Microsoft und Canon
WYSIWYG erreichbar?
So kommt es nicht allein auf die Verfügbarkeit von ICC-Profilen und den entsprechenden Farbumrechnungsmodulen im Betriebssystem an. Die Anwendungen selbst müssen auch das Farbmanagement aktiv unterstützen. Während Adobes Programme Photoshop oder Indesign in dieser Hinsicht als vorbildlich gelten, behandeln andere Hersteller dieses Thema in ihren Programmen stiefmütterlich. Auch Microsoft selbst ist hierbei nicht unbedingt ein Vorbild. Die praktisch Farbmanagement-freie Office-Suite oder die eingeschränkten Möglichkeiten mit dem Publisher sprechen eine deutliche Sprache. Dennoch hat ausgerechnet Microsoft gemeinsam mit Canon die Initiative ergriffen, den gesamten Farbmanagement-Prozess deutlich zu verbessern und in der praktischen Anwendung zu vereinfachen. So sollen künftig nicht nur ausgewiesene Farbmanagement-Experten exzellente Ergebnisse erzielen, sondern auch normale Anwender. Durch die hohe Marktdurchdringung digitaler Fotoapparate und die weiter voranschreitende Digitalisierung unseres Alltags, denken wir nur an die Flachbildschirm-Fernsehgeräte, werden die Ansprüche der Konsumenten weiter steigen. Als erstes Ziel sieht deshalb Microsoft die Einlösung des WYSIWYG3Versprechens. Laut Microsoft kann das mit rein ICC-basierten Workflows aufgrund systembedingter Unzulänglichkeiten nicht erreicht werden. Diese Aussage stellt zwar die erfolgreiche Anwendung von ICC-Farbmanagement in der grafischen Industrie in Frage, jedoch sollte sich niemand über die Grenzen der heutigen Technologie Illusionen hingeben.
Grundlegende WCS-Komponenten WCS-Whitepaper
Tatsächlich sind normale Anwender heute von WYSIWYG meist weit entfernt. Ob das Versprechen allerdings allein durch einen neuen Standard erreicht wird, wie ihn Microsoft und Canon proklamieren,
3
What You See Is What You Get das Versprechen, dass die Wiedergabe, etwa auf einem Drucker, mit der Anzeige auf dem Bildschirm übereinstimmt. Genauso gut kann das auch auf die Erfassung von Farben via Kamera oder Scanner bezogen werden.
6.6 Farbmanagement _____________________________________________________ 377 bleibt anzuwarten. Interessierte Leser können sich auf der folgenden Website mit dem WCS-Whitepaper auseinandersetzen: www.microsoft.com/whdc/device/display/color/WCS.mspx Die Kompatibilität zum bisherigen ICC-Standard wird jedoch gewahrt. So können Sie bislang erzeugte ICC-Profile weiter nutzen. Im WCS kommen neue, XML-basierte Profilformate zum Einsatz. Jeder Profiltyp hat sein eigenes Schema. Diese Profiltypen heißen: Device Model Profile (DMP) Dieser Typ steht für das eigentliche Geräteprofil und hat die Dateiendung cdmp. Color Appearance Model Profile (CAMP) Damit werden Parameter für das im Jahr 2002 entwickelte Farbwahrnehmungsmodell CIECAM02 zur Verfügung gestellt. So können beispielsweise Umgebungslichtbedigungen bei der Farbwiedergabe auf einem Monitor dynamisch berücksichtigt werden. Gamut Map Model Profile (GMMP) Dieser Profiltyp hat die Dateiendung .gmmp und verwendet ein bestimmtes Farbraum-Umrechnungsmodell. Die Umrechnung von Farbwerten zwischen Farbräumen ist immer dann besonders diffizil, wenn sich die Farbräume der betreffenden Systeme stark in ihrer Größe unterscheiden. So sind leuchtende Farben, wie Sie sie auf einem Monitor betrachten können, nur mit Einschränkungen im Druck reproduzierbar. Damit der grundlegende Farbeindruck aber möglichst erhalten bleiben kann, sind ausgefeilte Algorithmen zur Umwandlung von Farben des einen Farbraums in einen anderen notwendig. Der zentrale Ablageort für Farbprofile findet sich unter Windows Vista standardmäßig an dieser Stelle: %Systemroot%\system32\spool\drivers\color Weitere Komponenten des WCS sind die Color Infrastructure & Translation Engine (CITE), das Farbwahrnehmungsmodell (CAM), das auf CIECAM02 basiert, sowie Routinen für Gamut-Begrenzungen. Einsetzbar sind des Weiteren ICM-Profile, die der ICM Profil-Version 4 entsprechen. Eine höhere Farbtiefe, also mehr Abstufungen pro Farbkanal, werden ebenfalls mit dem WCS geboten. So unterstützt die FarbmanagementPipeline bis zu 16 Bit pro sRGB-Kanal, 32 Bit pro scRGB-Kanal und bis zu 16 Bit pro CMYK-Kanal. Für die Verarbeitung von Bildinformationen mit einem hohen Dynamikumfang werden solche hohen Farbtiefen benötigt. Unter der Abkürzung HDRI (High Dynamic Range Image) können Sie solche Bildtechniken finden.
6.6.6
Farbverwaltung einrichten
Windows Vista verfügt über ein zentrales Verwaltungsprogramm für alle Einstellungen zum Farbmanagement. Das Programm Farbverwaltung ist als Applet in der Systemsteuerung zu finden. Sie erreichen es
ICC-Kompatibilität WCS-Profile
Profile-Ablageort
Komponenten
Höhere Farbtiefe
378 _____________________________________________________ 6 Drucken und Faxen ebenfalls über die Eigenschaften-Fenster von relevanten Farbgeräten, etwa zu Druckern, Scannern oder Monitoren.
Geräteübersicht und Standardprofile In der ersten Registerkarte G ERÄTE können Sie die Zuordnung von Farbprofilen zu ihrer verwendeten Hardware beeinflussen. Abbildung 6.37: Geräten Farbprofile zuordnen
Individuelle Profile laden
Standardprofil festlegen
Bei vielen standardmäßig installierten Geräten aus dem semiprofessionellen Bereich brauchen Sie hier selten Einfluss zu nehmen. Verwenden Sie hingegen individuelle Farbprofile, dann aktivieren Sie zum betreffenden Gerät das Kontrollkästchen EIGENE EINSTELLUNGEN FÜR DIESES GERÄT VERWENDEN. Über die Schaltfläche HINZUFÜGEN laden Sie das entsprechende Profil. Gibt es zum Gerät mehrere Profile, etwa bei Druckern wegen verschiedener Papiersorten, dann können Sie das zu verwendende Profil selbst festlegen. Stellen Sie dazu bei PROFILAUSWAHL die Option MANUELL ein. Dann können Sie das Profil markieren und die Schaltfläche ALS STANDARDPROFIL FESTLEGEN verwenden.
Profilverwaltung Über die Registerkarte ALLE PROFILE erhalten Sie eine Übersicht über alle derzeit installierten Farbprofile. Wenn Sie neue Profile installieren wollen, können Sie hier über die Schaltfläche HINZUFÜGEN gehen. Alternativ reicht übrigens auch ein Doppelklick auf eine Profildatei.
6.6 Farbmanagement _____________________________________________________ 379 Abbildung 6.38: Auflistung aller installierten Farbprofile
Erweiterte Einstellungen In der Registerkarte ERWEITERT haben Sie die Möglichkeit, die grundlegenden Farbmanagement-Voreinstellungen zu beeinflussen. So können Sie unter GERÄTEPROFIL das Standardprofil für die Anzeige festlegen. Über die Auswahl bei der Option PROFIL FÜR ANZEIGEBEDINGUNGEN lässt sich das Systemverhalten im Hinblick auf die zu verwendenden Umrechungsmethoden beeinflussen. Stellen Sie hier WCS-PROFIL FÜR ICC-ANZEIGEBEDINGUNGEN ein, wenn dies nach dem ICC-Standard passieren soll. Abbildung 6.39: Erweiterte Einstellungen zum Farbmanagement
In der Rubrik ZUORDNUNG ZWISCHEN ICC-DARSTELLUNGSVERSUCH UND WCS-FARBPALETTE können Sie festlegen, wie die ICC-Rendering Intents, hier ICC-DARSTELLUNGSVERSUCH genannt, durch das WCS abge-
380 _____________________________________________________ 6 Drucken und Faxen bildet werden sollen. Weiterführende Informationen finden Sie dazu auch in Abschnitt Rendering Intents ab Seite 373.
6.7
Faxfunktionen
Mit dem Faxdienst können Sie direkt aus Windows Vista heraus Faxe versenden und empfangen. Voraussetzung ist lediglich eine geeignete Hardware wie ein internes oder externes Modem oder ein geeigneter ISDN-Adapter. Die Faxfunktionen stehen in der Business, der Enterprise und der Ultimate Edition von Windows Vista zur Verfügung
6.7.1
Installation der Faxdienste
Die Faxfunktionen werden durch die Komponente Windows Fax und -Scan bereitgestellt. Diese wird standardmäßig installiert, wenn Vista bei der Installation eine geeignete Hardware vorgefunden und dessen Faxfunktionen automatisch erkannt hat. Falls die Faxdienste noch nicht installiert sein sollten, können Sie die Nachinstallation manuell über das Applet Programme und Funktionen in der Systemsteuerung vornehmen.
Manuelle Installation der Faxdienste 1. Öffnen Sie die Systemsteuerung und starten Sie das Applet Programme und Funktionen. 2. Wählen Sie die Schaltfläche WINDOWS-FUNKTIONEN EIN-ODER AUSSCHALTEN. 3. Aktivieren Sie den Eintrag WINDOWS-F AX UND -SCAN. Der Assistent führt die Installation dann aus. In der Regel benötigt dieser Zugriff auf das Installations-Medium.
6.7.2
Einrichtung eines Faxdruckers
Sind die Faxdienste ordnungsgemäß installiert, erkennen Sie dies daran, dass im Konfigurationsfenster der DRUCKER ein Faxgerätsymbol mit dem Namen FAX eingerichtet ist. Abbildung 6.40: Neu installierter Faxdrucker
FaxkonfigurationsAssistent
Mit einem Doppelklick auf den neu erzeugten Faxdrucker-Eintrag wird das Programm Windows-Fax und Scan gestartet. Wählen Sie in der
6.7 Faxfunktionen ________________________________________________________ 381 Menüleiste DATEI aus. Dann NEU und FAX
, um den KonfigurationsAssistenten zu starten. Sie werden durch die Ersteinrichtung geführt.
Erste Einrichtungsschritte Im ersten Dialogfenster müssen Sie entscheiden, ob Sie das mit Ihrem Computer verbundene Faxmodem oder einen (Firmen-)Faxserver nutzen wollen. Abbildung 6.41: Eigenes Faxmodem oder Faxserver im Netzwerk
Wählen Sie VERBINDUNG MIT EINEM FAXMODEM HERSTELLEN aus. Die Verbindung zu einem Faxserver wird in Abschnitt 6.7.6 Vista als Client eines Faxservers ab Seite 389 beschrieben. Im zweiten Schritt werden Sie aufgefordert, dem Faxmodem einen Namen zu geben. Abbildung 6.42: Faxmodemnamen eingeben
Die Option zum standardmäßigen Senden dieses Faxmodems lässt sich nicht abwählen, wenn es das erste beziehungsweise einzige installierte Faxmodem ist. Nach dem Senden stellen Sie noch ein, wie das Faxmodem auf Faxempfang reagieren soll. Abbildung 6.43: Reaktion des Faxmodems auf Empfang
382 _____________________________________________________ 6 Drucken und Faxen Praxisprobleme beim Fax-Empfang
Sie sollten vor Aktivierung der Empfangsfunktion überlegen, wie die Faxleitung verwendet werden soll. Wenn Sie nur einen analogen Telefonanschluss haben, ist der automatische Empfang eher nicht zu empfehlen. Die Anzahl der Rufe ist zunächst auf fünfmaliges Klingeln eingestellt. Dann reagiert das Fax. Heben Sie in der Zwischenzeit den Telefonhörer ab, weil Sie denken, ein Telefonat kommt an, ist eine Entgegennahme des Faxes unmöglich. Zur Lösung lassen sich Faxweichen einsetzen, die jeden Ruf annehmen und auf den Kennton des ankommenden Faxes reagieren. Wird kein Kennton ermittelt, erfolgt die Weiterleitung des Rufes an das Telefon. Leider sind diese Geräte nicht bedingungslos zuverlässig. Eine bessere Lösung ist ISDN. Hier können sie mehrere Rufnummern konfigurieren und eine separate Nummer zum Faxen verwenden. Ist Ihr Fax für diese Nummer konfiguriert, kann es auch ständig bereitstehen, um ankommende Faxe anzunehmen. Bedenken sollten Sie außerdem, dass für den Empfang der Computer ständig in Betrieb sein muss. Wenn Sie nur hin und wieder »nach Ansage« ein Fax empfangen wollen, reicht es aus, den Computer nur bei Bedarf hochzufahren und den Empfang über Aktivierung der Option BENACHRICHTIGEN separat zu starten. Damit der Datenverkehr für den Faxbetrieb nicht unterbunden wird, schalten Sie die Firewall entsprechend mit NICHT MEHR BLOCKEN frei. In dem Firewall-Dialog wird angezeigt, welches Programm für den Fax- und Scanbetrieb zuständig ist. Es heißt wfs.exe und liegt im %windir%\system32-Ordner.
Abbildung 6.44: Eingabe der Absenderinformationen
Das Programm ist jetzt zum Senden eines Faxes bereit. Damit die Empfänger wissen, mit wem sie es zu tun haben, tragen Sie Ihre Absenderdaten ein. Diesen Dialog erreichen Sie über E XTRAS|ABSENDERINFORMATIONEN in der Menüleiste. Diese Informationen können für
6.7 Faxfunktionen ________________________________________________________ 383 das Fax-Deckblatt verwendet werden (siehe Abschnitt 6.7.5 Umgang mit Deckblättern ab Seite 387). Geben Sie die Nummer des Faxanschlusses an, die als Kennung übli- Absenderkennung cherweise das folgende Format hat: +LC OKZ RUF Wobei LC für den Ländercode steht. Das ist für Deutschland 49, für Österreich 43, für die Schweiz 41, für die USA 1. Es folgen die OKZ, die Ortsnetzkennzahl ohne die führende Null, beispielsweise 30 für Berlin, 89 für München und schließlich die RUF, Ihre eigene Rufnummer für den Faxanschluss. Damit sind alle Vorbereitungen getroffen, um Faxe zu senden und empfangen. Wie Sie das praktisch gemachen, wird in Abschnitt 6.7.4 Das Faxgerät verwenden ab Seite 386 gezeigt.
Kontrolle der Einstellungen Zur Kontrolle oder manuellen Einrichtung Ihres Faxdruckers rufen Sie dessen Eigenschaften über das Kontextmenü in der Konfiguration der Drucker auf. In der Registerkarte ALLGEMEIN können Standortinformationen und Kommentare hinterlegt werden. Auflösung und Papierformat können über Druckeinstellungen eingestellt werden. Normalerweise sind hier keine Änderungen nötig. Änderungen können überhaupt nur vorgenommen werden, wenn das Eigenschaften-Fenster über die Option ALS ADMINISTRATOR AUSFÜHREN aufgerufen wird, sonst stellt es nur eine Anzeige dar. Lassen Sie sich übrigens nicht irritieren: Die Registerkarte FREIGABE hat für Faxe leider keine Funktion, sodass Sie Ihr Fax mit der in Windows Vista integrierten Lösung nicht im Netzwerk einsetzen können. Abbildung 6.45: Eigenschaften des Faxdruckers ändern
Für die Sicherheitseinstellungen gibt es die Registerkarte: SICHERHEIT. Die von den Druckern bekannten Einstellungen erlauben eine Klassifizierung der Faxdruckerverwaltung Benutzer können damit die Faxe
384 _____________________________________________________ 6 Drucken und Faxen versenden, die Sendeliste einsehen und bearbeiten. Administratoren ist die Einrichtung und Verwaltung der Faxdrucker und Dokumente vorbehalten.
6.7.3
Das Programm Windows-Fax und -Scan
Das Programm Windows-Fax und -Scan öffnen Sie durch einen Doppelklick auf Ihren Faxdrucker oder über das Startmenü ALLE PROGRAMME|WINDOWS-FAX UND -SCAN. Abbildung 6.46: Windows-Fax undScan mit Faxmonitor
Faxansicht
Das Programm Windows Fax und Scan besteht aus zwei Konsolen: Einer Faxkonsole und einer Scankonsole. Im Weiteren wird die Faxkonsole, korrekt Faxclientkonsole genannt, beschrieben. Sie bietet fünf Zweige: EINGEHEND Hier stehen die Vorgänge, die gerade eingehende Faxe betreffen. EINGANGSFACH In diesem Zweig werden alle erfolgreich empfangenen Faxe gespeichert. ENTWÜRFE Dieser Zweig dient dem Speichern der Entwürfe. AUSGANGSFACH In diesem Ordner liegen alle noch zu sendenden Faxe. GESENDETE ELEMENTE Hier werden Informationen über alle noch zu sendenden Faxe gespeichert. Faxe werden als TIFF-Dateien abgelegt, die mit dem Gruppe IV-Kompressionsverfahren auf minimale Dateigrößen »geschrumpft« worden sind. Standardmäßig erfolgt die Anzeige bei Doppelklick in der Ansicht des Programms Windows Fax und -Scan, das sich Routinen der
6.7 Faxfunktionen ________________________________________________________ 385 WINDOWS FOTOGALERIE zunutze macht. Haben Sie eine Bildverarbeitungs-Software installiert und dieser die TIF-Dateierweiterung zugeordnet, sollten Sie sicherstellen, dass Ihr Programm dieses Kompressionsverfahren unterstützt. Anderenfalls können Sie in der Faxkonsole abgelegte Faxdateien nicht ansehen oder bei mehrseitigen Dateien wird nur die erste Seite erkannt. Weitere Informationen finden Sie in Abschnitt 3.9.8 Dateierweiterungen und Anwendungen ab Seite 176. Weitere Einstellungen werden über EXTRAS|FAXEINSTELLUNGEN vor- Faxeinstellungen genommen. Auf der Registerkarte ALLGEMEIN können Sie für jedes Faxmodem weitere Einstellungen vornehmen. Klicken Sie dazu auf die Schaltfläche FAXGERÄT AUSWÄHLEN und markieren das betreffende Gerät. Abbildung 6.47: Optionen zum Senden und Empfangen für ein Gerät festlegen
Sende- und Empfangsoptionen: - DAS SENDEN VON FAXEN VON DIESEM GERÄT ZULASSEN Aktivieren Sie die Sendefunktion, wenn Faxe verschickt werden sollen. - DAS EMPFANGEN VON FAXANRUFEN AUF DIESEM GERÄT ZULASSEN Sie können die gemäß Abbildung 6.43 auf Seite 381 getroffene Auswahl revidieren. Aktivieren Sie die Empfangsfunktion, wenn Faxe automatisch empfangen werden sollen. Das Modem nimmt Rufe dann nach der eingestellten Anzahl Rufzeichen an. Informationen zum Empfangen von Faxen finden Sie in Abschnitt Faxe empfangen ab Seite 387. Weitere Optionen: Es können eine Absenderkennung (TSID) und eine Empfängerkennung (CSID) angegeben werden. Diese bestehen in der Regel aus dem eigenen Namen und der Faxnummer. Soll beim Empfang
386 _____________________________________________________ 6 Drucken und Faxen das Fax sofort ausgedruckt werden, geben Sie bei AUSDRUCK UNTER den zuständigen Drucker an. Brauchen noch weitere Mitarbeiter eine Kopie des Faxes, können Sie bei KOPIE SPEICHERN UNTER ein (Netzwerk-)Laufwerk angeben. Benachrichtigungen Die zweite Registerkarte NACHVERFOLGUNG erlaubt die Einstellung der Benachrichtigungen und das Erscheinen des Faxmonitors. Unter SOUNDOPTIONEN lassen sich Ereignisse Tönen zuordnen. In der dritten Registerkarte ERWEITERT können Sie die Ordner für die Ordner Speicherung eingehender und erfolgreich gesendeter Faxe festlegen. Standardmäßig erfolgt die Ablage in folgenden Ordnern: EINGEHENDE FAXE: %ProgramData%\Microsoft\Windows NT\MSFax\Inbox ERFOLGREICH GESENDETE FAXE: %ProgramData\Microsoft\Windows NT\MSFax\SentItems Außerdem können Banner und günstige Zeiten, die Telefonkosten sparen helfen, eingestellt werden. Die letzte Registerkarte SICHERHEIT stellt Sicherheitseinstellungen für die Faxkonfiguration bereit.
6.7.4
Das Faxgerät verwenden
Die nachfolgenden Abschnitte zeigen, wie Sie das Faxgerät praktisch verwenden können.
Faxe versenden Ist das Faxgerät installiert, kann es aus jeder Anwendung heraus verwendet werden. Um Faxe zu senden, wählen Sie es einfach als Drucker aus. Der Druckvorgang wird wie bei einem normalen Drucker ausgelöst. Anschließend startet das Programm Windows Fax und Scan mit der Erstellung eines neuen Faxes. Abbildung 6.48: Informationen zum Empfänger angeben
6.7 Faxfunktionen ________________________________________________________ 387 Geben Sie in der ersten Zeile die Informationen zum Empfänger ein. Empfänger Wichtig ist eigentlich nur die Angabe der Faxnummer. Sie können über die Schaltfläche AN auf eigene Datenbestände zurückgreifen, die in den Kontakte abgelegt sind (siehe auch Abschnitt 15.6 WindowsKontakte ab Seite 1031). Wollen Sie ein vordefiniertes Deckblatt verwenden, können Sie es mit Deckblatt der obersten Schaltfläche angeben. Wie Sie eigene Deckblätter erzeugen, zeigt der Abschnitt 6.7.5 Umgang mit Deckblättern ab Seite 387. Nach Angabe eines Betreffs, der möglichen Deckblattnotizen und Wählregeln, können Sie Senden das Verschicken Ihres Faxes einleiten.
Faxe empfangen Haben Sie das Empfangen für ein Gerät noch nicht konfiguriert (siehe Abschnitt Erste Einrichtungsschritte ab Seite 381), können Sie dies jederzeit nachholen. Öffnen Sie dazu den in der Abbildung 6.47 gezeigten Dialog. Über EXTRAS|FAXEINSTELLUNGEN im Programm WindowsFax und Scan. Stellen Sie sicher, dass die Option das EMPFANGEN VON FAXANRUFEN AUF DIESEM G ERÄT ZULASSEN aktiviert ist. Steht die zweite Option auf MANUELLE ANRUFANNAHME, werden Sie von Windows benachrichtigt, wenn ein Fax ankommt. Falls Sie die Benachrichtigung übersehen, müssen Sie, um das Fax entgegenzunehmen, das Programm Windows-Fax und Scan über START|ALLE PROGRAMME öffnen und auf FAX stellen. In der Toolbar klicken Sie dann auf FAX JETZT EMPFANGEN, bevor es aufhört zu klingeln. Haben Sie die Automatik ausgewählt, wird das Fax nach dem von Ihnen eingestellten Klingelton entgegengenommen. Empfangene Faxe werden in der Faxkonsole im EINGANGSFACH abgelegt und können dort aufgerufen und betrachtet werden.
6.7.5
Umgang mit Deckblättern
Sie können zu jedem Fax ein Deckblatt auswählen, das vor dem Fax übertragen wird. Einige Daten werden dort automatisch eingetragen. Das ist sinnvoll, wenn Ihre Faxvorlage weniger personalisiert ist. Den Faxdeckblatt-Editor finden Sie in der Menüleiste des Programms Windows-Fax und Scan unter EXTRAS|PERSÖNLICHE DECKBLÄTTER.
Speicherorte der Deckblätter Die Liste persönlicher Deckblätter wird in folgendem Pfad abgelegt: %UserProfile%\Dokumente\Fax\Persönliche Deckblätter Der Deckblatt-Editor speichert standardmäßig Dateien in diesem Ordner. Deckblätter, auf die alle Benutzer Zugriff haben sollen, sollten Sie im Deckblätter für alle Benutzer folgenden Verzeichnis ablegen: %AllUsersProfile%\Dokumente\Eigene Faxe\Allgemeine Deckblätter
388 _____________________________________________________ 6 Drucken und Faxen Deckblätter müssen mit der Dateierweiterung .COV versehen sein. Wenn das gesuchte Deckblatt nicht auffindbar ist, sollten Sie überprüfen, ob das Deckblatt über die richtige Erweiterung verfügt.
Eigene Deckblätter erstellen Deckblatt-Editor
Die vorbereiteten Deckblätter werden selten Ihren Ansprüchen genügen. Sie können eigene Deckblätter leicht erstellen. Für alle folgenden Schritte verwenden Sie den Faxdeckblatt-Editor, den Sie direkt aus der Faxkonsole über das Menü EXTRAS | PERSÖNLICHE DECKBLÄTTER starten können. Der Faxdeckblatt-Editor ist ein kleiner grafischer Editor, der sehr einfach bedient werden kann. Die wichtigste Zusatzfunktion ist das Einblenden dynamisch ausgefüllter Felder. Alle Elemente können in Schriftart, Größe, Form und Graustufen beeinflusst werden. Auch grafische Formen stehen zur Verfügung. Bilder fügen Sie am einfachsten über die Zwischenablage ein. Die dynamischen Felder fügen Sie über das Menü EINFÜGEN ein. Im Menü FORMAT stellen Sie Schriftart und Ausrichtung ein. Unter LAYOUT finden Sie Funktionen zum Anordnen von Objekten, unter anderem zum Ausrichten und automatisierten Einstellen des Abstands.
Abbildung 6.49: Faxdeckblatt-Editor
Umgang mit dem Editor
Der Editor beherrscht alle üblichen Funktionen eines grafischen Werkzeugs. So können Sie Objekte, die nicht gedruckt werden sollen, im grauen Bereich neben der Seite ablegen. Mehrere Objekte lassen sich mit der Maus auswählen, indem diese um die Objekte herum gezogen wird. Weitere Hinweise zu diesem Programm finden Sie in der Online-Hilfe.
6.7 Faxfunktionen ________________________________________________________ 389
6.7.6
Vista als Client eines Faxservers
Steht Ihnen ein zentraler Fax-Server in Ihrem Netzwerk zur Verfügung, können Sie Vista leicht konfigurieren, um ihn zu benutzen. Alles, was Sie brauchen, sind eine funktionierende Netzwerkverbindung und die Netzwerkadresse beziehungsweise der Name des Faxservers. Zur Konfiguration gehen Sie so vor: Starten Sie das Programm Windows Fax und Scan über START|ALLE PROGRAMME. Im linken Feld stellen Sie das Programm mit FAX auf FAX-BETRIEB. Wählen Sie über EXTRAS den Eintrag F AXKONTEN aus. Über HINZUFÜGEN klicken Sie im folgenden Dialog auf die Option VERBINDUNG MIT EINEM FAXSERVER IM NETZWERK HERSTELLEN. Geben Sie den Computernamen des Servers ein und folgen Sie den weiteren Anweisungen.
6.7 Faxfunktionen ________________________________________________________ 391
7 7 Mobile Computing mit Vista Windows Vista ist ein Betriebssystem, das sich sehr gut auf Notebooks, im Microsoft-Sprachgebrauch Mobil-PCs genannt, einsetzen lässt. Zu den wichtigsten Punkten gehören ein leistungsfähiges Energiemanagement, eine ausgereifte Unterstützung für in Notebooks typischerweise eingesetzte Hardware-Komponenten und ein Präsentationsmodus. Darüber hinaus helfen zahlreiche Funktionen dem Vielreisenden beispielsweise zu einer flexiblen Vernetzung oder zum reibungslosen Datenaustausch mit dem Netzwerk oder dem stationären PC.
392 ______________________________________________ 7 Mobile Computing mit Vista
Inhaltsübersicht Kapitel 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8
Mobile-PC kontra Stationär-PC .................................. 393 Energiemanagement..................................................... 393 Das Mobilitätscenter ..................................................... 396 Kommandozeilenwerkzeug Powercfg ...................... 398 Mit dem Notebook unterwegs .................................... 404 Netzwerkanschluss....................................................... 406 Synchronisierungscenter.............................................. 407 Mobil ins Internet.......................................................... 412
7.1 Mobile-PC kontra Stationär-PC _________________________________________ 393
7.1
Mobile-PC kontra Stationär-PC
In Microsofts Sprachgebrauch ist so gut nie von Notebooks oder Laptops die Rede, sondern immer von Mobil-PCs. Wir schließen uns dem an und benutzen ebenfalls diesen Terminus, wenn es um tragbare Computer geht. Das Arbeiten mit einem Mobil-PC unterscheidet sich nicht wesentlich von dem Umgang mit einem Stationär-PC. Alle Funktionalitäten, die Sie von Stationär-PCs kennen, können Sie auch mit Mobil-PCs nutzen. Netzwerk- und Internet-Zugang, Drucken, USB-Anschlüsse, sogar multimediale Fähigkeiten sind heute Standard. WLAN (Wireless Lan), Bluetooth und auch Infrarot sind beliebte Kommunikationsmöglichkeiten, um den Mobil-PC mit dem Firmennetz oder dem heimischen Stationär-PC »sprechen« zu lassen. Was unterscheidet also den Mobil-PC von seinem großen immobilen Bruder? Für sein autarkes Arbeiten braucht ein Mobil-PC eine gute Energieverwaltung, denn er bezieht seine Leistung aus wiederaufladbaren Akkumulatoren (Akkus). Das Energiemanagement sorgt also dafür, dass nicht sinnlos Strom verbraucht wird. Nicht benutzte Systemkomponenten werden abgeschaltet. Im Falle einer kompletten Entladung der Akkus muss das Energiemanagement dafür sorgen, dass der Mobil-PC sicher ohne Datenverlust heruntergefahren wird. Ab Mitte 2007 will Microsoft durchsetzen, dass mobile PC mit so genannten Hybrid-Festplatten ausgestattet werden. Hybrid-Festplatten sollen den Bootvorgang verkürzen und die Akkulaufzeit verlängern. Getauft wurde das neue Verfahren, das eine Kombination von konventionellem Festplattenspeicher und Flash-Speicher darstellt, auf den Namen »ReadyDrive«. Um den Druck auf die Notebook-Hersteller zu erhöhen, will Microsoft die Vergabe des »Vista Ready«-Logos verweigern, wenn die Technologie nicht eingebaut ist.
7.2
Energiemanagement
Mit ausgereiften Stromsparfunktionen kann Windows Vista helfen, die im mobilen Einsatz so wichtige Laufzeit abseits des Stromnetzes zu erhöhen. In den nachfolgenden Abschnitten erhalten Sie einen Überblick über einige Grundlagen sowie praktische Tipps zur richtigen Konfiguration des Energiemanagements.
7.2.1
Einige Begriffe und Standards
Rund um dieses Thema gibt es einige gebräuchliche Begriffe und inzwischen weit verbreitete Standards.
Warum »Mobil-PC« und »Stationär-PC«?
Gemeinsamkeiten
Unterschiede
ReadyDrive
394 ______________________________________________ 7 Mobile Computing mit Vista ACPI und APM ACPI
Windows Vista ist für die Anforderungen mobiler Benutzer ideal gerüstet. Mit dem Advanced Configuration and Power Interface (ACPI) unterstützt das Betriebssystem den heute aktuellen EnergiemanagementStandard, der weitaus effizienter zu Werke geht als das ältere Verfahren Advanced Power Management (APM). Dieses wird nicht mehr unterstützt, denn es stammt noch aus Zeiten von Windows NT (1996 -2000). Alle Vista-capable PCs ( siehe auch Abschnitt 2.1.1 Das Windows Vista Logo Programm ab Seite 51) sollten ACPI beherrschen. ACPI hilft, Peripheriegeräte weitaus besser zu verwalten. Auch der im Betriebssystem eingebaute Plug&Play-Support basiert darauf. Die Installation von Windows Vista auf Mobil-PCs ist ebenso einfach vorzunehmen wie auf stationären Computern. Das Betriebssystem erkennt Plug&PlayÄnderungen dynamisch und reagiert unmittelbar auf HardwareEreignisse während der Laufzeit.
Energie sparen On Now
Energiesparmodus
Heutzutage beherrschen fast alle Mobil-PCs einen Energiesparmodus, der auf Microsofts »OnNow Design Initiative« zurückgeht. Dieser erlaubt, dass ein Mobil-PC in einem Niedrigenergiemodus arbeitet, obwohl es für den Anwender so aussieht, als ob er tatsächlich ausgeschaltet sei. Der große Vorteil: Der Computer steht innerhalb von Sekunden nach Betätigung des Ein-/Ausschalters wieder zur Verfügung. Ein wichtiges Ziel dabei: Applikationen beschäftigen den Computer nicht mehr als notwendig. Stattdessen partizipieren sie beim Herunterfahren des Computers sowie der nicht benötigten Komponenten, um Energie zu sparen: Das Betriebssystem teilt den Systemstatus allen Applikationen exakt mit. Vista unterscheidet nicht mehr zwischen Standby und Ruhezustand. Da diese Unterscheidung viele Fragen und erschwertes Handling zur Folge hatte, hat Microsoft auf diesen Unterschied verzichtet und die Funktion vereinfacht. Beim Energiespar- oder »Schlaf«-Modus, der mittlerweile auch von den moderneren Stationär-PCs beherrscht wird, werden alle entbehrlichen Komponenten komplett abgeschaltet, einschließlich der Festplatte(n). Nur noch das Netzteil, versorgt über eine externe Stromquelle oder die Batterien beim Mobil-PC, sowie die Hauptplatine und der Prozessor sowie der RAM arbeiten mit einem stark verminderten Arbeitstakt weiter. Die Status-Informationen zum Wiederaufwachen des Systems werden im RAM gespeichert. Das bedeutet allerdings auch, dass alle Informationen verloren gehen, wenn beispielsweise bei einem Notebook die Batterien erschöpft sind. Deshalb gibt es dazu Konfigurationsmöglichkeiten, die bei einer verminderten Batteriekapazität das Gerät, wie von Windows XP bekannt, in den Ruhezustand schicken.
7.2 Energiemanagement __________________________________________________ 395
7.2.2
Effektives Energiemanagement
Die Administration des Energiemanagements ist relativ einfach über das Kontrollfeld ENERGIEOPTIONEN in der Systemsteuerung (klassische Ansicht) möglich. In diesem Abschnitt werden alle Optionen vorgestellt.
Unterstützt der Mobil-PC ACPI? Befindet sich Windows Vista im ACPI-Modus? Oder wird dieser Standard nicht unterstützt? Aufklärung kann ein Blick in den GeräteManager bringen (siehe Abschnitt 9.2.1 Geräte-Manager ab Seite 438). Öffnen Sie hier die Kategorie COMPUTER , unter der Sie einen Hinweis zum installierten Computertyp finden. Einen ACPI-Computer erkennen Sie im Geräte-Manager leicht. Wie umfangreich die ACPI-Unterstützung ist, können Sie hier ebenfalls herausfinden. Abbildung 7.2 zeigt, wo Sie die entsprechenden Eintragungen im Zweig SYSTEMGERÄTE finden.
Computertyp kontrollieren
Umfang der ACPIUnterstützung
Abbildung 7.1: Anzeige des Computertyps
Einen ACPI-Computer erkennen Sie im Geräte-Manager leicht. Ein APM-fähiges Gerät wird leider nur mit Standard-PC bezeichnet. Abbildung 7.2: Anzeige der ACPIGeräte im GeräteManager
Für Mobil-PCs sind zwei Einträge besonders interessant: ACPI-DECKEL Der Deckel kann eine Aktion auslösen, beispielsweise beim Schließen den Mobile PC in den Energiesparzustand versetzen. Mit der folgenden Richtlinie können Sie über den Gruppenrichtlinieneditor das Verhalten für alle Benutzer ändern. Beachten Sie, dass der Ein-
396 ______________________________________________ 7 Mobile Computing mit Vista trag AKTION zum Wechsel des Deckels auswählen zweimal vorhanden ist. Der Netz- und der Akkubetrieb werden getrennt behandelt. Richtlinien für Lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Energieverwaltung \Schaltflächeneinstellungen \Aktion zum Wechsel des Deckels auswählen (Akkubetrieb) ACPI-SCHALTER Das Verhalten beim Abschalten kann definiert werden, beispielsweise das Gerät herunterfahren und abschalten. Die folgenden Richtlinien (Akku- und Netzbetrieb ebenfalls getrennt) steuern das Verhalten der Netzschalters. Richtlinien für Lokaler Computer \Computerkonfiguration \Administrative Vorlagen \System \Energieverwaltung \Schaltflächeneinstellungen ......\Netzschalteraktion auswählen (Akkubetrieb) Weitere Hinweise finden Sie dazu in Abschnitt Netzschalterreaktion definieren ab Seite 136.
7.3 Zentrale Steuerung
Das Mobilitätscenter
Das Windows Mobilitätscenter ist die zentrale Anlaufstation. Hier sind alle wichtigen Einstellungen für den mobilen Betrieb in einer Übersicht zusammengefasst. Das Center ist besonders dann hilfreich, wenn Sie ihre Umgebung ändern. Wenn Sie beispielsweise Ihren Arbeitsplatz verlassen, um eine Präsentation für ein Meeting vorzubereiten.
Abbildung 7.3: Mobilitätscenter von Windows Vista
Wenn Sie sich auf einem Flughafen befinden, sind andere Netzeinstellungen nötig als an Ihrem Heimarbeitsplatz. Für diese Einstellungen mussten Sie in Windows XP unterschiedliche Programme bemühen. Vista erleichtert den Umgang in dieser Hinsicht mit Mobil-PCs deutlich.
7.3 Das Mobilitätscenter___________________________________________________ 397 Das Mobilitätscenter ist in allen Vista-Editionen verfügbar. Während der Vista-Installation kontrolliert das Setup, ob es sich bei dem Computer um ein mobiles Gerät handelt. Das Mobilitätscenter wird nur auf Mobil-PCs installiert. Auf Stationär-PCs suchen Sie die Funktion vergeblich. Rufen Sie das Programm mblctr.exe dennoch auf, erhalten Sie eine Fehlermeldung.
7.3.1
Aufruf und Module
Es gibt drei Möglichkeiten, das Mobilitätscenter aufzurufen: 1. Klicken Sie auf START|SYSTEMSTEUERUNG, dann über MOBIL-PC auf WINDOWS-MOBILITÄTSCENTER. 2. Klicken Sie auf die Batterieanzeige im Benachrichtigungsbereich der Taskleiste, dann auf den Link WINDOWS-MOBILITÄTSCENTER. 3. Die einfachste Methode: Drücken Sie die Windows-Taste+X. Das Windows-Mobilitätscenter beinhaltet die meisten der gebräuchli- Module chen PC-Einstellungen. Abhängig vom Hersteller Ihres Gerätes kann es jedoch auch Erweiterungen geben, die auf anderen Mobil-PCs nicht verfügbar sind. Standardmäßig sind die folgenden Einstellungen möglich: Helligkeit Bewegen Sie den Regler, um vorübergehend die Helligkeit der Anzeige zu verstellen. Lautstärke Bewegen Sie den Regler, um die Lautstärke anzupassen. Die Checkbox ermöglicht eine schnelle Stummschaltung. Batteriestatus Sie sehen den Ladezustand der Batterie(n) und können einen Energiesparplan auswählen. Drahtlos-Netzwerk Der Status des Drahtlos-Netzwerks wird Ihnen angezeigt, sofern ein entsprechender Adapter installiert und konfiguriert ist. Das schnelle Abschalten macht auf Flughäfen Sinn. Dort sind viele Reisende mit entsprechenden Geräten unterwegs. Vielleicht betreiben Sie im heimischen Bereich den WLAN-Betrieb nicht sicher, weil unverschlüsselt. Das ist auf dem Flughafen keine gute Idee, denn ihr Mobil-PC kommuniziert dann ungewollt mit allen erreichbaren Geräten. Externe Anzeige Die Einstellungen für weitere angeschlossene Anzeigen können Sie hier vornehmen. Synchronisierungscenter Lassen Sie sich den Status der gerade angestoßenen Synchronisierung anzeigen, starten Sie eine Synchronisierung oder stellen Sie eine Synchronisierungspartnerschaft ein. Mehr Informationen fiden Sie in Abschnitt 7.7 Synchronisierungscenter ab Seite 407.
398 ______________________________________________ 7 Mobile Computing mit Vista Präsentationseinstellungen Haben Sie einen Netzwerkprojektor angeschlossen, startet automatisch der Präsentationsmodus. Entsprechende Einstellungen für Präsentationen können Sie hier vornehmen. Bildschirmrotation Die Ausrichtung eines Tablet PC-Bildschirms von Hoch- zu Querformat und umgekehrt können Sie damit schnell ändern.
7.3.2
Energieoptionen
Das Energiemanagement konfigurieren
Haben Sie ein ACPI-konformes System, steht einer umfangreichen Konfiguration der Energiesteuerung nichts mehr im Wege. Starten Sie die ENERGIEOPTIONEN in der Systemsteuerung. Vordefiniert sind drei BEVORZUGTE ENERGIESPARPLÄNE zu sehen. Mit den Optionen AUSBALANCIERT, ENERGIESPARMODUS und HÖCHSTLEISTUNG lässt sich das Energieverhalten schon grob definieren.
Abbildung 7.4: Energiesparpläne unter Windows XP als Energieschemas bekannt
Über ENERGIESPAREINSTELLUNGEN ÄNDERN können Sie Details für den jeweiligen Energiesparplan festlegen. Eigene Energiesparpläne können Sie über den gleichnamigen Eintrag auf der linken Aufgabenleiste erstellen. Moderne LCD-Bildschirme verwenden Kaltkathodenröhren für die Hintergrundbeleuchtung. Diese Röhren verschleißen besonders beim Einschalten. Häufiges Einschalten reduziert die Lebensdauer mehr als Dauerbetrieb. Erfahrungsgemäß sollten Sie einen LCD-Monitor erst nach 30 Minuten in den Standby-Modus versetzen.
7.4
Kommandozeilenwerkzeug POWERCFG.EXE
Die Steuerung der Energieoptionen eines Systems kann der Administrator von der Kommandozeile aus vornehmen. Einmal in einer BatchDatei konfiguriert, erspart er sich eine Menge Klickerei in den Energieoptionen der Systemsteuerung. Das Programm gehört zum Lieferumfang von Windows Vista und ist unter %Systemroot%\System32 zu finden.
7.4 Kommandozeilenwerkzeug Powercfg.exe ________________________________ 399
7.4.1
Überblick über die Optionen
Das Programm hat eine sehr komplexe Syntax. Sie können alle Befehle einsehen, wenn Sie das Programm mit dem Schalter /? aufrufen. Nachfolgend finden Sie einen Überblick über die Optionen. POWERCFG-Option
Beschreibung
Seite
-List | -L
Listet alle Energieschemas für die Benutzerumgebung mit ihren GUIDs auf.
---
-Query | -Q
Zeigt den Inhalt von Energieschemas an.
400
-Change | -X
Dient zum Ändern von Einstellungen in Energieschemas.
401
-Changename
Ändert Namen von Energieschemas
---
-Duplicatescheme
Dupliziert ein Energieschema
---
-Delete | -D
Löscht ein Energieschema
---
-Deletesetting
Löscht Einstellungen in Energieschemas
---
-Setactive | -S
Aktiviert ein Energieschema
---
-Getactivescheme
Zeigt das aktive Energieschema an
---
-SetACvalueindex
Dient zum Festlegen eines Wertes eines Energieschemas, während der PC mit Wechselstrom (AC) betrieben wird.
402
-SetDCvalueindex
Dient zum Festlegen eines Wertes eines Energieschemas, während der PC mit Gleichstrom (DC), also über die Akkus, betrieben wird.
402
-Hibernate | -H
Aktiviert oder deaktiviert die Funktion Ruhezustand.
402
-Availablesleepstates | -A
Gibt die verfügbaren Ruhezustandfunktionen zurück, wobei damit die Energiesparmodi gemeint sind (Standby S1, S2 etc.)
---
-Devicequery
Listet Geräte auf, die bestimmten Kriterien genügen
402
Tabelle 7.1: Übersicht über die Powercfg-Optionen
400 ______________________________________________ 7 Mobile Computing mit Vista POWERCFG-Option
Beschreibung
Seite
-Deviceenablewake
Dient dem Reaktivieren eines Gerätes aus dem StandbyModus.
403
-Devicedisablewake
Verhindert, dass das Gerät das System aus dem StandbyModus reaktiviert
403
-Import
Importiert Energieeinstellungen aus einer Datei.
403
-Export
Exportiert Energie Energieeinstellungen in eine Datei.
403
-Lastwake
Zeigt an, wodurch das System aus dem letzten Ruhezustand reaktiviert wurde.
---
-Aliases
Listet die Aliasnamen und die zugehörigen GUIDs auf. Die Verwendung dieser Namen ist deutlich einfacher und für die Batchprogrammierung unbedingt zu empfehlen.
---
-Setsecuritydescriptor
Dient dem Festlegen einer Sicherheitsbeschreibung für Energieschemas, Einstellungen und Aktionen.
403
-Getsecuritydescriptor
Dient dem Abrufen von Sicherheitsbeschreibungen für Energieschemas, Einstellungen und Aktionen.
404
7.4.2
-Query
Ausgewählte Optionen im Detail
In diesem Abschnitt werden die wichtigsten Optionen des Programms POWERCFG erläutert. -Query | -Q [<schema_GUID>] [<sub_GUID>] Diese Option zeigt die Konfiguration des angegebenen Energieschemas an. Wird kein GUID (Globally Unique Identifier) angegeben, erfolgt die Anzeige der Konfiguration des aktuell aktiven Energieschemas. Die passende GUID eines Energieschemas erhalten Sie über die Eingabe von POWERCFG mit dem Parameters L. Die GUID der drei Standardschemas sind stets folgende: - Ausbalanciert: 381b4222-f694-41f0-9685-ff5bb260df2e - Höchstleistung: 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c - Energiesparmodus: a1841308-3541-4fab-bc81-f71556f20b4a
7.4 Kommandozeilenwerkzeug Powercfg.exe ________________________________ 401 -Change | -X <einstellungen> -Change Ändert die Einstellungen des angegebenen Energieschemas. Um Änderungen vorzunehmen, verwenden Sie für <einstellungen> folgende Optionen: Einstellungen -monitor-timeout-ac <min>
Tabelle 7.2: Optionen zum ÄnSchaltet den Monitor nach der angegebe- dern der Einstelnen Anzahl von Minuten aus, wenn das lungen der EnergieSystem mit Wechselstrom (Netzbetrieb) schemas betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
Beschreibung
-monitor-timeout-dc <min>
Schaltet den Monitor nach der angegebenen Anzahl von Minuten aus, wenn das System mit Gleichstrom (Batterie) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-disk-timeout-ac <min>
Schaltet die Festplatten nach der angegebenen Anzahl von Minuten aus, wenn das System mit Wechselstrom (Netzbetrieb) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-disk-timeout-dc <min>
Schaltet die Festplatten nach der angegebenen Anzahl von Minuten aus, wenn das System mit Gleichstrom (Batterie) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-standby-timeout-ac <min>
Schaltet den Computer nach der angegebenen Anzahl von Minuten in den Standby-Modus, wenn das System mit Wechselstrom (Netzbetrieb) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-standby-timeout-dc <min>
Schaltet den Computer nach der angegebenen Anzahl von Minuten in den Standby-Modus, wenn das System mit Gleichstrom (Batterie) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-hibernate-timeout-ac <min>
Speichert den Inhalt des Computerarbeitsspeichers nach der angegebenen Anzahl von Minuten auf Festplatte und schaltet den Computer aus, wenn das System mit Wechselstrom (Netzbetrieb) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
402 ______________________________________________ 7 Mobile Computing mit Vista -hibernate-timeout-dc <min>
-SetACvalueindex
-SetDCvalueindex
-Hibernate
-Devicequery
Tabelle 7.3: Abfrageflags für die Geräteabfrage
Speichert den Inhalt des Computerarbeitsspeichers nach der angegebenen Anzahl von Minuten auf Festplatte und schaltet den Computer aus, wenn das System mit Gleichstrom (Batterie) betrieben wird. Der Wert 0 deaktiviert das Zeitlimit.
-SetACvalueindex <schema_GUID> <sub_GUID> <einstellungs_GUID> <einstellungsindex> Legt einen mit einer angegebenen Energieeinstellung verbundenen Wert fest, während das System mit Wechselstrom betrieben wird. <schema_GUID> gibt die GUID eines Energieschemas an und kann mit dem Parameter -List abgerufen werden. <subGUID> gibt eine Untergruppe der GUID einer Energieeinstellung an und kann mittels -Query abgefragt werden. Die <einstellungsGUID> gibt eine individuelle GUID einer Energieeinstellung an und kann ebenfalls über -Query abgerufen werden. <einstellungsindex> gibt an, auf welche Liste der möglichen Werte diese Energieeinstellung festgelegt wird. -SetDCvalueindex <schema_GUID> <sub_GUID> <einstellungs_GUID> <einstellungsindex> Legt einen mit einer angegebenen Energieeinstellung verbundenen Wert fest, während das System mit Gleichstrom (DC) betrieben wird. Diese Einstellungen beziehen sich also auf den Batteriebetrieb. Es gilt für diese Einstellung das Gleiche, wie unter setACvalueindex beschrieben wurde. -Hibernate [{EIN | AUS}] Aktiviert und deaktiviert die Ruhezustandfunktion. Das Ruhezustandzeitlimit wird nicht auf allen Systemen, die die Ruhezustandfunktion generell erlauben, unterstützt. -Devicequery Generiert eine Liste mit Geräte, die die angegebenen Kriterien erfüllen. Die nachfolgende Tabelle enthält die möglichen Abfrageflags. Abfrageflag
Kriterium
wake_from_S1_supported
Gibt alle Geräte zurück, die das Reaktivieren des Systems aus dem S1-StandbyZustand unterstützen.
wake_from_S2_supported
Gibt alle Geräte zurück, die das Reaktivieren des Systems aus dem S2-StandbyZustand unterstützen.
wake_from_S3_supported
Gibt alle Geräte zurück, die das Reaktivieren des Systems aus dem S3-StandbyZustand unterstützen.
wake_from_any
Gibt alle Geräte zurück, die das Reaktivieren des Systems aus beliebigen Standby-Zuständen unterstützen.
7.4 Kommandozeilenwerkzeug Powercfg.exe ________________________________ 403 Abfrageflag
Kriterium
S1_supported
Führt Geräte auf, die den S1-Standby-Zustand unterstützen.
S2_supported
Führt Geräte auf, die den S2-Standby-Zustand unterstützen.
S3_supported
Führt Geräte auf, die den S3-Standby-Zustand unterstützen.
S4_supported
Führt Geräte auf, die den Ruhezustand unterstützen.
wake_programmable
Führt Geräte auf, die vom Benutzer konfiguriert werden können, um das System aus dem Standby-Modus zu reaktivieren.
wake_armed
Führt Geräte auf, die momentan so konfiguriert sind, dass sie das System aus dem Standby-Modus reaktivieren.
all_devices
Zeigt alle im System vorhandenen Geräte an.
all_devices_verbose
Zeigt eine ausführliche Liste aller Geräte an.
-Deviceenablewake Ermöglicht das Reaktivieren des Geräts aus einem Standby-Zustand. gibt ein mit -DEVICEQUERY wake_programmable abgerufenes Gerät an. -Devicedisablewake Verhindert das Reaktivieren des Geräts aus einem Standby-Zustand. gibt ein mit -DEVICEQUERY wake_armed abgerufenes Gerät an. -Import Importiert alle Energieeinstellungen aus der angegebenen Datei. Geben Sie den vollqualifizierten Pfad einer Datei an, die mit dem Parameter -Export generiert wurde. Die Angabe einer GUID ist optional. Die Einstellungen werden in ein Energieschema geladen, das durch diese GUID dargestellt wird. Wird der Parameter nicht angegeben, wird eine neue GUID generiert und verwendet. -Export Exportiert das Energieschema, das durch die angegebene GUID dargestellt wird, in die angegebene Datei. Geben Sie den vollqualifizierten Pfad einer Zieldatei an. gibt die GUID eines Energieschemas an und kann mit -List abgerufen werden. Wird kein Dateiname angegeben, lautet die Standardvorgabe SCHEME.POW. -Setsecuritydescriptor | <SDDL> Legt eine Sicherheitsbeschreibung fest, die einer angegebenen Energieeinstellung, einem Energieschema oder einer Aktion zugeordnet
-Deviceenablewake
-Devicedisablewake
-Import
-Export
-Setsecuritydescriptor
404 ______________________________________________ 7 Mobile Computing mit Vista ist. gibt die GUID eines Energieschemas oder einer Energieeinstellung an. kann eine der folgenden Zeichenfolgen sein. ActionSetActive ActionCreate ActionDefault <SDDL> gibt eine gültige Sicherheitsbeschreibungszeichenfolge im SDDL-Format an. Eine SDDL-Zeichenkette sieht so aus: O:BAG:SYD:P(A;CI;KRKW;;;BU)(A;CI;KA;;;BA)(A;CI;KA;;;SY)(A;CI;KA;;;CO) -Getsecuritydescriptor -Getsecuritydescriptor | Ruft eine Sicherheitsbeschreibung ab, die einer angegebenen Energieeinstellung, einem Energieschema oder einer Aktion zugeordnet ist. gibt die GUID eines Energieschemas oder einer Energieeinstellung an. kann ebenso gesetzt werden wie beim vorhergehenden Parameter Setsecuritydescriptor.
7.5
Mit dem Notebook unterwegs
Windows Vista erlaubt es dem Anwender, beliebig viele Wählverbindungen zu konfigurieren. Bereist ein mobiler Benutzer das Ausland, dann hilft die in den Basis-Verbindungseinstellungen vorhandene Länder- und Vorwahlliste, die richtigen Rufnummern einzugeben. Die Ländereinstellungen in Windows Vista und darin besonders die Tastatureinstellungen unterstützen zudem die Verwendung eines mobilen Computers auf der ganzen Welt. Der Benutzer kann gleich mehrere Tastatureinstellungen und die damit verknüpften Tastaturbelegungen laden, um beispielsweise externe Tastaturen mit fremder Tastenbelegung mit seinem Notebook komfortabel benutzen zu können.
7.5.1
Regions- und Sprachoptionen
Die Einstellung der Regions- und Sprachoptionen nehmen Sie über das Applet Regions- und Sprachoptionen in der Systemsteuerung vor. Beachten Sie aber, dass einige Programme eine eigene Sprachverwaltung haben und diese Einstellungen teilweise nicht reflektieren. Auf der Registerkarte FORMATE finden Sie eine Zusammenfassung der eingestellten Formate. Die Option STANDORT teilt Programmen, die auf lokalisierte Informationen zurückgreifen, Ihren Standort mit. Klicken Sie auf DIESES FORMAT ANPASSEN, um die Formatierungen für den ausgewählten Standard zu ändern. Im nächsten Schritt passen Sie die Darstellung von Zahlen an. Programme wie MS Excel reagieren darauf.
7.5 Mit dem Notebook unterwegs___________________________________________ 405 Abbildung 7.5: Einstellungen für die Darstellung von Zahlen
7.5.2
Eingabeoptionen
Für die tägliche Arbeit ist es wichtiger, das Eingabegerät an Ihre Bedürfnisse anpassen zu können. Wenn Sie mit Ihrem Notebook in einem anderen Land sind und eine dort vorhandene Tastatur nutzen, ist eine Umschaltung des Tastaturlayouts sinnvoll. Standardmäßig ist in Windows Vista ein deutsches und ein englisches Gebietsschema installiert (vorausgesetzt, Sie haben ein deutsches System installiert). Abbildung 7.6: Installierte Dienste für Eingabegebietsschemata
406 ______________________________________________ 7 Mobile Computing mit Vista Die installierten Dienste finden Sie über die Registerkarte TASTATUR UND SPRACHEN im Programm REGIONS- UND SPRACHOPTIONEN. Klicken Sie dort auf TASTATUREN ÄNDERN.
7.5.3
Sprachoptionen
Die von Vista verwendete Sprache zum Anzeigen von Text in der Benutzeroberfläche kann jederzeit geändert werden. Ist die von Ihnen gewünschte Sprache noch nicht verfügbar, können Sie diese über ein Benutzeroberflächen-Sprachpaket, ein Language Interface Pack (LIP), nachinstallieren. Die Sprachpakete befinden sich auf der WindowsDVD, sie können aber auch von Microsofts Webseiten heruntergeladen werden. Über die Registerkarte TASTATUR UND SPRACHEN erreichen Sie die Schaltfläche SPRACHEN INSTALLIEREN/DEINSTALLIEREN . Die Enterprise- und die Ultimate-Editionen unterstützen die Installation des Multilingual User Interface Pack (MUI). Diese mehrsprachigen Pakete kommen zum Einsatz, wenn Administratoren Mobil-PC für international agierende Mitarbeiter einrichten.
7.6
Netzwerkanschluss
Bei professionell genutzten Mobil-PCs gehört ein Netzwerkanschluss heute zur Grundausstattung. Über diesen können Sie das mobile Gerät problemlos in das Firmen- oder Heimnetzwerk einbinden, um beispielsweise Daten abzugleichen (siehe Abschnitt 7.7 Synchronisierungscenter ab Seite 407) oder es direkt als Netzwerkarbeitsplatz zu nutzen.
7.6.1 OnBoard-Ethernet verbreitet
Wireless LAN
Verwendete Hardware
Praktisch alle modernen Notebooks bringen mindestens eine EthernetSchnittstelle mit, über die Sie, in der Regel mit einer maximalen Bandbreite von 1 GBit, am kabelgebundenen Netzwerkverkehr teilnehmen können. Eine gerade für Mobil-PCs interessante Alternative bieten die beliebten WLAN-Adapter, vermeiden sie doch die manchmal lästige Kabelei und tragen dem »mobilen Charakter« dieser Geräte am ehesten Rechnung. Moderne Notebooks bringen hier fest integrierte Adapter bereits mit. Weitere Informationen zu diesem Thema finden Sie in Abschnitt 13.7 Grundlagen zu WLAN-Funknetzwerken ab Seite 795.
7.6.2
IP-Konfiguration am Mobil-PC
Für den Einsatz im Netzwerk wird heute zu 99% das Protokoll TCP/IP verwendet. Nun ist es wahrscheinlich, dass für den Einsatz im Firmen-Netzwerk eine gänzlich andere IP-Konfiguration verwendet werden soll als im heimischen Büro. Nachfolgend werden einige Aspekte zu diesem Thema erörtert sowie Lösungsansätze gezeigt.
7.7 Synchronisierungscenter_______________________________________________ 407 Die konkreten Einrichtungsschritte für die IP-Adressvergabe werden TCP/IP-Konfigurain Abschnitt 14.3 Konfiguration von TCP/IP-Netzwerken ab Seite 872 be- tion ab Seite 872 schrieben.
Optimal: Generell automatische IP-Adressvergabe Optimal ist sicherlich eine generelle automatische IP-Adressvergabe. DHCP & APIPA Das erfordert den geringsten Einrichtungsaufwand Sie lassen dazu kombinieren die entsprechende Grundeinstellung unverändert. Im heimischen Netzwerk können sich dann alle Computer automatisch über APIPA mit geeigneten Adressen versehen. Im Firmennetzwerk übernimmt das der DHCP-Server. Alternativ kann im Büro natürlich ebenso ein Internet-Router die Ad- DHCP über Router ressvergabe via DHCP übernehmen wie übrigens auch gängige WLAN-Basisstationen. Zu letzterer sollten Sie allerdings die Sicherheitsaspekte nicht außer Acht lassen. Weitere Hinweise finden Sie in Abschnitt Sicherheit ab Seite 798.
Alternative IP-Konfiguration Leider kann nicht immer von einer generellen automatischen IP- Einrichtung ab Adressierung ausgegangen werden. Windows Vista bietet für diesen Seite 876 Fall aber die Möglichkeit, eine alternative IP-Konfiguration zu bestimmen, falls über DHCP keine Adresse bezogen werden kann. Somit können Sie beispielsweise eine Konfiguration erreichen, bei der im Firmennetzwerk die Adresse von einem DHCP-Server geliefert wird, während Sie außerhalb der Firma mit festen IP-Adressen arbeiten. Informationen zur Einrichtung finden Sie in Abschnitt Alternative Konfiguration ab Seite 876.
7.6.3
Client im Active Directory
Für Benutzer von Mobil-PCs können Sie, ebenso wie für Benutzer AD-Einbindung ab stationärer PCs, den Zugriff auf ein Firmen-Netzwerk mit einem Acti- Seite 898 ve Directory einrichten. Das konkrete Vorgehen ist in Abschnitt 14.5 Einbindung als Client in Active Directory ab Seite 898 erläutert. Zur Synchronisierung der Daten mit dem Firmennetz finden Sie weiterführende Informationen im nachfolgenden Abschnitt.
7.7
Synchronisierungscenter
Um unterwegs effektiv arbeiten zu können, müssen häufig Dateien oder ganze Datenbestände mitgeführt und nach der Bearbeitung wieder mit dem ursprünglichen Speicherort synchronisiert werden. Dies manuell vorzunehmen kann ausgesprochen umständlich sein und ist mit Windows Vista auch nicht nötig.
408 ______________________________________________ 7 Mobile Computing mit Vista
7.7.1
Überblick
Sinn und Zweck der Synchronisierung ist es, Ihnen Zugriff auf ihre aktuellen Daten zu geben, auch wenn Sie mit Ihrem Mobil-PC unterwegs sind. Gängige Praxis ist es, Daten auf verschiedene Medien und Orte zu verteilen. So befinden sich einige Dateien auf einem stationären oder mobilen PC, andere in Ordnern auf einem Netzwerkserver und wieder andere auf mobilen Geräten. Zu den mobilen Geräten mit Speicherkapazität zählen tragbare Musikabspielgeräte (MP3-Player), Mobiltelefone oder persönliche digitale Assistenten (PDAs). Synchronisierung bezeichnet den Vorgang, Dateien an zwei oder mehr Orten identisch zu halten. Vista bringt dafür das Synchronisierungscenter mit, das in Abschnitt 7.7 Synchronisierungscenter ab Seite 407 beschrieben wird. Doch zunächst lassen Sie uns einen Blick auf die Grundlagen werfen.
Unidirektionales und bidirektionales Synchronisieren Unidirektional
Bidirektional
Es wird zwischen zwei grundsätzlichen Methoden unterschieden, dem unidirektionalen und bidirektionalen Synchronisieren. Bei der unidirektionalen Synchronisierung werden jedes Mal, wenn Sie eine Datei oder andere Informationen an einem Ort hinzufügen, ändern oder löschen, dieselben Informationen am anderen Ort hinzugefügt, geändert oder gelöscht. Es werden jedoch nie Änderungen am ersten Ort ausgeführt, da die Synchronisierung nur in einer Richtung erfolgt. Anwendungsbeispiel ist ein Netzwerkserver, der bestimmte Daten, die nicht von den Anwendern geändert werden müssen, auf alle Client-Computer im Firmennetz verteilt. Nimmt der Administrator eine Änderung an den Daten auf dem Server vor, werden diese Änderungen automatisch auf die Clients durchgereicht. Bei der bidirektionalen Synchronisierung werden Dateien in beide Richtungen kopiert, um die Dateien an beiden Orten synchron zu halten. Jedes Mal, wenn Sie eine Datei an einem Ort hinzufügen, ändern oder löschen, wird dieselbe Änderung am anderen Ort ausgeführt. Es spielt keine Rolle, ob Sie die Änderungen auf einem Computer, einem mobilen Gerät oder in einem Ordner auf einem Netzwerkserver vorgenommen haben. Dieselben Änderungen werden an beiden Orten ausgeführt. In Arbeitsumgebungen, in denen Dateien häufig an mehreren Orten aktualisiert und dann mit anderen Orten synchronisiert werden, wird oft die bidirektionale Synchronisierung verwendet.
Einfacher nutzbar Administrator wird entlastet
Die Synchronisierung musste in früheren Windows-Versionen von Administratoren einrichtet werden. Die Funktion ist stark vereinfacht worden, denn mit Hilfe des Synchronisierungscenters können auch normale Benutzer damit umgehen. Kenntnisse über Servereinstellungen sind nicht nötig, auch nicht bei der Synchronisierung mit einem Ordner auf einem Netzwerkserver. Im Synchronisierungscenter ist lediglich einzustellen, welche Dateien und Ordner wo und wann syn-
7.7 Synchronisierungscenter_______________________________________________ 409 chronisiert werden sollen. Dieser Satz von Regeln, der eine Partnerschaft zwischen zwei oder mehr Synchronisierungsorten darstellt, wird Synchronisierungspartnerschaft genannt. Die Synchronisierung der Partnerschaften kann mit dem Synchronisierungscenter geplant werden. Sie können eine automatische Synchronisierung in bestimmten Intervallen oder beim Auftreten bestimmter Ereignisse planen, z. B. bei jeder Anmeldung am Computer. Natürlich können Sie jederzeit eine manuelle Synchronisierung ausführen. Das ist der Fall, wenn Sie einen mobilen PC vom Netzwerk trennen und sicherstellen möchten, dass die neuesten Kopien von Dateien auf einem Netzwerkserver vorhanden sind.
7.7.2
Arbeitsweise des Synchronisierungscenters
Bei jeder Synchronisierung von Dateien zwischen zwei Orten muss das Synchronisierungscenter die Dateien an beiden Orten vergleichen, um festzustellen, ob sie noch übereinstimmen oder ob Änderungen vorgenommen wurden. Das Synchronisierungscenter bestimmt somit automatisch, ob Dateien aktualisiert werden müssen, um synchron zu bleiben. Unterscheiden sich die Dateien, bestimmt das Synchronisierungscenter für jede Datei die Version, die beibehalten werden soll, und kopiert diese Version an den anderen Ort. Die andere Version wird dann überschrieben. Standardmäßig wird jeweils die neueste Version beibehalten. Sind die Dateien an beiden Orten identisch, sind keine Aktionen des Synchronisierungscenters erforderlich. Ist eine neue Datei nur an einem Ort hinzugefügt worden, wird sie vom Synchronisierungscenter an den anderen Ort kopiert. Wurde eine Datei an einem Ort gelöscht, wird sie vom Synchronisierungscenter auch am anderen Ort gelöscht. Als Synchronisierungskonflikt wird die Situation bezeichnet, wenn eine Datei seit der letzten Synchronisierung an beiden Orten geändert wurde. Sie müssen dann selbst entscheiden, welche Version Sie behalten wollen.
Automatischer Versionsvergleich
Hinzufügen und Löschen
Synchronisierungskonflikt
Arbeiten mit Offline-Dateien In Ihrem Team speichern Sie, wie Ihre Kollegen, Dokumente und Grafiken auf einem Netzwerkserver. Sie richten auf Ihrem Mobil-PC eine Offlinedateien-Synchronisierungspartnerschaft mit diesem Netzwerkordner ein. So können Sie ohne Unterbrechung an den Dateien weiterarbeiten, auch wenn Sie den Mobil-PC vom Netzwerk trennen und auf Reisen sind. Wenn Sie das nächste Mal eine Verbindung mit dem Netzwerkordner im Firmen-LAN herstellen, werden alle Ihre Änderungen auch an den Dateien im Netzwerkordner ausgeführt. Die Synchronisierung mit Netzwerkordnern steht nur in den professionellen Windows Vista-Versionen Business, Enterprise und Ultimate zur Verfügung. Ein Beispiel aus dem heimischen Bereich verdeutlicht, dass eine bidirektionale Synchronisierung nicht immer sinnvoll ist: Sie speichern
Professionelles Arbeiten
Bidirektional nicht immer sinnvoll
410 ______________________________________________ 7 Mobile Computing mit Vista Ihre Hauptmusiksammlung auf Ihrem stationären PC und möchten sicherstellen, dass alle Musiktitel, die Sie auf dem PC hinzufügen oder löschen, auch auf dem tragbaren MP3-Player hinzugefügt oder gelöscht werden. Sie möchten jedoch nicht, dass die auf dem Player gelöschten Songs auch auf dem Computer gelöscht werden. Dafür richten Sie eine unidirektionale Synchronisierungspartnerschaft zwischen dem PC und dem Player ein. Wenn Sie Musiktitel auf dem PC hinzufügen oder löschen, werden diese vom Synchronisierungscenter auf dem Musikabspielgerät ebenfalls hinzugefügt oder gelöscht.
7.7.3
Das Synchronisierungscenter benutzen
Bei einem Mobil-PC starten Sie das Synchronisierungscenter einfach direkt aus dem Windows-Mobilitätscenter heraus (siehe auch Abschnitt 7.3 Das Mobilitätscenter ab Seite 396). Alternativ können Sie es über START | ALLE PROGRAMME | ZUBEHÖR | SYNCHRONISIERUNGSCENTER starten. Abbildung 7.7: Hauptmenü des Synchronisierungscenters
Synchronisierungspartnerschaft einrichten Bevor eine Synchronisierung mit einem mobilen Gerät oder einem Netzwerkgerät stattfinden kann, muss eine Synchronisierungspartnerschaft eingerichtet werden. In der Aufgabenleiste auf der linken Seite gibt es dafür einen entsprechenden Eintrag. Das Hauptfenster ändert nach Anklicken dieses Eintrags seinen Inhalt und listet alle Geräte auf, die zur Synchronisierung verwendet werden können. Markieren Sie das Gerät und klicken dann auf EINRICHTEN. Für Ihre Mobilgeräte müssen Sie gegebenenfalls in dem jeweiligen Handbuch nachsehen, wie Sie das Gerät zum Datenabgleich bewegen. Im Fall von Offlinedateien ist das sehr einfach. Wechseln Sie im Explorer zum Netzwerkordner, den Sie auf Ihren Mobil-PC synchronisieren wollen. Im Kontextmenü (mit der rechten Maustaste) ist der Eintrag IMMER OFFLINE VERFÜGBAR anzuklicken.
7.7 Synchronisierungscenter_______________________________________________ 411 Abbildung 7.8: Partnerschaft einrichten
Danach erscheint ein Dialogfenster, das darüber informiert, dass dieser Ordner für die permanente Offlineverwendung vorbereitet wird. Dies kann je nach Größe des Ordners eine Weile dauern. Abbildung 7.9: Netzwerkordner für die Offlineverwendung vorbereiten
Nach Abschluss der Vorbereitungen ist der Netzwerkordner im Explorer mit dem Symbol der Synchronisierung, einem grünen Kreis mit zwei gelben Pfeilen, markiert. Wechseln Sie zurück in das Synchronisierungscenter. Mit SYNCHRONISIERUNGS-PARTNERSCHAFT ANZEIGEN sehen Sie jetzt die Offlinedateien mit einem Fortschrittsbalken, der den Status Bereit zur ersten Synchronisierung trägt. Mit SYNCHRONISIEREN leiten Sie die erste Synchronisierung ein. Über ZEITPLAN lassen sich feste Zeiten zum Synchronisieren einstellen. Der Assistent erlaubt auch Eventtrigger einzurichten. So kann beim Anmelden, bei Leerlauf und beim Sperren beziehungsweise Entsperren der Computer synchronisiert werden. Ist die Synchronisierung mindestens einmal gestartet worden, lassen sich die Ergebnisse mit SYNCHR.-E RGEBNISSE ANZEIGEN auflisten. Zeitpunkt, Dauer und Erfolg können so getrennt nach Partnerschaft untersucht werden.
412 ______________________________________________ 7 Mobile Computing mit Vista Synchronisierungskonflikte lösen Ein Synchronisierungskonflikt entsteht, wenn Unterschiede zwischen einer Datei an einem Ort und einer Version derselben Datei an einem anderen Ort nicht abgeglichen werden können. Dann kann die Synchronisierung nicht abgeschlossen werden. Dies geschieht, wenn Sie eine Datei seit der letzten Synchronisierung auf Ihrem Mobil-PC geändert haben und beim anschließenden Synchronisieren mit dem Netzwerkserver festgestellt wird, dass mittlerweile die Datei auch auf dem Server geändert wurde. Dann ist es schwer zu entscheiden, welche Version unverändert bleiben und welche aktualisiert werden soll. Überprüfen Sie beide Dateien sorgfältig, um festzustellen, welche Version Sie behalten möchten. Möglicherweise müssen Sie Änderungen in den Dateien manuell vornehmen. Lassen Sie sich die Konflikte zunächst im Synchronisierungscenter anzeigen. Wählen Sie einen oder mehrere Konflikte aus und klicken Sie dann auf AUFLÖSEN. Der Dialog KONFLIKTAUFLÖSUNG wird geöffnet, in dem Sie alle Konflikte nacheinander oder mehrere mit einmal auflösen können. Sie müssen nicht zwangsweise Konflikte auflösen. Konflikte, die Sie nicht lösen möchten, klicken Sie mit der rechten Maustaste an und wählen IGNORIEREN. Das Synchronisierungscenter führt die Synchronisierung der anderen Dateien durch. Eine Datei, mit dem ein Konflikt besteht, wird erst synchronisiert, wenn Sie angeben, wie der Konflikt aufgelöst werden soll. Beim nächsten Synchronisierungsversuch kann der Konflikt erneut auftreten, wenn er zuvor zum Ignorieren markiert wurde.
7.8
Mobil ins Internet
Prinzipiell unterscheidet sich die Nutzung des Internets auf einem Mobil-PC nicht vom Stationär-Computer. Es sind eher die äußeren Umstände, die Schwierigkeiten bereiten.
7.8.1 Probleme mit der Providerwahl
Call-by-Call im Hotel?
Beim Einsatz auf Reisen ist der überall (zumindest in Deutschland) verfügbare Call-by-Call-Anbieter eigentlich die beste Wahl. Weitere Hinweise zur Einrichtung eines solchen Internetzugangs finden Sie in Abschnitt 15.2 Verbindung zum Internet herstellen ab Seite 957. Leider funktioniert das in der Praxis nicht immer, denn viele Hotels haben einen festen Vertrag mit einer Telefongesellschaft abgeschlossen und ihre Leitungen per Pre-Selektion umgeschaltet. Das wäre normalerweise kein Problem, denn Sie können die DFÜ-Verbindung so konfigurieren, dass die Auswahl der Telefongesellschaft (die Nummer beginnt mit 010...) fest eingebaut ist. Um zu verhindern, dass Hotelgäste die Vorauswahl des Hotels übergehen, werden oft gleich alle 010-Nummern gesperrt. Unter echtem Internet-by-Call versteht man den Netzzugang ohne vorherige Anmeldung. Die Verbindungen werden über die normale Tele-
7.8 Mobil ins Internet _____________________________________________________ 413 fonrechnung abgerechnet. Eine Grundgebühr muss nicht entrichtet werden. Bei der Nutzung in einem Hotel gilt hier freilich der dort berechnete Preis pro Minute, der meist bei 15 bis 25 Cent liegt. Die angegebenen Tarife zahlt dann das Hotel. Über die folgende Website können Sie stets aktuelle Tarifinformatio- Onlinekosten ermitteln nen abrufen: www.onlinekosten.de Mit den gewonnenen Angaben können Sie dann zur richtigen Zeit mit der richtigen Verbindung im Internet surfen, ohne sich dabei vertraglich binden zu müssen. Wenn Sie zu Hause ständig mit dem Internet arbeiten, sollten Sie den Angeboten der größeren Anbieter mit Pauschaltarifen oder in Kombination mit ISDN den Vorrang geben. Wenn DSL verfügbar ist, fahren Sie damit fast immer besser als mit Call-by-Call. Die hier gezeigten Alternativen eignen sich wirklich nur für den Einsatz unterwegs.
7.8.2
Weitere Aspekte der Einwahl ins Internet
Die Einrichtung einer Wählverbindung ins Internet unterscheidet sich technisch nicht von der an einem Stationär-PC. Nachfolgend werden einige spezielle Aspekte betrachtet sowie Hinweise zu weiterführenden Themen in diesem Buch gegeben.
WLAN-Zugang nutzen Viele Hotels bieten mittlerweile WLAN-Zugänge für Ihre Geschäftskunden an. Der Zugriff auf ein solches Netzwerk ist mit den in Windows Vista integrierten Funktionen in aller Regel ohne Probleme möglich. Dieses Thema wird in Abschnitt 14.6 WLAN-Funknetzwerke administrieren ab Seite 901 behandelt. Frei nutzbare WLAN-Netze erfreuen sich steigender Beliebheit. Auf der folgenden Website erhalten Sie mehr Informationen zu diesem Thema: http://freifunk.net
Einsatz des Mobiltelefons zur Verbindungsaufnahme Wenn kein Festnetzanschluss verfügbar ist, hilft das Mobiltelefon. Nahezu überall auf der Welt steht so das Internet zur Verfügung. Im Extremfall lässt man sich per Roaming bis zum heimischen Provider verbinden. Auch wenn die Preise dafür in Städten wie Moskau oder Kairo schnell bei mehr als 6 pro Minute liegen nichts ist unmöglich. Eine Beschreibung der Einrichtung eines Mobiltelefons zur Einwahl in das Internet finden Sie in Abschnitt 15.2.4 Verbindung über ein Mobiltelefon ab Seite 967.
7.8 Mobil ins Internet _____________________________________________________ 415
8 8 Gadgets-Scripting für Windows Unter Windows Vista steht eine Skriptumgebung zur Verfügung, mit der Sie alle wichtigen Funktionen des Betriebssystems über kleine Programme, Skripte genannt, ansprechen können. Die Besonderheit bei Vista ist die Verwendung von so genannten Gadgets, die in die Sidebar »eingeklinkt« werden können.
416 ___________________________________________ 8 Gadgets-Scripting für Windows
Inhaltsübersicht Kapitel 8 8.1 8.2 8.3
Windows Sidebar.......................................................... 417 Gadgets - Minianwendungen ..................................... 420 Hinweise zur Gadget-Programmierung.................... 426
8.1 Windows Sidebar _____________________________________________________ 417
8.1 Windows Sidebar Eine der wirklichen Neuerungen in Windows Vista ist die als Windows-Sidebar bezeichnete lange vertikale Leiste. Nach dem Aufruf zeigt sie sich an der Seite des Desktops. In diese Leiste lassen sich die im Abschnitt 8.2 beschriebenen Minianwendungen einfügen. So können viele kleine Hilfsprogramme ihren Dienst verrichten und aktuelle Informationen präsentieren. Das ist für Administratoren, die einen Überblick über ihre Systeme haben müssen, genauso interessant wie für Börsen-Makler, die sich aktuelle Börsennotierungen auf den Schirm holen wollen. Die Anwendungsmöglichkeiten sind schier unendlich, denn die Windows-Sidebar und die Minianwendungen sind für Programmierer gedacht. Gestartet wird die Sidebar über das Startmenü. Hier klicken Sie auf START | ALLE PROGRAMME | ZUBEHÖR | WINDOWS-SIDEBAR und schon zeigt sich die Leiste. Windows Vista bringt ein paar Minianwendungen mit. Eine Auswahl davon wird angezeigt. Das sind standardmäßig eine Uhr, eine Diashow und eine Anwendung für Feedschlagzeilen. Abbildung 8.1: Windows-Sidebar mit Standard-Minianwendungen
8.1.1
Minianwendungen organisieren
Die Sidebar ist sehr flexibel. Beliebig viele Minianwendungen können hinzugefügt, gelöscht und in der Anordnung geändert werden. Beachten Sie die kleine Leiste am oberen Rand der Sidebar:
418 ___________________________________________ 8 Gadgets-Scripting für Windows
Ein Klick auf das Plus-Zeichen genügt, um die Galerie der installierten Minianwendungen anzuzeigen. Ein Doppelklick auf die gewünschte Anwendung reicht aus, um sie in die Sidebar einzufügen. Per Drag & Drop kann sie natürlich auch gleich an eine bestimmte Stelle in der Leiste gezogen werden. Sind für die Ansicht zu viele Anwendungen in der Leiste, erlauben die Pfeile neben dem Plus-Zeichen die Navigation. Abbildung 8.2: Galerie der Minianwendungen
Das Entfernen der Minianwendungen aus der Leiste ist einfach zu bewerkstelligen. Markieren Sie die unerwünschte Anwendung mit einem Rechtsklick und wählen Sie dann den Eintrag MINIANWENDUNG SCHLIESSEN. Ein Austausch der Minianwendungen zwischen der Sidebar und dem Desktop ist jederzeit möglich. Ziehen Sie einfach eine Anwendung mit der Maus auf den Desktop und schon ist sie von der Sidebar entkoppelt.
8.1.2
Die Windows-Sidebar anpassen
Das Verhalten der Sidebar wird über das Dialogfenster Windows-Sidebar-Eigenschaften gesteuert. Dieses Dialogfenster ist entweder über den Eintrag EIGENSCHAFTEN im Kontextmenü zu erreichen oder über das Applet Windows-Sidebar-Eigenschaften in der Systemsteuerung. Befindet sich die Systemsteuerung nicht in der klassischen Ansicht, wird das Symbol in der Kategorie DARSTELLUNG UND ANPASSUNG angezeigt. Das Kontrollkästchen SIDEBAR BEIM START VON WINDOWS STARTEN ist selbsterklärend. Ein umständliches Einfügen des Programms ist irgendwelche Autostart-Ordner ist somit nicht nötig. Die Sektion AUSRICHTUNG enthält drei Einstellungsmöglichkeiten: SIDEBAR IM VORDERGRUND ANZEIGEN Diese Option verhindert das Verdecken der Sidebar durch andere Anwendungen. Ist diese Option nicht aktiv, können Sie mit der
8.1 Windows Sidebar _____________________________________________________ 419 Tastenkombination Windows-Taste+Leertaste die Miniaturanwendungen in den Vordergrund holen. SIDEBAR AUF DER LINKEN ODER RECHTEN BILDSCHIRMSEITE ANZEIGEN Rechtshänder werden das Erscheinen von nützlichen Tools auf der rechten Seite erwarten. Mit dieser Option lässt sich diese Voreinstellung ändern. SIDEBAR AUF EINEM BESTIMMTEN MONITOR ANZEIGEN Sind mehrere Monitore an das System angeschlossen, kann ausgewählt werden, welcher Monitor für die Anzeige zuständig ist. Abbildung 8.3: Anpassen der Sidebar über den Eigenschaften-Dialog
Die Sektion WARTUNG zeigt alle Minianwendungen an, die aktuell in der Sidebar ausgeführt werden. Anwendungen die versehentlich oder beabsichtigt in mehreren Instanzen laufen, können hier schnell erkannt und beendet werden. Ein Entfernen der Anwendung hat lediglich ein Schließen der Anwendung zur Folge. Die Minianwendung bleibt installiert. Eine Versionskontrolle ist auf einen Blick möglich. Sie können damit verhindern, dass veraltete Minianwendungen ausgeführt werden, obwohl eventuell schon neuere Versionen installiert sind.
8.1.3
Weitere Steuerung der Sidebar
Zwischen verschiedenen Minianwendungen können Sie wechseln, indem Sie die Tastenkombination Windows-Taste+G benutzen. Das ist relativ einfach zu merken, denn G steht für Gadget, dem englischen Ausdruck für Minianwendung. Ein wiederholtes Drücken der G-Taste wechselt zwischen den Anwendungen.
420 ___________________________________________ 8 Gadgets-Scripting für Windows Es gibt zwei Möglichkeiten, wenn Sie die Sidebar nicht mehr nutzen wollen: Die Sidebar schließen Mit einem Rechtsklick in der Sidebar öffnen Sie das Kontextmenü und wählen den Eintrag SIDEBAR SCHLIEßEN aus. Anwendungen, die abgekoppelt auf dem Desktop laufen, werden nicht geschlossen. Um die Sidebar wieder zu öffnen, klicken Sie mit der rechten Maustaste auf das Symbol der Sidebar im Infobereich der Taskleiste und wählen den Eintrag ÖFFNEN. Die Sidebar beenden Um die Sidebar endgültig zu schließen, klicken Sie mit der rechten Maustaste auf das Symbol der Sidebar im Infobereich der Taskleiste und wählen den Eintrag BEENDEN. Mit dem Beenden der Sidebar werden alle Minianwendungen geschlossen.
8.2 Gadgets - Minianwendungen
Programmierkenntnisse vorausgesetzt
Funktionsweise von Gadgets
Es ist relativ einfach möglich, in Windows Vista zu programmieren. Damit sind kleine Skripts gemeint, mit denen die Minianwendungen, auch Gadgets genannt, erstellt werden. Mit Windows Vistas Sidebar ist eine spezielle Umgebung geschaffen worden, in der diese kleinen Programme laufen. Jeder Programmierer, der schon einmal in VBScript oder Jscript geschrieben hat, kann Gadgets erstellen. Auch ambitionierte Systemadministratoren, die sich mit dem Skripting der WMI (Windows Management Instrumentation) beschäftigen, können Nutzen aus Gadgets ziehen. Grundlegende Kenntnisse in HTML sind dafür Voraussetzung. Neben den bereits mitgelieferten Minianwendungen können Gadgets über das Internet geladen werden. Eine wachsende Community kümmert sich um die Erstellung von Gadgets für die unterschiedlichsten Bereiche. Damit Sie selbst in der Lage sind, eigene Gadgets zu erstellen, die Sie ebenso hochladen können, werden in den nachfolgenden Abschnitten einige Grundlagen an Hand von einfachen Beispielen vermittelt. Jedes Gadget wird mit HTML und Skripts entwickelt. Sie erstellen also eine HTML-Seite, integrieren VBScript-Code und Objekte aus dem Gadget-Objektmodell und schon ist ein Gadget fertig. Gadgets können Bilder anzeigen, mit Windows-Dateien und Ordnern interagieren und Informationen aller Art anzeigen.
8.2.1
Grundlegender Aufbau von Gadgets
Die einfachsten Gadgets bestehen aus nur zwei Teilen: einer Manifestdatei und einer HTML-Datei. Komplexere Gadgets enthalten dazu noch Symboldateien, Bilddateien und Einstellungsdateien. Alle Dateien werden in einem besonderen Gadgetordner gespeichert.
8.2 Gadgets - Minianwendungen ___________________________________________ 421 Die Manifestdatei Die Mainfestdatei ist eine XML-Datei. Sie muss immer als Gadget.xml benannt werden und stellt die Beschreibungsdatei des Gadgets dar. Die enthaltenen Beschreibungen werden Tags genannt. Tag
Tabelle 8.1: Tags der ManifestName des Gadgets, der in der Gadgetgalerie zur datei Auswahl erscheint
Beschreibung
Name des Skriptentwicklers, der das Gadget geschrieben hat Urheberrechtinformationen
<description>
Kurzbeschreibung des Gadgets und seiner Funktion
Name der Symboldatei, also das Bild, das bei der Gadgetauswahl angezeigt wird
Versionsnummer des Gadgets
<sidebar>
Markiert das Gadget als Sidebargadget.
Art des Gadgets
Verweis auf die verwendete HTML-Datei
<website>
Website zum Gadget
Eine typische Gadget.xml sieht so aus: Hello World! Sub Window_Onload GetVirtualMemory iTimerID = window.SetInterval("GetVirtualMemory", 5000) End Sub Sub GetVirtualMemory Set objLocator = CreateObject ("WbemScripting.SwbemLocator") Set objWMIService = objLocator. ConnectServer(".", "root\cimv2") Set colItems = objWMIService.ExecQuery ("Select * From Win32_OperatingSystem") For Each objItem in colItems Daten.InnerHTML = objItem.FreeVirtualMemory Next End Sub <span id="Daten"> Das Skript zeigt den verfügbaren virtuellen Arbeitsspeicher auf dem Computer. Das erledigt die Subroutine GetVirtualMemory. Von besonderem Interesse ist aber nicht diese Subroutine, sondern die Subroutine Window_Onload. Sub Window_Onload GetVirtualMemory iTimerID = window.SetInterval("GetVirtualMemory", 5000) End Sub In dieser Subroutine werden zwei Aktionen ausgeführt. Die Subroutine GetVirtualMemory wird zuerst aufgerufen, um sicherzustellen, dass beim Laden des Gadgets der verfügbare virtuelle Arbeitsspeicher sofort abgefragt wird. Das Hauptaugenmerk sollten Sie auf die zweite Aktion legen: iTimerID = window.SetInterval("GetVirtualMemory", 5000) Die SetInterval-Methode erstellt einen Zeitgeber (Timer). Dieser Zeitgeber weist das Gadget an, die Unterroutine GetVirtualMemory alle
430 ___________________________________________ 8 Gadgets-Scripting für Windows 5 Sekunden (5.000 Millisekunden) aufzurufen. Eine Aktualisierung findet somit in diesem Abstand statt. Für manche Abfragen ist es sinnvoller, den Abstand zu vergrößern. Ändert Sie dazu einfach die Zeitangabe, wie gesagt in Millisekunden.
8.3.4
Verwenden von WMI
Windows Management Instrumentation (WMI) ist eine grundlegende Windows-Verwaltungstechnologie (siehe WMI-Filter auf Seite 309). Mithilfe von WMI können sowohl lokale Computer und Remotecomputer als auch deren Peripheriegeräte verwaltet werden. Dazu setzen Systemadministratoren WMISkripte ein. Nun haben Sie eventuell schon Erfahrung mit WMI-Skripten und eine Sammlung für Verwaltungsaufgaben angelegt. Diese Skripten können Sie in Gadgets weiterverwenden. Allerdings müssen die WMI-Skripte etwas modifiziert werden, damit sie funktionieren. Die Funktion GetObject, die in vielen WMI-Skripten benutzt wird, kann aus Sicherheitsgründen nicht benutzt werden, weil Gadgets Webseiten sind. Webseiten ist die Ausführung von GetObject gestattet. Der Moniker4 winmgmts darf ebenfalls nicht verwendet werden. strComputer = "." Listing 8.10: Ausschnitt aus eiSet objWMIService = GetObject("winmgmts:\\" nem typischen WMI& strComputer & "\root\cimv2") Skript zur ErmittSet colItems = objWMIService.ExecQuery("Select * From lung des BetriebsWin32_OperatingSystem") systems For Each objItem in colItems Msgbox objItem.Caption Next Für dieses Problem gibt es eine Lösung. Erstellen Sie mit CreateObject eine Instanz des WbemScripting.SWbemLocator-Objekts. Eine Verbindung zum WMI-Dienst stellen Sie dann mit der ConnectServer-Methode her. In einem Skript sieht das so aus: strComputer = "." Listing 8.11: Verbindung zum Set objLocator = CreateObject("WbemScripting.SWbemLocator") WMI-Dienst Set objWMIService = objLocator.ConnectServer herstellen (strComputer, "root\cimv2") Set colItems = objWMIService.ExecQuery("Select * From Win32_OperatingSystem") For Each objItem in colItems Msgbox objItem.Caption Next 4Ein
Moniker ist ein Objekt in Microsofts Component Object Model (COM), das auf eine bestimmte Instanz eines anderen Objekts referenziert. Moniker wurden in Microsofts Object Linking and Embedding-Technologie (OLE) für das Verlinken von Objekten eingeführt.
8.3 Hinweise zur Gadget-Programmierung___________________________________ 431 Der Unterschied zwischen Listing 8.10 und Listing 8.11 besteht also nur darin, dass für Gadgets zwei Zeilen statt einer für die Verbindungsherstellung benötigt werden. Es müssen zwei Parameter an ConnectServer übergeben werden: Der Namen des Computers, zu dem eine Verbindung hergestellt wird (Variable strComputer), und der WMI-Namespace, zu dem die Verbindung erfolgen soll (root\cimv2).
8.3.5
Gadget Code ändern und neu laden
Haben Sie Änderungen an Ihrem Skript vorgenommen, ist es nicht nötig, die Windows Sidebar zu beenden und neu zu starten. Beachten Sie diese Vorgehensweise: Schließen Sie alle Instanzen Ihres Gadgets. Nehmen Sie Änderungen an Ihrem Skript vor. Öffnen Sie Ihr Gadget, wie es in Abschnitt 8.1 Windows Sidebar ab Seite 417 beschrieben ist. Sobald das Gadget geändert und gespeichert ist, wirken die Änderungen, wenn die Minianwendung das nächste Mal ausgewählt wird. Alle vorherigen Versionen des Gadgets müssen geschlossen sein, damit die Änderungen wirksam werden.
8.3.6
Gadgets debuggen
Gadgets können mit professionellen Debuggern auf Fehler untersucht Fehlersuche werden. Debugger wie Microsoft Visual Studio müssen das Debugging von Skripts aktiviert haben. Außerdem muss das Debuggen von Skripts auf Ihrem PC zugelassen sein. Abbildung 8.5: Skriptdebugging über die Internetoptionen erlauben
432 ___________________________________________ 8 Gadgets-Scripting für Windows Dazu öffnen Sie die Internetoptionen, die Sie am schnellsten über das Menü EXTRAS eines Internet Explorer-Fensters erreichen. In der Registerkarte ERWEITERT entfernen Sie den Haken bei der Option SKRIPTDEBUGGING DEAKTIVIEREN (INTERNET EXPLORER). Benutzen Sie einen anderen Browser als den Internet Explorer, schalten Sie das Kontrollkästchen von SKRIPTDEBUGGING DEAKTIVIEREN (ANDERE) ab. Während der Entwicklungsphase kann Ihnen außerdem die Option SKRIPTFEHLER ANZEIGEN Auskunft über fehlerbehaftete Stellen in Ihrem Skriptcode geben.
8.3.7
Kompressionsprogramm
Sidebar-Gadgets verteilen
Haben Sie alle Bestandteile Ihres neuen Gadgets zusammengestellt und getestet, ist es an der Zeit, Ihr Gadget auf andere Computer zu verteilen. Sie brauchen keine Installationsroutinen schreiben oder Software von Drittherstellern einzusetzen, um Gadget für die Verteilung vorzubereiten. Es gibt die folgenden drei Möglichkeiten: ZIP-Datei Mithilfe einer ZIP-Datei werden die Gadget-Dateien gesammelt und in einer einzigen Datei gespeichert. Die Dateien in der ZIPDatei sind komprimiert. Die Größe des ZIP-Archivs ist wesentlich kleiner als die Summe der einzelnen Dateien. Windows Vista enthält Funktionen, um ZIP-Archive zu erzeugen und zu entpacken: - Lassen Sie sich im Windows Explorer alle Dateierweiterungen anzeigen. - Legen Sie einen ZIP-komprimierten Ordner an. - Kopieren Sie alle Gadget-Dateien in den ZIP-Ordner. - Ändern Sie das Dateisuffix von .zip auf .gadget. Erreichen Ihre Auslieferungen eine schwer handhabbare Größe, sollten Sie sich von Windows-internen Funktionen zur Erstellung von ZIP-Dateien gedanklich verabschieden und auf Kompressionsprogramme anderer Hersteller umsteigen. Im professionellen Bereich hat sich das freie Programm 7-Zip bewährt, das sehr gute Kompressionsraten aufweist: www.7-zip.org/de CAB-Datei Die Windows Cabinet-Dateien sind das Standardformat, mit dem Windows-Betriebssysteme und Anwendungsprogramme ausgeliefert werden. Windows Vista bringt für die Erstellung von CabinetDateien das Kommandozeilentool Makecab.exe mit. Die Handhabung zur Komprimierung mehrerer Dateien ist ziemlich umständlich. Es muss eine Datei mit Direktiven angelegt werden, die die zu komprimierenden Dateien genau benennt. Besser ist hier die Verwendung von Kompressionsprogrammen, die in der Lage sind, CAB-Dateien zu erzeugen. Auch für CAB-Dateien gilt, dass sie nach Erstellung in .gadget umbenannt werden müssen. Die Datei-
8.3 Hinweise zur Gadget-Programmierung___________________________________ 433 endung ist bei Vista standardmäßig mit der Windows Sidebar verknüpft. Kopieren aller Dateien Während der Entwicklungsphase können Sie Ihren Gadgetordner (siehe auch Die Gadget-Ordner auf Seite 422) auch durch einfaches Kopieren auf andere PCs verteilen. Da Sie aber nicht davon ausgehen können, dass jeder Endanwender weiß, wo die Dateien abzulegen sind, kann diese Methode nur als Übergangslösung angesehen werden. Die Verteilung der erzeugten .gadget-Datei, die alle HTML-Dateien, Distribution Icons, Skript-Dateien und CSS-Dateien enthält, kann per E-Mail erfolgen. Viele E-Mail-Server sind jedoch so konfiguriert, dass Anhänge, die dynamischen HTML-Code enthalten, entfernt werden. Sicherer ist die Verteilung über Webserver oder firmeneigene Softwareverteilungstools. Weitere Informationen zum Thema Gadgets und Skripting finden Sie auf diesen Webseiten: http://gallery.live.com/ http://microsoftgadgets.com/
8.3 Hinweise zur Gadget-Programmierung___________________________________ 435
9 9 Reparatur und Wiederherstellung Dieses Kapitel widmet sich einem schwierigen und komplexen Thema: Der Reparatur und Wiederherstellung des Betriebssystems, wenn einmal nichts mehr geht. Windows Vista setzt auf Windows XPFunktionen auf. Lesen Sie, welche Möglichkeiten es gibt, wenn es doch einmal zum Notfall kommen sollte.
436 _________________________________________ 9 Reparatur und Wiederherstellung
Inhaltsübersicht Kapitel 9 9.1 9.2 9.3 9.4 9.5 9.6 9.7
Überblick ........................................................................ 437 Informations- und Diagnosetools............................... 438 Systemwiederherstellung ............................................ 448 Hilfe bei Treiberproblemen ......................................... 455 Windows Vista-Dienste................................................ 463 Die Windows-Registrierung........................................ 475 Systemwiederherstellung nach Totalausfall ............. 488
9.1 Überblick ____________________________________________________________ 437
9.1
Überblick
Die Benutzerfreundlichkeit wurde bei Windows Vista noch eimal gegenüber Windows XP weiter verbessert. Die vielen »Helferlein« und Assistenten wurden auf ein notwendiges Maß zurückgestutzt. Im Bereich der Reparatur und Wiederherstellung im Falle von Betriebssystem-Fehlfunktionen sind Sie meist auf diese Hilfestellung angewiesen. In den folgenden Abschnitten geht es darum zu zeigen, wann Sie im Datensicherung Fall der Fälle selbst Hand anlegen können oder wann Sie besser auf nicht vergessen! die automatischen Systemwiederherstellungsfunktionen des Betriebssystems vertrauen sollten. Eines kann allerdings auch das komfortabelste Betriebssystem nicht verhindern: Datenverlust, wenn die Hardware den Dienst versagt. Den Folgen eines Festplattencrashs oder eines Datenverlustes durch fehlerhafte Speicherbausteine können Sie prophylaktisch entgegenwirken. Denken Sie, unabhängig von allen anderen im Fehlerfall helfenden Funktionen, immer an eine richtige Datensicherung. Weitergehende Informationen dazu finden Sie in Abschnitt 4.7 Datensicherung ab Seite 245.
Informations- und Diagnosetools Windows Vista bietet eine Reihe von Hilfsprogrammen, mit denen Sie einen guten Überblick über installierte Hard- und Software erhalten. Diese Programme werden im nachfolgenden Abschnitt vorgestellt.
Systemwiederherstellung Die in Windows XP vorgestellten Methoden, den Status des Betriebssystems beziehungsweise wichtige Systemressourcen zu schützen, zu einem Zeitpunkt sichern und letztlich im Fehlerfall wiederzuherstellen, wurden für Vista weiter verbessert. Informationen dazu finden Sie in Abschnitt 9.3 Systemwiederherstellung ab Seite 448.
Treiber-Probleme Für Fehlfunktionen oder Instabilitäten des Betriebssystems sind oft fehlerhafte Gerätetreiber verantwortlich. Lesen Sie in Abschnitt 9.4 Hilfe bei Treiberproblemen ab Seite 455, wie Sie in solchen Fällen die Fehlerursache eingrenzen und welche Unterstützung Sie von Betriebssystemfunktionen dazu erhalten können.
Dienste steuern Das Dienste-Modell, das von den Vorgängern Windows NT, 2000 und XP schon bekannt ist, kann viele Systemfunktionen sicherstellen. In
438 _________________________________________ 9 Reparatur und Wiederherstellung Abschnitt 9.5 Windows Vista-Dienste ab Seite 463 erfahren Sie, wie Sie hier Fehlfunktionen entdecken oder selbst in die Dienstesteuerung eingreifen können.
Registrierungsdatenbank bearbeiten und sichern Die Registrierungsdatenbank von Windows Vista ist ein sehr sensibler Bereich. Lesen Sie in Abschnitt 9.6 Die Windows-Registrierung ab Seite 475, wie Sie diese, sicher mit Respekt, aber ohne Scheu, bearbeiten und sichern können.
Strategien bei einem Totalausfall Wenn das System gar nicht mehr starten will, gibt es immer noch einige Möglichkeiten zur Fehlersuche und Reparatur. Diese werden in Abschnitt 9.7 Systemwiederherstellung nach Totalausfall ab Seite 488 näher vorgestellt.
9.2
Informations- und Diagnosetools
Windows Vista bietet bereits standardmäßig eine Reihe von Informations- und Diagnosetools. Diese werden in den nachfolgenden Abschnitten vorgestellt.
9.2.1
Geräte-Manager
Haben Sie eine neue Hardware-Komponente in Ihren PC eingebaut und stellen fest, dass diese nicht funktioniert, sollten Sie zuerst einen Blick in den Geräte-Manager werfen.
Start des Geräte-Managers
MMC Computerverwaltung
Systemüberblick
Devmgmt.msc
Zum Geräte-Manager gibt es verschiedene Wege. Genau genommen handelt es sich hierbei um ein Managementkonsolen-Snap-In, welches Sie auch in eine eigene Konsole integrieren können (siehe Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199). Wollen Sie das nicht, können Sie den Geräte-Manager so erreichen: Als Bestandteil der MMC Computerverwaltung: Starten Sie diese über den Punkt VERWALTEN im Kontextmenü zum COMPUTEREintrag im Startmenü. Öffnen Sie das Fenster Systemsteuerung|System über die Tastenkombination Windows-Untbr oder den Punkt EIGENSCHAFTEN im Kontextmenü zum COMPUTER-Eintrag im Startmenü. Der GeräteManager befindet sich unter AUFGABEN auf der linken Seite. Starten Sie die Konsole direkt über START und dann Eingabe in die Suchleiste, wo Suche starten steht. Sie erhalten die Konsole ebenso
9.2 Informations- und Diagnosetools ________________________________________ 439 über die Eingabeaufforderung, indem Sie den Namen der Konsolendatei direkt eingeben: Devmgmt.msc Wollen Sie die Einträge im Geräte-Manager nicht nur ansehen, sondern auch ändern, müssen Sie die Eingabeaufforderung vorher mit der Option ALS ADMINISTRATOR AUSFÜHREN über das Kontextmenü aufrufen.
Fehlerhafte Geräteeinträge erkennen und reparieren Fehlerhaft oder gar nicht erkannte Komponenten werden im Geräte- Gerät neu Manager mit einem gelben Hinweiszeichen versehen (siehe installieren Abbildung 9.1). Haben Sie einen aktuellen Treiber für das fragliche Gerät besorgt, können Sie eine Neuinstallation auf zwei verschiedene Weisen vornehmen: Markieren Sie den Geräteeintrag und löschen Sie diesen über einen Druck auf die Taste Entf (oder über das Menü AKTION |DEINSTALLIEREN). Starten Sie dann die Hardware-Erkennung neu über den Menüpunkt AKTION|NACH GEÄNDERTER HARDWARE SUCHEN. oder Markieren Sie den Geräteeintrag und wählen Sie im Menü den Punkt AKTION|TREIBER AKTUALISIEREN. In beiden Fällen werden Sie so zu dem Punkt gelangen, wo Sie das System über den entsprechenden Assistenten zur Angabe des Speicherorts der neuen Treiberdateien auffordert. Abbildung 9.1: Anzeige einer Komponente, die nicht richtig eingebunden ist
Nach der Treiberinstallation sollte das gelbe Dreieck verschwunden sein und das Gerät wie die übrigen mit seiner richtigen Bezeichnung angezeigt werden.
Gerätetreiber-Leichen anzeigen und entfernen Manchmal kann es vorkommen, dass zurückgelassene Treiber zu längst deinstallierten Geräten Probleme verursachen, die sich durch
440 _________________________________________ 9 Reparatur und Wiederherstellung Instabilitäten des gesamten Systems äußern können. Solche »Waisen« werden standardmäßig durch den Geräte-Manager nicht angezeigt. Über die Aktivierung des Menüpunkts ANSICHT|AUSGEBLENDETE GERÄTE ANZEIGEN können Sie diese zum Vorschein bringen und bei Bedarf löschen.
Ansichten des Geräte-Managers gezielt einsetzen Im Geräte-Manager stehen über den gleichnamigen Hauptmenüpunkt verschiedene Ansichten zur Verfügung. Standardmäßig ist die Option GERÄTE NACH TYP aktiv. Abbildung 9.2: Einblick in die IRQListe über Ansicht nach Ressourcen
Über die Optionen RESSOURCEN NACH TYP oder RESSOURCEN NACH VERBINDUNG erhalten Sie die IRQ-Liste. Diese kann helfen, fehlerhaft funktionierende Geräte beziehungsweise deren Treiber ausfindig zu machen. TV- und ISDN-Karten stehen hier oft im Verdacht den PC unverhofft abstürzen zu lassen. Der Fehler kann im Treiber oder an der Hardware liegen. Die Verwendung eines gemeinsamen IRQ-Kanals (Interrupt Request, dt. Interrupt-Anforderung) für mehrere Geräte stellt heutzutage kein Problem mehr dar und sollte normal funktionieren. Das setzt aber voraus, dass die Gerätetreiber sauber programmiert sind. Ist das nicht der Fall, können sich Geräte gegenseitig in die Quere kommen oder funktionieren nicht wie gewünscht. Die Zuweisung eines anderen IRQ-Kanals für eine PCI-Steckkarte können Sie erreichen, indem Sie deren Steckplatz wechseln. Mit einem Neustart erfolgt dann die Zuweisung eines anderen IRQ-Kanals. Die Zuordnung zwischen Steckplatz und IRQ übernimmt das BIOS. Überprüfen Sie gegebenenfalls dort die entsprechenden Einstellungen.
Ressourcen manuell ändern Manuell lassen sich Ressourcen nur für die wenigsten Geräte ändern. Anzuraten ist dies nicht unbedingt, es sei denn, alle anderen Versuche
9.2 Informations- und Diagnosetools ________________________________________ 441 (aktuelle beziehungsweise alternative Treiber, anderer Steckplatz) bringen keinen Erfolg. Außerdem sollten Sie dann genau wissen, welchen Ressourceneintrag Sie auf welchen Wert setzen müssen. Sie können dies meist der Hersteller-Dokumentation zum Gerät entnehmen. Willkürliche Änderungen an einzelnen Ressourceneinträgen können schwerwiegende Beeinträchtigungen der Betriebssystemkonfiguration hervorrufen. Gehen Sie so vor, wenn Sie einen Ressourceneintrag (meist die IRQNummer) manuell ändern wollen: 1. Öffnen Sie das Eigenschaften-Fenster zum betreffenden Treiber über Eintrag manuell ändern den Geräte-Manager. 2. Wechseln Sie zur Registerkarte RESSOURCEN. 3. Entfernen Sie das Häkchen bei AUTOMATISCH KONFIGURIEREN. Sie können nun über die Schaltfläche EINSTELLUNG ÄNDERN den gewünschten Eintrag wählen und dessen Wert anpassen. Lässt sich das Kontrollkästchen allerdings nicht auswählen, dann ist eine manuelle Zuweisung von Ressourcen nicht möglich.
Erweiterte Anzeige von Eigenschaften für Treiber In den Eigenschaften-Fenstern zu den Gerätetreibern lassen sich weitere Informationen über eine zusätzliche Registerkarte DETAILS ermitteln. Abbildung 9.3: Über diese Registerkarte lassen sich weitere Informationen ermitteln, wenn aktiviert
Im Gegensatz zu Windows XP ist bei Vista diese Registerkarte standardmäßig aktiviert. Über die Auswahlfläche EIGENSCHAFT lässt sich der Inhalt des Rahmens WERT ändern. Hier bekommen Sie eine solche Fülle von Informationen, die normalerweise nur für Entwickler interessant sind.
442 _________________________________________ 9 Reparatur und Wiederherstellung
9.2.2
Systeminformationen mit MSINFO32.EXE
Das Programm MSINFO32.EXE können Sie über das Startmenü und den Eingabebereich für die Suche direkt aufrufen. Es liegt in Vista derzeit in der Version 8.0 vor. Das Programm gibt einen Überblick über die Komponenten Ihres Systems sowie den derzeitigen aktuellen Stand geladener und signierter Treiber oder genutzter Hardware-Ressourcen. Abbildung 9.4: Das Programm MSINFO32
Die Kategorien im Überblick
Übersicht
RessourcenNutzung
Hardware
Die drei standardmäßig vorhandenen Kategorien sowie der oberste Eintrag zeigen Ihnen die folgenden Informationen: SYSTEMÜBERSICHT Hier werden allgemeine Informationen zu Ihrem System angezeigt. Das sind unter anderem neben der konkreten Windows-Version Angaben zum Prozessor, zur BIOS-Revision und zum installierten und verfügbaren Hauptspeicher. HARDWARERESSOURCEN Wichtige Hinweise bei einem Fehlverhalten des Systems können Sie unter Umständen dieser Kategorie entnehmen. Hier finden Sie alle Angaben zu den konkret genutzten Ressourcen. In der Unterkategorie Ressourcenkonflikte können Sie beispielsweise erkennen, ob mehrere Geräte bei der Nutzung von Ressourcen kollidieren. KOMPONENTEN Es werden die Hardware-Komponenten und ihre aktuell installierten Treiber angezeigt. Unter PROBLEMGERÄTE finden Sie übrigens Komponenten, die nicht korrekt in das System eingebunden wer-
9.2 Informations- und Diagnosetools ________________________________________ 443 den konnten. Allerdings findet sich hier manchmal auch eine Softwarekomponente, wie beispielsweise eine nicht aktive Netzwerkbrücke (siehe auch Abschnitt 14.1.5 Installation einer Netzwerkbrücke ab Seite 864). Abbildung 9.5: Erkennen von Ressourcen-Konflikten
SOFTWAREUMGEBUNG Software Systemnahe Software kann über diesen Zweig kontrolliert werden. System- und Signierte Treiber, geladene Module und gestartete Dienste werden genauso inspiziert wie Druckaufträge, Netzwerkverbindungen und Aktive Tasks.
Abspeichern von Systeminformationen Die gewonnenen Systeminformationen können Sie abspeichern, um sie auszudrucken oder an andere Fachleute weiterzugeben. Das spezielle Dateiformat mit der Endung NFO kann nur durch das Programm MSINFO32 selbst wieder gelesen werden. Damit können Sie die gewonnenen Systeminformationen komplett in einer übersichtlichen Form weitergeben. Vor dem Abspeichern werden alle Systeminformationen noch einmal aktualisiert, damit in der Datei wirklich die momentanen Systemdaten landen. Über DATEI|EXPORTIEREN gibt es die Möglichkeit, die Datei als reine Textdatei zu erzeugen.
Remoteverbindung Aus dem Programm MSINFO32 heraus können Sie direkt über das Menü ANSICHT eine Verbindung zu einem entfernten Computer aufbauen. Das ist für Referenzfälle sinnvoll.
Informationen speichern in NFO-Datei
Export als Textdatei
444 _________________________________________ 9 Reparatur und Wiederherstellung
9.2.3
Syntax
Neben den grafischen Möglichkeiten gibt es ein Tool, mit dem Sie auf Kommandozeilen-Ebene einfach und schnell Informationen zum System erhalten: SYSTEMINFO.EXE. Systeminfo [/s [/u <user> [/p <passw>]]] [optionen] Zu den genannten Schaltern und den Optionen finden Sie nachfolgend einige Erläuterungen:
Tabelle 9.1: Optionen von SYSTEMINFO.EXE
Beispiele
Kommandozeilen-Tool SYSTEMINFO.EXE
Option
Bedeutung
/s
Geben Sie den Namen oder die IP-Adresse des Zielcomputers an. Ohne diesen Schalter wird das lokale System angenommen.
/u <user>
Geben Sie hier für den Benutzernamen an. Sie können dies auch mit der Anmeldedomäne verbinden. Beispiel: comzept.local\Uwe
/p <passw>
Hiermit übergeben Sie direkt das Kennwort zum gewählten Benutzerkonto im Klartext.
/fo
Das Format der Ausgabe wird bestimmt: TABLE: Felder sind durch aufgefüllte Leerzeichen voneinander getrennt. LIST: Felder sind untereinander angeordnet. CSV: Komma-separierte Liste der Felder; eignet sich am besten zum Import in Datenbanken oder Tabellenkalkulationsprogramme (wie Excel)
/nh
Spaltenkopfzeilen werden bei den Formaten TABLE und LIST unterdrückt.
Nachfolgend finden Sie einige Beispiele: Systeminfo Startet das Programm unter dem aktiven Benutzerkonto am lokalen Computer. Systeminfo /s w03.comzept.local /u comzept.local\PAdmin /p sde3csx! Führt das Programm zum Sammeln von Informationen für einen entfernten Computer unter einem anderen Benutzerkonto aus.
9.2 Informations- und Diagnosetools ________________________________________ 445
9.2.4
Leistungsbewertung
Bereits während der Installation führt Vista eine Leistungsbewertung der System-Hardware durch. Der aus der Analyse erstellte Leistungsindex gibt sowohl Auskunft über die Leistungsfähigkeit einzelner Komponenten als auch über die Fähigkeit des Gesamtsystems. Ziel dieser Bewertung ist es, Einblick in die Schwachstellen zu geben. Durch den Austausch bestimmter Komponenten lassen sich »Flaschenhälse« vermeiden. Künftig sollen sich Geräte schon beim Verkauf über diesen Index ver- Index als gleichen lassen. Allerdings muss dazu bemerkt werden, dass sich die Marketinginstrument Indexbewertung auf Windows-Funktionen und Programme bezieht. Sie gibt keine wirklich verlässliche Aussage über die Qualität des Systems ab. Das Programm für die Leistungsindexbewertung befindet sich in die Programm aufrufen Systemsteuerung. In der klassischen Ansicht ist es unter dem Symbol LEISTUNGSINFORMATIONEN UND TOOLS zu finden. In der Standardansicht der Systemsteuerung versteckt es sich in der Kategorie SYSTEM UND WARTUNG. Von dort kann es über den Link LEISTUNGSINDEXBE WERTUNG DES COMPUTERS PRÜFEN aufgerufen werden. Abbildung 9.6: Leistungsübersicht des Computers
Die Abbildung zeigt einen schwachen Computer. Der Index verhält Bewertung sich nicht wie bei deutschen Schulnoten. Eine 1,0 ist sehr schlecht. Dieser Computer kann nur für elementare Aufgaben verwendet werden. Dazu zählen der Einsatz von Büroanwendungen und das Surfen im Internet. Durchschnittsrechner, die auch mit Windows AERO klar kommen, haben eine Basisbewertung von 3. Highend-Anwendungen einschließlich der Darstellung von HDTV-Videos und modernen Computerspielen ist Computern der Klasse 4 bis 5 vorbehalten. Liegen noch keine Ergebnisse vor, können Sie über die Schaltfläche Test durchführen DIESEN COMPUTER BEWERTEN eine Prüfung einleiten. Abbildung 9.6 zeigt, dass der Computer bereits bewertet wurde. Seit dem letzten Test wurde die Hardware verändert, so dass über die Schaltfläche AKTUALISIEREN die derzeit aktuellen Ergebnisse präsentiert werden
446 _________________________________________ 9 Reparatur und Wiederherstellung können. Für ein gezieltes Tuning lassen sich alle Details anzeigen und drucken.
9.2.5
DirectX-Diagnoseprogramm DXDIAG.EXE
Mit Hilfe dieses Dienstprogramms können Sie die installierten Treiber und Grafikkomponenten des Betriebssystems überprüfen. Das Programm kann über die Kommandozeile gestartet werden, also auch über START|AUSFÜHREN . Nach dem Start erscheint eine Warnmeldung, dass möglicherweise eine Internetverbindung aufgebaut werden muss. Diese können Sie getrost bejahen. Abbildung 9.7: DxDiag-Warnmeldung
Überprüfen der DirectX-Version Eine der wichtigsten Informationen ist die Angabe der installierten DirectX-Version (siehe Abbildung 9.8). Funktionieren Grafikanwendungen, die DirectX nutzen, beispielsweise moderne 3D-Spiele, nur eingeschränkt, lohnt sich auf jedem Fall ein Blick auf die in Ihrem System installierte Version. Aufgrund der rasanten Entwicklung im Grafikkartenmarkt werden hier weiterhin schnell Updates für neue DirectX-Versionen von Microsoft verfügbar sein. Vista bringt die Version 10 mit. Abbildung 9.8: Anzeige der DirectXVersion
9.2 Informations- und Diagnosetools ________________________________________ 447 Hardware-Beschleunigung prüfen Ursache der meisten Probleme bei der Grafikausgabe, insbesondere Treiberprobleme bei der Nutzung anspruchsvoller 3D-Funktionen, sind fehlerhafte analysieren oder unzulängliche Treiber, die nicht die volle Unterstützung der 3DHardwarefähigkeiten der Karte mitbringen. Abbildung 9.9: Anzeige der verfügbaren DirectX-Funktionen
Für normale Büroanwendungen wie Textverarbeitung oder Tabellenkalkulation ist das in der Regel nicht von Bedeutung. Sollen allerdings moderne 3D-Grafikprogramme, Spiele zum Einsatz kommen oder Windows Vista im AERO-Modus laufen, ist ein korrekt funktionierender Treiber, der alle Hardware-Möglichkeiten nutzt, unabdingbar. Über die Registerkarte ANZEIGE sehen Sie, welche DIRECTX-FUNKTIONEN überhaupt aktiv sind. Verfügt das System über mehr als einen Monitor, erscheinen mehrere Registerkarten ANZEIGE (siehe auch Abschnitt 3.4.3 Ansteuerung mehrerer Monitore ab Seite 145). Sind die Felder DIRECT3D-BESCHLEUNIGUNG und AGP-OBERFLÄCHENBESCHLEUNIGUNG mit NICHT VERFÜGBAR gekennzeichnet, obwohl die installierte Grafikkarte diese Funktionen aufweisen müsste, deutet das auf einen nicht korrekt funktionierenden Treiber hin. Abhilfe kann hier die Installation eines aktuellen Treibers des Grafikkarten-Herstellers schaffen. Für das Testen der DirectX-Funktionen DirectDraw und Direct3D finden Sie zwei entsprechende Schaltflächen. Es wird eine Reihe von Tests durchgeführt, deren Erfolg Sie jeweils beurteilen müssen. Sie können damit feststellen, ob der Grafikkarten-Treiber vom Betriebssystem aus korrekt angesteuert werden kann. Funktioniert dann ein DirectX-Spiel dennoch nicht richtig, sollten Sie die Website des Spieleoder die des Grafikkarten-Herstellers aufsuchen und nach einem Patch für das Spiel Ausschau halten. Weitere Informationen finden Sie zu diesem Thema auch in Abschnitt 17.7.3 DirectX ab Seite 1165.
DirectX-Funktionen testen
DirectX ab Seite 1165
448 _________________________________________ 9 Reparatur und Wiederherstellung
9.3
Systemwiederherstellung
Über diese Technologie können Sie auf einfache Art und Weise Ihr System auf eine lauffähige Konfiguration zu einem definierten Zeitpunkt zurücksetzen. Dazu werden bei bestimmten Aktionen oder nach einem definierten Zeitintervall so genannte Wiederherstellungspunkte erstellt. Beim Wiederherstellen einer älteren Konfiguration werden die dabei gespeicherten Dateien wieder zurückgespielt. In den nachfolgenden Abschnitten wird dieses Verfahren näher betrachtet. Damit Sie nicht wegen einer überschriebenen Datei das ganze System Dateien wiederherstellen mit wiederherstellen müssen, hält Vista die neue Funktion Vorherige DateiVorherige Dateien en bereit. Wie einfach der Umgang damit ist, zeigt der Abschnitt 9.3.4Vorherige Versionen ab Seite 454. Wiederherstellungspunkte
9.3.1
Erzeugen von Wiederherstellungspunkten
Wiederherstellungspunkte werden automatisch durch das Betriebssystem erzeugt. Darüber hinaus kann das der Administrator jederzeit manuell vornehmen.
Inhalt der Sicherung Liste der zu sichernden Dateien
Ausgeschlossen: Daten-Dateien
Programme zurückholen
Wiederherstellungspunkte können für jeden Datenträger separat durch Windows Vista angelegt werden. Bei der Erstellung wird eine Momentaufnahme der Festplatte gemacht und die gesamte Ordnerstruktur sowie alle Programm- und Systemdateien und Registrierungseinstellungen werden gesichert. Das sind beispielsweise DLLund EXE-Dateien. Persönliche Dateien, also Dokumente wie Word-Dateien, ExcelTabellen, Bilder und andere, sind nicht betroffen. Das bedeutet, dass Sie keine Bedenken haben müssen, dass Ihre persönlichen Daten verloren gehen. Die Benutzerordner sind von der Erstellung und Rückspeicherung von Wiederherstellungspunkten ausgeklammert. Zwischen den Wiederherstellungspunkten installierte Programme werden deinstalliert. Wenn Sie ein Programm über eine Wiederherstellung wieder entfernen, werden alle dazu registrierten Dateien entfernt. Übrig bleiben allerdings alle Daten-Dateien, die vom Programm in der Zwischenzeit erzeugt wurden. Bei größeren Programmpaketen können so schnell einige überflüssige MegaBytes auf Ihrer Festplatte zurückbleiben. Umgekehrt funktioniert der Weg übrigens auch: Wenn Sie versehentlich ein Programm entfernt haben, entweder einfach gelöscht oder mit Hilfe des Windows Installers deinstalliert, können Sie es mit der Wiederherstellungsfunktion zurückholen. Voraussetzung ist allerdings, dass ein Wiederherstellungspunkt existiert, der den Zustand vor dem Löschen festgehalten hat. Mit der standardmäßig aktivierten Funktion,
9.3 Systemwiederherstellung ______________________________________________ 449 dass alle 24 Stunden ein Punkt gesetzt wird, dürfte die Wahrscheinlichkeit aber hoch sein, dass ein solcher besteht.
Automatische Erstellung Wiederherstellungspunkte werden nach den folgenden Richtlinien automatisch erstellt: Die Sicherung erfolgt als so genannter Systemprüfpunkt nach einer Richtlinien: bestimmten Zeitdauer (Standard: 24 Stunden), die Sie über einen Eingriff in die Registrierungsdatenbank ändern können. Die Erstellung erfolgt automatisch bei der Installation von Software mit dem WINDOWS INSTALLER oder dem Programm INSTALLSHIELD PRO (ab Version 7). Beachten Sie, dass andere Programme keinen Wiederherstellungspunkt erzeugen. In diesem Fall sollten Sie diesen manuell setzen. Wiederherstellungspunkte werden auch dann erstellt, wenn Sie unsignierte Treiber installieren. Sie können das Verhalten des Systems für die Erstellung von Wiederherstellungspunkten anpassen. Dies wird in Abschnitt 9.3.3 Konfigurieren der Systemwiederherstellung ab Seite 452 näher erläutert.
Wiederherstellungspunkt manuell erzeugen Manuell können Sie jederzeit einen Wiederherstellungspunkt erzeugen. Gehen Sie dazu wie folgt vor: 1. Klicken Sie im Startmenü mit Rechtsklick auf COMPUTER und wählen Sie im erscheinenden Kontextmenü den Punkt EIGENSCHAFTEN. 2. In der linken Aufgabenauswahl klicken Sie auf COMPUTERSCHUTZ. 3. Wählen Sie im Dialogfenster Systemeigenschaften aus den verfügbaren Datenträgern die Laufwerke aus, die beim Wiederherstellungspunkt berücksichtigt werden sollen. 4. Aktivieren Sie die Schaltfläche ERSTELLEN und vergeben Sie im nächsten Dialogfenster einen Namen für den Wiederherstellungspunkt. Datum und Uhrzeit werden übrigens separat gespeichert und später angezeigt, sodass Sie diese Angaben nicht in der Bezeichnung unterbringen müssen.
9.3.2
System wiederherstellen
Um Ihr System mit den Daten eines Wiederherstellungspunktes wieder in einen definierten lauffähigen Zustand zu versetzen, gehen Sie wie folgt vor: 1. Starten Sie den Assistenten für die Wiederherstellung, wie im vorhergehenden Abschnitt beschrieben.
450 _________________________________________ 9 Reparatur und Wiederherstellung 2. Wählen Sie die Registerkarte COMPUTERSCHUTZ aus und klicken Sie auf SYSTEMWIEDERHERSTELLUNG. Sie erhalten dann ein Fenster mit einer Auswahl. Abbildung 9.10: Wiederherstellungspunkt auswählen
Sie können den empfohlenen Wiederherstellungspunkt wählen oder einen anderen, der weiter in der Vergangenheit liegt. Bei den automatisch durch das System erzeugten Punkten finden Sie den Eintrag SYSTEM: GEPLANTER PRÜFPUNKT. Andere Wiederherstellungspunkte haben eindeutige Bezeichnungen, die auf den Grund hinweisen, oder sind von Ihnen selbst manuell erstellt worden. 3. Im nächsten Dialogfenster wird Ihnen die Auswahl noch einmal zur Bestätigung gegeben. Erst wenn Sie auf FERTIG STELLEN klicken, beginnt der eigentliche Prozess. Abbildung 9.11: Bestätigung der Auswahl
9.3 Systemwiederherstellung ______________________________________________ 451 4. Nach dem Kopieren der Dateien startet Windows Vista ohne wei- Neustart tere Rückfragen neu. Nach dem Neustart wird Ihnen zuerst ein Meldungsfenster angezeigt, mit welchem die durchgeführte Aktion bestätigt wird. Abbildung 9.12: Meldung über die durchgeführte Wiederherstellung
Schlägt die Wiederherstellung fehl, wird sie durch das System auto- Rückgängig bei matisch wieder rückgängig gemacht. Damit ist sichergestellt, dass Sie Fehlschlag nicht ein schlecht laufendes System durch ein noch schlechteres ersetzen müssen.
Wiederherstellung manuell rückgängig machen Brachte die Systemwiederherstellung nicht den gewünschten Erfolg, können Sie jede Wiederherstellung auch manuell wieder rückgängig machen. Gehen Sie dazu wie folgt vor: 1. Starten Sie den Assistenten für die Wiederherstellung wie in Abschnitt Wiederherstellungspunkt manuell erzeugen auf Seite 449 beschrieben. Wurde bereits eine Wiederherstellung durchgeführt, finden Sie hier die Option SYSTEMWIEDERHERSTELLUNG RÜCKGÄNGIG MACHEN. Abbildung 9.13: Letzte Wiederherstellung verwerfen
452 _________________________________________ 9 Reparatur und Wiederherstellung 2. Sie bekommen dann ein Dialogfenster mit der Information angezeigt, welcher Wiederherstellungsvorgang betroffen ist. Abbildung 9.14: Anzeige der betroffenen letzten Wiederherstellung
Neustart
Nach einem Klick auf F ERTIG STELLEN startet das System neu und macht alle Änderungen der letzten Wiederherstellungs-Aktion rückgängig.
9.3.3
Konfigurieren der Systemwiederherstellung
Die Systemwiederherstellungs-Funktion greift sehr tief in das Geschehen auf Ihrem System ein. In diesem Abschnitt finden Sie Informationen, wie Sie dessen Verhalten anpassen können.
Generelle Einstellungen Die Systemwiederherstellung ist standardmäßig für alle FestplattenVolumes aktiviert. Ausgeschlossen sind externe Plug&Play-Datenträger, die Sie über USB oder IEEE1394 (Firewire) betreiben. Sie können einzelne Volumes aus der Systemwiederherstellung ausschließen. Wenn Sie die Systemwiederherstellung für das Startvolume (enthält %Systemroot%) deaktivieren, wird sie generell für den gesamten Computer außer Betrieb gesetzt. Gehen Sie folgendermaßen vor, um diese Einstellungen vorzunehmen: 1. Öffnen Sie das Fenster Systemeigenschaften über die Tastenkombination Windows-Taste+Untbr oder den Punkt EIGENSCHAFTEN im Kontextmenü zum COMPUTER -Eintrag. Wählen Sie COMPUTERSCHUTZ aus der Aufgabenleiste auf der linken Seite. 2. Im Dialogfenster Systemeigenschaften markieren Sie in der Liste VERFÜGBARE DATENTRÄGER das betreffende Volume. Sie können
9.3 Systemwiederherstellung ______________________________________________ 453 durch Entfernen des Häkchens die Systemwiederherstellung ganz deaktivieren. Auf eine separate Größeneinstellung für einzelne Volumes, wie Sie sie vielleicht von Windows XP kennen, wurde bei Vista verzichtet. Abbildung 9.15: Systemwiederherstellung für die Laufwerke ein/ausschalten
Nach der Deaktivierung der Funktion für ein Volume werden alle bisher bestehenden Wiederherstellungspunkte auf diesem gelöscht und können somit für eine vielleicht später doch noch einmal beabsichtigte Wiederherstellung nicht mehr genutzt werden. Benutzen Sie Windows Vista im DualBoot mit Windows XP, beachten Sie, dass Vista die Wiederherstellungspunkte von XP überschreibt.
Änderungen in der Registrierung Weitergehende Einstellungen für das Verhalten der Systemwiederherstellung hat Microsoft vor dem Administrator verborgen. Trotzdem können Sie mit einem gewissen Risiko über die folgenden Schlüssel in der Windows-Registrierung einige Eigenschaften beeinflussen. Sie finden sie in folgendem Zweig: HKEY_LOCAL_MACHINE RegistrierungsZweig \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SystemRestore Hinweise zur Manipulation der Registrierung finden Sie in Abschnitt 9.6 Die Windows-Registrierung ab Seite 475.
454 _________________________________________ 9 Reparatur und Wiederherstellung
Sicherungsintervall
Lebensdauer
Sicherung während Benutzersitzung
Aktivieren/ Deaktiveren
Festplattennutzung
Die folgenden Schlüssel sind besonders interessant: RPG LOBALINTERVAL In diesem Schlüssel ist in Sekunden definiert, in welchen Abständen das System automatisch Prüfpunkte anlegt (Standard: 24 Stunden = 86 400 Sekunden). RPL IFEINTERVAL Wiederherstellungspunkte haben eine begrenzte Lebensdauer. Der Grund dafür ist sicherlich, dass es selten Sinn macht, nach einem Jahr eine Wiederherstellung durchzuführen abgesehen davon, dass die Speicherung dieser Punkte unnötig viel Platz verbraucht. Der Standardwert ist das Maximum von über 136 Jahren (4294967295 Sekunden, 0xffffffff). Wenn Sie fast täglich mit dem System arbeiten, dürfte ein Intervall von 30 Tagen ausreichen. RPSESSIONINTERVAL Sie können auch ein Zeitintervall für automatische Sicherungen während Benutzersitzungen definieren. Standardmäßig ist dies deaktiviert. Unabhängig davon ist aber die Sicherung über RPG LOBALINTERVAL (siehe oben). GENERALIZE_DISABLESR Damit können Sie über die Registrierung die Wiederherstellungsfunktion für den Computer deaktivieren. Dieser DWORD-Wert befindet sich im Unterschlüssel SETUP_LAST unterhalb des oben angegebenen Registrierungszweigs. DISKPERCENT Hier definieren Sie den maximalen Platz auf einem Datenträger in Prozent, der durch gespeicherte Wiederherstellungspunkte eingenommen werden darf. Das sind standardmäßig 15 Prozent. Dieser DWORD-Wert befindet sich im Unterschlüssel cfg unterhalb des oben angegebenen Registrierungszweigs.
9.3.4
Vorherige Versionen
Windows Vista legt Sicherungskopien von Dateien und Ordner an. Diese Kopien werden Schattenkopien genannt. Schattenkopien können sowohl lokale Daten sein als auch Daten auf einer Freigabe eines Netzwerkservers. Windows Vista bringt das Feature der Schattenkopien, das mit dem Windows Server 2003 eingeführt wurde, als erstes Windows-Clientsystem mit. Das System legt automatisch diese Schattenkopien täglich an. Forcieren lässt sich die Erstellung von Schattenkopien durch das im vorhergehenden Abschnitt beschriebene Setzen eines Systemwiederherstellungspunkts. Verantwortlich dafür ist der Dienst Volumeschattenkopie. Läuft dieser Dienst, können Sie im Windows Explorer eine Datei oder einen Ordner markieren und sehen im Kontextmenü den Eintrag VORHERIGE VERSIONEN WIEDERHERSTELLEN. Eine entsprechende Regis-
9.4 Hilfe bei Treiberproblemen _____________________________________________ 455 terkarte ist auch zu finden, wenn Sie sich die Eigenschaften einer Datei oder eines Ordners ansehen. Abbildung 9.16: Vorherige Versionen mit Hilfe der Schattenkopien wiederherstellen
Sie sehen alle gespeicherten Versionen der Datei und können sich mit ÖFFNEN die einzelnen Versionen ansehen. Mit KOPIEREN kann eine ältere Version in einen beliebigen Ordner kopiert werden. WIEDERHERSTELLEN erlaubt die Restauration einer korrupten Datei am selben Ort. Standardmäßig sind 15% eines Datenträgervolumes für das Anlegen von Volumeschattenkopien reserviert. Mit Hilfe des Kommandozeilentools VSSADMIN .EXE RESIZE SHADOWSTORAGE können Limits eingerichtet werden. Der Schalter /MaxSize wird dazu genutzt. Der Wert kann mit mehreren Einheiten angegeben werden: Vssadmin Resize ShadowStorage /MaxSize=20GB
9.4
Hilfe bei Treiberproblemen
Viele Probleme, die Sie mit einem Betriebssystem bekommen, haben meist mit nicht richtig funktionierenden Gerätetreibern zu tun. In den folgenden Abschnitten werden die Möglichkeiten von Windows Vista vorgestellt, diese Probleme zu meistern.
9.4.1
Funktionsfähige Treiber reaktivieren
Windows Vista verfügt über eine Funktion, mit deren Hilfe Sie even- Treiber-Rollback tuelle Probleme mit Gerätetreibern schnell in den Griff bekommen
456 _________________________________________ 9 Reparatur und Wiederherstellung
Eventuell Neustart erforderlich
Abbildung 9.17: Registerkarte Treiber im EigenschaftenDialogfenster eines Gerätes
können. Bei der Installation eines neuen Treibers werden die bisher verwendeten Treiberdateien vom Betriebssystem gesichert. Stellen Sie fest, dass ein neu installierter Treiber, beispielsweise für eine Grafikkarte, ein instabiles System zur Folge hat, können Sie mit einem einfachen und schnellen Verfahren den alten Treiber wieder reaktivieren. Gehen Sie wie folgt vor, wenn Sie einen vormals funktionierenden Treiber reaktivieren wollen: 1. Öffnen Sie das Kontextmenü zum COMPUTER-Eintrag im Startmenü und wählen Sie EIGENSCHAFTEN. Starten Sie den GERÄTEMANAGER. Über ANSICHT | AUSGEBLENDETE GERÄTE ANZEIGEN erhalten Sie momentan nicht aktive Geräte angezeigt, für die aber Treiber in Windows installiert worden sind. 2. Markieren Sie das betreffende Gerät und öffnen Sie dessen Eigenschaften-Fenster über das Kontextmenü. 3. In der Registerkarte TREIBER finden Sie die Schaltfläche VORHERIGER TREIBER. Wenn Sie diesen betätigen, wird versucht, den zuvor installierten Treiber wieder zu reaktivieren. Sind keine gesicherten Treiber vorhanden, erhalten Sie eine entsprechende Fehlermeldung, anderenfalls werden die Treiber nach einer vorherigen Rückfrage zurückgespielt. Abhängig vom konkreten Gerätetyp ist ein Neustart erforderlich, damit der alte Treiber vollständig wieder eingesetzt werden kann.
9.4 Hilfe bei Treiberproblemen _____________________________________________ 457 Erweiterte Treibereigenschaften anzeigen In Windows Vista gibt es eine Funktion, mit der Sie verschiedene erweiterte Treibereigenschaften im Geräte-Manager einsehen können. Das Verfahren dazu wird in Abschnitt Erweiterte Anzeige von Eigenschaften für Treiber ab Seite 441 erläutert.
9.4.2
Digitale Signaturen bei Treibern prüfen
Für die Sicherstellung einer einheitlich hohen Qualität von Gerätetrei- Windows Hardware bern hat Microsoft bereits mit Windows 2000 die Treibersignaturen Quality Lab eingeführt. Signaturen erhalten die Treiber, die umfangreiche Tests im von Microsoft geleiteten Windows Hardware Quality Lab (WHQL) bestanden haben. Die in den letzten Jahren gemachten Erfahrungen belegen tatsächlich, dass für ein instabiles System meist unsignierte Treiber verantwortlich waren. Das soll nicht alle Hersteller verunglimpfen, die noch keine Signatur aufweisen können, kann aber als nützlicher Hinweis dienen, bei Störungen unter Windows Vista auch zunächst nach unsignierten Treibern zu fahnden.
Signaturen und die Sicherheitskataloge Digitale Signaturen zu einzelnen Systemdateien sind unter Windows Vista in speziellen Katalogen verzeichnet, die vor dem direkten Benutzerzugriff geschützt abgelegt sind. Sie befinden sich unterhalb des folgenden Verzeichnisses: %Systemroot%\system32\CatRoot Diese so genannten Sicherheitskataloge sind selbst durch ein digitales Zertifikat gekennzeichnet, sodass sichergestellt werden kann, dass gefälschte Signaturen nicht ohne weiteres zum Einsatz kommen. Abbildung 9.18: Sicherheitskatalog mit der eigenen digitalen Signatur
458 _________________________________________ 9 Reparatur und Wiederherstellung Warnung bei Installation unsignierter Treiber
Möchten Sie einen Treiber installieren, der keine gültige digitale Signatur aufweist, wird standardmäßig eine entsprechende Warnung ausgegeben. Diese können Sie natürlich übergehen, tun dies dann aber mit dem Risiko eines eventuell instabilen Systems. Es kann sicher als Idealzustand angesehen werden, ausschließlich signierte Treiber zu benutzen. Dies wird dann aber die Palette nutzbarer HardwareRessourcen unter Umständen einschränken.
Prüfung von Treibersignaturen mit SIGVERIF.EXE Für die Überprüfung von Signaturen gibt es unter Windows Vista das Programm SIGVERIF.EXE. Das Programm verfügt über eine grafische Bedienoberfläche. Abbildung 9.19: Dienstprogramm SIGVERIF
Standardmäßig werden alle Dateien im Windows-Systemverzeichnis %Systemroot% und in allen Unterverzeichnissen überprüft. Nach Beendigung des Prüfvorganges erhalten Sie eine Übersicht mit der Angabe der nicht signierten Systemdateien. Abbildung 9.20: Liste der nicht signierten Dateien
9.4 Hilfe bei Treiberproblemen _____________________________________________ 459 Eine Protokolldatei mit dem Namen SIGVERIF.TXT wird ebenfalls standardmäßig im Verzeichnis %Systemroot% angelegt, in der alle Systemdateien mit ihrem Signaturstatus aufgeführt werden. Über die Schaltfläche ERWEITERT des Startfensters von SIGVERIF lassen sich die Programmfunktionen anpassen. Über die erweiterten SuchenEinstellungen können Sie festlegen, dass nur bestimmte Dateien in speziellen Ordnern untersucht werden sollen. Unter PROTOKOLLIEREN können Sie bestimmen, ob ein Protokoll aufgezeichnet und wo dieses gespeichert werden soll.
Protokolldatei SIGVERIF.TXT Erweiterte Einstellungen
Abbildung 9.21: Erweiterte Protokolleinstellungen
Wenn Sie nicht signierte Treiber installieren, wird standardmäßig ein Wiederherstellungspunkt generiert. Damit können Sie neben der beschriebenen Treiber-Rückinstallation auf jeden Fall das System zum vorherigen Stand zurückbringen. Weitergehende Informationen finden Sie dazu in Abschnitt 9.3 Systemwiederherstellung ab Seite 448.
9.4.3
Überprüfung von Treibern
Windows Vista liefert standardmäßig ein Tool mit aus, welches vor Treiberüberprüallem für Entwickler gedacht ist und in der Hilfe-Datenbank nicht fungs-Manager erwähnt wird. Dieses Tool heißt Treiberüberprüfungs-Manager und verfügt über eine grafische Oberfläche. Zusätzlich besteht die Möglichkeit der Steuerung der Software mit Optionen über die Befehlszeile oder für Entwickler die Einbindung in den Debugger WINDBG.EXE. In diesem Abschnitt wird das Tool so weit vorgestellt, wie es für die normale Arbeit eines Administrators bei der Behebung von Treiberproblemen helfen kann. Alle Einstellmöglichkeiten zu erläutern würde den Rahmen dieses Buches sprengen und ist auch nur für Entwickler, die Kernelmodus-Treiber entwickeln, interessant.
Grundsätzliches Verfahren Zur Überprüfung von Treibern gehen Sie wie nachfolgend beschrieben vor.
460 _________________________________________ 9 Reparatur und Wiederherstellung Treiber auswählen
nach Neustart Check
1. Bestimmen Sie die Treiber, die Sie einer Prüfung unterziehen wollen. Dabei hilft Ihnen die neue Version des TreiberüberprüfungsManagers mit einigen sinnvollen Voreinstellungen. Danach muss das System neu gestartet werden. 2. Nach dem Neustart werden die gewählten Treiber vom Treiberüberprüfungs-Manager kontrolliert. Dazu können Sie noch bestimmte Szenarios simulieren wie beispielsweise limitierte Systemressourcen. Für einen wirksamen Check dieser Treiber empfiehlt es sich jetzt, Routinen oder Anwendungsprogramme zu starten, die diese Treiber benötigen und belasten. Bei einer Fehlfunktion eines der Treiber wird das System mit einer Stopp-Meldung (Blue Screen) angehalten und eine entsprechende Fehlermeldung mit Angabe des Treibernamens generiert. Aus der bei einem Stopp erzeugten Memorydump-Datei können dann vor allem Entwickler ihre Schlüsse ziehen. Als normaler Administrator haben Sie aber wenigstens die Chance, den fehlerhaft arbeitenden Treiber herauszufinden und zu ersetzen. Während des Tests von Treibern über den TreiberüberprüfungsManager sollten Sie keine Dateien mit sensiblen Daten offen halten, da diese sonst durch einen plötzlichen Halt des Systems gefährdet sein könnten. Nach Durchführung aller Tests deaktivieren Sie den Überprüfungsstatus der Treiber wieder und starten den Computer neu.
Einstellungen vornehmen und Prüfung starten VERIFIER.EXE
Abbildung 9.22: Eingangs-Dialogfenster des Treiberüberprüfungs-Managers
Den Treiberüberprüfungs-Manager starten Sie, indem Sie über START|AUSFÜHREN das Programm VERIFIER.EXE aufrufen.
9.4 Hilfe bei Treiberproblemen _____________________________________________ 461 Im ersten Dialogfenster finden Sie zusammengefasst alle Aufgaben, die Sie durchführen können. Für die Aktivierung bestimmter Treiber zum Test empfiehlt sich die Auswahl der ersten Option STANDARDEINSTELLUNGEN ERSTELLEN. Sie können aus verschiedenen vordefinierten Einstellungen wählen: NICHT SIGNIERTE TREIBER AUTOMATISCH WÄHLEN Das Programm wählt alle nicht signierten Treiber und aktiviert deren Überprüfungsstatus. Sie bekommen ein Dialogfenster mit einer Liste dieser Treiber angezeigt (siehe Abbildung 9.24). TREIBER FÜR VORHERIGE WINDOWS-VERSIONEN AUTOMATISCH WÄHLEN
Hiermit werden alle Treiber gewählt, die für ältere WindowsVersionen (vor Windows 2000) entwickelt worden sind. ALLE AUF DIESEM COMPUTER INSTALLIERTEN TREIBER AUTOMATISCH WÄHLEN
Es werden alle Treiber ausgewählt. Diese Option sollten Sie nicht verwenden. Besser ist eine gezielte Auswahl eines oder weniger Treiber. TREIBER AUS EINER L ISTE WÄHLEN Sie können einen oder mehrere Treiber gezielt zur Überprüfung auswählen. Dabei haben Sie sogar die Möglichkeit, momentan nicht geladene Treiber mit einzuschließen, die beispielsweise nach Installation einer neuen Hardware nach dem Neustart erst aktiv werden. Abbildung 9.23: Verschiedene TreiberKategorien zur Überprüfung
Nach der Auswahl der Treiber müssen Sie den Computer neu starten (manuell, geschieht nicht automatisch), um die Prüfung zu starten.
462 _________________________________________ 9 Reparatur und Wiederherstellung Abbildung 9.24: Ausgewählte Treiber zum Check
Einstellungen einsehen oder löschen Aktuellen Status ermitteln
Abbildung 9.25: Treiber bei der Überprüfung
Über den Punkt VORHANDENE EINSTELLUNGEN ANZEIGEN im EingangsDialogfenster (siehe Abbildung 9.22 auf Seite 460) können Sie die gewählten Treiber auflisten lassen. Befinden sich diese bereits unter Überprüfung, finden Sie im Titel der Liste den Hinweis in Klammern LAUFZEITINFORMATIONEN. Im rechten Teil sehen Sie die Treiber und, wenn die Prüfung läuft, den aktuellen STATUS.
9.5 Windows Vista-Dienste ________________________________________________ 463 Sie löschen die Liste der zu überprüfenden Treiber, indem Sie im Ein- Treiber aus Übergangs-Dialogfenster den Punkt VORHANDENE EINSTELLUNGEN LÖSCHEN prüfung entfernen auswählen. Nach einem Neustart erfolgt dann keine Überprüfung mehr.
9.5
Windows Vista-Dienste
In Windows Vista spielen neben den Treibern die Dienste eine große Rolle. Dienste waren bereits in Windows NT eingeführt worden und dürften nur für Umsteiger von Windows 9x/ME neu sein. Über sie werden viele wichtige Funktionen realisiert, beispielsweise der Windows-Druckerspooler. Dienste führen ihre Aufgaben auch dann aus, wenn kein Benutzer am System angemeldet ist.
9.5.1
Dienstesteuerung in Windows Vista
Die interne Steuerung der Dienste unterscheidet sich nicht von der unter Windows XP. In Windows Vista sind allerdings einige Dienste neu hinzugekommen.
Speicherort der Dateien und die Windows-Registrierung Die zu den Diensten und Treibern zugehörigen Dateien befinden sich standardmäßig in diesen Verzeichnissen: %SystemRoot%\System32 %SystemRoot%\System32\Drivers Als Dateinamenerweiterungen sind DLL, EXE und SYS möglich. In der Windows-Registrierung werden Dienste und Treiber im folgenden Zweig verwaltet: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services Die Bezeichnungen entsprechen hier übrigens nicht den angezeigten Dienstnamen im Snap-In Dienste. Dort wird der Name angezeigt, der in der Registrierung unter DISPLAYNAME zu sehen ist. Drei Parameter sind besonders bedeutsam für die Dienste-Steuerung in Windows Vista: START: Definiert den Starttyp des Dienstes/Treibers. Die Werte 0 und 1 sind Treibern vorbehalten, die während des Systemstarts geladen und gestartet werden. TYPE: Definiert den Typ des Dienstes/Treibers. ERRORCONTROL: Legt das Verhalten des Systems im Fehlerfall fest.
464 _________________________________________ 9 Reparatur und Wiederherstellung Abbildung 9.26: Eintrag für den Dienst Druckerwarteschlange in der Registrierung
In den nachfolgenden Tabellen werden die möglichen Werte für diese Parameter beschrieben. Tabelle 9.2: Werte für den Parameter START (Starttyp)
Starttyp
Beschreibung
0 (Boot)
Treiber werden über den Bootloader geladen, aber noch nicht gestartet. Dies nimmt dann der Kernel vor, wenn dieser Ladevorgang fehlerfrei erfolgt ist.
1 (System)
Treiber werden bei der Kernel-Initialisierung von Windows geladen.
2 (Automatisch) Der Dienst wird beim Systemstart automatisch gestartet. Dies kann durch den Sitzungs-Manager oder durch den Dienststeuerungs-Manager geschehen.
Tabelle 9.3: Werte für den Parameter TYPE (Diensttyp)
3 (Manuell)
Der Dienst wird manuell von einem Benutzer, einem Prozess (einer Anwendung) oder einem anderen Dienst gestartet.
4 (Deaktiviert)
Der Dienst wird nicht gestartet, bis der Starttyp auf einen anderen Wert umgestellt wird.
Diensttyp
Beschreibung
1 (001h)
Kennzeichnet einen Kernelgerätetreiber.
2 (002h)
Kennzeichnet Kernelgeräte- und Dateisystemtreiber.
4 (004h)
Kennzeichnet Parameter zur Übergabe an Gerätetreiber.
16 (010h)
Betreffender Dienst wird vom Dienststeuerungs-Manager gestartet und läuft in einem eigenständigen Prozess.
32 (020h)
Betreffender Dienst kann gemeinsam mit anderen Diensten auf Prozesse zugreifen.
9.5 Windows Vista-Dienste ________________________________________________ 465 Zusätzlich kann ein Flag gesetzt sein, welches dem Dienst erlaubt, mit 100h: Flag für Dadem Benutzer zu interagieren (siehe auch Abbildung 9.32 auf Seite tenaustausch mit 470). Zum Diensttyp (nur bei 010h und 020h anwendbar) muss dazu dem Desktop der Wert 100h hinzugerechnet werden (mathematisch über OR!). Beim Dienst Spooler ist so folgerichtig als Diensttyp 110h (dezimal 272) zu finden. Wert
Beschreibung
0
Fehler wird ignoriert.
1
Fehler wird mit einer Warnmeldung im Systemereignisprotokoll verzeichnet.
2
Fehler wird mit einer Warnmeldung im Systemereignisprotokoll verzeichnet. Zusätzlich wird jedoch das System neu gestartet. Dabei werden die Einstellungen der letzten als funktionierend bekannten Konfiguration verwendet. Tritt der Fehler dennoch wieder auf, wird der Systemstart trotzdem fortgesetzt.
3
Wie beim Wert 2, jedoch kommt es zu einer STOPPNachricht (Blue Screen), wenn der Fehler auch bei der letzten als funktionierend bekannten Konfiguration auftritt.
Tabelle 9.4: Werte für den Parameter ERRORCONTROL
Abbildung 9.27: Reihenfolge für den Start der Dienstgruppen
Abhängigkeiten zwischen Diensten sind ebenfalls in der Registrierung Abhängigkeiten hinterlegt. Es gibt dazu zwei Einträge: DEPENDONSERVICE: Enthält einen oder mehrere Dienste, von denen dieser Dienst abhängig ist. Diese Dienste müssen erfolgreich gestartet sein, damit dieser Dienst ebenfalls starten kann. DEPENDONGROUP: Dienste können zu Gruppen zusammengefasst werden. Die Zugehörigkeit wird im Eintrag GROUP festgelegt. Mit dem Eintrag einer Gruppe unter DEPENDONGROUP wird festgelegt,
466 _________________________________________ 9 Reparatur und Wiederherstellung dass mindestens ein Dienst aus der angegebenen Gruppe bereits gestartet sein muss, damit dieser Dienst ebenfalls starten kann.
Sitzungs-Manager SMSS.EXE
Der Sitzungs-Manager (SMSS.EXE) wird durch den Kernel während des Hochfahrens des Systems gestartet. Vor dem Starten von Diensten werden Einstellungen geladen, die in folgendem Zweig abgelegt sind: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Session Manager Nachfolgend werden einige ausgewählte Werte näher betrachtet: BOOTEXECUTE In diesem Wert ist das AUTOCHK-Tool hinterlegt, welches das Dateisystem während des Systemstarts überprüfen und reparieren kann (siehe Seite 721). Unterzweig FILERENAMEOPERATIONS Hier sind anstehende Umbenennungen von Dateien hinterlegt, die durch Installationsprogramme initiiert werden, wenn eine Datei während des laufenden Betriebs nicht durch eine neuere ausgetauscht werden kann. Beim nächsten Systemstart wird dies dann entsprechend dieser Einträge vorgenommen. Unterzweig ENVIRONMENT Hier sind die Standardwerte für Umgebungs- und Systemvariablen zu finden. Die Path-Angabe lässt sich damit global setzen. Dies funktioniert leider nicht mit dem temporären Verzeichnis (unter TEMP und TMP). Sollen alle Benutzer das selbe temporäre Verzeichnis zugewiesen bekommen, bleiben drei Alternativen: 1. Individuelles Einstellen innerhalb jeder Benutzeranmeldung 2. Startskript verwenden mit Set Temp= 3. Standard-Benutzerprofil anpassen Weitere Informationen finden Sie in Abschnitt 5.5.5 Neues StandardProfil erstellen ab Seite 291. Unterzweig MEMORY MANAGEMENT In diesem Zweig sind die Einstellungen zum virtuellen Arbeitsspeicher hinterlegt, darunter die zur Auslagerungsdatei. Der Sitzungs-Manager startet darüber hinaus die folgenden Komponenten: Kernelmodusabschnitt des Windows-Subsystems: %SystemRoot%\System32\Win32k.sys Benutzermodusabschnitt des Windows-Subsystems: %SystemRoot%\System32\Csrss.exe
9.5 Windows Vista-Dienste ________________________________________________ 467 Dienststeuerungs-Manager Der Dienststeuerungs-Manager (SERVICES.EXE) startet beim Hochfah- SERVICES.EXE ren des Systems alle Dienste, bei denen der Starttyp den Wert 2 (Automatisch) aufweist.
Funktion von SVCHOST.EXE Eine ganze Reihe von Diensten liegt in Form so genannter Dynamic Dienste als DLLLink Libraries (DLL-Dateien) vor. Dienste in DLL-Dateien können nicht Dateien direkt aufgerufen werden, sondern benötigen zum Start das Programm SVCHOST.EXE. Es befindet sich in diesem Ordner: %SystemRoot%\System32 Beim Systemstart überprüft das Programm den Diensteabschnitt in der Registrierung (siehe Seite 463) und stellt daraus eine Liste mit den zu startenden Diensten zusammen. Diese werden wiederum in Gruppen zusammengefasst und in diesem Registrierungszweig abgelegt: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SvcHost Abbildung 9.28: Gruppen von Diensten, die über SVCHOST.EXE gestartet werden
SVCHOST.EXE kann in mehreren Instanzen durch Windows gestartet TASKLIST /SVC und beendet werden. Im Task-Manager sehen Sie leider immer nur diese Sessions, jedoch nicht, welche Treiber und Dienste dahinter stehen. Das erfahren Sie erst, wenn Sie das Kommandozeilen-Tool TASKL IST.EXE mit der Option /SVC einsetzen. Weitere Hinweise finden Sie in Abschnitt Dienste mit TASKLIST.EXE überwachen ab Seite 473.
468 _________________________________________ 9 Reparatur und Wiederherstellung Process Explorer
Alternativ gibt es eine Reihe von Tools, die grafisch oder auf Kommandozeilen-Ebene Einblicke in die Prozessstruktur des Betriebssystems erlauben. Der Process Explorer von Mark Russinovich ist so ein Beispiel. Sie erhalten die Software über diese Website: www.sysinternals.com
Abbildung 9.29: Process Explorer mit Anzeige der Details zu den SVCHOSTSessions
Mit dem Programm können Sie unter anderem genau nachverfolgen, welche Treiber SVCHOST.EXE geladen hat.
9.5.2 SERVICES.MSC
Abbildung 9.30: Managementkonsole DIENSTE
MMC-Snap-In Dienste
Für die Diensteverwaltung gibt es das separate ManagementkonsolenSnap-In Dienste.
9.5 Windows Vista-Dienste ________________________________________________ 469 Dieses Snap-In ist sowohl in der vorkonfigurierten MMC Computerverwaltung zu finden als auch separat in der MMC Dienste. Letztgenannte starten Sie einfach über die Suchleiste im Startmenü, indem Sie dort SERVICES.MSC eingeben. Wenn Sie auf einen Dienst klicken, erhalten Sie in der Management- Informationen konsole eine kurze Erklärung zu seiner Funktion. Voraussetzung ist erhalten allerdings, dass zu dem Dienst eine solche Information verfügbar ist. Dienste, die über Softwarepakete von Drittherstellern installiert werden, haben diese unter Umständen nicht. Über die Symbolleiste können Sie einen Dienst steuern: Setzt einen angehaltenen Dienst fort.
Starten und beenden
Startet einen beendeten Dienst. Beendet den betreffenden Dienst. Hält einen Dienst an. Der Dienst muss das zulassen. Beendet den Dienst und startet ihn sofort neu.
Diensteverwaltung im Detail Einstellungen zu einem Dienst passen Sie über das zugehörige Detail- Startart festlegen fenster an, welches sich durch einen Doppelklick öffnet. Abbildung 9.31: Detailfenster zu einem Dienst
In der Registerkarte ALLGEMEIN finden Sie neben den Schaltflächen zum STARTEN und B EENDEN auch das Auswahlfeld STARTTYP: AUTOMATISCH (Wert: 2) MANUELL (Wert: 3) DEAKTIVIERT (Wert: 4)
470 _________________________________________ 9 Reparatur und Wiederherstellung
Startparameter
Anmeldekonto
Es werden hier jedoch nicht alle möglichen Werte eingeblendet (vergleiche Tabelle 9.2 auf Seite 464). Zum Start mancher Dienste können weitere Startparameter übergeben werden. Diese entsprechen Kommandozeilenoptionen normaler Programme. Dienste laufen wie Programme im Sicherheitskontext des Betriebssystems und werden damit unter einem bestimmten Benutzerkonto ausgeführt. Für viele Systemdienste ist das das lokale Systemkonto. Bestimmte Dienste, wie Agenten von Sicherungsprogrammen, können aber auch unter speziellen Benutzerkonten ausgeführt werden. Diese Einstellungen legen Sie unter der Registerkarte ANMELDEN fest.
Abbildung 9.32: Diensteanmeldung festlegen
Läuft der Dienst unter dem lokalen Systemkonto, können Sie zusätzlich festlegen, ob der Dienst mit angemeldeten Benutzern kommunizieren kann. Bei Diensten wie der Druckerwarteschlange ist das teilweise notwendig, bei vielen anderen hingegen nicht. Voreinstellungen sollten Sie in dieser Hinsicht nicht ändern, um die Systemstabilität nicht zu gefährden. Abbildung 9.33: Verhalten bei Dienstausfall festlegen
9.5 Windows Vista-Dienste ________________________________________________ 471
Über die Registerkarte WIEDERHERSTELLEN, die übrigens nichts mit den Verhalten bei Wiederherstellungsfunktionen von Windows Vista zu tun hat, können Dienstausfall Sie das Verhalten festlegen, wenn ein Dienst unerwartet beendet werden sollte. Ein Dienstausfall wird übrigens auch in den Ereignisprotokollen erfasst, sodass ein Ausfall mit automatischem Neustart nicht verborgen bleibt. Viele Dienste hängen eng miteinander zusammen. Startet ein Dienst Abhängigkeiten nicht, kann dafür eventuell das Nichtfunktionieren eines anderen prüfen Dienstes verantwortlich sein. Abbildung 9.34: Abhängigkeiten des Dienstes von anderen Diensten anzeigen
Mit diesen Informationen können Sie unter Umständen den Verursacher von Problemen ausmachen.
9.5.3
Dienste über die Kommandozeile steuern
Für spezielle Administrationsaufgaben kann es sinnvoll sein, Dienste über die Eingabeaufforderung zu überwachen beziehungsweise zu steuern. Windows Vista bietet dazu standardmäßig verschiedene Kommandozeilentools, die nachfolgend vorgestellt werden. Alle nachfolgenden Befehlszeilenparameter sind nicht »case-sensitive«. Eine Groß- und Kleinschreibung spielt also keine Rolle. Die Großschreibung wird nur wegen der besseren Lesbarkeit verwendet.
Dienste mit SC.EXE steuern Dieses mächtige Tool stellt im Prinzip das nichtgrafische Pendant zum Managementkonsolen-Snap-In DIENSTE dar. Die Bedienung ist recht
472 _________________________________________ 9 Reparatur und Wiederherstellung
Remotezugriff möglich
Dienste auflisten
komplex. An dieser Stelle werden einige ausgewählte Optionen von SC.EXE vorgestellt. Informationen zu allen Optionen finden Sie in der Online-Hilfe von Windows Vista. Wollen Sie einen Dienst nur einfach über die Eingabeaufforderung lokal an einem Windows Vista-Computer starten oder stoppen, empfiehlt sich die Nutzung des Programms N ET.EXE, welches im nachfolgenden Abschnitt ab Seite 473 beschrieben wird. Das Programm SC.EXE kann im Unterschied zu NET.EXE allerdings für entfernte Systeme eingesetzt werden. Dazu lässt sich als erste Option der Name des Zielcomputers einsetzen. Dieser Computername muss im UNC-Format angegeben werden, beispielsweise: Sc \\SERVER Wollen Sie SC.EXE nur für den lokalen Computer ausführen, kann die Angabe eines Zielsystems entfallen. Die prinzipielle Syntax sieht so aus: Sc <Server> [Befehl] [Dienstname] Die weiteren vorgestellten Optionen zu SC.EXE sind nach Funktionen geordnet: Sc query [] Sie können die Dienste auflisten lassen. Ohne die Angabe weiterer Optionen werden alle Dienste mit einigen zusätzlichen Informationen aufgeführt. Für die Einschränkung der Anzeige können Sie genau spezifizieren, welche Dienste angezeigt werden sollen: Sc query Es werden nur Informationen zum angegebenen Dienst ausgegeben. Sc query type= <art> Sie können die Anzeige auf bestimmte Dienst-Arten beschränken. Beachten Sie, dass das Leerzeichen zwischen dem Gleichheitszeichen und <art> gesetzt sein muss. Das gilt auch für alle anderen entsprechenden Optionen. Folgende Werte sind für <art> zulässig: All
Listet alle Treiber und Dienste auf.
Driver
Listet nur die Treiber auf.
Service
Listet nur die Dienste auf. Das ist die Standardeinstellung, wenn Sie keinen Wert setzen.
Sc query type= Zusätzlich zur Dienst-Art oder alleinstehend können Sie diese Option einsetzen. Damit lassen sich Dienste nach ihrem Typ auswählen: Own
Listet Treiber und Dienste auf, die als eigenständige Prozesse ausgeführt werden. Das ist die Standardeinstellung.
Share
Listet Dienste auf, die eine ausführbare Datei mit anderen Diensten gemeinsam nutzen.
9.5 Windows Vista-Dienste ________________________________________________ 473 Interact
Listet Dienste auf, die mit dem Desktop interagieren können. Diese Dienste laufen stets unter dem Konto LocalSystem.
Kernel
Listet Kerneltreiber auf.
Filesys
Listet Dateisystem-Treiber und Dienste auf.
Sc query state= <status> Dienste und Treiber können Sie auch nach ihrem Status auflisten lassen. Dabei sind folgende Werte für <status> möglich: All
Listet alle Dienste auf, ob inaktiv oder aktiv.
Inactive
Listet nur inaktive Dienste auf.
Sc queryex Fragt den erweiterten Status eines Dienstes ab. Sc pause Mit dieser Option können Sie einen Dienst anhalten, sofern dieser das unterstützt. Sc start [] Sc stop Mit diesen beiden Optionen können Sie einen Dienst beenden beziehungsweise starten. Sc failure Ändert die Aktionen im Fehlerfall. Sc qfailure Fragt die Aktionen ab, die im Fehlerfall ausgeführt werden. Sc description Setzt die Beschreibung für einen Dienst. Sc qdescription Fragt die Beschreibung eines Dienstes ab.
Dienst anhalten
Dienst starten und beenden
Im Fehlerfall
Beschreibung
Dienste mit NET.EXE steuern Dienste lassen sich ebenfalls über das Kommandozeilen-Tool NET.EXE Aktive Dienste steuern. Der Aufruf von net start ohne weitere Optionen listet alle ak- auflisten tiven Dienste auf. Enthält ein Dienstname Leerzeichen, fassen Sie ihn in zwei Anführungszeichen "" ein. Weitere Optionen sind die folgenden: Net start Syntax Net stop Net pause Net continue
Dienste mit TASKLIST.EXE überwachen Mit diesem Programm können Sie die aktuelle Task-Liste auf dem eigenen oder einem Remote-PC einsehen. Im Unterschied zum Task-
474 _________________________________________ 9 Reparatur und Wiederherstellung
Syntax
Tabelle 9.5: Ausgewählte Optionen von TaskList.exe
Manager erhalten Sie auch Einblick in das Treiben von SVCHOST.EXE (siehe Abschnitt Funktion von SVCHOST.EXE ab Seite 467). TaskList [/S <System> [/U [/P []]]] [/M <Modulname>] | /SVC | /V] [/FI ] [/FO ] [/NH] In der nachfolgenden Tabelle finden Sie Informationen zu den Optionen von TASKL IST. Option
Bedeutung
/S <System>
Hier wird der Zielcomputer angegeben, von dem die Task-Liste angezeigt werden soll. Der Parameter entfällt, wenn das lokale System gemeint ist.
/U
Das Benutzerkonto unter dessen (Sicherheits-) Kontext die Task-Liste abgerufen wird
/P
Übergibt das Kennwort für den über /U angegebenen Benutzer.
/M <Modulname>
Es kann angegeben werden, für welches Modul die Tasks angezeigt werden sollen.
/SVC
Es werden für jeden Prozess die Dienste angezeigt.
/V
Es werden ausführliche Informationen für jeden Task angezeigt. V steht für Verbose.
/FI
Die Task-Liste kann gefiltert werden. Die Parameter müssen in Hochkommata angegeben werden und können über den Opertor OR miteinander verknüpft werden.
/FO
Das Format der Ausgabe: TABLE: Felder sind durch aufgefüllte Leerzeichen voneinander getrennt. LIST: Felder sind untereinander angeordnet CSV: Komma-separierte Liste, geeignet zum Einlesen in Excel
/NH
Es werden keine Spaltenkopfzeilen mit ausgegeben. NH steht für No Header.
Prozesse mit TASKKILL.EXE beenden
Syntax
Zum Beenden von Programmen oder Diensten kann dieses Programm verwendet werden. TaskKill [/S <System> [/U [/P []]]] { [/FI ] [/PID ] [/IM ] } [/F] [T]
9.6 Die Windows-Registrierung ____________________________________________ 475 Die Optionen /S, /U, /P und /FI sind in Tabelle 9.5 erläutert. Zu den anderen Optionen finden Sie Erklärungen in der folgenden Tabelle. Tabelle 9.6: Ausgewählte OptioAngabe der Prozess-ID des Prozesses, der beendet nen von TaskKill.exe werden soll. Diese kann über TASKLIST ermittelt werden.
Bedeutung
Option /PID
/IM
Angabe des Namens des Tasks, der beendet werden soll. Dieser kann über TASKLIST ermittelt werden.
/F
Erzwingt das Beendigen des Prozesses, wenn dieser nicht normal beendet werden kann.
/T
Beendet diesen Prozess und alle untergeordneten Prozesse.
9.6
Die Windows-Registrierung
Die Registrierungsdatenbank, auch mit Registrierung bezeichnet, dient der Speicherung aller wesentlichen Konfigurationsinformationen. Sie besteht aus einer Reihe separater Datenbankdateien, die über den Registrierungseditor logisch dargestellt und bearbeitet werden können. Die Registrierungsdatenbank macht die mühselige Pflege von abertausenden von textbasierten Konfigurationsdateien unnötig, wie sie bei Windows vor Windows 95 üblich waren und im UNIX-Bereich üblich sind. Nehmen Sie manuelle Änderungen an der Registrierung grundsätzlich sehr sorgsam mit einer Sicherung des alten Standes, beispielsweise über Setzen eines Wiederherstellungspunktes (siehe auch Abschnitt 9.3 Systemwiederherstellung ab Seite 448), vor. Eine Beschädigung der Registrierung kann bis zur Unbrauchbarkeit des ganzen Betriebssystems führen.
9.6.1
Grundlegende Struktur
Physisch besteht die Registrierungsdatenbank von Vista aus nur zwei Schlüsseln: Hardware und HKEY_LOCAL_MACHINE In diesem Schlüssel sind benutzerunabhängige Konfigurations- Software für alle informationen zur Hard- und Software des Systems abgelegt. HKEY_USERS Benutzer Dieser Schlüssel enthält das Stammverzeichnis aller im System registrierten Benutzer, einschließlich der Standardeinstellungen für alle neuen Benutzer. Die Benutzer sind hier mit Ihrer SID verzeichnet. Lesen Sie in Abschnitt Ermittlung der SID von Benutzern ab Seite 271, wie Sie die SID ermitteln und die Schlüssel interpretieren.
476 _________________________________________ 9 Reparatur und Wiederherstellung
Dateinamen-Erweiterungen
Nutzerprofil
Hardwareprofil
Speicherort
Die logische Struktur der Registrierungsdatenbank besteht aus fünf Teilen. Diese Struktur entsteht, indem im Registrierungseditor Verweise auf Zweige der Hauptschlüssel als weitere Hauptschlüssel dargestellt werden. HKEY_CLASSES_ROOT Hier sind die Zuordnungen der Dateinamen-Erweiterungen zu den entsprechenden Anwendungsprogrammen zu finden. Auch COM-Komponenten und ActiveX-Steuerelemente tragen sich hier ein. Dieser Schlüssel ist ein Link auf: HKEY_LOCAL_MACHINE\Software\Classes HKEY_CURRENT_USER Das Nutzerprofil des aktuell angemeldeten Benutzers ist hier abgelegt, wie beispielsweise die Einrichtung der Dateien und Anwendungen oder die Bildschirmfarben. Der Schlüssel ist ein Link auf die verschlüsselt abgelegte Konfigurationsstruktur für den entsprechenden Benutzer in HKEY_USERS. Dort finden Sie die Registrierungsdaten aller Benutzer. Je nach aktueller Anmeldung ist HKEY_CURRENT_USER ein Link auf den einen oder anderen Eintrag in HKEY_USER\SID. Wenn ein neuer Benutzer angelegt wird, übernimmt er vor einer benutzerspezifischen Konfiguration die Informationen aus dem Zweig HKEY_USERS\.DEFAULT. HKEY_USERS\.DEFAULT entsteht bei der ersten Installation des Systems. Die hier vorgenommenen Einstellungen verbleiben als Kopiervorlage für alle neuen Benutzer. Auch aus diesem Grund ist die sorgfältige Ersteinrichtung von großer Bedeutung. HKEY_CURRENT_CONFIG Hier sind die Informationen zum Hardwareprofil hinterlegt, welches beim Start des Windows-Systems auf Ihrem Computer benutzt wird. Dieser Zweig ist ein Link auf folgenden Pfad der Registrierung: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Hardware Profiles \Current Die Dateien der Registrierungsdatenbank sind im folgenden Verzeichnis abgelegt: %Systemroot%\System32\Config Sie besteht aus den folgenden Dateien: BCD-TEMPLATE
SECURITY
COMPONENTS
SOFTWARE
DEFAULT
SYSTEM
SAM
9.6 Die Windows-Registrierung ____________________________________________ 477 Dazu kommen noch diese benutzerspezifischen Dateien: NTUSER.DAT In dieser Datei befindet sich die Konfiguration des jeweiligen Benutzerprofils. Sie liegt in folgendem Verzeichnis: %Systemdrive% \Users \ USRCLASS.DAT Die benutzerspezifischen Teile des HKEY_CLASSES_ROOT-Zweiges sind in dieser Datei untergebracht. Sie liegt in folgendem Verzeichnis: %Systemdrive% \Users \ \Appdata \Local \Microsoft \Windows In Abschnitt 9.6.3 Sicherung der Systemregistrierung ab Seite 483 erfah- Registrierung ren Sie, wie Sie die Registrierungsdatenbankdateien sichern können sichern und wo diese standardmäßig abgelegt werden.
Aufbau der Registrierungseinträge Die Daten der Registrierung die Registrierungseinträge sind hierarchisch angeordnet. Jeder Eintrag besitzt einen der folgenden Datentypen: REG_BINARY Ein solcher Eintrag erfasst Binärdaten oder Informationen, die anderen Datentypen nicht zugeordnet werden können. REG_DWORD In einem solchen Eintrag wird ein 32-Bit-Wert gespeichert. Dies ist eine Zahl zwischen 0 und 4 294 967 295. REG_EXPANDSZ Dieser Typ nimmt Zeichenketten auf, untersucht den Inhalt jedoch, um festzustellen, ob Variablennamen der Art %VARIABLE% enthalten sind. Ist das der Fall, wird die Variable durch ihren aktuellen Inhalt ersetzt, wenn Windows den Schlüssel verwendet. REG_FULL_RESOURCE_DESCRIPTOR Dies beinhaltet eine Serie verschachtelter Arrays zur Speicherung einer Ressourcenliste, die von einem physischen Hardwaregerät verwendet wird. Diese Binärdaten werden durch das System erkannt und in die Struktur \HardwareDescription geschrieben. REG_LINK Das ist ein symbolischer Link in Form einer Unicode-Zeichenfolge.
478 _________________________________________ 9 Reparatur und Wiederherstellung REG_MULTISZ Wenn Listen gespeichert werden sollen, bietet sich dieser Typ an, der mehrere Zeichenketten aufnimmt. REG_NONE Dies dient der Aufnahme von Binärdaten ohne bestimmten Typ, die durch das System oder Anwendungen in die Registrierung geschrieben werden. REG_RESOURCE_LIST Hier werden hexadezimale Binärwerte in Form verschachtelter Arrays abgelegt, was zur Speicherung von Ressourcenlisten genutzt werden kann. Benötigt wird dies beispielsweise für Hardwaregerätetreiber. Die Daten werden in die Struktur \ResourceMap geschrieben. REG_RESOURCE_REQUIREMENTS_LIST Dieser Typ kann eine Serie verschachtelter Arrays zur Speicherung einer Liste möglicher Hardwareressourcen eines Gerätetreibers aufnehmen, die dieser oder eines der durch diesen Treiber gesteuerten physischen Geräte verwenden kann. Eine Teilmenge dieser Liste findet sich in der Struktur \ResourceMap wieder. REG_SZ In diesem Eintrag werden kurze Texte, so genannte Zeichenketten, gespeichert. REG_QWORD Dieser Typ kann Daten aufnehmen, die durch eine ganze Zahl mit 64 Bit repräsentiert werden. Diese Daten werden als Binärdaten im Registrierungseditor angezeigt.
9.6.2 REGEDIT.EXE oder REGEDT32.EXE
Abbildung 9.35: Registrierungseditor REGEDIT.EXE
Bearbeiten der Registrierung
Für die Bearbeitung der Registrierung steht unter Windows Vista ein Registrierungseditor zur Verfügung.
9.6 Die Windows-Registrierung ____________________________________________ 479 Die noch unter Windows NT und Windows 2000 getrennt verfügbaren Werkzeuge REGEDIT.EXE und REGEDT32.EXE sind in ein Programm zusammengeführt worden. Jetzt führt ein Aufruf beider Varianten unter Windows Vista zum gleichen Programm. Der Registrierungseditor zeigt alle Unterschlüssel in einer kompletten Baumstruktur an, analog zur Darstellung der Verzeichnisse im Windows Explorer. Die Registrierungsdatenbank wird so als eine logische Einheit dargestellt. Folgende Merkmale kennzeichnen das Programm: Suchfunktion Suchfunktion Über das Menü BEARBEITEN | SUCHEN oder die Tastenkombination Strg-F können Sie die Suchfunktion aktivieren. Die Suche beginnt bei dem aktuell geöffneten Unterschlüssel oder Wert. Dabei können Sie festlegen, ob Sie nach einem SCHLÜSSELNAMEN, bestimmten WERTEN oder inhaltlichen DATEN suchen wollen. Abbildung 9.36: Suchfunktion für die Registrierung
Aktivieren
Sie das Kontrollkästchen GANZE ZEICHENFOLGE muss der eingegebene Suchtext exakt mit den Werten beziehungsweise den Daten in der Registrierungsdatenbank übereinstimmen. Über B EARBEITEN | WEITERSUCHEN oder die Funktionstaste F3 kön- Weitersuchen nen Sie nach einem einmal eingegebenen Suchbegriff weitersuchen lassen. Favoriten Favoriten verwalten Für das Finden bestimmter Stellen in der Registrierungsdatenbank können Sie die FAVORITEN-Funktion benutzen. Über den gleichnamigen Menüpunkt fügen Sie einfach einen bestimmten Unterschlüssel als Favorit hinzu. Im Menü FAVORITEN erscheint dieser dann und steht für einen schnellen Zugriff bereit. Exportfunktion Export Die ganze Registrierungsdatenbank oder einzelne untergeordnete Strukturen können Sie in eine Datei exportieren. Über das Hauptmenü DATEI | EXPORTIEREN erhalten Sie ein Eingabefenster, in welchem Sie den Namen der Datei angeben und darüber hinaus festlegen, ob die gesamte Datenbank oder nur eine Teilstruktur exportiert werden sollen. VERGLEICHEN,
480 _________________________________________ 9 Reparatur und Wiederherstellung
Import
Die exportierte Datei mit der Erweiterung .REG ist auch eine normale Textdatei, die mit jedem Editor bearbeitet werden kann. Allerdings wird sie durch eine spezielle Syntax zur Registrierungsdatei, die per Doppelklick wieder importiert werden kann. Importfunktion Neben dem Export können Sie Registrierungsdateien importieren. Gehen Sie dazu über DATEI | IMPORT.
Sicherheitsfunktionen
Sicherheit
Die Registrierung verfügt über ein eigenes Sicherheitskonzept, um Anwendern auf der einen Seite Änderungen zu erlauben, auf der anderen Seite aber zu verhindern, dass wichtige Schlüssel durch Eingriffe den Ablauf von Windows stören. Die meisten Einstellungen können Sie nur als Administrator vornehmen. Sicherheitsoptionen Über das Menü B EARBEITEN | BERECHTIGUNGEN lassen sich die Zugriffsberechtigungen für alle über- und untergeordneten Kategorien und Schlüssel explizit setzen. Damit können Sie beispielsweise bestimmte Schlüssel vor dem Zugriff durch normale Benutzer schützen.
Abbildung 9.37: Festlegen von Berechtigungen
Überwachung
Überwachung Darüber hinaus können Sie auch Kategorien oder Schlüssel überwachen lassen. Eine Änderung, so sie zugelassen ist, wird dann im
9.6 Die Windows-Registrierung ____________________________________________ 481 Ereignisprotokoll aufgezeichnet. Die Überwachung definieren Sie über die Schaltfläche ERWEITERT beim Dialogfenster für die BERECHTIGUNGEN (siehe Abbildung 9.37). Beachten Sie, dass zum Wirksamwerden der Überwachung die entsprechende ÜBERWACHUNGSRICHTLINIE eingestellt sein muss und dass in einer Domäne des Active Directory die Sicherheitsrichtlinien auf Domänenebene Vorrang vor den lokalen haben.
Fremde Registrierungsdatenbank-Datei zum Bearbeiten laden Mit REGEDIT können Sie auch Dateien der Registrierungsdatenbank einer »fremden« Windows Vista-Betriebssysteminstallation laden. So können Sie beispielsweise Einträge eines Systems korrigieren, welches sich vielleicht selbst nicht mehr starten lässt. Wichtigste Voraussetzung ist natürlich, dass Sie auf eine dieser Datei- Zugriff auf Fremden (siehe Abschnitt 9.6.1 Grundlegende Struktur ab Seite 475) Zugriff system haben. Schließen Sie also gegebenenfalls die Festplatte mit der Startpartition des defekten Computers an Ihr System an. Gehen Sie wie folgt vor, um die Einträge einer fremden Registrierungsdatenbank zu bearbeiten: 1. Starten Sie REGEDIT an Ihrem PC und markieren Sie den Zweig HKEY_LOCAL_MACHINE oder HKEY_USERS. 2. Wählen Sie aus dem Menü DATEI den Punkt STRUKTUR LADEN. 3. Suchen Sie über das dann folgende Dialogfenster den Speicherort für die Dateien der Registrierungsdatenbank: \WINDOWS\system32\config Setzen Sie für den Platzhalter den Laufwerkbuchstaben ein, unter dem die Startpartition beziehungsweise das Startvolume des Fremdsystems eingebunden ist. Abbildung 9.38: Laden einer fremden Registrierungsdatenbank-Datei
482 _________________________________________ 9 Reparatur und Wiederherstellung
Bearbeiten
Entladen
Meist werden Sie Änderungen in der Datei SYSTEM oder SOFTWARE vornehmen wollen. 4. Vergeben Sie einen Schlüsselnamen, unterhalb dessen die geladene Struktur angezeigt werden soll. Diesen Namen können Sie beliebig wählen. Sie können nun auf die Einträge genauso zugreifen wie auf die des lokalen Systems. Alle getätigten Änderungen werden übrigens sofort in die Datei geschrieben lassen Sie also besser entsprechende Vorsicht walten. Markieren Sie nach der Bearbeitung wieder die Wurzel des zugefügten Zweiges und wählen Sie im Menü DATEI den Punkt STRUKTUR ENTFERNEN.
Registrierungsdatenbank über das Netzwerk bearbeiten Einen Zugriff auf die Registrierung eines anderen PCs können Sie auch über das Netzwerk herstellen. Wichtigste Voraussetzung dazu ist neben der technischen Zugriffsmöglichkeit via Netzwerkprotokoll das Laufen des Dienstes Remote-Registrierung. Dieser wird standardmäßig beim Hochfahren von Windows Vista automatisch gestartet. Zugriff erhalten Sie dann auf die Zweige HKEY_LOCAL_MACHINE oder HKEY_USERS. Administrator-Rech- Auf dem Fremd-PC benötigen Sie des Weiteren Administrator-Rechte. te erforderlich In einer Active Directory-Domäne reicht es aus, wenn Sie REGEDIT unter dem Konto eines Domänen-Admins gestartet haben. In einer Arbeitsgruppen-Umgebung sollten Sie REGE DIT als lokaler Administrator starten, wobei ein gleich lautendes Konto mit dem gleichen Kennwort auch auf dem Remote-PC existieren muss. Abbildung 9.39: RegEdit mit der über das Netzwerk geladenen Registrierung eines anderen PCs
9.6 Die Windows-Registrierung ____________________________________________ 483 Gehen Sie wie folgt vor: Registrierung laden 1. Markieren Sie in REGEDIT das Arbeitsplatz-Symbol und wählen Sie aus dem Menü DATEI den Punkt MIT NETZWERKREGISTRIERUNG VERBINDEN. 2. Geben Sie den Zielcomputer an. Nach erfolgreicher Verbindungsaufnahme erscheint neben dem Arbeitsplatz-Symbol Ihres lokalen Systems ein Symbol für den Fremd-PC. Sie können nun auf die Einträge wiederum genauso zugreifen wie auf Bearbeiten die Ihres lokalen Systems. Änderungen werden sofort in die Datenbank geschrieben. Auch hier gilt die Empfehlung, dass Sie besser entsprechende Vorsicht walten lassen. Markieren Sie nach der Bearbeitung das Symbol der hinzugefügten Entladen Registrierung und wählen Sie im Menü DATEI den Punkt VON NETZWERKREGISTRIERUNG TRENNEN.
9.6.3
Sicherung der Systemregistrierung
Eine Beschädigung der Registrierungsdatenbank kann sich ernsthaft auf die Stabilität und Funktionsfähigkeit eines Serversystems auswirken. Besonders gefährdet ist die Registrierung bei der Installation von Software auf dem System. Dabei können insbesondere nicht sauber programmierte Treiber oder andere systemnahe Softwarekomponenten, die sich in der Registrierung verewigen, diese Datenbank irreparabel beschädigen. Eine Sicherung der Registrierungsdatenbank ist deshalb die beste Vorbeugung. In Abschnitt 9.6.4 Wiederherstellung der Systemregistrierung ab Seite 485 Wiederherstellung finden Sie dann Informationen, wie Sie vorgehen können, um eine ab Seite 485 gesicherte Registrierung wieder zurückzuschreiben.
Automatische Sicherung durch Windows Vista Standardmäßig erfolgen durch Windows Vista automatisch Sicherungen der Registrierung: Durch das Windows Vista Setup-Programm Das Setup-Programm sichert selbstständig einmalig die Registrierungsdateien in folgendem Verzeichnis: %Systemroot%\System32\config\RegBack Dies geschieht nach dem ersten erfolgreichen Systemstart. Folge- Datei-Versionen richtig sind hier noch keine Änderungen erfasst, die durch die In- beachten stallation zusätzlicher Windows-Komponenten, Treiber oder Software von Drittherstellern vorgenommen worden sind. Erst wenn Sie eine Datensicherung mit der Sicherung der Systemstatusdateien durchführen, werden diese erstmals gesicherten Dateien durch die aktuellen Versionen ersetzt.
484 _________________________________________ 9 Reparatur und Wiederherstellung
Systemwiederherstellungspunkte umfassen auch die Registrierung
Im Rahmen der Systemwiederherstellungs-Mechanismen Der aktuelle Stand der Registrierung wird mit der Erzeugung von Wiederherstellungspunkten automatisch mit gesichert. Wird die Datenbank beschädigt, können Sie über die Systemwiederherstellung diese zuverlässig wieder auf einen funktionierenden Stand zurücksetzen. In Abschnitt 9.3 Systemwiederherstellung ab Seite 448 finden Sie dazu weitere Informationen. Sie sollten nach Möglichkeit immer zuerst versuchen, eine beschädigte Registrierung über die Windows Vista-Systemwiederherstellung wieder auf einen funktionierenden Stand zu bringen. Erst wenn Sie mit diesen Methoden nicht weiterkommen (oder Sie die Systemwiederherstellung deaktiviert haben), sollten Sie auf andere Verfahren, beispielsweise über manuell gesicherte Dateien, zurückgreifen.
Sicherungsverfahren für die Registrierungsdatenbank
WINDOWS BACKUP
Manuell
Neben der automatischen Sicherung über das Setzen von Wiederherstellungspunkten können Sie die Systemregistrierungsdateien mit den folgenden Methoden sichern: Komplett mit dem Datensicherungs-Programm SDCLT.EXE Dieses Programm ist standardmäßig im Lieferumfang von Windows Vista enthalten, stellt den Nachfolger von NtBackup dar und erlaubt die komplette Sicherung aller Systemstatus-Dateien sowie der Daten Ihres Systems. In Abschnitt 4.7 Datensicherung ab Seite 245 wird das Programm vorgestellt. Manuelle Sicherung der einzelnen Dateien Normalerweise kann auf die Registrierungsdateien nicht zugegriffen werden, da diese im Zugriff durch das Betriebssystem stehen und gesperrt sind. Bei einer Sicherung der Systemstatusdateien mit dem Assistenten für die automatische Systemwiederherstellung (siehe auch Abschnitt Sicherung des Betriebssystems durchführen ab Seite 250) werden die Dateien im folgenden Verzeichnis gesichert: %Systemroot%\System32\config\RegBack\ Die folgenden Registrierungsdateien sind davon betroffen und können mit normalen Administratorrechten auf einem externen Datenträger gesichert werden: BCD-TEMPLATE, COMPONENTS, DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM Die verbleibenden benutzerspezifischen Dateien NTUSER.DAT und USRCLASS.DAT können Sie nur dann aus ihren jeweiligen Verzeichnissen kopieren, wenn Sie als »zusätzlicher« Administrator angemeldet sind. Der momentan angemeldete Benutzer, auch wenn er über Administratorrechte verfügt, hat auf seine eigenen Dateien keinen Zugriff.
9.6 Die Windows-Registrierung ____________________________________________ 485
9.6.4
Wiederherstellung der Systemregistrierung
Bei der Wiederherstellung der Systemregistrierung sind einige wichtige Punkte zu beachten, da es sonst zu schwerwiegenden Fehlern mit fatalen Auswirkungen für Ihr System kommen kann.
Automatisierte Wiederherstellungsfunktionen Für eine automatisierte Wiederherstellung der Registrierung stehen Ihnen diese Möglichkeiten zur Verfügung: Wiederherstellung über das F8-Menü Lässt sich das F8-Menü beim Systemstart aufrufen (siehe auch Abschnitt 9.7.2 Letzte als funktionierend bekannte Konfiguration ab Seite 490), wird Ihnen die Option LETZTE ALS FUNKTIONIEREND BEKANNTE KONFIGURATION angeboten. Damit sind Probleme recht einfach zu lösen, wenn eine soeben neu installierte Hardware mit ihren dazugehörigen Treibern einen Start von Windows Vista verhindert. Das System restauriert über diese Option den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Dieses Vorgehen hilft allerdings nicht, wenn die Registrierung an anderer Stelle beschädigt worden ist oder fehlerhafte oder fehlende Treiberdateien den Systemstart verhindern. Systemwiederherstellung Führt der Weg über das F8-Menü nicht zum Erfolg, können Sie die Wiederherstellung über die neue Systemwiederherstellungs-Funktion mit Hilfe von Wiederherstellungspunkten durchführen. Weitergehende Informationen dazu finden Sie in Abschnitt 9.3 Systemwiederherstellung ab Seite 448. Datensicherung Windows Vista bietet schon mit seinem standardmäßig mitgelieferten Datensicherungsprogramm sehr gute Funktionen für eine zuverlässige Sicherung und Wiederherstellung. Informationen dazu finden Sie in Abschnitt 4.7 Datensicherung ab Seite 245.
Teilwiederherstellung über F8-Menü
Komplett über die Systemwiederherstellung
Komplett über die Datensicherung
Manuelle Wiederherstellung über Wiederherstellungskonsole Neben den automatischen Methoden können Sie sich auch an der manuellen Wiederherstellung der Registrierungsdateien versuchen. Voraussetzung ist dafür allerdings, dass Sie über gesicherte aktuelle Dateien verfügen (siehe auch Abschnitt 9.6.3 Sicherung der Systemregistrierung ab Seite 483). Dabei können Sie wie folgt vorgehen: Vorgehen Schritt für 1. Starten Sie die Wiederherstellungskonsole über die Installations- Schritt DVD von Windows Vista oder einen erstellten Startmenüeintrag. 2. Nach dem Anmelden befinden Sie sich im %Systemroot%-Verzeichnis, beispielsweise in C:\WINDOWS.
486 _________________________________________ 9 Reparatur und Wiederherstellung
Sichern der alten Registrierung
Ersetzen durch die Sicherung
3. Wechseln Sie in das Verzeichnis mit den Registrierungsdateien: cd System32\Config Hier finden Sie die sieben Hauptdateien BCD-TEMPLATE, COMPONENTS, DEFAULT, SAM, SECURITY, SOFTWARE und SYSTEM. 4. Kopieren Sie diese alten Registrierungsdateien zur Sicherung, damit im Falle eines Fehlschlags der Aktion wenigstens noch der alte Zustand wiederhergestellt werden kann. Sie können die Dateien natürlich auch mit dem RENAME-Befehl (kurz: REN) umbenennen. 5. Kopieren Sie alle betreffenden Registrierungsdateien aus dem Sicherungsverzeichnis in das Originalverzeichnis. 6. Führen Sie diesen Vorgang noch einmal für alle rückzusichernden Benutzer-Registrierungsdateien durch (siehe Seite 477). Beenden Sie die Wiederherstellungskonsole über den Befehl BEENDEN und starten Sie Ihr System neu.
9.6.5
Weitere Tools
Neben dem ab Seite 478 beschriebenen Programm REGE DIT gibt es für die Bearbeitung und Überwachung der Registrierungsdatenbank eine Fülle weiterer Tools. Nachfolgend wird Ihnen eine Auswahl solcher Programme vorgestellt.
Kommandozeilen-Tool REG.EXE Anwendung
Abkürzungen
Befehlsreferenz
Beispiele
Das Tool REG.EXE ist erste Wahl, wenn Sie von der Kommandozeile aus auf die Registrierungsdatenbank zugreifen müssen. So lassen sich Verwaltungsaufgaben via Telnet durchführen. Eine andere Anwendung ist das Bearbeiten der Registrierung über Stapelverarbeitungsdateien. Verwenden Sie mit dem Programm die folgenden Abkürzungen für die Hauptzweige: HKCR: HKEY_CLASSES_ROOT HKCU: HKEY_CURRENT_USER HKLM: HKEY_LOCAL_MACHINE HKU: HKEY_USERS HKCC: HKEY_CURRENT_CONFIG Eine umfassende Befehlsreferenz von REG.EXE hält die Online-Hilfe von Windows Vista bereit. Eine Syntax-Hilfe ist ebenso auf der Kommandozeilen-Ebene verfügbar. Nachfolgend finden Sie einige Beispiele für die Anwendung: So fügen Sie einen Schlüssel mit einem Wert hinzu: reg add "HKLM\software\meinesw\setup" /v set1 /t reg_dword /d 1 So lassen Sie den Schlüssel mit allen Unterschlüsseln und Werten anzeigen: reg query "HKLM\software\meinesw" /s
9.6 Die Windows-Registrierung ____________________________________________ 487 So löschen Sie diesen Schlüssel komplett ohne Rückfrage wieder: reg delete "HKLM\software\meinesw\setup" /f
Überwachen der Zugriffe mit REGMON Ein sehr leistungsfähiges Tool zum Nachvollziehen von Zugriffen auf die Registrierungsdatenbank ist REGMON. Sie erhalten eine kostenlose Freeware-Version über die SysInternals-Website: www.sysinternals.com Download Das Programm protokolliert nach dem Start alle Zugriffe auf die Registrierung. Da so bereits nach kurzer Zeit hunderte von Einträgen entstehen, sollten Sie bei der Nutzung möglichst nur die Programme laufen lassen, deren Verhalten Sie näher untersuchen wollen. Abbildung 9.40: RegMon im Einsatz beim Nachvollziehen der Zugriffe eines Programms auf die Registrierung
Mit Hilfe von REGMON lässt sich beispielsweise ermitteln, auf welche Anwendung Zweige und Werte Anwendungen zugreifen wollen, um gestartet beziehungsweise ordnungsgemäß ausgeführt werden zu können. Über das Menü OPTIONS|FILTER HIGHLIGHT können Sie die anzuzeigenden Vorgänge deutlich einschränken. Über EDIT|REGEDIT JUMP starten Sie aus einem markierten Eintrag das Programm REGEDIT und landen dort gleich an der richtigen Stelle.
Bereinigen der Registrierung mit REGCLEAN Ein seit Jahren populäres Tool zum Bereinigen der Registrierungsdatenbank ist REGCLEAN. Zwar wurde REGCLEAN von Microsoft-Programmierern entwickelt, jedoch übernehmen weder die Entwickler noch Microsoft selbst irgendwelche Garantien für die Benutzung. Insofern sollten Sie sich den Einsatz gut überlegen und bei Problemen mit der Datenbank lieber auf die automatische Systemwiederherstellung verlassen (siehe Seite 448).
488 _________________________________________ 9 Reparatur und Wiederherstellung Abbildung 9.41: RegClean im Einsatz
Download
Check und Bereinigung
Rollback
Das Programm ist kostenlos und kann über diverse Webseiten heruntergeladen werden. Sie sollten auf jeden Fall sicherheitshalber nur auf Seiten renommierter IT-Zeitschriftenverlage oder andere, vertrauenswürdige Quellen setzen. Nach einem Check der Datenbank können Sie entscheiden, ob Sie die Reinigungsmaßnahmen durchführen lassen wollen. Alle Einträge und Schlüssel, die das Programm als defekt oder nicht normgerecht erkennt, werden dann aus der Registrierung entfernt. Alle entfernten Schlüssel und Werte schreibt das Programm in eine Textdatei im selben Verzeichnis. Doppelklicken Sie einfach auf diese Datei, wenn Sie alle Änderungen wieder rückgängig machen wollen.
9.7 Systemwiederherstellung nach Totalausfall Ein Totalausfall ist wohl der Albtraum jedes Benutzers. Wohl dem, der dann entsprechend redundante Systeme zur Verfügung hat beziehungsweise durch regelmäßige Backups die Daten gesichert sind. Die Sicherung der Daten sollte dabei nicht allein auf Benutzerdateien beschränkt sein. Haben Sie alle wichtigen Konfigurationsdateien von Windows Vista selbst gesichert (siehe auch Abschnitt 4.7 Datensicherung ab Seite 245), gelingt in vielen Fällen die Wiederherstellung ohne eine zeitaufwändige Neuinstallation.
9.7.1
Überblick über Mittel und Wege zur Reparatur
Wenn das System startet, aber Fehler anzeigt, stehen bleibt oder sehr langsam hochfährt, kommen die Methoden Systemwiederherstellung, Letzte als funktionierend bekannte Konfiguration und Abgesicherter Modus in Frage. Startet das System nicht mehr, dann bleiben die ab Seite 493 beschriebenen Methoden der Starthilfe und die Neuinstallation von Windows.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 489 Systemwiederherstellung Die Systemwiederherstellung erlaubt es, das System auf einen Stand Systemwiederherzurückzuversetzen, mit dem Vista einwandfrei funktionierte. Wenden stellung ab Seite 448 Sie diese Methode an, wenn ein neu installiertes Programm oder Gerät die Schwierigkeiten verursacht.Weitere Informationen finden Sie dazu in Abschnitt 9.3 Systemwiederherstellung ab Seite 448.
Letzte als funktionierend bekannte Konfiguration anwenden Diese Startoption, auch bekannt als Last Known Good Control Set, ermöglicht den Start mit einer Konfiguration, die beim letzten Herunterfahren des Computers als einwandfrei identifiziert und gespeichert wurde. Änderungen, die hier gemacht werden, können nicht wieder rückgängig gemacht werden. Das ist bei der Systemwiederherstellung anders, weshalb diese meist vorzuziehen ist. Sind keine Wiederherstellungspunkte vorhanden, ist die Letzte als funktionierend bekannte Konfiguration ein Weg mit wenig Aufwand das System wieder ordnungsgemäß starten zu lassen.
Abgesicherter Modus Den absicherten Modus erreichen Sie genauso wie den Eintrag Letzte als funktionierend bekannte Konfiguration durch Drücken der Taste F8, wie im vorhergehenden Abschnitt beschrieben. Diese seit Windows 98 bekannte Funktion (die dort nur all zu oft benutzt werden musste) kann helfen, das Problem zu erkennen und zu beheben. Sie können Programme deinstallieren, Geräte deaktivieren und Treibereinstellungen ändern. In Abschnitt 9.7.3 Windows im abgesicherten Modus starten ab Seite 491 Abgesicherte Modi ab Seite 491 wird die Arbeitsweise der abgesicherten Modi näher betrachtet.
Starthilfe über die Vista-DVD Fehlen zum Starten von Vista Systemdateien oder wurden diese be- Starthilfe ab schädigt, kann das System über die Starthilfe in Gang gebracht wer- Seite 493 den. Dazu starten Sie den Computer über den Installations-Datenträger von Windows Vista. In Abschnitt 9.7.4 Starthilfe über die Vista-DVD ab Seite 493 wird gezeigt, wie Sie dann weiter vorgehen.
Neuinstallation Konnten alle bisher aufgezeigten Möglichkeiten nicht den gewünschten Erfolg bringen, weil das System sehr stark beschädigt ist, bleibt als letzter Ausweg nur die Neuinstallation von Vista. Bedenken Sie, dass dabei alle Dateien und Einstellungen von Ihrem Rechner gelöscht werden. Verwenden Sie diese Option daher nur dann, wenn Sie alle anderen Möglichkeiten ausgeschöpft haben. Nach der Installation
490 _________________________________________ 9 Reparatur und Wiederherstellung müssen Sie alle Programme neu installieren. Versuchen Sie, Ihre Daten vorher von dem beschädigten Systems zu evakuieren.
9.7.2
Letzte als funktionierend bekannte Konfiguration
Die durch diese Funktion vorgenommenen Änderungen betreffen ausschließlich Systemregistriereinstellungen. Benutzerdaten, wie EMails, Dokumente, Bilder und dergleichen bleiben unverändert. Ersetzt wird der Registrierungszweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet mit der gesicherten Einstellung der letzten funktionierenden Konfiguration. Abbildung 9.42: Erweiterte Startoptionen für den Wiederherstellungsfall
Um dem Computer mit der letzten funktionierenden Konfiguration zu starten gehen Sie folgendermaßen vor: 1. Der PC muss von der standardmäßigen Startpartition der Festplatte gestartet werden. Entfernen Sie also alle Disketten, CDs, DVDs und USB-Geräte über die alternativ gestartet werden könnte. 2. Ist der Computer bereits gestartet, leiten Sie einen Neustart (Reboot) des Computers ein. Dazu klicken Sie auf START, dann auf den Pfeil neben dem Sperren-Knopf. Aus dem Menü wählen Sie NEU STARTEN aus. 3. Zu Beginn des Startvorgangs drücken Sie F5, bevor das WindowsLogo erscheint. Erscheint beim Starten eine Auswahl der Betriebsysteme, wie es bei Dual- oder Multibootkonfigurationen der Fall ist, wählen Sie erst ihr wiederherzustellendes System aus und drücken dann F8.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 491 4. Sie gelangen in das Menü für Erweiterte Startoptionen. Ist dies nicht der Fall, wiederholen Sie die Punkte 2 und 3. 5. Navigieren Sie mit den Pfeiltasten auf den Eintrag wie in Abbildung 9.42 gezeigt und bestätigen Sie den Vorgang mit der Eingabetaste. 6. Beim anschließenden Neustart sollte Vista ohne Problem starten. Ist das nicht der Fall, können Sie den absicherten Modus starten.
9.7.3
Windows im abgesicherten Modus starten
Windows Vista wird mit einer minimalen Anzahl von Treibern und Diensten gestartet. In jedem der abgesicherten Modi wird die folgende Protokolldatei erzeugt: %Systemroot%\Ntbtlog.txt Sie gibt Auskunft über geladene und nicht geladene Treiber. Die folgende Übersicht enthält die einzelnen Punkte des F8-Menüs: Funktionen des F8Menüs ABGESICHERTER MODUS Es erfolgt keine Ausführung von Programmen, die in der AUTOSTART-Gruppe eingebunden sind. Nicht ausgeführt werden auch Programme, die über die Registrierung oder die Dateien für das 16 Bit-Windowssubsystem WIN.INI und SYSTEM.INI für die automatische Ausführung beim Systemstart eingebunden sind. Das betrifft ebenso alle Programme, die eventuell über lokale Gruppenrichtlinien beim Start ausgeführt werden sollen. ABGESICHERTER MODUS MIT NETZWERKTREIBERN Zusätzlich werden nur die notwendigen Netzwerktreiber und -dienste geladen, die einen Zugriff auf Netzwerkressourcen ermöglichen. ABGESICHERTER MODUS MIT EINGABEAUFFORDERUNG Im Gegensatz zum normalen abgesicherten Modus wird nur die Eingabeaufforderung CMD.EXE geladen. Diese läuft in einem grafischen Fenster im 16 Farben Standard-VGA-Modus. STARTPROTOKOLLIERUNG AKTIVIEREN Erstellt auch beim normalen Startvorgang (Auswahl von NORMAL STARTEN) die Protokolldatei NTBTLOG.TXT im Verzeichnis %Systemroot% (siehe oben). ANZEIGE MIT NIEDRIGER AUFLÖSUNG AKTIVIEREN (640 X 480) Startet Windows Vista normal, bis auf die Ausnahme, dass für die Bildschirmausgabe ausschließlich der Standard VGA-Treiber benutzt wird. Damit können Sie beispielsweise bei einem Defekt des Grafiksystems Windows unter Umständen trotzdem noch starten. LETZTE ALS FUNKTIONIEREND BEKANNTE KONFIGURATION (ERWEITERT) Dieser Eintrag wurde im vorhergehenden Abschnitt ausführlich beschrieben.
492 _________________________________________ 9 Reparatur und Wiederherstellung VERZEICHNISDIENSTWIEDERHERSTELLUNG Startet einen Domänencontroller im lokalen Modus, wobei versucht wird, die Verzeichnisdatenbank zu reparieren. Diese Option ist bei einem Windows Vista-System ohne Wirkung. DEBUGMODUS Startet Windows Vista im Debugmodus, der vor allem Entwicklern zum Testen neuer Software dienen kann. AUTOMATISCHEN NEUSTART BEI SYSTEMFEHLER DEAKTIVIEREN Damit es bei einem Fehlstart nicht zu einer Dauerschleife kommt in der das System wieder und wieder startet, kann der Neustart für diesen Fall abgeschaltet werden. Eine STOP-Code-Meldung kann dann in Ruhe ausgewertet werden. ERZWINGEN DER TREIBERSIGNATUR DEAKTIVIEREN Bestehen Schwierigkeiten bei der Signatur von Treibern, kann die erforderliche Signatur auch abschaltet werden. Sind Sie selbst mit der Programmierung von Treibern beschäftigt, kann die Abschaltung der Erzwingung eine Arbeitserleichterung bedeuten. WINDOWS NORMAL STARTEN Wurde die F8-Taste versehentlich betätigt oder zwischenzeitlich das problematische Gerät ausgeschaltet, kann Windows mit diesem Eintrag ohne Einschränkungen gestartet werden.
Arbeiten im abgesicherten Modus
RegistrierungsZweige
Starten Sie Ihr System in einem der abgesicherten Modi, können Sie sich nur noch als Administrator anmelden. Es steht dann das »nackte« System für Reparaturmaßnahmen zur Verfügung. Welche Dateien vom Betriebssystem für den abgesicherten Modus geladen werden, ist in folgenden Zweigen der Registrierungsdatenbank hinterlegt: Abgesicherter Modus HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \SafeBoot \Minimal Abgesicherter Modus mit Netzwerktreibern HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \SafeBoot \Network
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 493 Vor einer Manipulation der darin enthaltenen Einträge ist aber eher abzuraten, da Sie anderenfalls riskieren, dass auch im abgesicherten Modus Ihr System nicht mehr startet. Im abgesicherten Modus können Sie mit Ihrem System nicht richtig arbeiten. Allerdings eignet er sich, um beispielsweise über den Windows Vista-Gerätemanager Treiber zu entfernen oder auf eine vorher lauffähige Treiberversion zurückzustellen (siehe auch Abschnitt 9.4.1 Funktionsfähige Treiber reaktivieren ab Seite 455). Können Sie auf einen Wiederherstellungspunkt zurückgreifen, lässt sich das System auch im abgesicherten Modus wieder komplett auf einen funktionsfähigen Stand bringen (siehe Abschnitt 9.3 Systemwiederherstellung ab Seite 448).
9.7.4
Treiber entfernen oder reinstallieren
Systemwiederherstellung
Starthilfe über die Vista-DVD
Führen Sie die folgenden Schritte aus, um den Computer mittels der Vista-Starthilfe wieder zum Leben zu erwecken: 1. Legen Sie die Windows Vista-DVD in das Laufwerk und sorgen Sie mit entsprechenden Einträgen im BIOS (Bootsequenz oder Bootoptions) dafür, dass zuerst von der DVD gebootet wird. 2. Überprüfen Sie die Spracheinstellungen und klicken Sie dann auf WEITER. 3. Klicken Sie auf den Link COMPUTERREPARATUROPTIONEN (siehe Abbildung 9.43). Abbildung 9.43: Computerreparaturoptionen im Setup auswählen
4. Im Dialogfenster Systemwiederherstellungsoptionen wählen Sie das zu reparierende Betriebssystem aus. Gegebenenfalls können Sie zusätzliche Treiber, etwa für RAID-Controller, laden.
494 _________________________________________ 9 Reparatur und Wiederherstellung Abbildung 9.44: Systemwiederherstellungsoptionen
5. Es öffnet sich ein Auswahlmenü, das mehrere Wiederherstellungsoptionen enthält. Hat Vista bereits Probleme beim letzten Start bemerkt, wird dieser Dialog nicht angezeigt. Die Systemstartreparatur beginnt dann automatisch. Abbildung 9.45: Wiederherstellungstool auswählen
Nachfolgend finden Sie zu den Optionen weitere Informationen: SYSTEMSTARTREPARATUR Es wird eine Analyse des Systemstarts durchgeführt. Fehlende Systemdateien werden von der Installations-DVD in das zu reparierende Betriebssystem kopiert. Nötige Registriereinträge werden wiederhergestellt.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 495 SYSTEMWIEDERHERSTELLUNG Hiermit starten Sie das im Abschnitt 9.3.2 System wiederherstellen ab Seite 449 näher erläuterte Verfahren zum Wiederherstellen. WINDOWS COMPLETE PC-WIEDERHERSTELLUNG Wurde eine Sicherung, wie in Abschnitt 4.7 Datensicherung ab Seite 245 gezeigt, angelegt, kann von hier eine komplette Wiederherstellung von einem Sicherungsmedium begonnen werden WINDOWS-SPEICHERDIAGNOSETOOL Häufige Ursache für »unerklärliche«, sporadische Abstürze sind defekte im Arbeitsspeicher. Ob diese Chips zuverlässig funktionieren, kann mit diesem Tool geprüft werden. EINGABEAUFFORDERUNG Über die Eingabeaufforderung, auch bekannt als Wiederherstel- Wiederherstellungslungskonsole, können Sie über eine beschränkte Anzahl von Befeh- konsole len bestimmte Reparaturmaßnahmen am installierten System durchführen. Diese Befehle arbeiten ausschließlich im Textmodus und sind im Vergleich zu ihren »normalen« Ausführungen im Funktionsumfang eingeschränkt. Jetzt stehen Ihnen die Befehle der Wiederherstellungskonsole zur Verfügung, die in Abschnitt Die Befehle der Wiederherstellungskonsole im Überblick ab Seite 496 vorgestellt werden.
Erweitern der Möglichkeiten der Befehle und Tools Die Befehle und Tools, die Ihnen in der Wiederherstellungskonsole zur Verfügung stehen, sind in ihren Funktionen mitunter stark eingeschränkt. So können Sie beispielsweise keine Dateien auf externe Datenträger kopieren oder Platzhalter bei Befehlen benutzen. Über den Befehl SET lassen sich entsprechende Umgebungsvariablen SET-Befehl setzen, die diese Einschränkungen festlegen oder aufheben: ALLOWWILDCARDS Steuert die Verwendung von Platzhaltern durch einige Befehle (beispielsweise bei DEL). Der Befehl COPY kann allerdings unabhängig von der Einstellung dieser Variablen nicht mit Platzhaltern umgehen. ALLOWALLPATHS Standardmäßig haben Sie zunächst nur Zugriff auf das Verzeichnis %Systemroot% von Windows Vista. Über diese Variable können Sie einstellen, dass auf alle Verzeichnisse verzweigt und auf alle Dateien zugegriffen werden kann. ALLOWREMOVABLEMEDIA Der Zugriff auf Disketten oder andere Wechselmedien ist standardmäßig deaktiviert. Über diese Variable lässt sich diese Beschränkung aufheben. So können Sie beispielsweise Dateien von der Festplatte auf einen externen Datenträger kopieren.
496 _________________________________________ 9 Reparatur und Wiederherstellung
SET ist standardmäßig deaktiviert
NOCOPY PROMPT Die FALSE-Einstellung dieser Variablen dient einer höheren Sicherheit bei Kopiervorgängen und sollte deshalb eher nicht umgestellt werden. Vor dem Überschreiben einer Datei erfolgt sonst keine warnende Rückfrage mehr. Der Befehl SET (und damit der Einfluss auf die Umgebungsvariablen) ist standardmäßig aus Sicherheitsgründen deaktiviert. Die Aktivierung können Sie über eine der folgenden Richtlinien vornehmen: Lokale Sicherheitsrichtlinie Gilt für das betreffende Windows Vista-System. Sicherheitsrichtlinie für Domänen Gilt für alle Windows Vista-Systeme, die einer Active DirectoryDomäne angeschlossen sind. Aktivieren Sie in der entsprechenden Managementkonsole die Richtlinie WIEDERHERSTELLUNGSKONSOLE: KOPIEREN VON DISKETTEN UND ZUGRIFF AUF ALLE LAUFWERKE UND ALLE ORDNER ZULASSEN. Danach können Sie beim nächsten Start in der Wiederherstellungskonsole die Umgebungsvariablen neu setzen (siehe Seite 495): Set = True|False Beachten Sie, dass vor und nach dem Gleichheitszeichen Leerzeichen stehen müssen.
Abbildung 9.46: Sicherheitsrichtlinien für die Wiederherstellungskonsole
Standardmäßig wird aus Sicherheitsgründen ein Anmelden an der Wiederherstellungskonsole erwartet. Möchten Sie diesen Vorgang automatisieren, setzen Sie die Richtlinie AUTOMATISCHE ADMINISTRATIVE ANMELDUNGEN ZULASSEN auf aktiviert.
Die Befehle der Wiederherstellungskonsole im Überblick Hilfe zum Befehl mit /?
Die folgende Übersicht enthält alle Befehle der Wiederherstellungskonsole. Sie bekommen weitere Hilfe zu jedem Befehl, wenn Sie diesen mit dem Parameter /? aufrufen.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 497 Befehl
Tabelle 9.7: Befehle der Wiederherstellungskonsole
Funktion
ATTRIB
Ändert Attribute von Dateien oder Ordnern.
BCDEDIT
Ändert Bootparameter
CD oder CHDIR
Erlaubt das Wechseln des aktuellen Verzeichnisses.
CHKDSK
Prüft den Datenträger auf logische Fehler und repariert diese.
CLS
Löscht den Bildschirm.
COPY
Kopiert eine einzelne Datei.
DEL oder DELETE
Löscht eine oder mehrere Dateien.
DIR
Listet Dateien und Ordner auf.
DISKPART
Dient zur Verwaltung von Partitionen auf Datenträgern.
EXIT
Beendet die Wiederherstellungskonsole.
EXPAND
Expandiert Dateien.
MD oder MKDIR
Erstellt ein neues Verzeichnis.
MORE oder TYPE
Zeigt den Inhalt der angegebenen Datei auf dem Bildschirm an.
NET
Dient der Einrichtung des Zugriffs auf Netzwerkressourcen.
RD oder RMDIR
Löscht das angegebene leere Verzeichnis.
REN oder RENAME
Erlaubt das Umbenennen von Dateien.
SET
Setzt die entsprechenden Umgebungsvariablen der Wiederherstellungskonsole (siehe auch Abschnitt Erweitern der Möglichkeiten der Befehle und Tools ab Seite 495).
komprimierte
Dateien
oder
CAB-
Ausgewählte Befehle im Detail Für die Reparatur eines nicht mehr lauffähigen Systems finden Sie nachfolgend einige Befehle der Wiederherstellungskonsole näher erläutert. Die nachfolgend aufgeführten Befehle werden Sie vielleicht benötigen, Dateien und Ordner wenn Sie mit Dateien und Ordnern operieren wollen: Attrib -|+ ATTRIB :
c
Komprimiert
498 _________________________________________ 9 Reparatur und Wiederherstellung
CD oder CHDIR
COPY
DEL oder DELETE
DIR
Versteckt (Hidden)
r
Schreibgeschützt (Read-Only)
s
System
Es können auch mehrere Attribute hintereinander angegeben werden (beispielsweise +chr). Die Auswahl mehrerer Dateien über Platzhalter wie beispielsweise *.* wird nicht unterstützt. Zur Auflistung von gesetzten Attributen können Sie den Befehl DIR benutzen. Cd [] Bei Eingabe des Befehls ohne Parameter wird das aktuelle Verzeichnis angezeigt. Abhängig von der Umgebungsvariablen ALLOWALLPATHS, die Sie mit SET setzen können, ist der Zugriff nur auf das Verzeichnis %Systemroot% oder auch auf andere Laufwerke und Verzeichnisse möglich. Copy Die Verwendung von Platzhaltern wird nicht unterstützt. Je nach Einstellung der Umgebungsvariablen NOCOPYPROMPT, die Sie mit SET setzen können, werden Sie vor dem Überschreiben bestehender Dateien rückgefragt oder nicht. Beim Kopieren komprimierter Dateien, beispielsweise von der Windows Vista-Installations-DVD, werden diese automatisch dekomprimiert. Del Die Verwendung von Platzhaltern wie * oder ? ist zulässig, wenn die Umgebungsvariable ALLOWWILDCARDS mit SET auf TRUE gesetzt worden ist. Dir Es werden auch die gesetzten Dateiattribute angezeigt: a
EXPAND
h
Archiv
h
Versteckt
c Komprimiert p Analysepunkt d Verzeichnis r Schreibgeschützt e Verschlüsselt s System Die Verwendung von Platzhaltern wie * oder ? ist zulässig. Expand [] [/y] Expand /f: [] [/y] Expand /f: /d Die Dateien werden beim Extrahieren an den angegebenen Ort kopiert. Die zu expandierende Datei. Platzhalter wie * oder ? sind nicht zulässig. Zielordner oder Dateiname für die expandierte Datei. Ohne diese Angabe werden das aktuelle Verzeichnis und der gleiche Dateiname verwendet. /f: Bei Expandieren von Cab-Archiven können Sie die betreffenden Dateien angeben. Dabei können Platzhalter verwendet werden.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 499 Es erfolgt keine Rückfrage vor dem Überschreiben bestehender Dateien. /d Zeigt den Inhalt einer Cab-Datei an (ohne Expansion). Md [] Sie können vor dem Verzeichnisnamen auch den Laufwerkbuchstaben des Volumes angeben, auf dem das Verzeichnis erstellt werden soll. More Type Es gibt keine weiteren Optionen zu diesen Befehlen. Rd [] Sie können vor dem Verzeichnisnamen auch den Laufwerkbuchstaben des Datenträgers angeben, auf dem das leere Verzeichnis gelöscht werden soll. Ren [][]dateiname1 dateiname2 Sie können für die genaue Spezifizierung der umzubenennenden Datei den entsprechenden Laufwerkbuchstaben und das Verzeichnis angeben. Die Verwendung von Platzhaltern wird nicht unterstützt. Die folgenden Befehle dienen der Überprüfung, Reparatur und Bearbeitung von Volumes. ChkDsk [<par>] Es wird kein weiterer Parameter benötigt (wie beispielsweise /F beim Aufruf des gleichnamigen Programms in MS-DOS). /y
<par>:
/p
Erzwingt die Überprüfung auch bei als fehlerfrei gekennzeichnetem Volume.
/r
Sucht nach fehlerhaften Sektoren und versucht, Daten wiederherzustellen (nur zusammen mit /p verwendbar).
MD oder MKDIR
MORE oder TYPE
RD oder RMDIR
REN oder RENAME
Volumes CHKDSK
DISKPART DiskPart [/add|/delete] [||<partition>] [] Beim Start ohne Angabe von Parametern können Sie die Partitionierung über eine textorientierte Benutzeroberfläche vornehmen.
9.7.5
Recovery-Tools NTRecover und Remote Recover
Abschließend zu diesem Thema soll Ihnen noch eine Sammlung von Tools empfohlen werden. Microsoft hat kürzlich die Firma Winternals akquiriert. Winternals stellt seit Jahren professionelle Tools für Systemadministratoren her und ist der große (kommerzielle) Bruder von Sysinternals, die auf ihrer Webseite freie Utilities zur Verfügung stellt. Die Seiten werden bald in die Technet-Seiten von Microsoft übernommen. Das Administrators Pak von Winternals stellt eine Art Schweizer Taschenmesser für den Administrator dar. Die Wiederherstellungstools NTRecover und RemoteRecover sind Bestandteile des Administrators Paks.
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 501
III Daten professionell verwalten
9.7 Systemwiederherstellung nach Totalausfall _______________________________ 503
10 10Massenspeicherverwaltung Für den Zugriff auf Massenspeicher wie Festplatten, Wechselspeichersysteme oder CD- und DVD-Datenträger bietet Windows Vista sehr leistungsfähige Funktionen. In diesem Kapitel werden die Grundlagen dazu vermittelt. Lesen Sie unter anderem, was hinter der Technologie der dynamischen Festplatten steckt und wie Sie diese sinnvoll einsetzen können.
504 _____________________________________________ 10 Massenspeicherverwaltung
Inhaltsübersicht Kapitel 10 10.1 10.2 10.3 10.4 10.5
Hardware und Schnittstellen ...................................... 505 Das Volume Management ........................................... 527 Basisdatenträger und Partitionen ............................... 530 Dynamische Datenträger ............................................. 533 GPT-Partitionen unter Windows Vista...................... 539
10.1 Hardware und Schnittstellen___________________________________________ 505
10.1 Hardware und Schnittstellen Windows Vista unterstützt alle wichtigen Hardware-Standards für Massenspeicher-Systeme. Als wichtigster Massenspeicher in einem PC ist sicherlich die Festplatte zu nennen, im Desktop-Bereich in der Regel über die ATA- oder S-ATA- Schnittstelle angesteuert. Hinzu kommen das obligatorische CD-ROM- oder DVD-Laufwerk sowie andere Wechselspeicher wie beispielsweise USB-Memorysticks, die mit Kapazitäten von 128 MB und mehr die klassischen 3.5 Diskette endgültig abgelöst haben.
10.1.1 Schnittstellen für Massenspeicher Massenspeichersysteme können in einem PC an internen oder externen technischen Schnittstellen betrieben werden. Intern bedeutet, dass die Geräte in Ihrem PC fest eingebaut sind und die Anschlusskabel im Inneren des Computers zwischen dem Gerät und der Hauptplatine oder einer auf dieser befindlichen Erweiterungskarte (Controller) angeschlossen sind. Hinzu kommen extern anschließbare Speichergeräte. Dies sind meist Wechseldatenträger, wie beispielsweise ZIP- und JAZ-Laufwerke oder externe Festplatten. In der Regel werden dazu USB- oder IEEE 1394 (Firewire)-Schnittstellen verwendet. Früher war im professionellen Umfeld die SCSI-Schnittstelle in diesem Bereich dominierend, die heute allerdings aus dem Desktop-Umfeld fast komplett durch die anderen beiden genannten verdrängt worden ist. Nachfolgend finden Sie einige weiterführende Informationen zu den technischen Schnittstellen-Standards, die intern beziehungsweise extern zum Einsatz kommen.
Interne Schnittstellen
Externe Schnittstellen
ATA ATA (AT Attachment) war bis vor wenigen Jahren die in normalen PCs IDE / EIDE am häufigsten eingesetzte interne Schnittstelle zum Betrieb von Festplatten. Geläufig ist auch die Abkürzung IDE, die für Integrated Device Electronics steht beziehungsweise EIDE, bei der mit Enhanced IDE die moderneren Hochgeschwindigkeitsschnittstellen zwischen IDE-Port und Festplatten bezeichnet werden. Die Übersetzung von IDE (dt. Integrierte Geräteelektronik) deutet auch auf das eigentliche Grundprinzip hin: Die Steuerungselektronik ist komplett in das Laufwerk integriert. Damit entfällt die Notwendigkeit eines separaten, aufwändigen Hostadapters im PC. Allein der Anschluss der Signalleitungen an das Mainboard sowie eine grundlegende Unterstützung durch das BIOS müssen implementiert sein. Praktisch alle heute ausgelieferten PCs verfügen über ein ATA-Interface, in der Regel mit zwei separaten IDE-Kanälen. Ergänzt werden sie zu-
506 _____________________________________________ 10 Massenspeicherverwaltung
PIO und DMA
Optimal: UDMA für Festplatten...
...und andere schnelle IDE-Geräte
Tabelle 10.1: Die wichtigsten PIOund DMA-Modi im Überblick
nehmend durch SATA-Kanäle, die mittelfristig ATA komplett ablösen werden. In Abschnitt Serial ATA ab Seite 507 erfahren Sie mehr zu diesem Thema. Für die Übertragung der Daten zwischen IDE-Gerät und PC gibt es zwei grundlegend verschiedene Arbeitsmodi: PIO (Programmed In/Out) Bei diesem Modus übernimmt die CPU des PCs die ganze Arbeit bei der Datenübertragung. In heutigen PCs wird dieser Modus nur noch bei CD-ROM-Laufwerken oder langsamen Wechselspeichern wie ZIP-Laufwerken eingesetzt. DMA (Direct Memory Access) Das Gerät übernimmt selbstständig den Hauptteil der Datenübertragung, indem eine Direktverbindung zum Hauptspeicher hergestellt wird. Die CPU stößt den Übertragungsprozess nur noch an und ist dann wieder frei für andere Aufgaben. Technisch wird das so realisiert, dass der IDE-Adapter auf dem Mainboard als PCIGerät ausgeführt ist und dabei als so genannter PCI-Busmaster fungieren kann. Für den Betrieb von Festplatten und anderen schnellen IDE-Geräten wie beispielsweise DVD-Laufwerken ist der DMA-Modus für die Übertragung optimal. Besonders profitiert davon ein MultitaskingBetriebssystem wie Windows. Während die Festplatte arbeitet, beispielsweise beim Öffnen eines umfangreichen Dokuments in Word, können Sie weitere Aktionen durchführen. Das Betriebssystem erscheint nicht mehr wie »eingefroren«, während größere Festplattenaktivitäten durchgeführt werden. Ein anderes Praxisbeispiel ist der Betrieb eines DVD-Laufwerks. Erst mit aktiver UDMA-Unterstützung wird hier, zusammen mit einem Software-DVD-Player, ein ruckelfreier Kinogenuss ermöglicht. Das gilt vor allem dann, wenn nicht der allerletzte X-Gigahertz-Prozessor im PC werkelt, sondern vielleicht noch ein 500 MHz-Modell. Über UDMA wird dieser dann wirkungsvoll entlastet und kann sich (fast) ganz dem rechenaufwändigen Dekodieren des MPEG-Datenstroms widmen. DMA wurde in den letzten Jahren kontinuierlich weiterentwickelt und kommt heute in verschiedenen Stufen von Multiword-DMA bis zum Ultra-DMA-Modus zum Einsatz. Alle moderneren PCs ab dem Pentium II unterstützen dabei zumindest den UDMA-Modus 2, auch Ultra DMA/33 (oder UDMA/33) genannt. Die folgende Tabelle zeigt die heute gängigen Modi im Überblick: Modus
Bezeichnung
Max. Transferrate in MByte/s (ca.)
PIO
PIO-Modus 0
3
PIO-Modus 1
5
PIO-Modus 2
8
10.1 Hardware und Schnittstellen___________________________________________ 507
Modus
DMA
UDMA
Bezeichnung
Max. Transferrate in MByte/s (ca.)
PIO-Modus 3
11
PIO-Modus 4
16
Multiword-DMA-Modus 0
4
Multiword-DMA-Modus 1
13
Multiword-DMA-Modus 2
16
Ultra-DMA-Modus 0
16
Ultra-DMA-Modus 1
25
Ultra-DMA-Modus 2
33
Ultra-DMA-Modus 4
66
Ultra-DMA-Modus 5
100
Ultra-DMA-Modus 6
133
Ursprünglich gab es auch Singleword-DMA-Modi, die allerdings in den aktuellen ATA-Spezifikationen nicht mehr berücksichtigt sind. Üblich sind heute Festplatten mit UDMA/100 und UDMA/133-Interface. Allerdings sagt die erreichbare Schnittstellengeschwindigkeit nur, wie schnell die Daten zwischen Festplattenelektronik und IDEAdapter auf dem Mainboard ausgetauscht werden können. Die derzeitigen Festplatten-Spitzenmodelle bringen es real auf eine Dauertransferrate von deutlich unter 50 MByte/s und schöpfen damit diese Spezifikationen (noch) nicht aus. Somit wird eine schnelle Festplatte mit UDMA/133-Interface in einem Mainboard mit einem IDE/66Adapter ebenfalls kaum ausgebremst. Weitere Hinweise zum praktischen Umgang mit der ATA-Schnitt- Zum Anschluss von stelle, beispielsweise bei der Erweiterung Ihres Systems um ein DVD- IDE-Geräten siehe Laufwerk oder eine Festplatte, finden Sie in Abschnitt 10.1.2 Hinweise Seite 510 zum Anschluss von IDE-Geräten ab Seite 510.
ATAPI ATAPI steht für ATA Packet Interface und ist keine physisch separate CD-ROM Schnittstelle, sondern ein Standard, der den Anschluss von CD-ROMLaufwerken an das ATA-Interface beschreibt.
Serial ATA Diese auch mit der Abkürzung SATA bezeichnete Schnittstelle löst zunehmend das bisherige ATA ab. Gegenüber der parallelen und recht störanfälligen Übertragung bei ATA kommt bei SATA ein seriel-
508 _____________________________________________ 10 Massenspeicherverwaltung
Punkt-zu-Punkt
150 MByte/s
Dünne Kabel bis ein Meter Länge
SATA2
SATA-Anschluss siehe Seite 514
ler Übertragungsmodus zum Einsatz. Dazu reichen insgesamt sieben Leitungen aus, wobei jeweils zwei Leitungen gleichzeitig zum Senden und Empfangen eingesetzt werden. Die Hauptvorteile gegenüber ATA sind vor allem: Keine Master-Slave-Einstellungen mehr Bei SATA werden die Geräte jeweils über Punkt-zu-Punkt-Verbindungen mit dem Controller verbunden. Master- oder Slave-Einstellungen an den Festplatten gehören damit der Vergangenheit an. Die Startreihenfolge wird nur durch die SATA-Portnummer bestimmt und kann im PC-BIOS zusätzlich in aller Regel weiter beeinflusst werden. Höhere Leistung und zwar für jedes Gerät Während sich bei ATA zwei an einem Kanal angeschlossene Geräte die Bandbreite bei gleichzeitigem Zugriff teilen müssen, entfällt dies bei SATA. Hier kann jedes Gerät die maximal zur Verfügung stehenden 150 MByte/s ausnutzen. Geringere Störanfälligkeit Die serielle, differenzielle Übertragungsmethode ist weniger störanfällig als die bei ATA mit seinem parallelen Verfahren. Zudem sind die Verbindungskabel deutlich dünner und können bis zu einem Meter Länge aufweisen. Das erlaubt eine Platz sparendere und flexiblere Verkabelung im Gehäuseinnern. Obwohl SATA als Standard noch recht neu ist, wird bereits der Nachfolger im Markt eingeführt. SATA in der Version 2.0, auch mit der Abkürzung SATA2 oder SATA/300 gekennzeichnet, bringt eine Geschwindigkeitsverdoppelung auf bis zu 300 MByte/s. Zusätzlich zeichnet es sich durch eine optimierte Architektur aus. So ermöglichen neue Funktionen wie etwa das NCQ (Native Command Queuing) Verbesserungen bei der Abarbeitung komplexer Lese- und Schreibanforderungen an die angeschlossenen Massenspeicher. SATA2 ist voll kompatibel zum Vorgänger und erlaubt so den gemischten Betrieb mit SATA-Festplatten der ersten Generation. Weitere Hinweise zum praktischen Umgang mit SATA finden Sie in Abschnitt 10.1.3 Anschluss von SATA-Festplatten ab Seite 514.
USB USB 1.1 und 2.0
Moderne PCs verfügen heute über mindestens zwei USB-Ports. USB (Universal Serial Bus) ist in der Version 1.x vor allem für relativ langsame Peripherie geeignet und wird für den Anschluss von Mäusen, Tastaturen, Druckern, externen ISDN-Adaptern und auch digitalen Fotoapparaten eingesetzt. Erst die neue Version 2 macht diesen Port für den Anschluss von schnellen Massenspeichern oder digitalen Videokameras interessant. Im Gegensatz zu den 12 MBit/Sekunde (entspricht circa 1 bis 1,5 MB/s) können die Daten dann mit bis zu 480 MBit/Sekunde (circa 50 bis 60 MB/s) geliefert werden.
10.1 Hardware und Schnittstellen___________________________________________ 509 Sie können USB-Geräte direkt oder über einen so genannten USB-Hub USB-Geräte mit Ihrem PC verbinden. Ein USB-Hub ist immer zu empfehlen, wenn anschließen die standardmäßig verfügbaren Schnittstellen des PCs nicht mehr ausreichen, weitere Geräte anzuschließen. Sie verbinden dann den USB-Hub über ein normales USB-Kabel mit einer der USB-Schnittstellen des PCs. An den Hub können Sie wiederum andere USB-Geräte anschließen, je nach Ausführung 4 oder mehr. Manche USB-Geräte haben einen erhöhten Strombedarf und laufen nicht an einem USB-Hub, der selbst nicht mit Strom versorgt wird. Sie können diese Geräte dann nur direkt am PC anschließen oder Sie verwenden einen USB-Hub, der über eine separate Stromzufuhr verfügt. Für den Anschluss eines USB-Hubs an den PC unter Windows Vista wird in der Regel kein separat zu installierender Treiber benötigt.
IEEE 1394 Diese auch mit Firewire bezeichnete Schnittstelle ist heute bei vielen Standard-PCs häufig anzutreffen. Mit der Einführung von USB 2.0 hat ihre Bedeutung zum Anschluss von externen Massenspeichern allerdings abgenommen. Die maximale Übertragungsrate von Firewire liegt bei der heute verbreiteten Version IEEE 1394 bei 400 MBit/s (USB 2.0: 480 MBit/s). Der Nachfolger 1394b bringt je nach Betriebsart eine Erhöhung auf 800 MBit/s (auch Firewire-800 genannt) beziehungsweise 1 600 MBit/s. Firewire spielt seine Vorteile dann aus, wenn es um einen exklusiven und konstanten Datentransfer mit einer hohen Bandbreite geht. Diese wird beispielsweise beim Videoschnitt benötigt. Deshalb findet sich diese Schnittstelle vor allem bei digitalen Videokameras. Windows Vista bietet standardmäßig eine umfassende Unterstützung dieser Schnittstelle: Standardmäßig nutzbar als Schnittstelle für externe Massenspeicher, meist externe Festplatten. Abhängig vom verwendeten Chipsatz, meist ein Oxford 911 oder 922, sind hier die erreichbare Geschwindigkeit in der Praxis sowie die Unterstützung von Festplatten über 128 GByte Kapazität. Zu diesem Thema werden in Abschnitt 10.1.4 Anschluss externer USB- & Firewire-Festplatten ab Seite 515 weitere Hinweise gegeben. Direkte Steuerung von digitalen Camcordern über die einfache, integrierte Video-Schnittlösung Movie Maker. Weiterführende Informationen finden Sie dazu in Abschnitt 17.4 Windows Movie Maker im Detail ab Seite 1138. Die Verkabelung externer Geräte an einem Firewire-Port folgt dem Bus-Prinzip. Die meisten Geräte verfügen über zwei Schnittstellen und fungieren damit automatisch als Signal-Repeater. Dies funktioniert übrigens auch, wenn so ein Gerät abgeschaltet ist. Der zuständige Controller bezieht den Strom aus dem Firewire-Anschlusskabel. An einem Firewire-Bus dürfen theoretisch bis zu 63 Geräte hängen. Der
Firewire
IEEE 1394b
Externe Massenspeicher
Videoschnitt
Bus-Verkabelung
510 _____________________________________________ 10 Massenspeicherverwaltung Weg zwischen zwei miteinander kommunizierenden Komponenten ist allerdings auf maximal 16 Verbindungskabel limitiert. Ringverbindungen sind generell nicht zulässig.
SCSI Bedeutung nur noch bei Servern
SCSI (Small Computer System Interface) wurde lange Zeit als das Standard-Interface für den Anschluss von internen und externen Massenspeichern bei Servern und Hochleistungs-Arbeitsplatz-PCs eingesetzt. Aufgrund der rasanten Weiterentwicklung bei ATA bis hin zum Nachfolger SATA hat SCSI allerdings heute nur noch nennenswerte Bedeutung bei Serversystemen. Für den Einsatz von HochleistungsSCSI-Festplatten, die an sich schon wesentlich mehr kosten als ihre IDE-Pendants, kommt noch ein kostspieliger Hostadapter hinzu. Eine frühere Stärke von SCSI, nämlich die Unterstützung externer Speichermedien wie Wechsellaufwerke, spielt heute keine Rolle mehr. Mittlerweile stehen mit USB und Firewire wesentlich einfacher zu handhabende Schnittstellen zur Verfügung.
iSCSI
SAN, Initiator und Target
iSCSI (Internet Small Computer System Interface) ist eine Möglichkeit Massenspeichergeräte über ein Netzwerk mit dem Client zu verbinden, das TCP/IP benutzt. Da die Netzwerktechnik an dieser Stelle identisch ist, kann iSCSI in LANs, WANs oder dem Internet benutzt werden. iSCSI Geräte sind Festplatten, Bandlaufwerke oder optische Geräte, die oft in so genannte SANs (Storage Area Networks) zusammengefasst sind, um eine Konsolidierung der Speichersubsysteme zu erreichen. Es besteht eine Beziehung zwischen einem Client, der die Verbindung beginnt, dem so genannten »Initiator«, und einem Server, der als Ziel oder »Target« fungiert. Windows Vista kann als iSCSI-Initiator arbeiten. Die Einrichtung dafür ist in Abschnitt 10.1.7 iSCSI-Initiator einrichten ab Seite 526 beschrieben. Die auf dem Server vorhandenen Ressourcen können in das Clientsystem eingebunden werden und funktionieren wie ein lokales Laufwerk. Bei iSCSI werden SCSI-Pakete in TCP/IP-Paketen gekapselt. Ein Server (iSCSI -Target) lässt sich in Soft- oder Hardware realisieren. Die Verkapselung muss in Echtzeit passieren. Eine unterstützende Hardware entlastet somit die CPU des Clientsystems.
10.1.2
Hinweise zum Anschluss von IDE-Geräten
Wollen Sie Ihren Computer durch zusätzliche IDE-Geräte erweitern, beispielsweise mit einer zusätzlichen Festplatte oder einem neuen CD/DVD-Brenner, sollten Sie einige Grundsätze beachten. In den nachfolgenden Abschnitten finden Sie einige Informationen zum prakti-
10.1 Hardware und Schnittstellen___________________________________________ 511 schen Umgang mit den IDE-Schnittstellen und dem Anschluss weiterer Geräte.
IDE-Ports und das Master/Slave-Verhältnis An jedem der üblichen beiden IDE-Kanäle eines normalen PCs können Sie bis zu zwei Geräte anschließen. Somit ergibt sich eine Gesamtmenge von maximal vier Geräten. An einem Kanal muss dabei ein Gerät jeweils als Master, das andere als Slave konfiguriert werden. Diese Einstellung nehmen Sie direkt am Laufwerk über das Setzen eines oder mehrerer Jumper vor. Bei allen modernen Laufwerken ist die richtige Belegung auf dem Gehäuse aufgedruckt. Welches der Geräte an einem Kanal Master und welches Slave ist, spielt im Prinzip keine Rolle. Üblicherweise ist die Festplatte, welche das Betriebssystem enthält, als Master eingerichtet und am ersten IDEKanal installiert. Wichtig ist nur, dass im PC-BIOS die richtige Einstellung für das Boot-Gerät gesetzt ist. Meist steht der Eintrag HDD-0 für das Master-Laufwerk am ersten IDE-Anschluss, HDD-1 für den Slave an diesem etc. Die meisten modernen Festplatten, die allein an einem IDE-Kanal installiert sind, werden über die Jumpereinstellung weder als Master noch als Slave eingerichtet (meist Jumper in Stellung CS Cable Select). Installieren Sie an diesem Kanal ein zweites Gerät, müssen Sie die Jumper sowohl bei diesem (als Slave) als auch bei der bisher bestehenden Festplatte (als Master) ändern. Das gilt übrigens für alle IDEGeräte, also auch CD-ROM-, DVD- oder andere Wechsellaufwerke. Vergewissern Sie sich über die aufgedruckten Jumper-Steckanleitungen auf den Gehäusen oder in der Bedienungsanleitung, dass Sie die richtigen Einstellungen vornehmen. Installieren Sie eine zweite Festplatte immer an dem Kanal, an dem die erste Festplatte im System nicht installiert ist. So erreichen Sie eine optimale Performance, da beim gleichzeitigen Zugriff auf beide Festplatten beide IDE-Kanäle mit voller Geschwindigkeit arbeiten können. Andernfalls kann ein leichter Performanceverlust auftreten.
Master / SlaveEinstellungen
Master/SlaveJumper bei allen Geräten beachten
Arten von IDE-Anschlusskabeln Für den reibungslosen Betrieb von Festplatten und anderen Geräten Auf das richtige im UDMA-Modus werden spezielle Anschlusskabel benötigt. Diese Kabel kommt es an! verfügen über 80 Adern. Die Verwechslungsgefahr mit den einfachen 40-adrigen IDE-Kabeln ist dabei groß sind doch die Stecker und die Pin-Anzahl bei beiden gleich. Bei den 80-adrigen Kabeln werden nicht mehr Leitungen für die Übertragung benutzt, sondern die zusätzlichen Adern sorgen für eine deutlich bessere Abschirmung. Nur so können die Daten mit bis zu theoretisch erreichbaren 66, 100 oder 133 MByte/s zuverlässig übertragen werden (siehe auch Abschnitt ATA ab Seite 505).
512 _____________________________________________ 10 Massenspeicherverwaltung
Kabelausrüstung von PCs prüfen
Sie können die beiden Kabeltypen darin unterscheiden, dass das 80adrige deutlich feinere Adernpaare aufweist. Computer werden herstellerseitig in aller Regel mit den richtigen IDEKabeln ausgerüstet. Allerdings hat es sich eingebürgert, bei PCs mit einer Festplatte und einem CD-ROM-Laufwerk nur die Festplatte am IDE-Port 1 über ein 80-adriges Kabel anzuschließen. Am IDE-Port 2 hängt dann das CD-ROM-Laufwerk nicht selten nur an einem 40-adrigen Kabel. Solange Sie an diesem Kabel kein neueres, UDMA-fähiges Gerät anschließen, beispielsweise eine weitere Festplatte oder ein DVD-Laufwerk, werden Sie kaum Schwierigkeiten haben.
Abbildung 10.1: 40- und 80-adriges IDE-Flachkabel
Gemischter Betrieb PIO und UDMA
Ältere Systeme: 80-adriges Kabel passt nicht
Wenn das am 40-adrigen Kabel angeschlossene Laufwerk einen der UDMA-Modi beherrscht, sollten Sie das Kabel gegen ein 80-adriges austauschen. Prüfen Sie nach dem Neustart, welchen Übertragungsmodus Windows Vista für das Gerät eingestellt hat und korrigieren Sie diesen gegebenenfalls (siehe dazu nachfolgender Abschnitt). Generell sollten Sie ein vorhandenes 40-adriges Kabel ersetzen, wenn Sie Ihren PC mit einer weiteren Festplatte oder einem anderen, schnellen IDE-Gerät aufrüsten wollen. Ein instabiles System ist Ihnen sicher, wenn Sie eine neue Festplatte an so einem Kabel in einem der schnellen UDMA-Modi betreiben wollen. Sie müssen sich übrigens keine Gedanken machen, wenn Sie zwei IDE-Geräte an einem Kanal betreiben, bei dem eines im PIO- und das andere im UDMA-Modus läuft. Grundsätzlich gilt aber, dass immer das Kabel verwendet werden muss, was für die maximal benötigte Geschwindigkeit ausgelegt ist. Sie liegen also nie falsch, wenn Sie generell nur 80-adrige IDE-Anschlusskabel einsetzen. Wollen Sie ein älteres System mit einem neuen IDE-Gerät aufrüsten und dabei auch das 40-adrige gegen ein 80-adriges Kabel austauschen, kann es Ihnen passieren, dass das neue Kabel nicht passt. Der Grund dafür ist die geringfügig abweichende Pin-Belegung der neuen IDEPorts, bei der ein Pin nicht belegt ist und in den Steckern ein An-
10.1 Hardware und Schnittstellen___________________________________________ 513 schluss-Loch fehlt. Das betreffende System unterstützt mit diesen IDEAnschlüssen ohnehin meist nur einen der älteren langsamen DMAModi, sodass ein modernes Gerät daran nur ausgebremst werden würde. Als Ausweg könnten Sie dann die Aufrüstung mit einem zusätzlichen UDMA-PCI-Adapter ins Auge fassen (siehe dazu auch Abschnitt Installation eines zusätzlichen IDE-Adapters ab Seite 514).
UDMA-Einstellungen in Windows Vista prüfen und korrigieren Sie können unter Windows Vista leicht kontrollieren, mit welchem Kontrolle im GeräteModus die installierten IDE-Geräte tatsächlich angesteuert werden. Manager Öffnen Sie dazu den GERÄTE-MANAGER von Windows Vista (siehe Abschnitt 9.2.1 Geräte-Manager ab Seite 438). Suchen Sie im GERÄTE-MANAGER den Eintrag IDE ATA/ATAPI-CONTROLLER und öffnen Sie die darunter liegende Struktur mit einem Klick auf das Plus-Zeichen. Sie sehen nun die beiden IDE-Kanäle. Öffnen Sie das Eigenschaften-Fenster des betreffenden Kanals (Klick auf die rechte Maustaste und dann EIGENSCHAFTEN aus dem Kontextmenü wählen). Abbildung 10.2: Übertragungsmodus überprüfen und einstellen
In der Registerkarte ERWEITERTE E INSTELLUNGEN zu einem IDE-Kanal Aktuell verwendeter finden Sie die aktuell durch Windows Vista verwendeten Übertra- Modus gungsmodi für die beiden angeschlossenen Geräte. GERÄT 0 ist dabei der Master, GERÄT 1 der Slave (siehe auch Abschnitt IDE-Ports und das Master/Slave-Verhältnis ab Seite 511).
514 _____________________________________________ 10 Massenspeicherverwaltung Anderen Modus erzwingen IDE-Treiber aktualisieren
Wird hier PIO-MODUS angezeigt, können Sie, wenn das Gerät einen der DMA-Modi unterstützt und das richtige Kabel angeschlossen ist, die Checkbox DMA AKTIVIEREN einschalten. Funktioniert nach einem Neustart das Gerät aber immer noch nicht richtig oder lässt Windows eine Umschaltung auf einen DMA-Modus nicht zu, sollten Sie versuchen, einen neuen Busmaster-IDE-Treiber vom Hersteller des Computers, der Hauptplatine oder des Chipsatzes zu beziehen und zu installieren.
Installation eines zusätzlichen IDE-Adapters PCI-Steckkarte
RAID-Funktionen nutzen
Vorteile für Hardware-RAID
Reichen die Anzahl oder die Leistungsfähigkeit der beiden internen IDE-Schnittstellen nicht mehr aus, können Sie einen weiteren IDEAdapter in Ihrem Computer installieren. Voraussetzung ist nur, dass mindestens ein PCI-Steckplatz noch frei ist, in den Sie diese Erweiterungskarte installieren. Entsprechende Karten gibt es unter anderem von den folgenden Herstellern: Promise Technology, Inc. www.promise.com Maxtor Corporation www.maxtor.com An so einem IDE-Adapter können Sie dann wiederum, wenn dieser zwei zusätzliche IDE-Kanäle bietet, vier Laufwerke anschließen. Es gibt IDE-Adapter, die zusätzliche Funktionen bieten. So können Festplatten zusammengeschaltet werden und zu einem so genannten RAID verbunden werden. RAID steht für Redundant Array of Independent Disks (dt. Redundante Gruppen von unabhängigen Platten) und beschreibt die Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden. Windows Vista unterstützt selbst einige RAID-Level softwareseitig. Über die HardwareRAID-Funktionen eines separaten IDE-Adapters bieten sich allerdings die folgenden Vorteile: Für System- und Startdatenträger können ebenfalls RAID-Funktionen zum Einsatz kommen, wie beispielsweise mit einem die Performance erhöhenden Stripeset. Es lassen sich mit den meisten IDE-Adaptern zusätzliche RAIDFunktionen für den Desktop-PC nutzen, die softwareseitig mit Windows Vista nicht geboten werden. Dies betrifft beispielsweise die Spiegelung von Festplatten. Weitere Informationen finden Sie zu diesem Thema in Abschnitt 10.4.3 Stripesetvolumes ab Seite 536.
10.1.3
Anschluss von SATA-Festplatten
Zum Anschluss von SATA-Festplatten gibt es eigentlich nicht allzu viel zu sagen außer dass es wirklich einfach ist. An den Festplatten
10.1 Hardware und Schnittstellen___________________________________________ 515 gibt es keine Jumper mehr, die zu einer Master-/Slave-Konfiguration gesteckt werden müssten. Sie müssen genau genommen nur zwei Dinge beachten: 1. An jedem SATA-Kanal auf dem Mainboard oder einer zusätzlichen Adapterkarte kann genau ein Gerät angeschlossen werden. 2. Der Stromanschlussstecker bei SATA-Geräten unterscheidet sich grundlegend von der bisherigen Bauweise. Mainboards mit SATAKanälen liegen deshalb meist entsprechende Adapter bei. Neuere Netzteile bieten darüber hinaus ebenfalls einige Zuleitungen in der neuen Bauweise für den Anschluss an SATA-Geräte.
10.1.4
Anschluss externer USB- & Firewire-Festplatten
Wenn Sie Ihr System um eine Festplatte erweitern wollen, können Sie auch ein externes System in Betracht ziehen. Mit der breiten Verfügbarkeit von USB 2.0 sind inzwischen viele externe Gehäuse nur noch mit dieser Schnittstelle ausgestattet. Alternativ gibt es welche mit Firewire oder einer Kombination aus beiden. Erst mit Firewire-800 (IEEE 1394b; siehe auch Abschnitt IEEE 1394 ab Seite 509) hält übrigens die praktisch erreichbare Datenrate mit der moderner Festplatten mit und steigt auf über 50 MByte/s. Mit den bisherigen USB 2.0 und IEEE 1394 werden in der Praxis selten mehr als 40 MByte/s erzielt und schnelle Festplatten somit ausgebremst.
Anwendungen Eine externe Firewire-Festplatte bietet sich beispielsweise dann an, Video-Schnitt wenn Sie ohnehin schon über einen digitalen Camcorder verfügen und sich intensiver mit Videoschnitt beschäftigen. Die meisten heute erhältlichen Kameras werden über einen Firewire-Port mit dem Computer verbunden. Haben Sie Ihren PC um eine entsprechende Schnittstellenkarte erweitert, die in der Regel mindestens zwei Anschlüsse mitbringt, können Sie parallel eine externe Festplatte anschließen. Eine andere Anwendung kann die Datensicherung sein. Bei den heute Datensicherung üblichen Festplatten-Größen, selbst bei Einsteiger-PCs oft jenseits der 100 GB-Grenze, wird die komplette Datensicherung zu einer echten Herausforderung. Bandlaufwerke (Streamer) mit einer entsprechenden Kapazität kosten ein Vermögen und werden deshalb eher im Serverbereich eingesetzt. Auch DVD-Recorder sind nicht unbedingt eine Lösung bei einer derzeitigen maximalen Kapazität von gerade einmal 4.7 GB pro Medium wird hier eine Komplettsicherung eine Arbeit für einen Disc-Jockey. Da bringt selbst die Kapazitätsverdoppelung mit den neuen beschreibbaren zweilagigen DVDs kaum Entlastung. Mit einer externen Firewire-Festplatte erfolgt die Datensicherung sehr schnell vergleichbar fast mit der Geschwindigkeit beim Kopieren zwischen zwei internen Festplatten (siehe auch Tipp oben). Nach der
516 _____________________________________________ 10 Massenspeicherverwaltung Sicherung können Sie die Platte, ohne Ihren PC deswegen herunterfahren zu müssen, abschalten und an einem sicheren Ort verwahren.
Technischer Aufbau IDE-Festplatte im Firewire-Gehäuse
Oxford-Chipsätze und 128 GByteGrenze
Gehäuse-Kits
Anschlusskabel
»Richtige« Firewire- oder USB-Festplatten gibt es eigentlich nicht. Um die Technik einfach und preiswert zu halten, kommen deshalb herkömmliche IDE-Festplatten zum Einsatz. Über eine Wandlerelektronik wird dann das IDE-Signal auf die jeweilige Schnittstelle umgesetzt. Bei Firewire kommen hier meist die Oxford-Chipsätze 911 und 922 zum Einsatz. Mit einigen älteren Controllern auf Basis des Oxford 911Chipsatzes müssen Sie allerdings mit einer entscheidenden Limitierung bei der Einbindung größerer Festplatten rechnen. So wird deren Kapazität bei 128 GByte abgeschnitten. Manchmal kann ein FirmwareUpgrade helfen, welches Sie über den Gehäuse- beziehungsweise Controllerhersteller beziehen können. Für viele ältere Controller gibt es so etwas allerdings nicht, sodass Sie auf ein neueres Gehäuse ausweichen oder die verminderte Kapazität in Kauf nehmen müssen. Sie können mit wenig Aufwand eine IDE-Festplatte selbst in ein externes Firewire- oder USB-Gehäuse einbauen. Die Festplatte müssen Sie vor dem Einbau meist als allein stehend konfigurieren. Eine neu erworbene Festplatte belassen Sie dazu einfach in der Werkseinstellung. Für den Anschluss eines normalen 5.25 Zoll-Firewire-Gehäuses an den Computer benötigen Sie ein 6 zu 6-poliges Firewire-Kabel. Viele Firewire-Controller, die Sie zur Nachrüstung Ihres Computers erwerben können, werden allerdings meist nur mit einem 4 zu 6-poligen Anschlusskabel ausgeliefert. Einem 5.25 Zoll-Gehäuse-Kit sollte aber das richtige Kabel beiliegen.
Kontrolle des Anschlusses unter Vista Anschließen und einrichten
Fehlersuche
Nach dem Anschluss einer externen Festplatte, der praktischerweise problemlos während des laufenden Betriebes erfolgen kann, haben Sie diese nur noch zu partitionieren und die eingerichteten Volumes zu formatieren. Das Vorgehen dabei unterscheidet sich nicht von dem für eine interne Festplatte und wird in Abschnitt 12.2 Einrichtung einer neuen Festplatte ab Seite 625 beschrieben. Können Sie die Festplatte nicht finden, lohnt sich ein Blick in den Geräte-Manager (siehe Abschnitt 9.2.1 Geräte-Manager ab Seite 438) oder in das Dialogfenster HARDWARE SICHER ENTFERNEN, das sich im Infobereich der Taskleiste ( Der Infobereich der Taskleiste auf Seite 120) zeigt. In letztgenanntem sehen Sie zumindest, ob die Festplatte überhaupt als externes, entfernbares Gerät erkannt worden ist. Klicken Sie dazu auf das entsprechende Symbol im Infobereich der Taskleiste. Als Gerätebezeichnung wird eine Kombination aus der Bezeichnung der Festplatte und des Chipsatzes oder des Anschluss-Interfaces angezeigt. Das hängt allerdings vom verwendeten Controller im Gehäuse ab.
10.1 Hardware und Schnittstellen___________________________________________ 517 Abbildung 10.3: Kontrolle, ob die externe Festplatte angeschlossen ist
Schreib-Performance erhöhen Eine externe Firewire- oder USB-Festplatte ist für das Anschließen und Entfernen während des laufenden Betriebes ausgelegt. Um das Verfahren wirklich sicher zu machen, sollten Sie eine solche Platte natürlich nicht entfernen, solange ein Zugriff darauf erfolgt. Ebenso verbietet sich der Einsatz als Startfestplatte für ein Betriebssystem oder zum Ablegen von Betriebssystem-Bestandteilen, auf die ein ständiger Zugriff möglich sein muss (wie beispielsweise die Auslagerungsdatei von Windows). Um das Entfernen sicherer und ohne weiteren Benutzereingriff mög- Schreibcache lich zu machen, laufen Firewire-Festplatten generell mit einer kleinen standardmäßig Bremse der Schreibcache von Windows ist deaktiviert. Das bedeutet, deaktiviert dass das Betriebssystem stets alle zu schreibenden Datenblöcke direkt an die Schnittstelle zur Festplatte übergibt und nicht, wie bei internen Laufwerken, zunächst in einem Zwischenspeicher (Cache) ablegt. Ein Cache kann eine bedeutende Performance-Erhöhung bringen, da die Daten erst dann, wenn das Betriebssystem nicht mehr akut belastet ist, geschrieben werden. Hinzu kommt, dass insbesondere das Schreiben vieler kleiner Dateien über einen Cache deutlich schneller geht, da über entsprechende Kommandos zur Datenübertragung dann viele einzelne Übertragungen zu wenigen großen zusammengefasst werden können. Sie können den Schreibcache für eine externe Festplatte nachträglich aktivieren. Allerdings ist das nur dann zu empfehlen, wenn Sie wirklich auf das letzte Quäntchen Performance angewiesen sind, da Windows bei der Umschaltung nach einem Neustart verlangt. Sie können danach auch die Festplatte nicht mehr ohne weiteres im laufenden Betrieb entfernen, sondern müssen zuvor über das Dialogfenster Hardware sicher entfernen das Entfernen einleiten.
518 _____________________________________________ 10 Massenspeicherverwaltung
Schreibcache nachträglich aktivieren
Technisch gesehen könnten Sie die Platte natürlich von Ihrem Computer ohne weiteren Eingriff trennen. Sie riskieren dann aber Datenverluste. So schalten Sie den Schreibcache nachträglich ein: 1. Öffnen Sie den GERÄTE-MANAGER (siehe Abschnitt 9.2.1 GeräteManager ab Seite 438). 2. Wählen Sie unter LAUFWERKE die betreffende externe Festplatte und öffnen Sie mit einem Doppelklick das Eigenschaften-Fenster.
Abbildung 10.4: Cache-Einstellungen für eine externe Festplatte ändern
Neustart
3. Stellen Sie unter der Registerkarte RICHTLINIEN die Einstellung auf FÜR L EISTUNG OPTIMIEREN um. Das Kontrollkästchen SCHREIBCACHE AUF DEM DATENTRÄGER AKTIVIEREN sollte ebenfalls gesetzt sein.
10.1.5
Sicherer Umgang mit USB-Speichergeräten
Spätestens seit USB-Memorysticks preiswert und massenhaft zu haben sind, hat die klassische Floppy endgültig ausgedient. Allerdings so problemlos wie die Handhabung ist, genauso groß kann das damit verbundene Sicherheitsrisiko sein.
Sicherheitsrisiko USB-Geräte Viele Firmen-PCs sind heute aus Sicherheitsgründen ohne Laufwerke für Wechseldatenträger ausgestattet, also ohne Floppy-, CD-/DVDROM- oder ZIP-Laufwerke. Wenn dann allerdings das Einstecken eines USB-Memorysticks möglich ist und auf diesen Dateien gebracht werden können, können auch gleich alle anderen Laufwerke eingebaut bleiben. Die USB-Ports eines PCs können zwar meist über das
10.1 Hardware und Schnittstellen___________________________________________ 519 BIOS abgeschaltet werden, eine wirkliche Lösung ist dies aber nicht, wenn andere Geräte am USB-Port funktionieren müssen. Das können Drucker, Scanner, Digitalkameras, Mäuse oder PDAs (Personal Digital Assistants) sein. In sicherheitstechnisch sensiblen Bereichen sollten Sie, wenn irgend möglich, den Zugriff auf USB- und Firewire-Ports einschränken. Die sicherste Methode besteht wie immer darin, den physischen Zugriff auf den PC selbst nicht zuzulassen. In den nachfolgenden Abschnitten wird gezeigt, wie Sie den Zugriff USB-Sticks und auf solche Speichergeräte mit Bordmitteln unterbinden können. Vista -Festplatten bietet dazu gegenüber seinen Vorgängern eine Verbesserung in der Steuerung einzelner Geräteklassen Mit der neuen Geräteverwaltung (Device Management and Installation DMI) kann die Geräteinstallation effektiv und differenziert von den Administratoren vorgenommen werden. Welche Geräte vom Benutzer installiert werden können und welche nicht kann genau festgelegt werden. Windows nutzt zwei Arten von Kennungen (ID), um die Geräteinstal- Kennungen lation und -konfiguration zu steuern: Gerätekennungen (Device Identification Strings) Geräteinstallationsklassen (Device Setup Classes) Für beide Arten lassen sich mithilfe von Gruppenrichtlinien von Windows Vista Einstellungen festlegen, um zugelassene und blockierte Kennungen zu definieren.
Gerätekennungen Ein Gerät hat eine oder mehrere vom Hersteller festgelegte Gerätekennungen. Entdeckt Vista ein neues Gerät, entweder beim Start oder im Fall von USB durch Anschließen an den USB-Port des Computers, fragt es das Gerät ab und ruft dessen Liste mit Gerätekennungen ab. Vista wertet die Gerätekennungen aus, um zu entscheiden, ob das Gerät bereits bekannt und installiert ist oder nicht. Ist der Treiber für das Gerät noch nicht installiert, fordert Vista eine .inf-Datei des Gerätetreibers an, der die gleichen Gerätekennungen enthält und erhält Informationen, welche Treiber zu installieren sind. Es gibt zwei Arten von Gerätekennungen: Hardwarekennungen (Hardware IDs) Hardware-IDs beschreiben die Übereinstimmung zwischen Geräten und Treibern am genauesten. Sie bestehen aus Angaben zur Version, dem Modell und gegebenenfalls der Revisionsnummer des Geräts. Kompatible Kennungen (Compatible IDs) Kann ein Gerätetreiber nicht über die Gerätekennung oder andere Hardwarekennungen gefunden werden, werden Kompatible Kennungen benutzt. Kompatible Kennungen sind sehr allgemein gehalten und werden in einer bestimmten Reihenfolge (Ranking)
520 _____________________________________________ 10 Massenspeicherverwaltung aufgelistet. Die am genauesten beschreibenden Kennungen befinden sich am Beginn der Liste. Bei ihrer Installation richten manche Treiber ein oder mehrere logische Geräte ein. Jedes logische Gerät deckt einen Teil der Funktionalität des physischen Gerätes ab. Ein gutes Beispiel für ein physisches Gerät mit mehreren logischen Geräten ist ein Multifunktionsgerät wie ein All-InOne-Drucker (Scannen, Faxen, Drucken). Über verschiedene Gerätekennungen werden die einzelnen Funktionen verwaltet. Wenn Sie DMI nutzen, um die Installation von Geräten zu verhindern, die logische Geräte verwenden, dann müssen Sie alle Gerätekennungen für diese Geräte zulassen oder verbieten
Geräteinstallationsklassen Ein anderer Typus von Kennungen sind die Geräteinstallationsklassen. Die Hersteller können ihrem Gerät eine Geräteinstallationsklasse zuweisen. In einer Geräteinstallationsklasse sind alle Geräte enthalten, die auf die gleiche Art installiert und konfiguriert werden. Alle CDLaufwerke gehören zum Beispiel zur Geräteinstallationsklasse CDROM. Jede Geräteinstallationsklasse erhält eine eindeutige GUID (Globally Unique Identifier), die sie von anderen Klassen unterscheidet. Vista verwaltet im Speicher eine Struktur mit den GUIDs aller erkannten Geräte, ihrer Geräteinstallationsklasse und des Bussystems, dem das Gerät zugeordnet ist. Wenn Sie Geräteinstallationsklassen mit DMI verwenden, um die Installation von Geräten zuzulassen oder zu verhindern, müssen Sie die GUIDs aller Geräteinstallationsklassen der entsprechenden Geräte angeben. Mehr Informationen zu diesem Thema bietet die Webseite: http://go.microsoft.com/fwlink/?LinkId=52662
Gruppenrichtlinieneinstellungen für die Geräteinstallation Um die Geräteinstallation zu steuern, stehen mit Windows Vista mehrere Richtlinieneinstellungen zur Verfügung. Sie können diese einzeln auf einem einzelnen Computer oder über Gruppenrichtlinien in einer Active Directory-Domäne konfigurieren. Die Einstellungen werden dem Gruppenrichtlinienobjekteditor über eine .adm-Datei hinzugefügt. Diese .ADM-Datei trägt den Namen DEVINST.ADM und steht unter Windows Vista und Windows Server »Longhorn« bereits standardmäßig zur Verfügung. Die Gruppenrichtlinien lassen sich im Gruppenrichtlinieneditor unter dem folgenden Eintrag finden: Computerkonfiguration \Administrative Vorlagen \System \Geräteinstallation \Einschränkungen bei der Geräteinstallation Nachfolgend finden Sie einige Hinweise zu den einzelnen Richtlinien.
10.1 Hardware und Schnittstellen___________________________________________ 521 \Administratoren das Außerkraftsetzen der Richtlinien unter Einschränkungen bei der Geräteinstallation erlauben Diese Einstellung gestattet es Mitgliedern der lokalen Gruppe Administratoren, Treiber für jedes Gerät zu installieren oder zu aktualisieren - und zwar unabhängig von anderen Einstellungen. Wenn Sie diese Einstellung deaktivieren oder nicht definieren, sind die Administratoren genauso wie alle anderen Benutzer von den anderen Einstellungen betroffen. \Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen Diese Einstellung legt die Geräteinstallationsklassen-GUIDs für die Geräteklassen fest, die der Benutzer installieren kann. \Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen Diese Einstellung legt die Geräteinstallationsklassen-GUIDs für die Geräte fest, die von Benutzern nicht installiert werden dürfen. Wenn Sie die Einstellung deaktivieren oder nicht definieren, können die Benutzer alle Geräte installieren oder aktualisieren, die von anderen Einstellungen zugelassen werden. Diese Einstellung hat Vorrang vor allen anderen Einstellungen, die Benutzern möglicherweise die Installation von Geräten erlauben. \Installation von Geräten mit diesen Geräte-IDs zulassen Diese Einstellung legt die Hardwarekennungen und kompatiblen Kennungen für die Geräte fest, die der Benutzer installieren darf. Diese Einstellung sollte nur dann genutzt werden, wenn die Einstellung \Installation von Geräten mit diesen Geräte-IDs verhindern Diese Einstellung legt eine Liste mit Plug and Play-Hardwarekennungen und kompatiblen Kennungen für die Geräte fest, die Benutzer nicht installieren können. Wenn Sie die Einstellung deaktivieren oder nicht definieren, können die Benutzer alle Geräte installieren und aktualisieren, die nicht explizit von anderen Einstellungen verboten werden. Diese Einstellung hat Vorrang vor allen anderen Einstellungen, die Benutzern möglicherweise die Installation von Geräten erlauben. \Installation von Wechselgeräten verhindern Die Installation von Wechselgeräten kann verhindert werden, wenn die Treiber anzeigen, dass das Gerät ausgetauscht werden darf. Ein USB-Gerät wird von den Treibern des USB-Hubs als Wechselgerät gemeldet. \Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind Die Einstellung steuert die Installation von Geräten, die nicht durch andere Einstellungen definiert wurden. Wenn Sie die Einstellung aktivieren, können die Benutzer keine Geräte installieren oder Treiber aktualisieren, die Sie nicht über die Einstellungen Installation von Geräten mit diesen Geräte-IDs zulassen und In-
522 _____________________________________________ 10 Massenspeicherverwaltung stallation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen festgelegt haben. Wenn Sie die Einstellung deaktivieren oder nicht definieren, können die Benutzer alle Geräte installieren und Treiber aktualisieren, die Sie nicht über die Einstellungen Installation von Geräten mit diesen Geräte-IDs verhindern, Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen oder Installation von Wechselgeräten verhindern definiert haben. \Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine Richtlinie verhindert wird (Hinweistext) Sie können die Benutzer informieren, dass und warum - die Installation durch den Administrator verhindert wird. Definieren Sie hier den Hinweistext. \Benutzerdefinierte Meldung anzeigen, wenn Installation durch eine Richtlinie verhindert wird (Hinweistitel) Sie können die Benutzer informieren, dass die Installation durch den Administrator verhindert wird. Definieren Sie hier den Titel der Hinweismeldung. Alle Einstellungen sind maschinenbezogene Richtlinien und wirken sich somit auf alle Benutzer aus, die sich an den betroffenen Computern anmelden. Sie können die Richtlinien nicht auf bestimmte Benutzer oder Benutzergruppen eingrenzen. Einzige Ausnahme stellt die zuerst genannte Richtlinie Administratoren das Außerkraftsetzen der Richtlinien unter Einschränkungen bei der Geräteinstallation erlauben dar. Diese schließt die Mitglieder der lokalen Gruppe Administratoren von allen Einschränkungen in Bezug auf die Geräteinstallation aus und bezieht sich auf eine Benutzergruppe, obwohl es eine Computerkonfiguration ist.
Konfigurationsbeispiel mit einem USB-Stick Als Administrator eines mittelständischen Unternehmens möchten Sie (oder Ihr Chef) die Installation von unbekannten USB-Geräten, die nicht zum Firmeneigentum gehören, verhindern. Gleichwohl sollen aber firmeneigene USB-Memorysticks für den Gebrauch erlaubt sein. Lokale Administratoren sollen von diesen Restriktionen nicht betroffen sein. Die Vorgehensweise für die Umsetzung diese Richtlinien kann wie folgt aussehen: 1. Konfigurieren Sie eine Richtlinie, die bei den Benutzern das Installieren und Aktualisieren von Geräten verhindert. Am einfachsten geht das durch Aktivieren der Richtlinie Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind. 2. Konfigurieren Sie eine Richtlinie, die den Administratoren das Installieren und Aktualisieren von Geräten ermöglicht.Stellen Sie dazu die Richtlinie Administratoren das Außerkraftsetzen der Richtlinien unter Einschränkungen bei der Geräteinstallation erlauben auf AKTIVIERT.
10.1 Hardware und Schnittstellen___________________________________________ 523 3. Testen Sie die Auswirkungen der Restriktionen mit einem Standard-Benutzerkonto. 4. Erstellen Sie eine Liste autorisierter Geräte. Dazu melden Sie sich als Administrator an. Installieren Sie das Gerät, das zugelassen werden soll. Fragen Sie nach der Installation die Hardwarekennungen ab. Starten Sie hierfür den Geräte-Manager und navigieren Sie zu dem neu installierten Gerät. Öffnen Sie das Dialogfenster Eigenschaften über das Kontextmenü. Abbildung 10.5: Hardware ID eines USB-Flash-Laufwerks bestimmen
Wählen Sie die Registerkarte DETAILS aus und stellen Sie das Feld EIGENSCHAFT auf Hardware-IDs. Notieren Sie sich den ersten Wert oder kopieren Sie ihn mit Strg + C. Jetzt deinstallieren sie das Gerät und entfernen es vom USB-Port. Wechseln Sie zum Gruppenrichtlinienobjekteditor. Aktivieren Sie die Richtlinie Installation von Geräten mit diesen Geräte-IDs zulassen. Über die Schaltfläche ANZEIGEN sehen Sie eine Liste mit bisher zugelassenen Geräten. Mit einem Klick auf HINZUFÜGEN öffnet sich ein Eingabedialog. Schreiben Sie die notierte Hardware-ID hier ein oder fügen Sie sie mit Strg + V aus der Zwischenablage ein. Abbildung 10.6: Hinzufügen der Hardware-ID zur »Positiv-Liste«
524 _____________________________________________ 10 Massenspeicherverwaltung 5. Testen Sie die Richtlinie mit einem Standardbenutzerkonto nach Ausführen von gpupdate /force in der Eingabeaufforderung.
10.1.6
USB-Flash-Speicher als Systembeschleuniger
Unter Windows Vista können Sie Flash-Speichergeräte, wie beispielsweise ein USB-Speicherstick, zur Beschleunigung Ihres Systems einsetzen.
SuperFetch Vista enthält eine neue Speicherverwaltungstechnologie: SuperFetch. Das englische Wort fetch bedeutet holen oder einziehen. SuperFetch basiert auf Nutzungsmustern, die es über die Zeit beobachtet. Es »zieht« sich häufig gebrauchte Anwendungen in einen Zwischenspeicher (Cache). Wird beispielsweise Outlook fast jeden Morgen gestartet, merkt sich SuperFetch das. Outlook wird in den Cache geladen, bevor es vom Benutzer gestartet wird. So vorbereitet, dauert der Start dann nicht lange.
ReadyBoost ReadyBoost richtet einen Flash-Speicher so ein, dass er SuperFetch als Cache dienen kann. Für ReadyBoost können USB-Speichersticks genauso genutzt werden wie SD-Speicherkarten, Compact-Flashkarten, Sony Speicherkarten und ähnliche Formate. Abbildung 10.7: System beschleunigen mit ReadyBoost
10.1 Hardware und Schnittstellen___________________________________________ 525 Prinzipiell gilt natürlich je mehr Cache, desto besser. Als Faustregel gilt, dass der ReadyBoost-Cache das 1-2,5fache des installierten Arbeitsspeichers (RAM) betragen sollte. Für einen gängigen PC mit 512MB ist ein 1 GB USB-Memorystick also nicht überdimensioniert. Eine Startbeschleunigung auf 50% der normalen Ladezeit ist so zu erreichen. Genutzt werden können Geräte, die einen Datendurchsatz von mindestens 2,5 MB/s beim zufälligen Lesen (random read) von 4kB-Blöcken und 1,75 MB/s beim zufälligen Schreiben von 4kBBlöcken erreichen. Oftmals angegebene Werte von 12MB/s und mehr beziehen sich auf das sequentielle Lesen und Schreiben. Das ist hier nicht gemeint. So richten sie ReadyBoost ein: Einrichtung 1. Sobald Sie dem Vista-System einen USB-Flashspeicher anbieten, also einfach in den USB-Port stecken, erscheint der Dialog AUTOMATISCHE WIEDERGABE, der nachfragt, wie mit dem Gerät verfahren werden soll. 2. Wählen Sie SYSTEM BESCHLEUNIGEN MIT WINDOWS-READYB OOST aus. Es wird daraufhin der Eigenschaften-Dialog des Wechseldatenträgers mit der Registerkarte READYBOOST angezeigt. Sobald Sie die Option DIESES GERÄT VERWENDEN aktivieren, können Sie die zu reservierende Größe angeben. Vista legt eine Datei im Root-Ordner des Wechsellaufwerks an, die sich ReadyBoost.sfcache nennt. Die Datei hat die zuvor eingestellte Größe und ist mit dem Verfahren AES128 verschlüsselt. Befürchtungen, die auf dem Wechseldatenträger gespeicherten Daten wären im Falle eines Diebstahls für andere lesbar, sind somit unbegründet. Abbildung 10.8: ReadyBoost auf Wechseldatenträger aktivieren
526 _____________________________________________ 10 Massenspeicherverwaltung
10.1.7
iSCSI-Initiator einrichten
Der iSCSI-Initiator wird über das gleichnamige MMC Snap-In in der Systemsteuerung gestartet. Da die Verwendung von Vista als iSCSIInitiator nicht der Standard ist, wird ein Hinweis eingeblendet, der zum Starten des notwendigen iSCSI-Dienstes auffordert. Abbildung 10.9: Der iSCSI-Dienst muss gestartet werden, um eine Verbindung herzustellen
Außerdem muss der iSCSI-Dienst bei der Firewall frei geschaltet werden, damit die Kommunikation zwischen Client und Server stattfinden kann. Abbildung 10.10: iSCSI-Eigenschaften (Einstellungen für die Client/ServerKommunikation)
Registerkarte ALLGEMEIN Über die Schaltfläche ÄNDERN kann der Initiatorname geändert werden, mit dem der Client beim Server bekannt gemacht wird. Mit der Schaltfläche SCHLÜSSEL kann ein Schlüssel für das 3-WegeHandshake-Verfahren CHAP (Challenge Handshake Authentification Protocol) ein-gerichtet werden. Adressen für den IP-Sec-Tunnelmodus lassen sich über die Schaltfläche EINRICHTEN definieren.
10.2 Das Volume Management ____________________________________________ 527 Registerkarte SUCHE Zielportale und iSNS-Server werden in den dazugehörigen Eingabefeldern hinzugefügt. Registerkarte ZIELE Der Status zu bestehenden Verbindungen kann abgefragt werden. Erforderliche Anmeldungen für einzelne Speichergeräte des Ziels werden hier eingerichtet. Registerkarte BEVORZUGTE ZIELE Für präferierte Ziele kann die automatische Anmeldung beim Systemstart bestimmt werden. Registerkarte VOLUMES UND GERÄTE Der iSCSI-Initiator-Dienst stellt standardmäßig alle Volumes und Geräte eines Ziels zur Verfügung. Werden nur bestimmte Volumes oder Geräte gebraucht, können sie separate definiert werden. Registerkarte RADIUS Steht ein RADIUS-Server für die Authentifizierung bereit, kann er hier eingetragen werden. RADIUS steht für Remote Authentication Dial-In User Service und ist in den RFCs 2865-69 definiert.
10.2 Das Volume Management Windows Vista verfügt über ausgefeilte Fähigkeiten, Massenspeicher effektiv und sicher zu verwalten. Die Basis dazu liefert das Volume Management, welches erstmals in dieser Form in Windows 2000 zum Einsatz kam. Der Funktionsumfang unter Windows Vista entspricht im Wesentlichen dem von Windows XP Professional. Die konkreten Administrationsanweisungen zur Einrichtung von Massenspeichern unter Windows Vista finden Sie in Kapitel 12 Administration der Massenspeicher ab Seite 587.
Volume Management
Administration ab Seite 587
10.2.1 Festplatten, Datenträger und Volumes Im folgenden Text werden immer wieder die Begriffe Festplatten, Datenträger und Volumes benutzt. Zum besseren Verständnis der Ausführungen folgt hier zunächst eine kurze Definition dieser und der damit verbundenen Begriffe. Mit Festplatten werden die physischen Geräte zur Datenspeicherung Festplatten bezeichnet, welche im betreffenden Computersystem eingebaut sind und unter Windows Vista als Ganzes über die Datenträgerverwaltung eingerichtet werden können. Dabei wird zwischen dynamischen Festplatten und Basisfestplatten unterschieden. In der Microsoft-Terminologie werden Festplatten mit dem Begriff Datenträger Datenträger bezeichnet. Das kann etwas verwirrend sein, da damit in anderen Systemwelten teilweise logische Datenträger gemeint sind. Im vorliegenden Buch schließen wir uns allerdings der offiziellen Micro-
528 _____________________________________________ 10 Massenspeicherverwaltung
Basisdatenträger
Dynamische Datenträger
Volume
soft-Sprachregelung an und verwenden Datenträger nur noch für die Bezeichnung physischer Speichergeräte, in der Regel Festplatten. Basisdatenträger entsprechen in ihrem Aufbau »normal« eingerichteten Festplatten unter Windows 9x/Me und NT. Diese werden über eine Partitionstabelle geführt und können primäre und erweiterte Partitionen sowie logische Laufwerke enthalten. Ausführlich wird dieser Datenträgertyp in Abschnitt 10.3 Basisdatenträger und Partitionen ab Seite 530 behandelt. Dynamische Datenträger werden primär nicht mehr über Partitionstabellen geführt, sondern über eine Datenträgerdatenbank. Die Hauptvorteile dieses Verfahrens liegen in einer deutlich höheren Flexibilität und Sicherheit. Die meisten Konfigurationsänderungen benötigen zudem keinen Neustart des Betriebssystems mehr. Umfassende Informationen finden Sie zu diesem Thema in Abschnitt 10.4 Dynamische Datenträger ab Seite 533. Für den Systemstart wird allerdings nach wie vor ein Datenträger mit einer Partitionstabelle benötigt. Insofern ersetzt die Technologie der dynamischen Datenträger bestimmte Funktionen von Basisdatenträgern nicht. So können Sie zwar alle Basisdatenträger Ihres Systems in dynamische Datenträger umwandeln, es bleiben allerdings einige Unterschiede zwischen den neuen dynamischen Datenträgern bestehen. Dies ist abhängig davon, ob von einem Datenträger gestartet werden kann oder nicht. Volumes werden als logische Einheiten auf den Datenträgern eingerichtet. Auf Basisdatenträgern stellt ein Volume eine primäre Partition oder ein logisches Laufwerk in einer erweiterten Partition dar und wird mit Basisvolume bezeichnet. Auf dynamischen Datenträgern dienen so genannte dynamische Volumes für die logische Unterteilung. Dabei kann ein dynamisches Volume einen Teil oder einen ganzen dynamischen Datenträger umfassen oder sich sogar über mehrere Datenträger erstrecken, wie bei einem übergreifenden Volume oder bei einem Stripesetvolume.
10.2.2 Aufbau des Volume Managements
Statisch mit Partitionstabellen
Die grundsätzliche Struktur des Volume Managements von Windows Vista ist in Abbildung 10.11 dargestellt. Auf der untersten Ebene befinden sich die physischen Festplatten. Im linken Bereich finden Sie die als statisch bezeichnete Datenträgerverwaltung, bei der Festplatten über Partitionstabellen geführt werden. Dieser partitionsorientierte Ansatz geht bis auf die ersten MSDOS-Versionen zurück, die mit Festplatten umgehen konnten. Als statisch wird dies deshalb bezeichnet, weil unter Windows 2000/XP/Vista damit nur Festplatten in einfache logische Datenträger unterteilt werden können. Eine Festplatte lässt sich so beispielsweise in die Laufwerke C: und D: teilen. Allerdings sind die Partitionstabellen von vornherein statisch ausgelegt. So statisch wie seine Vorgänger
10.2 Das Volume Management ____________________________________________ 529 verhält sich Vista allerdings nicht. Ein nachträgliches Anpassen, wie die Veränderung der Größe einer Partition, ist mit Bordmitteln möglich. Und das gilt für eine Vergrößerung wie auch für eine Verkleinerung! Über die Technologie der dynamischen Datenträger können Sie Volumes Dynamisch: über die Grenzen von physischen Datenträgern miteinander verknüp- Datenträgerdatenfen. Dynamische Datenträger werden vom Betriebssystem nicht mehr bank über Partitionstabellen verwaltet, sondern über eine Datenträgerdatenbank. Diese befindet sich am Ende eines dynamischen Datenträgers. Ihr Inhalt wird zwischen allen installierten Festplatten repliziert, was die Wiederherstellung im Falle eines Fehlers vereinfacht. Neben der höheren Flexibilität bei der Bildung und Erweiterung logischer Volumes wird damit eine höhere Ausfallsicherheit erreicht. Abbildung 10.11: Aufbau des Volume Managements von Windows Vista
Die Schnittstellen, über die der Logische Diskmanager implementiert Offene Schnittwurde, sind offengelegt und damit anderen Herstellern zugänglich. stellen Diese können damit eigene professionelle Massenspeicherlösungen für Windows Vista entwickeln. Der Virtual Disk Service (VDS) stellt eine API dafür zur Verfügung.
530 _____________________________________________ 10 Massenspeicherverwaltung Home-Versionen: Nur Basisdatenträger Verwaltungswerkzeuge
Dateisysteme
Die Windows Vista Home-Versionen beschränken sich auf die statische Datenträgerverwaltung. Dynamische Datenträger können hier nicht genutzt werden. Über den Logischen Diskmanager (LDM) greifen die Verwaltungswerkzeuge unter Windows Vista auf die einzelnen Komponenten des Volume Managements zu. Für den Administrator stehen sowohl sehr komfortable grafische als auch nichtgrafische Tools zur Verfügung. An erster Stelle ist hier sicherlich das Managementkonsolen-Snap-In Datenträgerverwaltung zu nennen. Im Lieferumfang von Windows Vista befinden sich zudem nichtgrafische, kommandozeilenbasierte Tools mit denen sich die Verwaltungsaufgaben für Datenträger durchführen lassen. Weitergehende Informationen finden Sie zu diesem Thema in Abschnitt Kommandozeilen-Werkzeuge ab Seite 591. Zwischen dem Volume Management und den Anwendungen liegt das Dateisystem. Windows Vista unterstützt für den Zugriff auf Festplatten die Dateisysteme NTFS und FAT. Ausführlich werden diese in Kapitel 11 ab Seite 543 beschrieben.
10.3 Basisdatenträger und Partitionen Wenn Sie eine neue Festplatte in Ihr System einbauen, wird Windows Vista, so die automatische Hardwareerkennung beim Systemstart funktioniert, diese über einen Assistenten als dynamischen Datenträger einbinden wollen. Das ist die Standardvorgabe des Assistenten. Dieser Abschnitt beschäftigt sich allerdings mit den Grundlagen zu den Basisdatenträgern. Diese benötigen Sie so lange, wie Sie mit anderen Betriebssystemen als Windows auf die entsprechenden Festplatten zugreifen wollen.
10.3.1 Partitionen und Partitionstypen Aufteilung der Festplatte durch Partitionieren
Eine leere Festplatte muss normalerweise vor der Nutzung durch ein Betriebssystem eingerichtet werden. Dabei wird die Festplatte üblicherweise in einen oder mehrere Bereiche (Partitionen) fest aufgeteilt. Das bedeutet, dass Sie sich vor der Einrichtung einer Festplatte Gedanken machen müssen, wie diese logisch strukturiert werden soll. Die einfachste Variante besteht darin, die gesamte Festplatte mit einer einzigen Partition zu versehen und zu formatieren. Das bietet allerdings keine besondere Flexibilität und Sicherheit. Besser ist es, Bereiche zu trennen und beispielsweise das Betriebssystem und die Anwendungsprogramme separat in einer Partition zu speichern und die Daten in einer anderen. Für Wechseldatenträger wird eine Partitionierung nicht unterstützt. Diese können Sie lediglich vollständig mit einem der unterstützten Dateisysteme formatieren.
10.3 Basisdatenträger und Partitionen_______________________________________ 531 Bei der Partitionierung eines Basisdatenträgers wird zwischen zwei grundlegenden Partitionstypen unterschieden: Primäre und Erweiterte Partition. Auf einer Festplatte können mehrere primäre Partitionen anlegt werden. Eine primäre Partition kann nicht weiter unterteilt werden. Mit Hilfe des Partitionierungstools können Sie auf einer der installierten Festplatten genau eine der primären Partitionen als aktiv markieren. Von dort beginnt der Startvorgang des Betriebssystems. Die aktive primäre Partition wird auch mit Systempartition bezeichnet. Seit Windows NT werden bis zu vier primäre Partitionen oder drei primäre mit einer erweiterten Partition unterstützt. Vistas Festplattenverwaltungsprogramm erstellt die ersten drei Partitionen als Primärpartitionen, die vierte wird als erweiterte Partition eingerichtet. Diese ist allein noch nicht weiter benutzbar. In einer erweiterten Partition können Sie dann logische Laufwerke anlegen. Diese sind genau wie primäre Partitionen nicht weiter teilbar. Ein logisches Laufwerk kann allerdings nicht als aktiv gekennzeichnet werden und demzufolge nicht als Systempartition dienen. Als Startpartition wird die Partition bezeichnet, welche die Betriebssystemdateien enthält. Unter Windows Vista wird das betreffende Verzeichnis in %SystemRoot% hinterlegt (beispielsweise C:\Windows) und muss nicht auf der Systempartition liegen. Es kann sich auf einer anderen primären oder in der erweiterten Partition in einem logischen Laufwerk befinden. Der Zugriff auf primäre Partitionen und logische Laufwerke erfolgt normalerweise über die Vergabe von Laufwerkbuchstaben. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden und es sind nur Buchstaben des englischen Alphabets erlaubt. Damit ist die maximale Anzahl von Laufwerken, die Sie über Buchstaben ansprechen können, in einem System auf 26 beschränkt. A und B sind üblicherweise für Diskettenlaufwerke vorgesehen. Die restlichen 24 Buchstaben stehen dann für weitere Laufwerke zur Verfügung. Mit dem Snap-In Datenträgerverwaltung oder dem Kommandozeilentool DISKPART.EXE können Sie, außer für die System- und die Startpartition, die Laufwerkbuchstaben beliebig ändern (siehe auch Abschnitt 12.6 Volume-Zugriff ändern ab Seite 649). Sie haben eine weitere Möglichkeit, mehr Übersichtlichkeit in Ihre Datenorganisation zu bringen. Binden Sie ein Volume über einen Bereitstellungspunkt innerhalb eines anderen Volumes ein. Ein Bereitstellungspunkt ist dabei für den Benutzer nichts anderes als ein Ordner, der sich an einer beliebigen Stelle innerhalb eines NTFS-formatierten Laufwerks befinden kann. Weitere Informationen finden Sie dazu in Abschnitt 11.2.3 Analysepunkte und Bereitstellungen ab Seite 558.
Primäre Partition Systempartition
Erweiterte Partition und logische Laufwerke
Startpartition
Zugriff über Laufwerkbuchstaben
... und Bereitstellungspunkte
532 _____________________________________________ 10 Massenspeicherverwaltung
10.3.2 Erweiterte Partition und logische Laufwerke Erweiterte Partitionstabelle
Die logischen Laufwerke in einer erweiterten Partition werden durch eine verkettete Liste von so genannten erweiterten Partitionstabellen beschrieben. Diese Liste ist so aufgebaut, dass jede erweiterte Partitionstabelle einen Eintrag auf die Tabelle des nächsten logischen Laufwerks enthält. Beim letzten logischen Laufwerk endet diese Liste, indem der Zeiger auf das nächste Laufwerk leer bleibt. Durch diese Konstruktion können Sie theoretisch beliebig viele logische Laufwerke anlegen zumindest solange die 24 Buchstaben zur Vergabe eines Laufwerkbuchstabens ausreichen. Erweiterte Partitionen sind also eine Möglichkeit, die begrenzte Anzahl an Primär-Partitionen eines Basisdatenträgers zu umgehen. Logische Laufwerke funktionieren genauso wie primäre Partitionen. Die einzige Ausnahme ist, dass von ihnen das Betriebssystem nicht gestartet werden kann.
10.3.3 BCD das Ende der BOOT.INI Microsoft trägt Entwicklungen Rechnung, die eine Verbesserung der Beschreibung der Bootkonfigurationsdaten verlangte. Der BCD Speicher (Boot Configuration Data Store) stellt neue Mechanismen zur Verfügung, die neu entwickelte Firmware-Modelle wie das Extensible Firmware Interface (EFI) unterstützen.
Grundsätzlicher Aufbau
BCDEDIT.EXE
Der Boot Configuration Data (BCD)-Speicher enthält Boot-Konfigurationsparameter und bestimmt, wie das Betriebsystem in Windows Vista und Windows Server »Longhorn« 2007 gestartet wird. Diese Parameter wurden früher in die Datei BOOT.INI (bei BIOS-basierten Betriebssystemen) oder in das NVRAM (bei EFI-basierten Betriebssystemen) eingetragen. Das Kommandozeilentool B CDEDIT.EXE kann von Administratoren genutzt werden, um Einträge im BCD Speicher hinzuzufügen, zu editieren und zu löschen. Das Programm BCDEDIT.EXE ist in folgendem Ordner zu finden: %Systemroot%\System32 Der BCD-Speicher wiederum befindet sich bei BIOS-basierten Betriebssystemen im Ordner \Boot der aktiven Partition. EFI-Systeme halten diese Datei auf der EFI System-Partition vor. Mehr Information zum Modifizieren der Bootkonfigurationen enthält der Abschnitt 12.1.7 Den BCD-Speicher bearbeiten ab Seite .
10.3.4 Wiederherstellen des XP-Bootsektors Für Windows Vista wird ein völlig neuer Bootloader verwendet. Im Falle einer Parallelinstallation mit einem anderen Betriebssystem wie
10.4 Dynamische Datenträger _____________________________________________ 533 beispielsweise Windows XP Professional übernimmt dieser Bootloader die Kontrolle. Wird die Startpartition gelöscht, funktioniert der Loader nicht mehr Möglichkeiten und muss daher mit dem von Windows XP überschrieben werden. Vista bringt für diesen Fall das Recoverytool BOOTSECT.EXE mit. Mit dem Befehl FIXBOOT funktioniert das auch von der Windows XP Reparaturkonsole aus. Die BOOTSECT.EXE befindet sich auf der Windows Vista DVD. Gehen Vorgehen mit der Sie wie folgt vor, wenn Sie mit diesem Tool den XP-Bootsektor wie- Bootsect.EXE derherstellen wollen: 1. Booten Sie den Rechner von der DVD und öffnen Sie über das Systemwiederherstellungsmenü die Eingabeaufforderung. 2. Wechseln Sie in den Ordner \BOOT auf der DVD und starten Sie das Programm BOOTSECT.EXE mit den folgenden Parametern: Bootsect /nt52 SYS Dadurch wird der alte Windows XP Bootsektor auf die primäre Systempartition geschrieben und das neue Windows Vista Bootmenü gelöscht.
10.4 Dynamische Datenträger Die dynamischen Datenträger wurden mit Windows 2000 eingeführt. Windows XP und Windows Vista können mit ihnen genauso umgehen. Gegenüber Basisdatenträgern bieten dynamische Datenträger eine sehr viel größere Flexibilität bei der Verwendung mehrerer Festplatten in einem System. Daten können auf verschiedene Festplatten verteilt werden, was je nach Konfiguration mehr Performance oder Sicherheit bringt.
10.4.1 Erstellung und Aufbau dynamischer Datenträger Wenn Sie eine neue Festplatte in Ihr System einbinden wollen, können Sie sich zwischen den zwei grundlegenden Typen Basisdatenträger und Dynamischer Datenträger entscheiden. Standardmäßig richtet Windows eine neue Platte über den Assistenten bevorzugt als Basisdatenträger ein (siehe auch Abschnitt 10.3 Basisdatenträger und Partitionen ab Seite 530). Über die Datenträgerverwaltung können Sie einen bestehenden Basisdatenträger aber jederzeit nachträglich in einen dynamischen Datenträger konvertieren.
Erstellung von dynamischen Datenträgern Erst mit dem Konvertieren eines Basis- in einen dynamischen Datenträger stehen Ihnen alle neuen Möglichkeiten des Datenträgermanagements von Windows Vista zur Verfügung. Diese Konvertierung nehmen Sie über die Datenträgerverwaltung vor, die als Snap-In für die
534 _____________________________________________ 10 Massenspeicherverwaltung
Datenträgerdatenbank anstelle Partitionstabelle
Partitionstabelle nach wie vor für:
Windows Managementkonsole (MMC) ausgeführt ist. Mehr zu den konkreten Administrationsschritten finden Sie in Abschnitt 12.4.1 Basis- in dynamische Datenträger konvertieren ab Seite 633. Prinzipiell können Sie jeden Basisdatenträger in einen dynamischen Datenträger konvertieren. Dabei werden bestehende Basisvolumes in dynamische Volumes überführt. Dynamische Volumes werden auf dynamischen Datenträgern nicht mehr über die Partitionstabelle, sondern über die Datenträgerverwaltungsdatenbank geführt. Für das Neuanlegen der Datenträgerdatenbank wird ein kleiner freier, unpartitionierter Speicherplatz auf der betroffenen Festplatte benötigt. Die Größe dieses Bereichs reicht von circa einem MB bis zu einem Prozent der Festplattengröße. Steht dieser nicht zur Verfügung, kann die Konvertierung nicht durchgeführt werden. Aber auch nach dem Konvertieren eines Basis- in einen dynamischen Datenträger verliert die Partitionstabelle nicht vollends ihre Bedeutung. Für den Start des Betriebssystems und die Windows VistaSystemdateien bleibt sie erhalten.
Aufbau und Funktionen dynamischer Datenträger Datenträgerverwaltungsdatenbank
Speicherung ohne Fehlertoleranz
Dynamische Datenträger verfügen zur Verwaltung der auf ihnen eingerichteten dynamischen Volumes über eine Datenträgerverwaltungsdatenbank. Diese ist am physischen Ende der Festplatte untergebracht. Die Datenträgerverwaltungsdatenbank wird automatisch zwischen allen dynamischen Datenträgern repliziert, sodass im Falle einer Beschädigung der Datenträgerinformationen diese durch die Windows Vista-eigenen Mechanismen besser wiederhergestellt werden können. Beachten Sie, wenn Sie Reparaturprogramme für Datenträger von Drittherstellern einsetzen wollen, dass diese ausdrücklich Windows Vista-kompatibel sind und dynamische Datenträger unterstützen. Anderenfalls könnte ihre Anwendung zu Datenverlusten führen! Dynamische Volumes, die Sie auf dynamischen Datenträgern mit Hilfe der Datenträgerverwaltung anlegen, können in die folgenden Gruppen eingeteilt werden. Dabei wird zwischen der Speicherung mit und ohne Fehlertoleranz unterschieden: Einfaches Volume Einfache Volumes entsprechen der kleinsten Einheit eines dynamischen Datenträgers. Sie können erweitert werden, indem freier Speicherplatz auf demselben oder einem anderen dynamischen Datenträger hinzugefügt wird (siehe Abschnitt 10.4.2 Einfache Volumes und ihre Erweiterung ab Seite 536). Übergreifendes Volume Ein übergreifendes Volume entsteht, wenn mindestens zwei freie Bereiche auf zwei dynamischen Datenträgern zusammengefasst werden oder ein einfaches Volume mit einem freien Bereich auf einem anderen Datenträger erweitert wird. Logisch verhält sich dieses Volume dann wie eine einzige große Einheit.
10.4 Dynamische Datenträger _____________________________________________ 535 Stripesetvolume Für eine Erhöhung der Performance können Sie mindestens zwei gleich große freie Bereiche, die sich auf verschiedenen physischen Festplatten befinden müssen, zu einem Stripesetvolume verbinden. Die Daten werden zwischen diesen Bereichen aufgeteilt, sodass die Transferraten und Antwortzeiten beider Festplatten gebündelt zur Datenspeicherung genutzt werden können (siehe Abschnitt 10.4.3 Stripesetvolumes ab Seite 536). RAID 5-Datenträger Diese besondere Form des Stripesetvolumes verfügt über eine hohe Fehlertoleranz. Sie wird dadurch erreicht, dass separate Paritätsinformationen verteilt gespeichert werden, sodass beim Ausfall einer Festplatte die Daten problemlos rekonstruiert werden können. Dazu werden mindestens drei Festplatten benötigt, wobei sich der effektiv nutzbare Platz hierbei um ein Drittel verringert (für die Paritätsinformationen). Bei vier Festplatten geht demzufolge ein Viertel verloren, bei fünf ein Fünftel usw. Von Vorteil ist die bessere Speicherplatzausnutzung gegenüber den rein gespiegelten Datenträgern. Nachteilig ist allerdings die bei einer reinen Softwarelösung verminderte Schreibleistung. Die Lesegeschwindigkeit kann an die eines Stripesetvolumes heranreichen. Gespiegeltes Volume Maximale Fehlertoleranz für Festplatten erreichen Sie über die Einrichtung gespiegelter Volumes. Dabei werden die eingesetzten Festplatten redundant zur Speicherung der Daten genutzt. Es können jeweils zwei Festplatten zu einem gespiegelten Volume verbunden werden, wobei nur die Hälfte der gesamten Kapazität tatsächlich nutzbar ist. Dynamische Volumes, die Fehlertoleranzfunktionen bieten, können Sie nur mit einer der Windows-Serverversionen erstellen und nutzen. Weitere Hinweise finden Sie dazu in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003. Prinzipiell können Sie auf einem dynamischen Datenträger beliebig viele Volumes anlegen. Eine Limitierung gibt es nicht. Allerdings ist der sinnvolle praktische Umgang bei deutlich mehr als zehn Volumes pro Festplatte sicher fraglich. Als Administrator können Sie aber eine Windows Vista-Arbeitsstation nutzen, um über die Remoteverwaltungsfunktionen der Managementkonsole (MMC) Datenträgerverwaltung für ein Windows-Serversystem die dynamischen fehlertoleranten Volumes einzurichten und zu warten. Die dazu notwendigen Funktionen erscheinen dabei automatisch, sobald Sie eine Verbindung zu einem solchen Serversystem aufgenommen haben.
Speicherung mit Fehlertoleranz
Volumes remote auf Servern einrichten
536 _____________________________________________ 10 Massenspeicherverwaltung
10.4.2 Einfache Volumes und ihre Erweiterung
Erweitertes Volume Übergreifendes Volume Neustart nicht notwendig
Einfache dynamische Volumes können Sie während des laufenden Betriebes über die Datenträgerverwaltung erweitern. Dazu muss ein freier Bereich auf demselben oder einem anderen dynamischen Datenträger zur Verfügung stehen. Liegt der Bereich auf demselben Datenträger, spricht man von einem Einfachen erweiterten dynamischen Volume. Wird das einfache Volume über einen Bereich erweitert, der auf einer anderen physischen Festplatte liegt, entsteht ein übergreifendes Volume. Dieses kann sich über maximal 32 physische Festplatten erstrecken. Die Verknüpfung der physischen Teilbereiche zu einer logischen Einheit wird in der Datenträgerverwaltungsdatenbank eingetragen. Die Einbindung des neuen Volumes erfolgt dynamisch bei laufendem Betrieb. Ein Neustart ist nicht notwendig.
10.4.3 Stripesetvolumes RAID 0
Einrichtung ab Seite 640
Stripesetvolumes in Windows Vista entsprechen der RAID-Spezifikation Level 0 (siehe Tabelle 10.2). Wie übergreifende Volumes setzt sich ein Stripesetvolume aus Teilbereichen über mehrere physische Festplatten (maximal 32) zusammen. Die Teilbereiche müssen allerdings alle exakt gleich groß sein, da die Bereiche nicht nacheinander, wie beim übergreifenden Volume, sondern gleichzeitig mit Daten gefüllt werden. Die Datenpakete werden durch den Logischen Diskmanager in gleich große Stripes (Streifen daher der Name Stripeset) aufgeteilt und nacheinander auf alle verbundenen Festplatten gespeichert. Alle notwendigen Schritte zum Einrichten und Administrieren von Stripesetvolumes finden Sie in Abschnitt 12.4.5 Stripesetvolume erstellen ab Seite 640.
RAID-Level im Überblick Redundant Array of Independend Disks
Tabelle 10.2: Durch moderne Windows-Betriebssysteme unterstützte RAID-Level
RAID ist die Abkürzung von Redundant Array of Independent Disks (Redundante Gruppen von unabhängigen Platten) und beschreibt die Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden. RAID ist in verschiedenen Level definiert. Die von der Windows-Betriebssystemfamilie unterstützten Level sind in Tabelle 10.2 aufgeführt und jeweils kurz beschrieben. Level
Beschreibung
RAID 0
Dieses als Disk Striping bezeichnete Level beschreibt den Zusammenschluss von mindestens zwei physischen Festplatten zur Erhöhung der Performance zu einem Stripesetvolume. Die Daten werden zwischen den Platten in gleich große Streifen (Stripes) aufgeteilt, wodurch die Performance mehrerer Platten gebündelt werden kann.
10.4 Dynamische Datenträger _____________________________________________ 537 Level
Beschreibung
RAID 1
Level 1 wird als Mirroring (Spiegelung) bezeichnet. Dabei werden die Daten parallel auf zwei physischen Festplatten gehalten. Bei Ausfall einer Festplatte wird der Betrieb mit der verbleibenden fortgesetzt. Dieses Level wird nur von den Windows 2000/2003Serverversionen unterstützt. Für jedes dynamische Volume kann eine Spiegelung auf genau einem anderen dynamischen Datenträger eingerichtet werden.
RAID 5
Bei Level 5 werden Mirroring und Striping kombiniert. Der Fehlerkorrekturcode wird über alle angeschlossenen Festplatten gleichmäßig verteilt. RAID 5 wird als Striping mit Parität bezeichnet. RAID Level 5 wird ebenfalls nur von den WindowsServerversionen unterstützt.
RAID Level 1 bietet keine Fehlertoleranz. Das bedeutet, dass bei Ausfall RAID Level 1 keine einer Festplatte alle Daten des gesamten Stripesetvolumes verloren Fehlertoleranz sind. Sie können sich jedoch die damit hohe erreichbare Performance auf einem Arbeitsplatzrechner zunutze machen.
Prinzipieller Aufbau In Abbildung 10.12 sehen Sie den prinzipiellen Aufbau eines Stripesetvolumes, das sich über zwei dynamische Datenträger erstreckt. Abbildung 10.12: Prinzipaufbau eines Stripesetvolumes
So könnte beispielsweise eine Konfiguration aussehen, die aus einer Systemfestplatte von 110 GB Kapazität (die gleichzeitig Startfestplatte ist) und einer weiteren Festplatte von ebenfalls 110 GB besteht. Für das Betriebssystem ist ein 10 GB großer Bereich abgeteilt, der jetzt auf einem konvertierten dynamischen Datenträger als ehemalige primäre Partition vorhanden ist. Der Rest von 100 GB wird zusammen mit
538 _____________________________________________ 10 Massenspeicherverwaltung
Optimale Performance erreichen
Software-Stripeset
Hardware-Stripeset
einem gleich großen freien Bereich auf HDD1 zu einem 200 GB Stripesetvolume verbunden. Der für diese Konfiguration nicht nutzbare Rest von 10 GB bleibt als einfaches Volume E: übrig. Sie müssen bei der logischen Aufteilung Ihrer Festplatten berücksichtigen, dass sowohl System- als auch Startvolumes mit Bordmitteln nicht als Stripesetvolumes eingerichtet werden können. Für eine optimale Performance von Stripesetvolumes sollten Sie außerdem auf folgende Punkte achten: Setzen Sie nur identische Festplatten zu einem Stripeset zusammen. Sollte dies nicht möglich sein, verwenden Sie Festplatten, die in ihren Leistungsparametern (vor allem bei der Zugriffszeit) möglichst nah beieinander liegen. Verwenden Sie IDE-Festplatten, sollten Sie generell darauf achten, dass jeder Datenträger an einem separaten IDE-Kanal angeschlossen wird. Wenn Sie sich nur der Windows Vista-Bordmittel bedienen, sollten Sie wie im obigen Beispiel ein separates System- und Startvolume einrichten, das ausschließlich das Betriebssystem Windows Vista selbst enthält. Alle übrigen Programme und Daten werden in einem oder mehreren Stripesetvolumes gehalten, wodurch sich die Performance dieser Volumes für Ihre Anwendungen voll auswirken kann. Wenn Sie einen separaten RAID-Controller eines Drittherstellers einsetzen, können Sie auch das Windows Vista-Startvolume auf dem Stripeset einrichten. Damit kommt die höhere Performance dem Betriebssystem selbst zugute, was mit einem deutlich beschleunigten Start und einem schnelleren Systemverhalten belohnt wird. Das funktioniert deshalb, weil Windows Vista ein HardwareStripeset wie eine einzige physische Festplatte erkennt. Neben der Einrichtung eines RAID-0-Stripesets können Sie meist mit Hilfe von Hardware-Controllern auch andere RAID-Level für Ihren Arbeitsplatzcomputer realisieren. So lassen sich gespiegelte Datenträger (meist Mirror Sets genannt) einrichten und nutzen, die sonst softwareseitig nur durch die Windows 2000/2003-Serversysteme unterstützt werden. Beachten Sie, dass der Hersteller eines solchen RAID-Controllers aktuelle Treiber bereithält, die Windows Vista-zertifiziert sind. Anderenfalls kann die Benutzung Ihre Daten ernsthaft gefährden (siehe Abschnitt 9.4 Hilfe bei Treiberproblemen ab Seite 455). Den Treiber für den RAID-Controller müssen Sie in der Regel separat bei der Installation von Windows Vista von einer Diskette einlesen lassen (Schaltfläche TREIBER LADEN während des Setups).
10.5 GPT-Partitionen unter Windows Vista___________________________________ 539
10.5 GPT-Partitionen unter Windows Vista Dass Vista der entwicklungsmäßige Nachfolger von Windows Server 2003 und nicht von Windows XP ist, ist bei der Massenspeicherverwaltung zu erkennen. Die seit Einführung des Service Pack für Windows Server 2003 geleistete Unterstützung für GPT-Partitionen findet sich auch bei Vista wieder. Hauptgrund der Einführung einer neuen Technologie ist der Bedarf nach einer umfassenden Unterstützung noch größerer und leistungsfähigerer Datenträger jenseits der 2 TBGrenze. Die folgenden Abschnitte geben einen Überblick über den neuen Partitionstyp.
10.5.1 Einführung Computer mit 64 Bit-Prozessoren wie dem Itanium von Intel verfügen Extensible Firmware anstelle des »klassischen« BIOS (Basic Input Output System) über ein Interface Initiative EFI (Extensible Firmware Interface). Dieses beinhaltet unter anderem eine neue Technologie zur Verwaltung von Festplatten. Microsoft hat sich bei der Implementierung der entsprechenden Funktionen in Windows Vista im Wesentlichen an die Spezifikationen der Extensible Firmware Interface Initiative gehalten.
GPT-und MBR- Partitionen Festplatten, die so genannte GUID Partitionen enthalten werden kurz mit GPT-Disks bezeichnet. Im Gegensatz dazu werden Festplatten, die über die herkömmlichen Wege eingerichtet worden sind, als MBRDisks bezeichnet. Damit sind übrigens auch dynamische Datenträger gemeint, die Sie mit Windows 2000 oder Windows XP-32 Bit einsetzen können. Windows Vista lässt bisher die Wahl, in welchem Partitionsstil die Partitionen zusätzlicher Festplatten eingerichtet werden. Für die 64-Bit-Versionen von Vista ist die Verwendung von GPT-Partitionen der Standard. GPT-Disks zeichnen sich unter anderem dadurch aus, dass nach derzeitigem technischen Stand praktisch keine Größenbeschränkungen für Festplatten zu verzeichnen sind. Die bisher übliche Sektorgröße von 512 Byte ist auf 4 kBytes erweitert worden. Für die Gesamtgröße eines Datenträgers gibt es kein theoretisches Limit, was praktisch in den nächsten Jahren erreicht werden könnte. Weitere Vorteile dieser Technologie sind: Redundante Speicherung wichtiger Systeminformationen (wie der Partitionstabellen) sowie Führung von CRC-Prüfsummen, um eine maximale Datenintegrität sicherzustellen Einfacherer Aufbau. Alle Konfigurationsinformationen werden »normal« als Daten auf dem Datenträger hinterlegt, nicht wie bei MBR-Disks in unsichtbaren Bereichen oder außerhalb der Partitionen.
GPT Disks und MBR Disks
Sehr große Datenträger
540 _____________________________________________ 10 Massenspeicherverwaltung
Eindeutige Partitions-GUIDs
Das Format von GPT-Partitionen verfügt über spezielle Konfigurationsfelder (Version, Größe) für ein nachträgliches Erweitern. Zusätzlich zu den GUIDs können Datenträger über bis zu 36 Zeichen lange Datenträgernamen angesprochen werden. Auf GPT-Disks können Sie theoretisch beliebig viele Partitionen beziehungsweise Volumes anlegen. Unterschieden und über das Betriebssystem angesprochen werden diese generell über die jeweils eindeutige Partitions-GUID. Das betrifft ebenso die System- und Startpartition von Windows Vista. Sie können aber zusätzlich Bereitstellungspunkte einrichten und verschiedene Volumes zu logischen Einheiten verbinden (siehe Abschnitt 11.2.3 Analysepunkte und Bereitstellungen ab Seite 558).
10.5.2 Aufbau einer GPT-Disk Jede GPT-Disk verfügt über einen so genannten schützenden MBR (Master Boot Record), der in Sektor 0 beginnt und der GPT-Partitionstabelle vorausgeht. Dieser spezielle MBR enthält einen einzigen Partitionseintrag mit der Typkennung 0xEE, der die Größe der gesamten Festplatte enthält. Betriebssysteme, die GPT-Disks nicht unterstützen, sehen damit einzig eine große Partition unbekannten Typs, die für den weiteren Zugriff gesperrt ist. Somit wird eine solche Festplatte nicht irrtümlich als »unpartitioniert« erkannt und damit vielleicht ungewollt überschrieben. EFI System Partition Eine GPT-Disk, von der Windows Vista gestartet werden soll, muss (ESP) als erste Partition eine so genannte EFI System Partition (ESP) enthalten. In dieser werden Dateien für den Systemstart abgelegt. Das sind unter anderem die HAL (Hardware Abstraction Layer) und das Ladeprogramm (Urlader). OEMs können in diese Partition weitere Tools unterbringen, die für ihre speziell angepassten Hardwarelösungen und deren eventuell notwendige Konfiguration vor dem Betriebssystemstart von Belang sind. Die Größe der ESP hängt von der Größe der physischen GPT-Disk ab. Sie beträgt davon ein Prozent, mindestens jedoch 100 MB, und ist auf maximal 1 GB begrenzt. Die ESP wird im Übrigen mit dem FAT16-Dateisystem formatiert. Als erste Partition auf einer GPT-Disk, allerdings nach einer eventuell Microsoft-reservierte Partition vorhandenen ESP, muss eine Microsoft-reservierte Partition (MSR) ein(MSR) gerichtet werden. Dies geschieht durch Windows Vista selbständig, wenn Sie eine GPT-Disk einrichten. Mit dieser Partition wird Speicherplatz reserviert, der für eine eventuelle spätere Umwandlung einer Basis- in eine dynamische GPT-Disk benötigt wird. Für eine dynamische GPT-Disk werden dann zwei GPT-Partitionen erzeugt: Eine GPT-Datenpartition mit der eigentlichen dynamischen Festplatte und eine mit der Datenträgerverwaltungsdatenbank. Auf einer MBRFestplatte wird diese in einem versteckten unpartitionierten Bereich geführt, den es unter einer GPT-Disk nicht mehr gibt. Schützender MBR
10.5 GPT-Partitionen unter Windows Vista___________________________________ 541 Abbildung 10.13: Prinzipieller Aufbau von GPT-Disks
Auf GPT-Datenpartitionen erfolgt die Speicherung der eigentlichen GPT-Datenpartition Daten und Programme. Die Startdateien müssen sich ebenfalls auf einer solchen Partition befinden. Eine Basis-GPT-Disk kann nur dann in eine dynamische GPT-Disk umgewandelt werden, wenn die GPTBasis-Datenpartitionen direkt hintereinander liegen. Werden zwei GPT-Basis-Datenpartitionen durch eine Partition eines anderen Typs getrennt, kann die Basis-GPT-Disk nicht umgewandelt werden. Damit wird klar, warum Microsoft darauf besteht, die MSR am Anfang der Festplatte als erste GPT-Partition unterzubringen, beziehungsweise als zweite, wenn eine ESP existiert. Im Normalfall wird ein 64 Bit-System herstellerspezifische Anpassungen und Erweiterungen sowohl an der Hardware als auch am Betriebssystem aufweisen. Ziehen Sie deshalb für die Installation und die Einrichtung die mitgelieferte Dokumentation des Herstellers zu Rate.
10.5 GPT-Partitionen unter Windows Vista___________________________________ 543
11 11Dateisysteme Für den Zugriff auf die Datenträger stehen mit Dateisystemen definierte Schnittstellen für das Betriebssystem und die Anwendungsprogramme zur Verfügung. Windows Vista unterstützt verschiedene Dateisysteme, wobei NTFS eine besondere Bedeutung zukommt. In diesem Kapitel werden die technischen Grundlagen der Dateisysteme näher betrachtet.
544 _________________________________________________________ 11 Dateisysteme
Inhaltsübersicht Kapitel 11 11.1 11.2 11.3 11.4
Unterstützte Dateisysteme........................................... 545 Dateisystem NTFS im Detail ....................................... 546 Datenverschlüsselung .................................................. 566 Fragmentierung............................................................. 580
11.1 Unterstützte Dateisysteme ____________________________________________ 545
11.1 Unterstützte Dateisysteme Windows Vista unterstützt verschiedene Dateisysteme für die Speicherung von Dateien auf Festplatten und Wechseldatenträgern. NTFS ist das primäre Dateisystem, denn es bietet wichtige Vorteile bei der Verwaltung größerer Datenmengen sowie hinsichtlich der wirksameren Absicherung von Daten vor unbefugtem Zugriff im Vergleich zu den Dateisystemen der FAT-Familie. Außer bei Disketten und eventuell anderen externen Datenträgern sollte bei Vista immer NTFS zum Einsatz kommen. Nur dieses Dateisystem bietet ausreichende Sicherheit und Skalierbarkeit und genügt professionellen Anforderungen. Es ist das einzige Dateisystem auf dem sich Vista installieren lässt.
11.1.1 FAT, FAT32 und NTFS Zunächst erfolgt ein Überblick über die verschiedenen Dateisysteme.
FAT FAT (File Allocation Table) steht in Deutsch für Dateizuordnungstabelle. File Allocation Table Die ursprüngliche Version dieses Dateisystems geht bis in die Anfänge des DOS Anfang der 80er Jahre zurück. Entsprechend einfach ist der Aufbau. Über eine Tabelle werden die einzelnen Zuordnungseinheiten verwaltet. Am Anfang waren damit, entsprechend dem damaligen Entwicklungsstand der Festplattentechnologie, nur recht geringe Partitionsgrößen am Stück verwaltbar.
FAT32 Nach und nach wurde das Dateisystem erweitert und mit der Fassung FAT32 für die Verwaltung großer Datenträger befähigt. Diese FATVersion wurde mit der zweiten Fassung von Windows 95 (mit Windows 95 OSR 2 bezeichnet) eingeführt. Die neuesten Festplatten, inzwischen mit mehreren hundert GByte zu haben, sind allerdings mit FAT32 kaum noch sinnvoll zu verwalten. Hinzu kam die Erweiterung für die Unterstützung langer Dateinamen, bei der Einträge in der FAT nicht nur für Dateien, sondern ebenso für deren lange Namen »missbraucht« werden. Die verschiedenen FAT-Versionen werden im Allgemeinen nach den internen Bit-Breiten ihrer Verwaltungsfelder für die Zuordnungseinheiten bezeichnet. Das FAT12-Dateisystem wird generell als FAT12 bezeichnet, entsprechend das FAT32-Dateisystem mit FAT32.
FAT32 für größere Datenträger
Lange Dateinamen
FAT12, FAT16, FAT32
546 _________________________________________________________ 11 Dateisysteme Details im Windows XP Professional Buch
Auf eine detaillierte Beschreibung von FAT und FAT32 wird an dieser Stelle verzichtet. In unserem Buch Windows XP Professional werden diese Dateisysteme umfassend erläutert
CDFS Das Compact Disc File System ist das Standardformat für die Verwendung von CD-ROMs. Es basiert auf ISO 9660 Level 3 und enthält darüber hinaus die Joliet-Erweiterung.
UDF Das Universal Disc Format (ISO 13346) ist ein neueres Standardformat für austauschbare Wechseldatenträger. Mit UDF formatierte CDROMs, MOs (Magnetooptische Medien) oder DVDs sollen so zwischen den verschiedensten Plattformen und Betriebssystemen kompatibel sein. Dieser Standard gilt als Nachfolger des CDFS. Das Dateisystem hat nicht mehr die Limitierungen von ISO 9660, insbesondere was die Art der Anordnung der Datenblöcke auf einem Datenträger angeht. Über so genannte Packet Write-Treiber können Sie dann Daten beliebig in kleinen Blöcken auf den Datenträger brennen. Die Daten werden wesentlich effizienter auf der CD oder DVD gespeichert. Lead-In- und Lead-Out-Bereiche, wie sie beispielsweise bei der CD-R für jede Session anfallen, sind nicht mehr notwendig. Aktuell ist die Version 2.60. Weitere Informationen finden Sie dazu auf der Website der OSTA (Optical Storage Technology Association): http://www.osta.org/specs
Live Dateisystem Das ist das Format, welches Windows Vista standardmäßig über das integrierte Brennmodul generiert, wenn ein CD- oder DVD-Rohling beschrieben wird. Weitere Informationen finden Sie dazu in Abschnitt 17.2 CD und DVD-Brennen unter Windows Vista ab Seite 1113.
11.2 Dateisystem NTFS im Detail NTFS ist das für den Betrieb eines Windows Vista-Systems wichtigste Dateisystem. Dementsprechend sind die nachfolgenden Abschnitte umfassend diesem Dateisystem gewidmet.
11.2.1 Merkmale von NTFS NTFSv6
NTFS wurde für Vista in einer neuen Version herausgebracht und auch als NTFSv6 bezeichnet.
11.2 Dateisystem NTFS im Detail __________________________________________ 547 Maximale Speicherkapazität In der folgenden Tabelle sind die wesentlichen technischen Merkmale zur Speicherkapazität von NTFSv6 aufgeführt: Merkmal
Wert
Maximale Volumegröße
2 TB (adressierbar: 16,7 Mio TB)
Maximale Dateigröße
Tabelle 11.1: Speicherkapazitäten von NTFS-Volumes
wie Volumegröße
Dateien je Volume
232-1 = 4 294 967 295
Einträge im Stammverzeichnis
unbegrenzt
Wie Sie der Tabelle entnehmen können, sind beeindruckend große Datenträgergröße Volumes mit NTFS nutzbar. Hier hat Microsoft aus der Vergangenheit gelernt und von vornherein auf eine ausreichende Reserve geachtet. Wenn Sie sich vor Augen halten, dass bereits Einsteiger-PCs mit Festplatten jenseits der 100 GB ausgeliefert werden, kann dies nur begrüßt werden. Die theoretische Größe von 16,7 Millionen Terabyte für NTFS ergibt Begrenzung sich aus der 64 Bit breiten Adresse, mit der die hohe Zahl von auf 2 TB 18 446 744 073 709 551 616 Clustern adressiert werden können. Die Beschränkung auf 2 TB liegt weniger an Windows oder Microsoft, sondern mehr an der heute üblichen Sektorgröße bei Festplatten von 512 Byte. Hinzu kommt die derzeitige Limitierung der Datenträgertabellen auf 232 Sektoren (als Industriestandard verankert). Damit ergibt sich eine maximale Größe von 232 x 512 Byte = 2 TB. Durch eine Vergrößerung der Sektorgröße beziehungsweise der Datenträgertabelle könnten hier in Zukunft noch Reserven aufgedeckt werden. Ob wir bis dahin aber noch konventionelle Festplattenspeicher benutzen, ist fraglich.
Clustergröße Die kleinste adressierbare Einheit auf einer Festplatte wird Zuordnungseinheit oder Cluster genannt. In Tabelle 11.2 sind die Clustergrößen von NTFS und FAT32 gegenübergestellt. Mit Hilfe der WindowsFormatprogramme (siehe Abschnitt 12.5 Volumes formatieren ab Seite 642) können Sie diese Clustergrößen an spezielle Bedürfnisse anpassen. Die Limitierungen, insbesondere des FAT32-Dateisystems, können Sie damit natürlich trotzdem nicht überwinden. Das bedeutet auch, dass die minimale Clustergröße ab einer bestimmten Volumekapazität nicht unterschritten werden kann. Volumegröße
FAT32
NTFS
33 64 MB
512 Byte
512 Byte
65 128 MB
1 KB
512 Byte
129 256 MB
2 KB
512 Byte
Tabelle 11.2: Standard-Clustergrößen von FAT32 und NTFS
548 _________________________________________________________ 11 Dateisysteme 257 512 MB
4 KB
512 Byte
513 1 024 MB
4 KB
1 KB
1 GB 2 GB
4 KB
2 KB
2 GB 4 GB
4 KB
4 KB
4 GB 8 GB
4 KB
4 KB
8 GB 16 GB
8 KB
4 KB
16 GB 32 GB
16 KB
4 KB
---
4 KB
32 GB 2 TB
Effiziente Speicherung mit NTFS
Aus der Tabelle wird deutlich, dass für die Verwaltung großer Volumes ab 16 GB die Verwendung von FAT32 als Dateisystem mit einer Clustergröße von 16 KB zu einer sehr ineffizienten Ausnutzung des Speicherplatzes führt. Dies wird besonders deutlich, wenn Sie auf so einem Volume viele kleine Dateien speichern, beispielsweise kurze Texte, die allesamt nur wenige KB groß sind. Jede Datei belegt dabei mindestens einen Cluster. Bei einer Dateigröße von 2 KB bleiben mit Clustern von 16 KB glatte 14 KB ungenutzt. Die effizienteste Speicherung auch kleiner Dateien weist NTFS auf. Kleine Dateien bis circa 1 500 Bytes werden sogar komplett mit den zugehörigen Indizierungsattributen in der Master File Table (MFT) untergebracht (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 553).
Dateisystemsicherheit bei NTFS
Wiederherstellbares Dateisystem
Transaktionen
Eine wichtige Funktion eines Dateisystems besteht in der sicheren Speicherung der Daten und einer möglichst hohen Fehlertoleranz. Nach einem Systemausfall sollten Daten wiederherstellbar sein beziehungsweise die Datenkonsistenz sollte trotzdem gewahrt bleiben. Die folgenden Merkmale zeichnen NTFS im Hinblick auf eine hohe Dateisystemsicherheit aus: Transaktionsorientierte Arbeitsweise Das NTFS-Dateisystem bietet in Sachen Datensicherheit bedeutende Erweiterungen gegenüber FAT und FAT32. NTFS wird in diesem Zusammenhang auch als wiederherstellbares Dateisystem bezeichnet. Grundlage der Wiederherstellbarkeit ist die Verwendung von Standardmethoden zur Transaktionsprotokollierung, wie sie auch in Datenbanksystemen Anwendung finden. Jeder Vorgang wird dabei als Transaktion betrachtet. Vor einer Aktion, das kann beispielsweise das Lesen einer Datei oder das Schreiben einer bestimmten Anzahl von Datenblöcken sein, erfolgt ein Starteintrag im Transaktionsprotokoll. Dann wird die Transaktion durchge-
11.2 Dateisystem NTFS im Detail __________________________________________ 549 führt und der erfolgreiche Abschluss wiederum protokolliert. Wird die Transaktion aufgrund eines Hardware-Fehlers oder Programmabsturzes nicht bis zu Ende geführt, wird mit Hilfe des Transaktionsprotokolls und spezieller Prüfpunkte die Datenträgerkonsistenz wiederhergestellt. Die Transaktionsprotokollierung wurde in der Vista-Version des NTFS erweitert. Unter dem Namen Transaction Management (TxF) finden Sie mehr Informationen auf dieser Seite: http://windowssdk.msdn.microsoft.com/en/us/library/ms687561.aspx Das Kommandozeilen-Tool Fsutil.exe ist um Befehle zur Verwaltung von Transaktionen und deren Ressourcen erweitert worden. Fsutil.exe ist mit seinen Befehlsoptionen in Abschnitt 12.1.5 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 612 ausführlich erläutert. Die transaktionsorientierte Arbeitsweise unter NTFS entspricht im Prinzip dem Journaled File System, wie es auch in verschiedenen UNIX-Versionen zum Einsatz kommt. Cluster-Remapping NTFS ist in der Lage, die Auswirkungen von auftretenden Sektorfehlern bei Datenträgern zu minimieren. Wird während des Betriebes ein defekter Sektor entdeckt, wird der entsprechende Cluster als defekt in der Datei $BADCLUS markiert und die zu schreibenden Daten werden auf einen unbeeinträchtigten Cluster umgeleitet. NTFS ist also ein selbstheilendes Dateisystem. Tritt ein Sektorfehler bei einem Lesevorgang auf, sind die betreffenden Daten allerdings nicht wiederherstellbar und werden verworfen, da sie nicht mehr konsistent sein könnten. Für FAT und FAT32 werden defekte Sektoren nur beim Neuformatieren eines Volumes erkannt und berücksichtigt. Treten Sektorfehler während des Betriebes auf, können Schreiboperationen beeinträchtigt werden beziehungsweise die zu schreibenden Daten verloren gehen. Bootsektor-Sicherung Für den Bootsektor wird im Gegensatz zu FAT und FAT32 am Ende des Volumes eine Sicherungskopie angelegt. Im Falle einer Inkonsistenz zwischen Original und Sicherung wird automatisch der gesicherte Bootsektor verwendet und damit trotzdem noch ein Startvorgang ermöglicht.
Journaled File System
Defekte Sektoren bei FAT
Zugriffsrechte für Dateien und Ordner Bei den Dateisystemen FAT und FAT32 lassen sich für Dateien und FAT und FAT32: Ordner lediglich bestimmte Attribute setzen: Schreibgeschützt, Ver- lediglich Attribute steckt, Archiv und System. Diese Attribute können durch alle Benutzer gesetzt oder gelöscht werden und stellen damit keinen wirksamen Schutz dar. Zugriffsrechte auf Benutzerebene werden von diesen Dateisystemen nicht unterstützt. Lediglich für die Freigaben in einem Windows-Netzwerk lassen sich verbindliche Attribute festlegen, die
550 _________________________________________________________ 11 Dateisysteme
NTFS: Benutzerrechte
Vererbbare Berechtigungen
dann nicht mehr durch jeden Benutzer über das Netzwerk geändert werden können. Unter NTFS lassen sich Dateiberechtigungen für Dateien und Ordner festlegen, die den Zugriff genau für die angelegten Benutzer und Gruppen regeln. Sie können damit festlegen, wer überhaupt Zugriff erhält, und wenn, welche Aktionen im Detail zulässig sind. Diese Dateiberechtigungen gelten sowohl lokal als auch für Benutzer, die über das Netzwerk angemeldet sind. Bereits mit NTFSv5 sind vererbbare Berechtigungen eingeführt worden, die standardmäßig aktiviert sind. Durch die Festlegung der Berechtigungen für übergeordnete Ordner können Sie Berechtigungen für Dateien und Ordner, die in diesem enthalten sind, leicht ändern. Dies führt zu einer erheblichen Zeiteinsparung und zu drastisch verminderten Datenträgerzugriffen bei der Änderung der Berechtigungen für eine hohe Zahl von Dateien und Ordnern. Weitere Ausführungen zu diesem Thema finden Sie bei der detaillierteren Beschreibung von NTFS in Abschnitt 11.2.4 NTFS-Zugriffsrechte für Dateien und Ordner ab Seite 559.
11.2.2 Der interne Aufbau von NTFS Der folgende Abschnitt beschäftigt sich mit dem internen Aufbau von NTFS.
Dateinamen
Groß- und Kleinschreibung
Mitführung kurzer 8.3-Dateinamen
Das NTFS-Dateisystem ermöglicht die Nutzung langer Dateinamen bis zu einer Länge von 255 Zeichen. Durch die Verwendung des 16 Bit-Unicode-Zeichensatzes können Sie auch bedenkenlos Umlaute wie ä, ö, ü, ß usw. verwenden. Nicht zulässig sind in Dateinamen die folgenden Zeichen: \/:*?"| Leerzeichen sind ebenfalls erlaubt. Wollen Sie über die Eingabeaufforderung auf eine Datei zugreifen, deren Name Leerzeichen enthält, müssen Sie den Namen in Anführungszeichen setzen: type "Das ist eine Beispiel-Textdatei.txt" Aufgrund der in NTFS implementierten POSIX-Kompatibilität wird grundsätzlich zwischen Groß- und Kleinschreibung unterschieden. Für das Erkennen der Dateien spielt dies aber keine Rolle. Die normalen 32-Bit-Applikationen unter Windows können die Unterschiede nicht wahrnehmen. Für die Anzeige der Dateinamen für ältere Anwendungen erstellt Windows Vista automatisch MS-DOS kompatible Namen im 8.3Format. Diese kurzen Dateinamen werden standardmäßig immer erzeugt und mit den langen Namen gemeinsam für eine Datei abgespeichert.
11.2 Dateisystem NTFS im Detail __________________________________________ 551 Layout eines NTFS-Volumes Die Grundstruktur eines NTFS-Datenträgers ist in der Abbildung 11.1 Bis auf Bootsektor schematisch dargestellt. Bis auf den Bootsektor selbst können alle ist alles variabel anderen Organisationsdaten des NTFS variabel auf dem Datenträger abgelegt sein. Die Master File Table (MFT) als wichtigste Organisationsstruktur des NTFS-Dateisystems befindet sich an einer Position, deren Adresse im NTFS-Bootsektor hinterlegt ist. MFT-Datensätze $Mft $MftMirr $LogFile $Volume $AttrDef $ (Stammverzeichnis) $Bitmap $Boot $BadClus $Secure $Upcase $Extended
Die logische Organisationsstruktur von NTFS ist sehr flexibel. Es gibt bis auf den Bootsektor keine festen Positionen für bestimmte systemspezifische Daten. Dadurch kann es nicht dazu kommen, dass ein Datenträger aufgrund eines physischen Fehlers an einer bestimmten Stelle unbrauchbar wird. Das betrifft insbesondere Datenträgerfehler am physischen Beginn eines Mediums. Während das FAT-Dateisystem hier durchaus nicht mehr lauffähig sein kann, ist solch ein Medium unter NTFS vielleicht noch nutzbar. Stellen Sie physische Fehler auf einer Festplatte fest, sollten Sie diese sicherheitshalber sofort ersetzen. Selbst das NTFS-Dateisystem bietet letztlich keine Garantie für die Vermeidung von Datenverlusten.
Abbildung 11.1: Layout eines NTFSVolumes
552 _________________________________________________________ 11 Dateisysteme Der NTFS-Bootsektor Tabelle 11.3: Aufbau des NTFSBootsektors
Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte beziehungsweise des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
immer 0 gesetzt
3 Byte
13h
Reserviert
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
immer 0 gesetzt
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung)
4 Byte
20h
Reserviert
4 Byte
24h
Reserviert
4 Byte
28h
Gesamtanzahl der Sektoren
8 Byte
30h
Adresse (log. Clusternummer) der Datei $Mft
8 Byte
38h
Adresse (log. Clusternummer) für $MftMirr
8 Byte
40h
Anzahl der Cluster pro Mft-Datensatz
1 Byte
41h
Reserviert; unter NTFS ohne Bedeutung
3 Byte
44h
Anzahl der Cluster pro Indexblock
1 Byte
45h
Reserviert; unter NTFS ohne Bedeutung
3 Byte
48h
Seriennummer des Volumes (zufällig generiert beim Formatieren)
4 Byte
50h
Prüfsumme
4 Byte
54h
Bootstrapcode
1FEh
Ende der Sektormarkierung 0x55AA
426 Byte 2 Byte
11.2 Dateisystem NTFS im Detail __________________________________________ 553 Der Bootstrapcode ist nicht nur auf die 426 Byte im Bootsektor beschränkt, sondern wird auch als Eintrag in der Master File Table (MFT) geführt.
Die Master File Table (MFT) Alle Strukturbestandteile des NTFS-Dateisystems sind selbst originäre Alle NTFS-StruktuNTFS-Dateien, auf die aber durch Benutzer nicht direkt zugegriffen ren sind Dateien werden kann. Wichtigste Organisationseinheit ist die so genannte MFT Master File Table. Diese stellt für jede Datei einen Datensatz bereit. Die ersten 16 Datensätze sind dabei für die Dateien reserviert, welche die Dateisystemstruktur abbilden. Diese Dateien werden auch unter dem Begriff Metadaten zusammengefasst. Der erste Datensatz, die Datei $Mft, beschreibt den Aufbau der MFT Metadaten selbst. Der zweite MFT-Datensatz enthält eine Sicherung der MFT, allerdings nur mit den wichtigsten Einträgen. Diese Datei hat den Namen $MftMirr. Die Speicherorte dieser beiden Dateien sind im Bootsektor des NTFS-Datenträgers eingetragen, sodass im Falle einer Beschädigung der MFT auf die Sicherungskopie zugegriffen werden kann. Je nach Größe des Datenträgers können übrigens noch weitere Sicherungen der MFT existieren. Die nachfolgende Tabelle enthält die Liste der Metadaten eines NTFS-Volumes. Datensatz
Dateiname
Beschreibung
0
$Mft
Das ist der Basisdatensatz der Master File Table selbst.
1
$MftMirr
Verweis auf die Sicherungs-MFT In der Datei $MftMirr werden die ersten vier Datensätze der MFT (0 bis 3) aus Sicherheitsgründen gespiegelt.
2
$LogFile
Transaktions-Protokolldatei Enthält eine Liste der Transaktionsschritte für die Wiederherstellung eines NTFS-Volumes.
3
$Volume
Volumeinformationen Weitergehende Informationen zum Volume wie Bezeichnung etc.
4
$AttrDef
Attributdefinitionen Eine Beschreibungstabelle mit den für das NTFS-Volume gültigen Attributen
Tabelle 11.4: Metadaten der MFT
554 _________________________________________________________ 11 Dateisysteme Datensatz 5
Dateiname
Beschreibung
$
Stammordner Enthält den Stammordner des Volumes (Stamm-Index der Dateinamen).
6
$Bitmap
Volume- oder Clusterbitmap Zeigt die Cluster-Belegung des Volumes an.
7
$Boot
Bootsektor Enthält den Bootsektor des NTFSVolumes.
8
$BadClus
Fehlerhafte Cluster Eine Tabelle mit dem Verzeichnis der fehlerhaften Cluster dieses Volumes
9
$Secure
Sicherheitsdatei Enthält die Datenbank mit den eindeutigen Sicherheitsbeschreibungen für alle Dateien und Ordner des Volumes.
10
$Upcase
Umwandlung Klein- in Großschreibung In dieser Tabelle stehen die Vorschriften zur Umwandlung der Kleinbuchstaben in langen Dateinamen in Großbuchstaben der 8.3-Notation.
11
$Extended
NTFS-Erweiterungen Datei mit dem Verzeichnis der NTFSErweiterungen wie beispielsweise den Datenträgerkontingenten oder Analysepunkten (für Bereitstellungen)
MFT-Datensätze für Dateien und Ordner
12-15
Reserviert
ab 16
Beginn der Einträge für Dateien und Ordner
Raum für zukünftige Erweiterungen
Der Beginn der MFT wird als Verweis im Bootsektor der Festplatte geführt und ist so nicht auf einen bestimmten Sektor festgelegt. Für den Bootsektor selbst gibt es eine Sicherungskopie am Ende des NTFSVolumes. Jeder MFT-Datensatz besitzt eine Größe von 2 KB. Für jede Datei und jeden Ordner auf dem Datenträger wird so ein MFT-Datensatz eingerichtet. Kleine Dateien bis circa 1 500 Bytes passen dabei direkt in einen einzelnen Datensatz. Das spart Platz und sorgt für einen sehr
11.2 Dateisystem NTFS im Detail __________________________________________ 555 schnellen Zugriff, da lediglich der erste Datensatz verfügbar sein muss. Man spricht hier auch von der residenten Speicherung der Daten. Die folgende Abbildung zeigt den schematischen Aufbau eines MFTDatensatzes für eine solche kleine Datei. Abbildung 11.2: MFT-Datensatz einer kleinen Datei
Einer Datei, die größer ist, als ein Datensatz aufnehmen kann, werden weitere Datensätze zugeordnet. Der erste Datensatz, Basisdatensatz Nichtresidente genannt, speichert die Zeiger auf die Speicherorte der weiteren, zuge- Speicherung ordneten Datensätze. Diese Daten werden auch als nicht resident gespeichert bezeichnet. Abbildung 11.3: Nichtresidente Speicherung einer Datei
Für große oder stark fragmentierte Dateien, für welche die Größe eines Basisdatensatzes zur Verwaltung der Zeiger nicht ausreicht, werden ein oder mehrere MFT-Datensätze für die Speicherung der entsprechenden Zeiger angelegt. Diese werden als so genannte externe Attribute im Basisdatensatz bezeichnet, der dann die Funktion eines Stammverzeichnisses im Datenbaum übernimmt. Aufgrund dieser Baumstruktur ist eine Suche nach Dateien auch bei einer starken Fragmentierung des Datenträgers noch vergleichsweise schnell. Nur der sequenzielle Zugriff auf die Datei kann durch die Fragmentierung verlangsamt werden, da dann viele Kopfneupositionierungen der Festplatte notwendig werden.
Externe Attribute
Effektive Suche auch bei Fragmentierung
Abbildung 11.4: Speicherung großer Dateien
556 _________________________________________________________ 11 Dateisysteme Organisationsstruktur von Verzeichnissen Ordner sind grundsätzlich nichts anderes als spezielle Dateien. Kleine Ordner bis circa 1 500 Byte Größe belegen ebenso wie kleine Dateien nur einen MFT-Datensatz. Im Datensatz wird der entsprechende (residente) Ordner-Index gehalten. Der Index-Aufbau ist übrigens unter NTFS sehr flexibel. Statt des Dateinamens kann grundsätzlich auch ein anderes Dateiattribut verwendet werden. Neben dem Indizierungsattribut, meist der Dateiname, wird im Index der Zeiger auf den entsprechenden Eintrag der Datei in der MFT gespeichert (auch Dateinummer genannt). Abbildung 11.5: MFT-Datensatz bei kleinen Verzeichnissen
B-Bäume bei größeren Verzeichnissen
Für größere Verzeichnisse, die nicht komplett in einen MFT-Datensatz passen, wird eine B-Baumstruktur aufgebaut. In einem Knoten des Baumes, welcher wiederum ein MFT-Record ist, sind dann sowohl Indexeintragungen als auch die Zeiger auf weitere Knoten enthalten. Mit diesem Schema können beliebig große Verzeichnisstrukturen aufgebaut werden, bei denen Sie nur bedenken sollten, die logische Übersicht nicht zu verlieren. Eine Suche nach Dateien in dem Baum erfolgt dadurch aber in jedem Fall sehr schnell und effektiv.
NTFS-Dateiattribute Alles ist Attribut
Residente und nichtresidente Attribute
Attribute sind auf einem NTFS-Volume das zentrale Organisationsmittel. Jede Datei oder jeder Ordner werden hier als Gruppierung von Dateiattributen betrachtet. Attribute sind beispielsweise der Dateioder Ordnername, die Sicherheitsinformationen über Besitzverhältnisse oder Zugriffsmöglichkeiten bis hin zu den Daten selbst. Attribute, die vollständig in den MFT-Datensatz einer Datei passen, werden auch residente Attribute genannt. Von einer nichtresidenten Speicherung von Attributen wird dann gesprochen, wenn diese in weiteren MFT-Datensätzen abgelegt werden.
11.2 Dateisystem NTFS im Detail __________________________________________ 557 In Tabelle 11.5 sind die möglichen Typen von NTFS-Dateiattributen aufgeführt, die für NTFS definiert sind. Aufgrund der flexiblen und erweiterbaren Struktur von NTFS können hier zukünftig weitere Attribute hinzukommen. Tabelle 11.5: Dateiattribut-Typen Standard-Informationen Enthält Standardattribute wie Zeitstempel, in NTFS Verbindungszähler (Anzahl der Referenzierungen auf die Datei) sowie Felder für die Sicherstellung von Transaktionen.
NTFS-Attribut
Beschreibung
Attributliste
Liste der Attributdatensätze, die extern, also nichtresident gespeichert sind
Dateiname
Der Name der Datei oder des Ordners. Es werden die normale Lang- als auch die Kurzform in der 8.3-Notation gespeichert.
Sicherheitsbeschreibung Hier werden die Besitzrechte (Eigentümer der Datei) und die Zugriffsberechtigungen gespeichert. Daten
Enthält die eigentlichen Daten. Jede Datei kann ein oder mehrere Datenattribute enthalten.
Objektkennung
Eine vom Dateinamen unabhängige Objektkennung, die beispielsweise vom Überwachungsdienst für verteilte Verknüpfungen benutzt wird
Logged Tool Stream
Eine spezielle Form eines Datenstroms, der auch der Protokollierung in der NTFS-Protokolldatei unterliegt und beispielsweise durch das verschlüsselnde Dateisystem (EFS) benutzt wird
Analysepunkt
Kennzeichnet die Datei für spezielle Funktionen. Dies wird beispielsweise für Bereitstellungspunkte verwendet, die dadurch spezielle Verzeichnisse für die Einbindung kompletter Datenträgerstrukturen in das Verzeichnissystem darstellen.
Indexstamm, Indexzuweisung und Bitmap
Dient bei Ordnern der Implementierung des Verzeichnisindex oder anderer Indizes.
Datenträgerinformation Wird nur von der NTFS-Systemdatei $VOLUME zur Speicherung von Informationen zum Datenträger benutzt.
558 _________________________________________________________ 11 Dateisysteme NTFS-Attribut
Beschreibung
Volumename
Wird nur von der NTFS-Systemdatei $VOLUME zur Speicherung der Datenträgerbezeichnung benutzt.
11.2.3 Analysepunkte und Bereitstellungen Analyseattribute und Dateisystemfilter
Analysepunkte im NTFS-Dateisystem sind Dateien beziehungsweise Ordner, die über spezielle Analyseattribute verfügen. Diese werden durch spezifische Dateisystemfilter ausgewertet, mit deren Hilfe diese Dateien und Ordner bestimmte besondere Funktionen erhalten können. Der Funktionsumfang des Dateisystems kann dadurch erweitert werden. Dabei werden die Funktionen so implementiert, dass die Nutzung transparent für Benutzer und Anwendungen möglich ist. So können beispielsweise über Ordner ganze Datenträger in eine Verzeichnisstruktur eingebunden werden (über Bereitstellungspunkte), ohne dass Benutzer oder Anwendungen davon etwas merken. Eine Anwendung der Analysepunkte im NTFS-Dateisystem sind Bereitstellungspunkte.
Bereitstellungspunkte
Beliebige Stelle im Verzeichnissystem
Alles lässt sich einbinden!
Einbindung nur mit Stammverzeichnis
Über einen Bereitstellungspunkt können Sie einen Ordner in einer Verzeichnisstruktur eines NTFS-Volumes direkt mit einem anderen Volume verbinden. Dabei gibt es keine logischen Begrenzungen. Mit dieser Funktion können Sie theoretisch beliebig viele Volumes unter einem Verzeichnisbaum miteinander verknüpfen und so über einen einzigen Laufwerkbuchstaben ansprechen. In der Abbildung 11.6 sehen Sie an einem Beispiel, wie drei Volumes zu einer Verzeichniseinheit miteinander verbunden worden sind. Dabei spielt es keine Rolle, in welcher Verzeichnistiefe sich die Bereitstellungen befinden. Sie können ein Volume an einer beliebigen Stelle im Dateisystem wie einen normalen Ordner einbinden. Als Bereitstellungspunkt kann nur ein leerer NTFS-Ordner eingerichtet werden. Das einzubindende Volume kann allerdings mit einem beliebigen, von Windows Vista unterstützten Dateisystem formatiert sein. Somit können Sie auch folgende Volumes einbinden: NTFS-, FAT32- und FAT-formatierte Volumes beliebige Wechseldatenträger (allerdings keine Disketten) CD- und DVD-Laufwerke Diese Volumes lassen sich ausschließlich mit ihrem Stammverzeichnis über einen Bereitstellungspunkt einbinden. Der Ordner selbst, über den die Bereitstellung erfolgt, kann sich wie ein normaler Ordner an einer beliebigen Stelle in der Verzeichnisstruktur des NTFS-Volumes befinden.
11.2 Dateisystem NTFS im Detail __________________________________________ 559 Abbildung 11.6: Über Bereitstellungspunkte verbundene Volumes
Im Falle eines Zugriffs auf einen Bereitstellungspunkt, der auf ein entferntes Volume zeigt, erhalten Sie eine Fehlermeldung. Der Bereitstellungspunkt behält allerdings seine logische Zuordnung bei, bis Sie ihn löschen. Ändern lassen sich Zuordnungen in den Bereitstellungspunkten nicht. Wollen Sie einem Ordner ein anderes Volume zuweisen, müssen Sie zuerst über die Datenträgerverwaltung den Laufwerkpfad für das zuerst eingebundene Volume löschen. Zurück bleibt ein leerer Ordner auf dem NTFS-Volume, der um sein Analysepunkt-Attribut beraubt jetzt wieder ein ganz normales leeres Verzeichnis ist. Dieses können Sie einem anderen Volume als neuen Laufwerkpfad zuordnen und damit eine neue Bereitstellung am gleichen Ort erzeugen.
Stabil gegenüber Geräteänderungen
Bereitstellungen ändern
11.2.4 NTFS-Zugriffsrechte für Dateien und Ordner Unter NTFS können Sie die Zugriffsrechte für Benutzer und Gruppen auf Dateien gezielt festlegen. Die NTFS-Zugriffsberechtigungen gelten sowohl lokal als auch für über das Netzwerk angemeldete Benutzer.
Das Attribut Sicherheitsbeschreibung Das NTFS-Dateiattribut Sicherheitsbeschreibung beinhaltet die Access Access Control List Control List (ACL). In dieser sind die Access Control Entries (ACE) ent- (ACL) halten, die einzelne Berechtigungen explizit erteilen oder entziehen. Dabei kommt es auf die Reihenfolge der ACE an. Mehr Grundlageninformationen zu Sicherheitsattributen finden Sie in den Abschnitten Elemente der Systemsicherheit ab Seite 825 und ACL und ACE ab Seite 826.
560 _________________________________________________________ 11 Dateisysteme In dieser Reihenfolge werden die ACE einer Datei ausgewertet: 1. Auswertung der negativen ACE, das heißt: welche Berechtigungen sind entzogen? 2. Auswertung der positiven ACE: Welche Berechtigungen sind zugelassen? Abbildung 11.7: NTFS-Zugriffsberechtigungen erteilen
Entziehen von Berechtigungen hat Vorrang
Das bedeutet, dass das Entziehen von Berechtigungen Vorrang vor dem Zulassen hat. Haben Sie beispielsweise den Vollzugriff auf eine Datei für alle Benutzer entzogen, können keine anderen Berechtigungen mehr greifen. Das wird auch so durch die neue Oberfläche zur Einstellung der Sicherheitsbeschreibung abgebildet. Ist Vollzugriff erlaubt oder verweigert, können logischerweise keine anderen Optionen mehr gesetzt werden. Das erleichtert den Umgang mit der Sicherheitsbeschreibung erheblich, da das Setzen unlogischer Kombinationen verhindert wird (beispielsweise zugelassener Vollzugriff mit verweigertem Leserecht).
Vererbung und Beibehaltung von Berechtigungen Neu seit NTFSv5 sind die vererbbaren übergeordneten Berechtigungen. Das Übernehmen der übergeordneten Berechtigungen für Dateien ist standardmäßig aktiv. Wenn Sie neue Dateien erstellen, werden die Berechtigungen des übergeordneten Ordners übernommen. Das funktioniert auch, wenn Sie Dateien in einen Ordner kopieren. Verschieben Sie Dateien zwischen NTFS-Ordnern desselben Volumes, behalten diese ihre ursprünglichen Sicherheitseinstellungen bei.
11.2 Dateisystem NTFS im Detail __________________________________________ 561 Beim Verschieben zwischen unterschiedlichen Volumes hingegen wird dieser Prozess wiederum wie das Kopieren behandelt und die Berechtigungen werden übernommen.
Für das Kopieren von Dateien und Ordnern zwischen NTFS-Volumes lokal oder über das Netzwerk empfiehlt sich die Nutzung des Tools ROBOCOPY.EXE. Dieses Programm ist Bestandteil von Windows Vista.
11.2.5 NTFS-Komprimierung Unter NTFS können Sie für Dateien die integrierte Komprimierung aktivieren. Diese wird wie ein normales Dateiattribut betrachtet. Damit kann die Komprimierungsfunktion für bestimmte Dateien, Ordner oder ganze Volumes separat eingestellt werden.
Der grundsätzliche Aufbau Wie das verschlüsselnde Dateisystem (siehe Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572) ist auch die Komprimierungsfunktion als Dateisystemfilter implementiert. Die Kompression der Dateien erfolgt für den Benutzer oder das Anwendungsprogramm transparent. Beim Zugriff auf eine entsprechende Datei wird diese zuerst dekomprimiert und dann an die Anwendung übergeben. Beim Speichern erfolgt vor dem Schreiben auf den Datenträger wiederum die Kompression. Abbildung 11.8: Komprimierung als Dateisystemfilter
Das trifft genauso auf die Nutzung komprimierter Dateien über das Kompression und Netzwerk zu. Vor dem Netzwerktransfer werden die Dateien auf dem Netzwerk als Server dienenden System dekomprimiert und dann versendet. Das bedeutet natürlich einerseits, dass die Leistung für Kompression und Dekompression auf dem Server zu erbringen ist. Andererseits verhilft
562 _________________________________________________________ 11 Dateisysteme
Verfahren
die NTFS-Kompression nicht zu einer Verringerung der Netzwerklast über das Netzwerk bewegen sich immer (NTFS-)unkomprimierte Dateien. Das Kompressionsverfahren ähnelt dem in den Kompressionstools unter MS-DOS verwendeten DoubleSpace. Dabei handelt es sich um eine Lauflängencodierung, wobei statt des 2-Byte-Minimums ein 3Byte-Minimumsuchlauf verwendet wird. Dieses Verfahren ist etwa doppelt so schnell wie unter DoubleSpace bei einer minimalen Verschlechterung der Kompressionsrate. Die Komprimierung wird nur für eine Clustergröße bis 4 KB unterstützt.
Erreichbare Kompressionsraten Die durchschnittlich erreichbaren Kompressionsraten hängen stark von den verwendeten Dateitypen ab. In der folgenden Tabelle sind typische Dateien den in der Praxis durchschnittlich erreichbaren Kompressionsraten gegenübergestellt. Tabelle 11.6: Dateityp Beispiele für erreichbare NTFS-Kompres- Textdateien sionsraten Microsoft Word-Dateien
Schwachstelle: Komprimierung von Bilddateien
Größe nach Kompression in % 30 60 % 30 60 %
Microsoft Excel-Tabellen
30 60 %
Layout-Dateien (Pagemaker)
25 50 %
Bilddateien
10 100 %
Ausführbare Dateien (EXE)
50 60 %
Die angegebenen Werte dienen nur als grobe Richtlinie. Generell lässt sich sagen, dass einfache Textdokumente oder Dateien aus Tabellenkalkulationsprogrammen wie Excel eine durchschnittlich gute Kompression ermöglichen. Allerdings sind diese Dateien meist verhältnismäßig klein und belegen damit in einer hohen Anzahl relativ wenig Speicherplatz. Sinnvoller ist der Einsatz einer wirkungsvollen Komprimierung bei großen Dateien, üblicherweise vor allem bei Bilddateien. Hier liegt aber genau die Schwachstelle der einfachen Komprimierungsalgorithmen, die bei NTFS zum Einsatz kommen. Hohe Kompressionsraten lassen sich hier nur dann erreichen, wenn die Bilddaten von ihren Inhalten her sehr homogen sind. Bilder mit vielen Details lassen sich so gut wie gar nicht komprimieren. Ein entsprechender Test mit 140 unkomprimierten Bilddateien der Typen TIFF und EPS, wie sie vor allem in Werbeagenturen und der Bildverarbeitung vorkommen, brachte bei einer unkomprimierten Gesamtkapazität von 640 MB keine nennenswerte Ersparnis an Speicherplatz. Ein zum Vergleich herangezogenes ZIP-Komprimierungstool erbrachte bei diesen Dateien immerhin eine Verkleinerung auf 85%.
11.2 Dateisystem NTFS im Detail __________________________________________ 563 Wesentlich besser sah es hingegen bei einer größeren Sammlung von Screenshots aus. Diese Dateien waren gemischt als BMP- und TIF-Dateien (ohne LZW-Komprimierung) abgelegt und brachten unter der NTFS-Komprimierung eine Verringerung auf 20% des ursprünglich benötigten Platzes. Das wieder zum Vergleich benutzte ZIP-Komprimierungstool brachte es allerdings auf 5%. Die Online-Komprimierung, die sich für NTFS-Dateien aktivieren Fazit lässt, hat den Vorteil, für den Benutzer und die Anwendungen transparent zu arbeiten. Es werden keine weiteren externen Tools benötigt. Nachteil ist die im Vergleich zu speziellen Komprimierungsprogrammen erheblich schlechtere Leistung. Für große komplexe Bilddateien, wie sie beispielsweise in Werbeagenturen oder Verlagen anfallen, eignet sich die NTFS-Komprimierung kaum. Hinzu kommt, dass moderne Grafikprogramme in der Windows-Welt wie beispielsweise CorelDraw die Dateien selbst effizient komprimieren. Das trifft im Übrigen ebenso auf Microsoft PowerPoint zu. Die Präsentationsdateien können durch die Verwendung vieler Grafiken und Bilder sehr groß werden. Aufgrund der guten Komprimierung, die in PowerPoint standardmäßig auf alle damit erzeugten Dateien beim Speichern angewandt wird, können diese durch die NTFS-Komprimierung nicht weiter verkleinert werden. Diese Tatsachen sowie die stetige Weiterentwicklung im Bereich der Festplattentechnologien lassen den Einsatz der NTFS-Komprimierung als kaum lohnend erscheinen. Mit der neuen Möglichkeit, direkt im Windows Explorer ZIP-komprimierte Dateien zu erzeugen, haben Sie eine einfach zu handhabende Alternative zur NTFS-Komprimierung.
Alternative: ZIP-komprimierte Ordner Eine andere Möglichkeit, Dateien zu komprimieren, ergibt sich aus der in den Windows Explorer integrierten Funktion der so genannten ZIP-komprimierten Ordner. Sie markieren dabei eine oder mehrere Dateien und wählen im Windows Explorer über das Kontextmenü die betreffende Funktion. ZIP-komprimierte Ordner sind keine spezielle NTFS-Funktion. Vielmehr arbeitet diese Funktion auf Ebene des Windows-Explorers. Somit können Sie dieses Kompressionsverfahren unter allen durch Windows Vista unterstützten Dateisystemen, FAT12/16/32 und NTFS, einsetzen. Das Verfahren über den Windows Explorer ist einfach zu handhaben und zeichnet sich durch die folgenden Merkmale aus: Sie erhalten ZIP-Archive, die Sie mit Hilfe von Werkzeugen anderer Hersteller öffnen können. Für den Privatkunden gibt es dazu unter anderem diese Programme zum kostenlosen Herunterladen: - WinZIP www.winzip.de
564 _________________________________________________________ 11 Dateisysteme - WinRAR www.rarsoft.com Damit können Sie derartige ZIP-Archive auf Windows-Systemen erstellen und öffnen, die keine derartige integrierte Funktion besitzen, wie beispielsweise Windows 9x oder NT. Die Integration in den Windows Explorer erlaubt die Handhabung der ZIP-Archive wie »normale« Ordner. Diese Funktionalität ist nicht neu, gibt es doch schon lange entsprechende Tools von Drittherstellern, die diese unter Windows 9x/Me und NT/2000 bereitstellen. Lassen Sie sich besser nicht dazu verleiten, aus ZIP-Archiven heraus direkt Dokumente zu öffnen und zu bearbeiten. Im schlimmsten Fall kann Datenverlust die Folge sein. Fehlerquelle: Öffnen In der Handhabung der ZIP-Archive wie normale Ordner liegt eine von Dokumenten Gefahr. Die kann dann für Ihr Dokument entstehen, wenn Sie es aus direkt aus Archiven einem Archiv direkt per Doppelklick öffnen. Dabei sorgt der Windows heraus Explorer zunächst dafür, dass die Anwendung das Dokument scheinbar ordnungsgemäß und entpackt übergeben bekommt. Sie können dann wie gewohnt damit arbeiten. Wollen Sie das Dokument allerdings speichern, werden Sie feststellen, dass dies nicht ohne weiteres möglich ist. Hintergrund für dieses Verhalten ist die Art und Weise, wie Windows Temporäre Zwischenablage der Vista Dateien aus Archiven heraus extrahiert, wenn diese direkt an Dokumente Anwendungen übergeben werden sollen. Dazu wird die Datei zunächst dekomprimiert und in einem temporären Verzeichnis abgelegt. Aus diesem Verzeichnis wird die Datei erst an die Anwendung übergeben. Dabei ist sie mit einem Schreibschutz versehen. Damit bekommen Sie immerhin eine Fehlermeldung, die auf den Schreibschutz hinweist, und bemerken eventuell gar nicht, dass Sie Ihre Änderungen nicht an der Datei vorgenommen haben, die sich noch immer im Archiv befindet. Die temporären Verzeichnisse für ZIP-Archive werden standardmäßig in der folgenden Form angelegt: %USERPROFILE% \AppData \Local \Temp \Temp_ Als Ausweg bleibt Ihnen nur, die geänderte Datei an einem anderen Speicherort abzulegen und sie nach dem Speichern manuell wieder in das Archiv zu legen.
11.2.6 Volumenschattenkopien Die Technologie der Volumenschattenkopien wurde bereits mit Windows XP eingeführt. In Windows Server 2003 und Windows Vista ist sie allerdings um einige neue Funktionen erweitert worden.
11.2 Dateisystem NTFS im Detail __________________________________________ 565 Überblick Normalerweise besteht eine wichtige Funktion eines Betriebssystems darin, dafür zu sorgen, dass auf bestimmte Dateien nicht durch mehrere Prozesse oder Anwendungsprogramme zur gleichen Zeit zugegriffen werden kann. Nur so können Inkonsistenzen an wichtigen Dateien wirksam vermieden werden. Für den Zugriff, auch den lesenden, sind beispielsweise wichtige System- oder Datenbankdateien gesperrt. Einschränkungen und Probleme verursacht dieses Systemverhalten bei der Datensicherung. Vor Erscheinen der Windows Server 2003Produktfamilie war es nicht möglich, eine komplette Sicherung des gesamten Betriebssystems so vorzunehmen, dass eine Wiederherstellung schnell und problemlos möglich ist. Wichtige Systemdateien konnten nicht mitgesichert werden, sodass eine zeitaufreibende Neuinstallation des Betriebssystems vor der Wiederherstellung anstand. In Windows XP wurde der Dienst Volumenschattenkopie erstmals implementiert. Dieser sorgt dafür, dass auf alle Dateien, auch wenn sie eigentlich als gesperrt gekennzeichnet sind, durch das standardmäßige Datensicherungsprogramm NTBACKUP.EXE zugegriffen werden kann. Dazu legt dieser Dienst vor der Sicherung eine Schattenkopie aller betreffenden Dateien an. Diese können Sie sich auch als Schnappschuss vorstellen, in welchem der momentane Stand aller Dateien erfasst wird. So können selbst Dateien gesichert werden, die laufend Änderungen erfahren (beispielsweise Log-Dateien).
Sperrung von Dateien sorgt für Probleme in der Praxis
Schnappschuss vor der Sicherung
Anwendung bei der Datensicherung Damit die Volumenschattenkopie-Technologie für die Datensicherung genutzt werden kann, muss das Sicherungsprogramm mit diesem Dienst kommunizieren. Das mitgelieferte Programm Windows Backup (SDCLT.EXE) vermag dies und stellt daher für viele Anwendungsfälle inzwischen durchaus die erste Wahl dar.
Wollen Sie dennoch einer Sicherungslösung eines anderen Herstellers den Vorzug geben, sollten Sie unbedingt darauf achten, dass diese die neue Technologie Volumenschattenkopie explizit unterstützt. Für das Anlegen des Schnappschusses vor dem eigentlichen Sicherungsvorgang wird natürlich zusätzlicher Speicherplatz benötigt. Für die Betriebssystemdateien einer Standardinstallation von Windows Vista können Sie mit ungefähr 100-300 MByte rechnen. Es werden übrigens nur die Dateien temporär zwischengespeichert, auf die ein normaler, lesender Zugriff nicht möglich ist. Dies kann auch Datenbankdateien betreffen, für die Sie dann entsprechend zusätzlichen Speicherplatz für das Zwischenspeichern einkalkulieren müssen. Eine Anwendung, die erst mit der neuen Technologie möglich wurde, ist die Complete PC Wiederherstellung. Die komplette Sicherung des Betriebssystems nehmen Sie dazu über SDCLT.EXE während des lau-
Speicherplatz für den Schnappschuss beachten
Anwendung: Complete PC Wiederherstellung
566 _________________________________________________________ 11 Dateisysteme fenden Serverbetriebs vor. In Abschnitt 4.7.4 Wiederherstellung von Sicherungen ab Seite 252 wird gezeigt, wie dies praktisch funktioniert.
Wiederherstellung vorheriger Dateiversionen
Hinweise für die Einrichtung und Konfiguration
Eine neue Funktion, die erst in Windows Server 2003 hinzugekommen ist, wendet die Technologie an, um eine Versionsverwaltung für Dateien zu ermöglichen. Die Benutzer können dann, ohne dass ein Administrator tätig werden muss, auf vorherige Versionen ihrer Dateien selbstständig zugreifen. Zuvor war dies nur umständlich über das Einspielen der betreffenden Dateien von einem Sicherungsmedium möglich eine Sicherung nach dem Generationenprinzip vorausgesetzt. Für jedes Volume können Sie einstellen, ob und wann regelmäßig Schnappschüsse angefertigt werden sollen. Standardmäßig ist dies übrigens deaktiviert. Unabhängig davon arbeitet der Dienst aber stets zur Erstellung der Schnappschüsse für die Datensicherung. Für die Einrichtung und Konfiguration der VolumenschattenkopieFunktion für die Aufbewahrung vorheriger Dateiversionen sollten Sie die folgenden Hinweise beachten: Zeitpunkte für die Schnappschüsse einstellen Sie können bestimmen, wann genau Schnappschüsse angelegt werden sollen. Die Windows-Aufgabenplanung übernimmt dazu im Hintergrund die Steuerung (siehe auch Abschnitt 4.6 Zeitgesteuerte automatisierte Verwaltung mit der Aufgabenplanung ab Seite 238). Volumenschattenkopien gelten pro Volume Die Volumenschattenkopien müssen Sie für jedes Volume separat aktivieren. Sie sollten generell nur die Volumes berücksichtigen, auf denen sich freigegebene Ordner befinden. Über Bereitstellungspunkte eingebundene Volumes werden nicht einbezogen. Für diese müssen Sie die Funktion separat aktivieren. Volumes lassen sich komplett wiederherstellen Bei Bedarf können Sie ein Volume auf den Stand eines Schnappschusses wiederherstellen lassen. Das ist allerdings nicht ganz unkritisch. In Abschnitt Benutzerdaten wiederherstellen ab Seite 254 finden Sie dazu weitere Informationen. Die praktische Anwendung ist in Abschnitt 9.3.4 Vorherige Versionen ab Seite 454 erklärt.
11.3 Datenverschlüsselung NTFS allein bietet keinen Schutz
Für den zuverlässigen Schutz von Daten reicht das Betriebssystem allein nicht aus. Nicht erst seit dem Auftauchen des DOS-Tools NTFSDOS.EXE ist klar, dass die Sicherheit von auf NTFS-Volumes abgelegten Dateien spätestens dann nicht mehr gewährleistet ist, wenn die
11.3 Datenverschlüsselung ________________________________________________ 567 physischen Datenträger in die Hände unbefugter Personen gelangen. Das betrifft neben Arbeitsgruppen-Servern, die meist nicht besonders abgesichert in kleineren Firmen oder Filialen »herumstehen«, vor allem Arbeitsplatz-PCs und Notebooks. Besonders bei letzteren sind sensible Daten stärker gefährdet. Vista bietet zwei Methoden Daten zu verschlüsseln, die sich auf Massenspeichern befinden. Die BitLocker Laufwerksverschlüsselung und die Dateiverschlüsselung EFS (Encrypting File System). Diese Verschlüsselungsmechanismen stehen in den Home-Editionen von Vista nur eingeschränkt zur Verfügung. Diese Verschlüsselungsmechanismen stehen in den Home-Editionen von Vista nur eingeschränkt zur Verfügung. In der Business-Edition ist das EFS komplett enthalten, aber nicht der Windows BitLocker. Dieser ist den Enterprise- und UltimateVersionen vorbehalten. Beide Verfahren wurden für unterschiedliche Anforderungen entwickelt und unterscheiden sich in der Arbeitsweise. BitLocker verschlüsselt komplette Laufwerke, während EFS einzelne Daten auf beliebigen Laufwerken auf Basis eines Benutzerkontos verschlüsselt. EFS wird eingehend im Abschnitt 11.3.2 ab Seite 572 erläutert.
11.3.1 BitLocker Laufwerksverschlüsselung BitLocker Laufwerksverschlüsselung ist ein integriertes neues Sicherheitsfeature, das nur in den Editionen Enterprise und Ultimate mitgeliefert wird. Es schützt die Daten auch offline für den Fall, dass sich kriminelle Elemente widerrechtlich Zugang zum Festplattensystem verschafft haben. Für eine erweiterte Sicherheit kann das Trusted Platform Module (TPM) benutzt werden, das die Integrität der Bootumgebung sicherstellt. Das hilft bei Diebstahl, denn das gesamte Windows Volume wird verschlüsselt. Um die BitLocker Festplattenverschlüsselung nutzen zu können, sind ein kompatibler TPM-Mikrochip auf dem Mainboard und ein angepasstes BIOS nötig. Kompatibel mit Bitlocker sind TPM-Module der Version 1.2, wie sie von der Trusted Computing Group vorgeschrieben sind. Der Benutzer bekommt von dem Schutz nichts mit, denn die Anmeldung verläuft wie gewohnt, obwohl TPM und BitLocker schon beim Systemstart zusammenarbeiten. Wurden das TPM oder die Startumgebung manipuliert oder fehlt das TPM, geht BitLocker in den Wiederherstellungsmodus, der ein Passwort verlangt, um die Daten frei zu geben.
Voraussetzungen für die BitLocker Laufwerksverschlüsselung Damit die Verschlüsselung aktiviert werden kann, sind systemseitig einige Vorgaben zu beachten. Die wichtigsten Punkte werden nachfolgend erläutert.
EFS und Bitlocker für die Datenverschlüsselung
Business-Edition auf EFS beschränkt
568 _________________________________________________________ 11 Dateisysteme BitLockerVoraussetzungen
Ein Trusted Platform Module-Chip muss in der Version 1.2 vorhanden und eingeschaltet sein. Ein Trusted Computing Group (TCG)-kompatibles BIOS steuert das System. Das BIOS stellt eine Vertrauensstellung her, bevor das Betriebssystem die Kontrolle übernimmt. Das System muss das von der TCG spezifizierte Static Root Trust Measurement (SRTM) unterstützen. Mindestens zwei mit NTFS eingerichtete Partitionen. - Die erste Partition ist die als aktiv gekennzeichnete System-Partition mit einer Mindestgröße von 1,5 GB. Diese Partition enthält hardwareabhängige Dateien, die notwendig sind, damit Vista geladen werden kann, nachdem das BIOS den Computer gestartet hat. Diese Partition darf nicht verschlüsselt werden, damit Bitlocker funktionieren kann. Die Daten auf dieser Partition sind demnach auch nicht durch BitLocker geschützt. - Die zweite Partition enthält das Betriebssystem. Daten auf dieser Partition werden von BitLocker geschützt. Im BIOS ist die Bootsequenz so einzustellen, dass zuerst von der Festplatte gestartet wird. Das Starten vom USB- oder CD-Laufwerk als primäres Bootlaufwerk ist zu unterbinden. Sofern auf einem USB-Flashspeicher Daten abgelegt werden, muss dieser bereits zum Systemstart (vor dem Starten des Betriebssystems) zur Verfügung stehen. Der USB-Flashspeicher wird benutzt, falls kein TPM-Chip vorhanden ist.
Partitionierung einer Festplatte für die Verschlüsselung Wie im vorhergehenden Abschnitt erwähnt, sind mindestens zwei Partitionen notwendig, damit BitLocker funktioniert. Die erste Partition, nennen wir sie X:, enthält die unverschlüsselten Bootinformationen. Die zweite Partition soll, wie allgemein üblich, den Laufwerksbuchstaben C: bekommen. C: enthält die Systemdateien von Vista und Benutzerdaten. Selbstverständlich können Sie für die Benutzerdaten eine weitere Partition einrichten. Das findet bei der weiteren Betrachtung jedoch keine Berücksichtigung. Alle Partitionen müssen eingerichtet sein, bevor Vista installiert wird. Sie sollten Ihre Daten extern sichern, falls Sie ein bestehendes System neu konfigurieren wollen. Mit der Erstellung der Partitionen werden alle Daten gelöscht. Die Arbeitsschritte sind im Einzelnen: Erstellen einer neuern Primärpartition Formatieren eines neu erstellten Volumes auf dieser Partition Erstellen einer zweiten, kleineren Primärpartition Setzen der kleinere Partition als aktive Partition Formatieren eines erstellten Volumes auf dieser kleineren Partition Installieren von Windows Vista auf dem größeren Volume C:
11.3 Datenverschlüsselung ________________________________________________ 569 Unter der Annahme, dass das System nur eine Festplatte enthält, gehen Sie für die Partitionierung folgendermaßen vor: 1. Booten Sie den Computer mithilfe der Vista-DVD 2. Öffnen Sie die Eingabeaufforderung wie in Abschnitt Starthilfe ab Seite 493 gezeigt. 3. Geben Sie den Befehl DISKPART ein. Mit den folgenden Befehlen erstellen Sie die Partitionen: Select disk 0 clean create partition primary size=1500 assign letter=X active create partition primary assign letter=C exit 4. Formatieren Sie die Partitionen mit den folgenden Befehlen: format c: /y /q /fs:NTFS format x: /y /q /fs:NTFS 5. Beenden Sie die Eingabeaufforderung mit dem Befehl: exit 6. Das Dialogfenster Systemwiederherstellungsoptionen schließen Sie mit der Tastenkombination Alt+F4 oder mit einem Klick auf das Schließkästchen in der oberen rechten Ecke. 7. Klicken Sie auf den Link JETZT INSTALLIEREN und installieren Sie Vista auf C: Die nächsten Schritte zum Einschalten der Festplattenverschlüsselung unterscheiden sich je nachdem, ob ein Trusted Platform Module im System vorhanden ist oder nicht.
Einschalten der BitLocker Verschlüsselung mit TP-Modul Diese sichere Standardvariante erlaubt es dem Benutzer, sich wie gewohnt anzumelden, nachdem das Laufwerk verschlüsselt wurde. Das Vorgehen zum Aktivieren des BitLockers läuft wie folgt ab: 1. Melden Sie sich als Administrator an. 2. Klicken Sie in der Systemsteuerung unter SICHERHEIT auf BITLOCKER LAUFWERKVERSCHLÜSSELUNG. 3. Im Dialogfenster BitLocker-Laufwerkverschlüsselung klicken auf EINSCHALTEN beim Volume, das Vista enthält. 4. Falls das TP-Modul noch nicht eingerichtet wurde, erscheint ein Einrichtungs-Assistent für die TPM-Hardware. Ist das TPM einmal eingerichtet, wiederholen Sie Schritt 3. 5. In der Dialogbox für die Passwort-Wiederherstellung sehen Sie mehrere Optionen: - Speichern des Passwortes auf einem USB-Laufwerk.
Partitionierung durchführen
Bitlocker-Verschlüsselung aktivieren
570 _________________________________________________________ 11 Dateisysteme - Speichern des Passwortes in einem (Netzwerk-)Ordner. - Das Passwort ausdrucken. Das Wiederherstellungspasswort ist sehr wichtig. Es wird gebraucht, sobald Sie das verschlüsselte Laufwerk in einen anderen Computer einbauen oder die Systemstartinformationen geändert werden. Sie brauchen das Passwort, sobald Sie auf die verschlüsselten Daten zugreifen wollen. Bewahren Sie das Passwort an einem sicheren Ort auf. Bei jeder Verschlüsselungssitzung wird ein einzigartiges Passwort erzeugt. Passwörter sind zwischen verschiedenen Verschlüsselungssitzungen nicht austauschbar. 6. Im Dialogfenster Verschlüsseln des ausgewählten Volumes bestätigen Sie das BitLocker System-Kontrollkästchen und klicken dann auf WEITER. 7. Klicken Sie auf NEU STARTEN , damit BitLocker überprüfen kann, ob es kompatibel und bereit für die Verschlüsselung ist. 8. War die Überprüfung erfolgreich, erscheint eine Statusmeldung, die den Fortschritt der Verschlüsselung anzeigt. Nach Abschluss der Verschlüsselung haben Sie ein verschlüsseltes Volume mit installiertem Vista. Sobald das TP-Modul nicht funktioniert, Systemdateien verändert werden oder versucht wird, das System von einer anderen Festplatte zu starten, fällt der Computer zurück in den Wiederherstellungsmodus des BitLockers und erwartet das Wiederherstellungspasswort.
Einschalten der BitLocker Verschlüsselung ohne TP-Modul USB-Flashspeicher benötigt
Wie bereits erwähnt, brauchen Sie für diese Methode ein USB-Flashspeicherlaufwerk. Zum Aktivieren des BitLockers ohne kompatibles TP-Modul gehen Sie wie folgt vor: 1. Melden Sie sich als Administrator an und starten Sie den Gruppenrichtlinienobjekt-Editor durch Eingabe von G PEDIT.MSC in der Suchleiste des Startmenüs. Navigieren Sie zu folgendem Zweig: Computerkonfiguration \Administrative Vorlagen \Windows-Komponenten \BitLocker-Laufwerkverschlüsselung 2. Wählen Sie SYSTEMSTEUERUNGSSETUP: E RWEITERTE STARTOPTIONEN AKTIVIEREN aus. Mit Doppelklick öffnet sich das Konfigurationsfenster. 3. Setzen Sie die obere Option auf AKTIVIERT und stellen Sie sicher, dass das Häkchen bei B ITL OCKER OHNE KOMPATIBLES TPM ZULASSEN eingeschaltet ist. 4. Verlassen Sie den Gruppenrichtlinienobjekt-Editor und geben Sie GPUPDATE.EXE in die Suchleiste ein, damit die Richtlinie sofort wirkt.
11.3 Datenverschlüsselung ________________________________________________ 571 5. Starten Sie in der Systemsteuerung unter SICHERHEIT das Applet BitLocker-Laufwerkverschlüsselung. Schalten Sie hier die Verschlüsselung bei dem Volume ein, welches das Betriebssystem enthält (das so genannte Startvolume). 6. Im Dialogfenster BitLocker Starteinstellungen wählen Sie die Option USB-SCHLÜSSEL BEI JEDEM START ANFORDERN. Das ist die einzige Option, wenn Sie nicht über ein TP-Modul verfügen. 7. Stecken Sie Ihren USB-Flashspeicher an den USB-Port und klicken Sie im Dialogfenster STARTSCHLÜSSEL SPEICHERN auf SPEICHERN. Sie werden danach zum Sichern des Wiederherstellungspasswortes aufgefordert. 8. Im Dialogfenster Verschlüsseln des ausgewählten Volumes aktivieren Sie das Kontrollkästchen BITLOCKER SYSTEM. 9. Klicken Sie auf NEU STARTEN, damit BitLocker überprüfen kann, ob es kompatibel und bereit für die Verschlüsselung ist. Nach einer erfolgreichen Überprüfung erscheint eine Statusmeldung, die den Fortschritt der Verschlüsselung anzeigt. Nach Abschluss der Verschlüsselung haben Sie ein verschlüsseltes Volume mit installiertem Windows Vista. Sobald Systemdateien verändert werden oder versucht wird, das System von einer anderen Festplatte zu starten, fällt der Computer zurück in den Wiederherstellungsmodus des BitLockers und erwartet das Wiederherstellungspasswort.
Die Wiederherstellungskonsole des BitLockers Nach dem Einschalten des Computers erscheint die Wiederherstellungskonsole. Es gibt mehrere Gründe, warum das passieren kann: Systemnahe Boot-Dateien sind verändert worden. Das TP-Modul hat einen Fehler. Das TP-Modul wurde abgeschaltet oder gelöscht. Die Wiederherstellungskonsole verlangt, dass Sie den USB-Flashspeicher einstecken, der den Wiederherstellungsschlüssel enthält. Haben Sie das passende Gerät, drücken Sie die Escape -Taste. Der Computer startet automatisch. Eine manuelle Eingabe ist nicht erforderlich. Haben Sie den USB-Stick nicht zur Hand, drücken Sie die Eingabetaste. Geben Sie das Wiederherstellungspasswort ein, falls Sie es wissen. Wissen Sie es nicht, drücken Sie zweimal die Eingabetaste und schalten den Computer ab. Haben Sie das Wiederherstellungspasswort auf einem USB-Stick gespeichert, öffnen Sie das Gerät auf einem anderen Computer und suchen Sie dort eine .txt Datei, die das Passwort enthält. Der Dateiname enthält den Computernamen und das Erstellungsdatum. Öffnen Sie die Datei und geben Sie das Passwort ein.
572 _________________________________________________________ 11 Dateisysteme
11.3.2 Das verschlüsselnde Dateisystem (EFS) Mit dem verschlüsselnden Dateisystem (EFS Encrypting File System) können Sie ebenfalls Datenschutzprobleme lösen. Im Gegensatz zum Bitlocker erfolgt hier eine Verschlüsselung nicht auf Ebene eines Volumes, sondern kann für einzelne Dateien oder Ordner eingesetzt werden.
Der grundsätzliche Aufbau Das verschlüsselnde Dateisystem ist als eine Erweiterung des NTFS implementiert. Diese Erweiterungen im Übrigen gilt dies ebenfalls für die Komprimierungsfunktionalität werden als Dateisystem-Filter (siehe Abbildung 11.9) bezeichnet. Der Dateisystem-Filter des verschlüsselnden Dateisystems arbeitet Transparente Verschlüsselung der völlig transparent. Die Verschlüsselungs- und EntschlüsselungsvorDateien gänge laufen dabei im Hintergrund ab. Der Anwender wird nicht mit störenden Unterbrechungen, wie etwa der Aufforderung zur Eingabe von Kennwörtern, konfrontiert. Die direkte Integration in den Windows Explorer gestattet eine einfache Nutzung der Datenverschlüsselungsfunktion: Das Aktivieren des entsprechenden Kontrollkästchens reicht aus, um einen Ordner oder eine einzelne Datei von Windows Vista verschlüsseln zu lassen. Alternativ steht auf Betriebssystemebene der Befehl CIPHER zur Verfügung. Dateisystem-Filter
Abbildung 11.9: Das verschlüsselnde Dateisystem als Dateisystemfilter
Eine verschlüsselte Datei kann nur noch durch die berechtigten Benutzer geöffnet, umbenannt, kopiert oder verschoben werden. Alle anderen Benutzer werden abgewiesen. Die berechtigten Benutzer erhalten über das Dateisystem den vollen Zugriff auf die entschlüsselte Datei. Beim Abspeichern einer solchen Datei wird sie automatisch wieder verschlüsselt.
11.3 Datenverschlüsselung ________________________________________________ 573 Beim Kopieren einer verschlüsselten Datei über das Netzwerk wird sie vor dem Transport entschlüsselt und im Zielordner gegebenenfalls wieder verschlüsselt. Sie ist damit auf dem Weg über das lokale Netzwerk oder die Datenfernverbindung prinzipiell lesbar. Für einen sicheren Netztransfer gibt es beispielsweise mit IPSec geeignete Schutzmechanismen. Verloren geht die Verschlüsselung einer Datei selbstverständlich auch, Datensicherung wenn Sie diese auf einen FAT- oder FAT32-Datenträger kopieren. Das gilt ebenfalls prinzipiell für Datensicherungs-Programme. Nur spezielle Datensicherungssoftware wie das integrierte Programm SDCLT..EXE ist in der Lage, die korrekten NTFS-Attribute einschließlich der Verschlüsselung mit abzuspeichern und wiederherzustellen. In Abschnitt 4.7 Datensicherung ab Seite 245 wird diese Lösung beschrieben.
EFS im Detail Das verschlüsselnde Dateisystem (EFS) basiert auf einem Hybridverfahren, bei dem mehrere Verschlüsselungsverfahren nacheinander zum Einsatz gelangen. Zusätzlich zu einer symmetrischen Verschlüsselung findet eine Chiffrierung mit öffentlichen und privaten Schlüsseln statt. Abbildung 11.10: EFS-Verschlüsselung
Zunächst soll der Verschlüsselungsvorgang betrachtet werden: Die Verschlüsselung betreffende Datei wird mit Hilfe eines AES-Algorithmus symmetrisch AES statt DES verschlüsselt. Der Schlüssel dazu, FEK File Encryption Key genannt, wird per Zufallsgenerator erzeugt. Die Verschlüsselung der Datei mit einem generierten symmetrischen Schlüssel als FEK wird aus Perfor-
574 _________________________________________________________ 11 Dateisysteme
Data Decryption Field - DDF
Data Recovery Field - DRF
Entschlüsselung
mancegründen einer Verschlüsselung durch öffentlich zertifizierte Schlüssel vorgezogen. Der FEK selbst wird wiederum mit dem öffentlichen Schlüssel aus dem öffentlichen/privaten Schlüsselpaar des Anwenders verschlüsselt. Der so chiffrierte FEK wird als EFS-Attribut der Datei im Data Decryption Field DDF abgelegt. Um eine Wiederherstellung verschlüsselter Daten auch ohne den privaten Schlüssel des Anwenders zu ermöglichen, beispielsweise nach einem Verlust des Schlüssels oder um an Daten ausgeschiedener Mitarbeiter zu gelangen, wird der zufällig generierte FEK mit dem öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars des Wiederherstellungsagenten verschlüsselt. Dieser so chiffrierte FEK wird dann als EFS-Attribut im Data Recovery Field DRF abgelegt. Im Falle des Verlustes des Benutzerschlüssels kann auf die Daten nicht mehr zugegriffen werden. In Abschnitt 12.8.2 Einrichtung des Wiederherstellungsagenten ab Seite 661 finden Sie weiterführende Informationen wie eine Wiederherstellung zu vollziehen ist. Bei der Abspeicherung im NTFS-Dateisystem werden zur symmetrisch verschlüsselten Datei noch zwei chiffrierte Schlüssel mit abgespeichert.
Abbildung 11.11: EFS-Entschlüsselung
Diese mit den öffentlichen Schlüsseln des Anwenders beziehungsweise des Wiederherstellungsagenten chiffrierten Schlüssel müssen für eine Entschlüsselung zunächst selbst wieder mit den dazugehörigen
11.3 Datenverschlüsselung ________________________________________________ 575 privaten Schlüsseln dechiffriert werden. Zugriff erhalten so nur der berechtigte Anwender sowie der Wiederherstellungsagent.
Wiederherstellungsagent und maximale Absicherung Manchmal ist es notwendig, dass der Zugriff auf besonders sensible Zugriff des AdminisDateien möglichst sicher beschränkt wird. Das ist mit EFS tatsächlich trators beschränken möglich. So können Sie dem Wiederherstellungsagenten, welcher in der Regel der Administrator ist, aber nicht sein muss, das Wiederherstellungszertifikat beziehungsweise den dazugehörigen Schlüssel entziehen. Das reicht aber noch nicht als Absicherung aus. Schließlich kann der Administrator die Benutzer-Kennwörter zurücksetzen und sich damit immer noch Zugang zu den Daten verschaffen, indem er sich dann unter dem betreffenden Benutzerkonto anmeldet. Die EFSverschlüsselten Dateien bleiben für ihn dann ohne Lesezugriff, wenn der Benutzer sein EFS-Zertifikat gelöscht hat. Zuvor sollte er dieses mit dem zugehörigen Schlüssel exportiert haben. Zusammenfassend können Sie prinzipiell folgendermaßen vorgehen, Zusammenfassung um eine maximale Absicherung Ihrer Dateien mit EFS zu erreichen: Wiederherstellungsagent Haben Sie für Ihr System einen Wiederherstellungsagenten festgelegt, prüfen Sie, ob sich in dessen Besitz das EFS-Wiederherstellungszertifikat befinden soll oder nicht. Ein Administrator kann auch dann seine Arbeit in allen Belangen erfüllen, wenn er dieses nicht hat. Sie können das Zertifikat mit dem Schlüssel sichern und an einem sicheren Ort verwahren. Auf dem lokalen System sollte es dann gelöscht werden. Lassen Sie das Benutzer-EFS-Zertifikat ebenfalls nicht auf dem lokalen System gespeichert. Nur so stellen Sie sicher, dass nach dem »Knacken« eines Benutzer-Kennworts der Eindringling nach wie vor mit den EFS-verschlüsselten Dateien nichts anfangen kann. Versehen Sie generell nur ganze Ordner mit dem Verschlüsselungs-Attribut. Beziehen Sie sicherheitshalber die folgenden Ordner mit ein: - Ordner für Benutzerdaten In diesem Ordner werden standardmäßig durch die meisten Anwendungen die Benutzerdateien abgelegt. Er befindet sich standardmäßig an folgendem Speicherplatz: %USERPROFILE%\Documents In Abschnitt 3.5.1 Speicherort für B ENUTZERDATEN ÄNDERN ab Seite 150 finden Sie Informationen zu seiner Verlegung. - Temporäre Ordner Standardmäßig befindet sich der Temp-Ordner eines Benutzers an folgendem Speicherplatz: %USERPROFILE%\AppData\Local\Temp
576 _________________________________________________________ 11 Dateisysteme
Administration ab Seite 674
Bedenken Sie, dass manche Anwendungsprogramme ihre temporären Arbeitsdateien an anderen Speicherorten erstellen. Word benutzt dazu beispielsweise den gleichen Ordner wie das Ursprungsdokument. Notwendige Administrationsschritte werden in Abschnitt 12.8.7 Maximale Absicherung lokaler Daten mit EFS ab Seite 674 erläutert.
11.3.3 Datenträgerkontingente Datenträgerkontingente, in anderen Betriebssystemen teilweise mit Disk Quotas bezeichnet, dienen der Zuteilung des verfügbaren Speicherplatzes auf Volumes an Benutzer. Das bedeutet nichts anderes, als dass Sie festlegen können, dass alle oder ausgewählte Benutzer beispielsweise auf einer 100 GB großen Festplatte nur maximal 80 GB belegen dürfen. Damit können Sie sicherstellen, dass Volumes nicht »volllaufen«, was zumindest beim Startvolume, welches die Betriebssystemdateien von Windows Vista enthält, anderenfalls zu Störungen und Instabilitäten führen kann. Das Serverbetriebssystems Windows Server 2003 R2 bietet neben den NTFS-Datenträgerkontingenten eine neue Kontingentverwaltung auf Ordnerebene, die insbesondere im Netzwerkbetrieb sehr nützlich sein kann. In unserem Buch Windows Server 2003 (ab Auflage 2) finden Sie dazu weiterführende Informationen.
Wichtige Grundsätze zu Datenträgerkontingenten
Kontingente gelten je NTFS-Volume...
...und je Benutzer
Standard-Eintrag
Bisher gespeicherte Dateien
Bei der Einrichtung von Kontingenten sollten Sie die folgenden Grundsätze der Windows Vista-Kontingentverwaltung kennen: Kontingente gelten je NTFS-Volume Die Kontingentverwaltung müssen Sie für jedes Volume separat aktivieren. Hinzu kommt, dass Kontingente ausschließlich auf NTFS-formatierten Volumes zur Verfügung stehen. Kontingenteinträge gelten je Benutzer Kontingenteinträge werden je Benutzer angelegt und vom System überwacht. Richten Sie einen neuen Benutzer für Ihr System ein, müssen Sie, wenn gewünscht, für diesen nachträglich entsprechende Kontingenteinträge auf den Volumes anlegen. Standard-Kontingenteintrag Sie können einen Standard-Kontingenteintrag einrichten, der dann für alle Benutzer des Computers gleichermaßen gilt. Ist allerdings für einen Benutzer zusätzlich ein individueller Kontingenteintrag erstellt worden, so gelten dessen Werte. Bisher gespeicherte Dateien werden mitgezählt Wenn Sie erstmalig ein Kontingent für einen Datenträger einrichten, werden alle Dateien erfasst und die jeweiligen Besitzrechte ermittelt. Damit können dann bisher gespeicherte Datenbestände
11.3 Datenverschlüsselung ________________________________________________ 577 der einzelnen Benutzer bei der Kontingentverwendung berücksichtigt werden. NTFS-Komprimierung wirkungslos Die Nutzung der NTFS-Komprimierung hat keinen Einfluss auf die Ausnutzung eines Kontingents. Bei der Berechnung des verwendeten Speicherplatzes wird immer die Größe der unkomprimierten Datei zu Grunde gelegt. Besser ist die Verwendung von ZIP-komprimierten Ordnern. Die ZIP-Archive werden wie normale Dateien behandelt und schlagen so mit ihrer normalen (komprimierten) Größe bei der Kontingentausnutzung zu Buche. Weitere Informationen finden Sie dazu in Abschnitt Alternative: ZIP-komprimierte Ordner ab Seite 563. Keine Ausdehnung auf Laufwerkpfade Datenträgerkontingente haben keine Wirkung auf über Laufwerkpfade eingebundene Volumes (siehe dazu Abschnitt 11.2.3 Analysepunkte und Bereitstellungen ab Seite 558). Das Kontingent gilt nur für die Dateien und Ordner, die sich physisch auf dem betreffenden Datenträger befinden. Bereitgestellte Datenträger, auch wenn sie mit dem NTFS-Dateisystem formatiert sind, werden nicht berücksichtigt. Für diese müssten Sie eigene Kontingenteinträge definieren, wenn Sie eine Beschränkung des Speicherplatzes benötigen. Nur Protokollierung oder Verweigerung weiteren Speicherplatzes Für die Erkennung einer baldigen Erreichung eines Kontingents durch einen Benutzer können Sie eine Warnschwelle definieren, ab der ein Eintrag in das Ereignisprotokoll erfolgen soll. Eine direkte Warnung an den Benutzer erfolgt übrigens nicht. Sie können einrichten, dass bei Erreichen der Kontingentgrenze der Benutzer keine weiteren Dateien mehr speichern kann. Er kann dann nur noch Dateien löschen oder durch Bearbeitung verkleinern oder Sie erhöhen als Administrator die Kontingentgrenze. Administrator-Rechte Für die Einrichtung und Verwaltung von Datenträgerkontingenten benötigen Sie Administrator-Rechte. Zur Verwaltung und Einrichtung von Datenträgerkontingenten erhalten Sie weitergehende Informationen in Abschnitt 12.12.4 Datenträgerkontingente festlegen ab Seite 722.
11.3.4 Weitere besondere Merkmale von NTFS In diesem Abschnitt werden einige weitere Merkmale von NTFS beschrieben, die Auswirkungen auf die Arbeitsweise und den internen Ablauf haben, für den Benutzer aber weitgehend transparent bleiben. Teilweise werden diese erst durch spezielle Anwendungsprogramme ausgenutzt und können dann zu einer Erhöhung der Leistungsfähigkeit des Gesamtsystems führen.
Komprimierung
Laufwerkpfade
Protokollierung und/oder Verweigerung
Administrator Administration ab Seite 722
578 _________________________________________________________ 11 Dateisysteme Unterstützung für Dateien mit geringer Datendichte Ausschluss von Nulldaten
Anwendung beim Änderungsjournal
Eine so genannte Datei mit geringer Dichte verfügt über ein spezielles Attribut, welches das I/O-System des NTFS-Dateisystems bei der Speicherung der Datei veranlasst, nur nichtleeren Daten physischen Speicherplatz zuzuweisen. Alle Nulldaten werden durch entsprechende Einträge ausgewiesen. Beim Aufruf der Datei durch ein Anwendungsprogramm werden dann die tatsächlichen Datenmengen wiederhergestellt, indem automatisch die Nulldaten als leerer Datenstrom erzeugt und übergeben werden. Sinn und Zweck dieses Verfahrens ist die drastische Einsparung von Speicherplatz bei dieser Art von Dateien. Die Anwendung ist allerdings sehr speziell und das NTFS-Attribut nur durch entsprechend programmierte Applikationen setzbar. Sie können manuell eine solche Datei mit dem Kommandozeilentool FSUTIL.EXE (siehe Abschnitt 12.1.5 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 612) erzeugen. Eine praktische Anwendung ist beispielsweise das Änderungsjournal (siehe nächster Abschnitt), welches die Änderungen von Dateien mit Hilfe der Abbildung der logischen Struktur des gesamten Datenträgers verfolgt. Die hohe Effizienz dieses Journals bei sehr großen Datenträgern mit vielen Dateien wird dadurch erreicht, dass eine Datei gebildet wird, welche die gesamte Struktur widerspiegelt. Die nichtleeren Daten, die physisch gespeichert werden, sind die Änderungseinträge. Der Zugriff auf die Datei erfolgt aber, als wäre die gesamte Struktur abgebildet. Da aber immer nur ein relativ kleiner Teil der Dateien Änderungen unterworfen ist, kann die Speicherung des Journals auf physisch kleinem Raum erfolgen.
Änderungsjournal
Verfahren
Über das Änderungsjournal werden im NTFS-Dateisystem die Änderungen an Dateien ständig protokolliert. Die APIs dazu sind von Microsoft offen gelegt und können durch Softwareanbieter beispielsweise für die Entwicklung von Programmen für die Datensicherung oder Antivirenchecks genutzt werden. Der Microsoft Indexdienst benutzt als eine der ersten Applikationen das NTFS-Änderungsjournal für die schnelle Aktualisierung der Indizes. Jede Änderung an einer Datei oder einem Ordner wird automatisch im NTFS-Änderungsjournal erfasst. Das ermöglicht die effizientere Ausführung von Programmen, die Änderungen am Volume auswerten müssen. Pro Änderungsdatensatz fallen circa 80 bis 100 Byte an Daten an, die dem Journal hinzugefügt werden. Da das Journal in seiner Größe begrenzt ist, verfallen bei dem Erreichen der maximalen Kapazität die ersten Einträge und werden durch neue überschrieben. Hauptvorteil bei der Nutzung des NTFS-Änderungsjournals durch Anwendungsprogramme ist die hohe Performance bei sehr großen Volumes mit vielen Dateien, mit der Änderungen an Dateien erfasst werden. Die Geschwindigkeit der Bearbeitung der Änderungen hängt
11.3 Datenverschlüsselung ________________________________________________ 579 nicht von der Anzahl der Dateien ab, sondern von der Anzahl der Änderungen.
Hardlinks und Verknüpfungen Für den Zugriff auf Dateien und Ordner werden manchmal »Stellvertreter« benötigt, die direkt auf die ursprünglichen Dateien verweisen. Dafür können Verknüpfungen oder Hardlinks in Frage kommen. Ein Beispiel für Verknüpfungen sind Einträge im Startmenü von Windows Vista. Hier sind natürlich nicht die Programme selbst abgelegt, sondern nur Verweise auf diese. Verknüpfungen sind kleine, spezielle Konfigurationsdateien mit der Dateiendung LNK und enthalten Informationen zum aufzurufenden Programm oder zur ursprünglichen Datei. Diese Verknüpfungen sind dabei nicht an das Dateisystem NTFS gebunden. Sie können diese ebenfalls unter FAT/FAT32 nutzen. Allein der Windows Explorer verwaltet diese. Ein transparenter Zugriff aus allen Anwendungsprogrammen kann dabei aber nicht immer sichergestellt werden. Das können die mit Windows XP eingeführten Hardlinks leisten. Ähnlich den absoluten Links unter Unix wird dabei einer ursprünglichen Datei ein weiterer Start-Verzeichniseintrag in der NTFS-MFT zugewiesen (siehe Abschnitt Die Master File Table (MFT) ab Seite 553). Dabei lassen sich Hardlinks nur für Dateien erstellen. Der Windows Explorer, auch »nur« eine normale Anwendung, kann wie alle anderen Programme dann eine als Hardlink erzeugte Datei nicht mehr von ihrem Original unterscheiden. Der Explorer zählt übrigens bei der Ermittlung der Größe eines Ordners oder eines Volumes die Links als vollständige Dateien mit, obwohl keine »Vermehrung« der Daten stattfindet. Bei der Berechnung von Datenträgerkontingenten werden Hardlinks aber ordnungsgemäß von der Mehrfachzählung ausgeschlossen (siehe Abschnitt 11.3.3 Datenträgerkontingente ab Seite 576). Unter Windows Vista können Sie symbolische Links und Hardlinks erzeugen, wie sie von UNIX bekannt sind. Administratoren benutzen dazu das neue Kommandozeilentool MKLINK.EXE (siehe Abschnitt 12.1.6 Das Kommandozeilen-Tool Mklink.exe ab Seite 618). Beachten Sie, dass keine Unterscheidung zwischen einer Originaldatei und einem nachträglich erzeugten Hardlink möglich ist. Jeder erste Verzeichniseintrag auf eine Datei wird gleichberechtigt behandelt. Das hat weitreichende Konsequenzen auf das Verschieben und Löschen von Dateien. Verschieben Sie eine Datei, für die ein oder mehrere Hardlinks existieren, wird nur der betreffende Verzeichniseintrag gelöscht und auf dem Zielvolume zusammen mit einer Kopie der Datei neu angelegt. Alle bisher bestehenden Hardlinks auf dem Quellvolume existieren weiter zusammen mit der ursprünglichen Datei. Damit existiert diese Datei danach doppelt. Änderungen an einer der Dateien bleiben dann in der jeweils anderen unberücksichtigt.
Verknüpfungen
Hardlinks
MKLINK.EXE ab Seite 618
Verschieben einer Datei
580 _________________________________________________________ 11 Dateisysteme Löschen einer Datei
Gelöscht wird eine Datei (mit Ihren eventuell sensiblen Daten!) erst dann, wenn der letzte noch existente Hardlink ebenfalls gelöscht ist. Für das wirklich sichere Vernichten von Daten bietet sich das Kommandozeilentool fsutil file setzerodata an, mit dem Sie die Datei vor dem Löschen mit Nulldaten überschreiben können. Auch wenn danach noch ein Hardlink auf der Festplatte verblieben sein sollte, zeigt dieser nur noch auf die Leerdaten.
Überwachung verteilter Verknüpfungen Überwachung über Objektkennung
Unter Windows Vista stellt der Dienst zur Überwachung verteilter Verknüpfungen sicher, dass auf NTFS-Volumes Änderungen an den Quelldateien verfolgt und bei den Verknüpfungen berücksichtigt werden. Grundlage dieser Überwachung ist die eindeutige Objektkennung, mit der Dateien unabhängig von ihren Dateinamen geführt werden. Der Überwachungsdienst verteilter Verknüpfungen kann in den folgenden Fällen sicherstellen, dass die Verknüpfungen weiterhin korrekt auf die zugeordneten Quelldateien verweisen: Sie haben die Quelldatei umbenannt. Sie haben die Quelldatei innerhalb der Datenträger in der Arbeitsgruppe oder Domäne verschoben. Die Netzwerkfreigabe beziehungsweise der freigebende Computer, der die Quelldatei enthält, wurden umbenannt.
11.4 Fragmentierung Auswirkung auf Performance
Neben der Effizienz der Speicherung von Daten spielt die Fragmentierung hinsichtlich der erreichbaren Performance eine entscheidende Rolle. Beim ständigen Öffnen und Zurückschreiben von Dateien kommt es mit der Zeit zu einer fortschreitenden Fragmentierung der Dateien und Volumes. Das ist übrigens unabhängig vom verwendeten Dateisystem. Sowohl unter FAT, FAT32 als auch NTFS ist diese performancehemmende Eigenschaft zu verzeichnen.
11.4.1 Was ist Fragmentierung? Unter Fragmentierung wird die physische Speicherung von Dateien in mehreren Teilstücken (Fragmenten) auf dem Volume verstanden. Normalerweise wird eine Datei als zusammenhängende Clusterkette auf dem Volume gespeichert. So liegen die Daten übrigens vor, wenn Sie Dateien nacheinander auf ein leeres Volume kopieren.
11.4 Fragmentierung _____________________________________________________ 581 Volume-Fragmentierung Durch ständiges Löschen von Dateien entstehen immer mehr nicht zu- Lücken vom Erzeusammenhängende freie Bereiche auf dem Volume. Man spricht dann gen und Löschen von der Fragmentierung des Volumes. Dateien werden übrigens nicht von Dateien ausschließlich durch Benutzereingriff gelöscht. Auch viele Anwendungsprogramme gehen so vor, dass sie geöffnete Dateien zunächst temporär zwischenspeichern. Beim Sichern wird die Originaldatei dann durch eine neue Kopie ersetzt und die temporären Arbeitsdateien werden gelöscht. Abbildung 11.12: Schematische Darstellung der Fragmentierung von Dateien und Volumes
Datei-Fragmentierung Fragmentierte Dateien entstehen nur bei Schreiboperationen auf ein Volume. Steht für das Speichern einer Datei nicht genügend zusammenhängender freier Speicherplatz zur Verfügung, wird der nächste freie Bereich mit benutzt. Eine größere Datei kann so leicht in vielen Fragmenten über das gesamte Volume verteilt liegen. Festplatten erreichen ihren maximalen Datendurchsatz beim Lesen Performanceverlust und Schreiben, wenn die betreffenden Datenblöcke hintereinander gelesen oder geschrieben werden können. Dann können intelligente Cache- und Speichermechanismen der Hardware voll zum Zuge kommen, wie beispielsweise Block-Mode oder Vorausschauendes Lesen.
582 _________________________________________________________ 11 Dateisysteme Wird eine fragmentierte Datei gelesen, ist mehr als eine Kopfpositionierung notwendig. Anstelle eines zusammenhängenden Datenstroms, der mit maximaler Geschwindigkeit von der Hardware geliefert werden kann, zerfällt der Transfer in mehrere komplette Teilübertragungen. So wird selbst die schnellste Festplatte ausgebremst.
11.4.2 Clustergröße und Fragmentierung Kleine Clustergrößen = mehr Fragmente
Die Zeit, die vergeht, bis ein Volume stark fragmentiert ist, wird neben der Häufigkeit der Veränderung von Dateien direkt von der Größe der Cluster bestimmt. Kleinere Cluster erlauben zwar eine effizientere Ausnutzung des Speicherplatzes gerade für kleinere Dateien, führen aber bei größeren Dateien zu deren Zerlegung in viele Einzelteile. Das begünstigt natürlich die Bildung von Fragmenten, wenn diese Dateien wieder gelöscht beziehungsweise verändert werden. In Abschnitt 11.4.4 Tipps zur Verbesserung der Performance ab Seite 583 finden Sie Hinweise, wie Sie mit einer manuellen Einstellung der Clustergröße die Fragmentierung und damit die Performance beeinflussen können.
11.4.3 Besonderheiten bei NTFS Für NTFS-Datenträger gibt es hinsichtlich der Fragmentierung einige Besonderheiten zu beachten:
NTFS-Volumes fragmentieren auch NTFS fragmentiert auch!
Mit Einführung von Windows NT und dem Dateisystem NTFS kam die Mär in Umlauf, dass NTFS nicht fragmentieren würde. Das ist definitiv falsch. Richtig ist, dass bei Vorliegen einer geringen Anzahl fragmentierter Dateien aufgrund der effizienten Speicherung mit Hilfe von Datenläufen und B-Baumstrukturen (siehe Abschnitt 11.2.2 Der interne Aufbau von NTFS ab Seite 550) weniger Performanceverluste zu verzeichnen sind als unter FAT oder FAT32.
Fragmentierung der MFT Die MFT (Master File Table) ist die wichtigste Datei im NTFS-Dateisystem (siehe Abschnitt 11.2.2 Der interne Aufbau von NTFS ab Seite 550). Für die MFT wird ein Bereich von circa 12% auf dem Datenträger reserviert. Füllt sich das Volume, wird die MFT zunehmend fragmentiert. Vermindern können Sie dies nur durch eine regelmäßige Defragmentierung. Eine entsprechende Lösung ist in Windows Vista integriert und wird in Abschnitt 11.4.5 Defragmentierungsprogramme ab Seite 583 beschrieben.
11.4 Fragmentierung _____________________________________________________ 583 Besser ist es jedoch, wenn Sie darauf achten, dass der Speicherplatz eines Volumes nur bis zu 80% seiner maximalen Kapazität ausgenutzt wird. Als probates Mittel können dazu Datenträgerkontingente gesetzt werden. In Abschnitt 11.3.3 Datenträgerkontingente ab Seite 576 finden Sie dazu weiterführende Informationen.
11.4.4 Tipps zur Verbesserung der Performance Performance-Einbußen durch stark fragmentierte Volumes können sich durch ein schlechteres Antwortverhalten bemerkbar machen. Die folgenden Tipps sollen Ihnen helfen, die Performance Ihrer Volumes zu verbessern und zu sichern.
Optimale Einstellungen für die Auslagerungsdatei Die folgenden Tipps betreffen die Einstellungen für die Auslagerungsdatei: Die Auslagerungsdatei wird standardmäßig durch das System als eine in der Größe variable Datei PAGEFILE.SYS geführt. Legen Sie die Größe der Datei besser fest, sodass keine dynamischen Größenanpassungen durch das Betriebssystem mehr notwendig sind. Als ein guter Richtwert für die Größe gilt das Eineinhalbfache der Hauptspeichergröße (RAM). Haben Sie mehr als eine Festplatte im Computer installiert, können Sie die Auslagerungsdatei auf einer anderen als der Startfestplatte anlegen. Zu empfehlen ist dabei natürlich die Auswahl der schnellsten Festplatte im System. Keinen Sinn macht hingegen die Anlage mehrerer Auslagerungsdateien auf verschiedenen Festplatten. Die meisten Festplatten haben ihre höchste Performance am physischen Anfang. Damit kann es sinnvoll sein, die Auslagerungsdatei genau hier zu platzieren. Um das garantiert zu erreichen, können Sie eine separate Partition für die Auslagerungsdatei nutzen. Im Hinblick auf eine spätere Erweiterung des Hauptspeichers und damit der Auslagerungsdatei sollte eine Partitionsgröße von ein bis zwei GB für die meisten Fälle ausreichend sein. Haben Sie ein Stripesetvolume im Einsatz, können Sie die Auslagerungsdatei auf diesem erstellen. Die hohe Performance ist dann direkt für die Auslagerungsdatei nutzbar (siehe Abschnitt 10.4.3 Stripesetvolumes ab Seite 536). In Abschnitt 2.8.1 Optimieren der Datenträgernutzung ab Seite 83 wird gezeigt, wie Sie die Einstellungen für die Auslagerungsdatei anpassen können.
11.4.5 Defragmentierungsprogramme Windows Vista verfügt über eine integrierte Defragmentierungssoftware. Daneben gibt es aber eine Reihe von Programmen anderer An-
RAM x 1,5
Schnellste Festplatte
Festplattenanfang
Stripesetvolume
584 _________________________________________________________ 11 Dateisysteme
Ausreichend freier Speicherplatz
Volume logisch OK
bieter. Eines der bekanntesten Programme ist dabei Norton Speeddisk (www.symantec.de). Seit 1998 auf dem Markt ist die umfassende Defragmentierungslösung der Firma O&O Software (siehe Abschnitt O&O® Defrag ab Seite 585). Für das Durchführen des Defragmentierungsprozesses benötigen alle Lösungen genügend freien Speicherplatz auf dem Volume. Als Richtwert gelten hier circa 15% der Gesamtkapazität. Der konkret benötigte freie Speicherplatz hängt von der jeweiligen Defragmentierungssoftware ab. Steht nicht genügend Platz zur Verfügung, bricht das Programm entweder mit einer Fehlermeldung ab oder kann kein optimales Ergebnis erreichen. Defragmentierungsprogramme verweigern ihren Dienst, wenn das Volume logische Fehler aufweist. Dann ist das so genannte Dirty-Bit gesetzt. Sie müssen diese Volumes vor einer Defragmentierung reparieren lassen, beispielsweise mit CHKDSK.EXE (siehe Abschnitt 12.12.3 Überprüfung eines Volumes auf Fehler ab Seite 717).
Integrierte Lösung
KommandozeilenTool DEFRAG .EXE
Syntax
Tabelle 11.7: Optionen von Defrag.exe
Das in Windows Vista operierende Tool kommt mit einer sehr spartanischen Benutzeroberfläche daher, die keine bunten Bildchen während der Reorganisation zeigt. Es soll wahre Defragmentierungs-Freaks geben, die am liebsten täglich den Schreib/Lesezugriffen ihrer Festplatte zu sehen. Bevorzugen auch Sie eine Visualisierung der Vorgänge, müssen Sie auf Defragmentierungslösungen anderer Hersteller zurückgreifen. In Windows Vista ist auch eine Kommandozeilen-Version des Defragmentierungsprogramms integriert. Diese können Sie über die Eingabeaufforderung mit DEFRAG.EXE aufrufen. Achten Sie darauf, dass Sie die Eingabeaufforderung mit der Option ALS ADMINISTRATOR AUSFÜHREN (im Kontextmenü beim Rechtsklick zusehen) starten. Einsetzbar ist diese Software damit in Stapelverarbeitungsdateien, sodass Sie zeitgesteuert über die Aufgabenplanung oder das Kommandozeilen-Tool AT.EXE automatisch regelmäßig Volumes defragmentieren können (siehe Abschnitt 4.6 Zeitgesteuerte automatisierte Verwaltung ab Seite 238). Defrag [-c] [-a] [-r] [-w] [-f] [-v] Die folgende Tabelle enthält die Beschreibung der Optionen: Option
Beschreibung
Bezeichnet das zu defragmentierende Volume. Gültig sind Laufwerkbuchstabe oder Laufwerkpfad.
-c
Defragmentiert alle Volumes auf dem Computer
-a
Analysiert das Volume und gibt einen zusammenfassenden Bericht aus.
11.4 Fragmentierung _____________________________________________________ 585 Option
Beschreibung
-r
Es wird eine teilweise Defragmentierung durchgeführt. Sie beschränkt sich auf Fragmente die kleiner als 64 MB sind.
-w
Führt eine vollständige Defragmentierung ohne Berücksichtigung der Größe aus.
-f
Erzwingt die Defragmentierung auch dann, wenn eigentlich zu wenig Speicherplatz auf dem Volume frei ist.
-v
Startet die Analyse und, wenn notwendig, die Defragmentierung des Volumes und gibt für beide Vorgänge umfassende Berichte aus. Wird die Option zusammen mit -a verwendet, wird nur eine Analyse (mit umfassendem Bericht) durchgeführt.
Während des eigentlichen Defragmentierungsvorganges werden keine Meldungen auf dem Bildschirm ausgegeben. Das kann leicht dazu führen, dass Sie denken, das Programm würde nicht arbeiten. Dass dem nicht so ist, erkennen Sie zum einen an der Festplattenaktivität, zum anderen am blinkenden Cursor. Erst nach Abschluss der Defragmentierung erhalten Sie dann einen Bericht. Die Ausgaben des Programms können Sie über das Umleitungszeichen > beziehungsweise >> in eine Textdatei lenken. Hier einige Beispiele: Defrag C: /V /F >Defrag_c.txt Beispiele Defrag D: /V >>Defrag_laufwerke.txt Defrag D: /A >DefragAnalyse.txt Sie können den Vorgang jederzeit mit Strg + C abbrechen. Dabei wird Abbruch mit Strg-C der aktuelle Cluster noch geschrieben und danach das Programm ordnungsgemäß beendet. Datenverluste sind damit nicht zu befürchten. Ein Bericht wird dann allerdings nicht ausgegeben.
O&O® Defrag Eine der möglichen Alternativen ist die Softwarelösung der Berliner Firma O&O Software GmbH. Eine kostenlose Version wird mittlerweile leider nicht mehr angeboten. Eine 30-Tage-Testversion der aktuellen Version O&O Defrag V8 Professional Edition kann aber heruntergeladen werden: www.oo-software.com/de/products/index.html Das Programm weist unter anderem diese Besonderheiten auf: Besonderheiten Automatische Defragmentierung Damit kann die Defragmentierung nicht mehr vergessen werden. Es werden einfach die Leerlaufzeiten ausgenutzt, die garantiert bei jedem PC anfallen. Die Belastung des PCs kann dabei genau eingestellt werden.
586 _________________________________________________________ 11 Dateisysteme
Ersatz der serienmäßigen Lösung
Offline-Defragmentierung Es ist eine Defragmentierung beim Systemstart einstellbar, mit der auch Dateien bearbeitet werden können, die sonst exklusiv durch das Betriebssystem gesperrt sind. Verschiedene Optimierungsmethoden Es sind verschiedene Methoden wählbar, nach der die Dateien auf dem Volume neu angeordnet werden sollen. So können diese nach dem Namen sortiert werden oder, was bessere Performance-Werte verspricht, nach der Häufigkeit des Zugriffs. Zeitplanung Es können Defragmentier-Jobs geplant werden, wobei eine grafisch leicht zu handhabende Oberfläche für die Zeitplanung zur Verfügung steht. Sie können O&O Defrag Professional Edition so installieren, dass die serienmäßig installierte Software vollständig ersetzt wird. Sie ist dann genauso integriert und komfortabel aus dem Windows Explorer heraus zu benutzen.
11.4 Fragmentierung _____________________________________________________ 587
12 12Administration der Massenspeicher In diesem Kapitel werden detailliert die Einrichtung und Verwaltung von Festplatten unter Windows Vista behandelt. Dabei werden die Administrationswerkzeuge vorgestellt und die einzelnen Schritte bei der Einrichtung praxisnah erläutert. Einen breiten Raum nimmt ferner die richtige Anwendung der NTFS-Zugriffsrechte ein. Zusätzlich wird in diesem Kapitel mit dem Indexdienst die in das Betriebssystem integrierte »Suchmaschine« vorgestellt.
588 ______________________________________ 12 Administration der Massenspeicher
Inhaltsübersicht Kapitel 12 12.1 12.2 12.3 12.4 12.5 12.6 12.7 12.8 12.9 12.10 12.11 12.12 12.13
Die Verwaltungswerkzeuge ........................................ 589 Einrichtung einer neuen Festplatte ............................ 625 Basisdatenträger einrichten ......................................... 627 Dynamische Datenträger einrichten .......................... 633 Volumes formatieren.................................................... 642 Volume-Zugriff ändern................................................ 649 Erweiterte NTFS-Attribute .......................................... 654 Einrichten und Anwenden des EFS ........................... 660 NTFS-Zugriffsrechte einstellen................................... 679 Dateiattribute bei FAT und FAT32............................. 695 Freigaben für Ordner einrichten................................. 698 Weitere Eigenschaften von Volumes ......................... 714 Windows Suche und die Indizierung ........................ 727
12.1 Die Verwaltungswerkzeuge ___________________________________________ 589
12.1 Die Verwaltungswerkzeuge Für die Verwaltung der Massenspeichersysteme wie Festplatten oder Wechseldatenträger sowie für Einrichtung und Wartung der Volumes bringt Windows Vista eine Reihe von Systemwerkzeugen mit. Diese werden in den nachfolgenden Abschnitten vorgestellt.
12.1.1 Überblick Für die Verwaltung aller Arten von Massenspeichern, vor allem von Festplatten, stehen sowohl grafische als auch nichtgrafische (Kommandozeilen-) Programme zur Verfügung.
Grafische Werkzeuge Die Einrichtung und Verwaltung von Massenspeichern können Sie unter Windows Vista im Wesentlichen komplett über grafische Tools erledigen. Einige sind dabei als Snap-Ins für die Microsoft Managementkonsole ausgeführt, andere ein fester Bestandteil des Windows Explorers. Dies sind die wichtigsten grafischen Werkzeuge: MMC Snap-Ins Datenspeicher und Datenträgerverwaltung Eines der wichtigsten grafischen Werkzeuge für die Verwaltung von physischen und logischen Massenspeichern ist zweifellos die DATENTRÄGERVERWALTUNG. Dieses Managementkonsolen-Snap-In ist bereits in die vorgefertigte MMC COMPUTERVERWALTUNG integriert. Diese starten Sie am einfachsten über das Kontextmenü zum Eintrag COMPUTER im Windows Vista-Startmenü und den Menüpunkt VERWALTEN (erreichbar über einen Klick auf die rechte Maustaste). In der Computerverwaltung finden Sie in der Strukturansicht unter Datenspeicher das Snap-In Datenträgerverwaltung. Die Datenträgerverwaltung ist das zentrale Werkzeug für die Einrichtung und Wartung vor allem der Festplattenspeicher in Ihrem Windows Vista-System. Dieses Snap-In wird in Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592 eingehend beschrieben. Defragmentierung Mit Hilfe dieses integrierten Programms können Sie Volumes defragmentieren. Das Programm können Sie über die Systemsteuerung in der Rubrik SYSTEM finden. Außer der Anpassung des Zeitplans für die Ausführung sind keine weiteren Einstellungen möglich. Weitere Informationen finden Sie dazu in Abschnitt 11.4 Fragmentierung ab Seite 580. Wechselmedien Umsteiger von Windows XP werden an dieser Stelle das Snap-In für die Verwaltung von Wechselmedien vermissen. Microsoft ist aufgefallen, dass der »normale Anwender« selten komplizierte
590 ______________________________________ 12 Administration der Massenspeicher
EigenschaftenDialogfenster für Volumes
Bandlaufwerke oder Band-Bibliotheken an seinem Einzelplatz-PC betreibt. Das Snap-In Medienverwaltung steht deshalb erst dann in der Managementkonsole zur Verfügung, wenn die Funktion der Medienverwaltung hinzugefügt wurde. Das Hinzufügen von Funktionen erreichen Sie über das Applet Programme und Funktionen in der Systemsteuerung. Über den Link WINDOWS-FUNKTIONEN EIN-ODER AUSSCHALTEN finden Sie die Aktivierungsmöglichkeit für den Eintrag WECHSELMEDIENVERWALTUNG. Für den normalen Gebrauch von Wechseldatenträgern wie USB-Memorysticks, ZIP-Disketten oder JAZZ-Medien benötigen Sie diese aber nicht. Das SnapIn wird überblicksweise in Abschnitt 12.1.3 Snap-In Wechselmedienverwaltung ab Seite 597 beschrieben. Tools im Windows Explorer Über den Windows Explorer stehen Ihnen direkt einige Verwaltungsfunktionen für Volumes zur Verfügung. Klicken Sie im COMPUTER-Fenster auf das Volume oder den externen Datenträger mit der rechten Maustaste, um das Kontextmenü angezeigt zu bekommen. Hier finden Sie, abhängig vom Typ des Datenträgers, unter anderem die folgenden Funktionen: - FORMATIEREN Mit Hilfe des grafischen Formatprogramms lassen sich alle Arten von Festplatten und beschreibbaren Wechseldatenträgern formatieren. Weitergehende Informationen dazu finden Sie in Abschnitt 12.5 Volumes formatieren ab Seite 642. - Disketten kopieren Für die Arbeit mit Disketten können Sie über den Punkt DATENTRÄGER K OPIEREN ein komfortables Kopierprogramm starten. Weitere Verwaltungsaufgaben können Sie über das EigenschaftenFenster eines Volumes aufrufen (zu öffnen über das Kontextmenü zum Volume). Sie finden hier die direkte Startmöglichkeit in der Registerkarte TOOLS für die folgenden Verwaltungsaufgaben: - Fehlerüberprüfung Über JETZT PRÜFEN wird das Dienstprogramm zum Überprüfen des Volumes gestartet. Dabei können Sie dieses sowohl auf logische als auch auf physische Fehler kontrollieren lassen. Weitergehende Hinweise finden Sie in Abschnitt 12.12.3 Überprüfung eines Volumes auf Fehler ab Seite 717. - Volume defragmentieren Hiermit wird das mit Windows Vista ausgelieferte Defragmentierungsprogramm gestartet. Weitere Hinweise zu diesem Thema finden Sie in Abschnitt 11.4.5 Defragmentierungsprogramme ab Seite 583.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 591 Abbildung 12.1: EigenschaftenFenster zu einem Volume
Kommandozeilen-Werkzeuge Eigentlich können Sie jede wesentliche Administrationsaufgabe unter Windows Vista mit einem grafischen Werkzeug erledigen. Es ist jedoch ein Trend zu erkennen, viele Funktionen schnell über die Kommandozeile ausführen zu lassen, statt sich durch Dialoge und Assistenten zu klicken. Praxisrelevant sind Funktionen, die Ihnen die optimale Konvertierung eines FAT- oder FAT32-Volumes nach NTFS ermöglichen. Damit brauchen Sie unter Windows Vista auch bei konvertierten NTFSVolumes nicht mehr mit Performanceeinbußen gegenüber komplett neu formatierten zu leben, wie es bei Windows NT und 2000 nicht zu vermeiden war. Die nachfolgende Tabelle enthält alle Kommandozeilen-Tools für die Verwaltung und Einrichtung von Volumes beziehungsweise für die Nutzung spezieller Funktionen des NTFS-Dateisystems. Nicht alle Tools sind nur für die Nutzung durch Administratoren bestimmt; allerdings werden die wenigsten normalen Benutzer sich mit Kommandozeilenoptionen herumschlagen wollen. Administratoren, die mit DOS groß geworden sind, werden sich über das Revival der DOSBox freuen. Dazu gibt es für jedes Tool den Verweis auf die Seite, auf der dieses näher beschrieben wird.
Mehr Optionen bei KommandozeilenTools im Vergleich zu GUI-Tools
Name
Funktion
CACLS.EXE
Ändert Zugriffsberechtigungen Dateien und Ordnern (NTFS).
Tabelle 12.1: KommandozeilenTools im Überblick
Seite von
692
Optimale Nutzung der Ressourcen
592 ______________________________________ 12 Administration der Massenspeicher
FSUTIL.EXE
Name
Funktion
CHKDSK.EXE
Dient der Fehlersuche und behebung auf Volumes.
718
CIPHER.EXE
Ermöglicht die Ver- und Entschlüsselung von Dateien und Ordnern (NTFS).
676
COMPACT.EXE
Erlaubt die Komprimierung und Dekomprimierung von Dateien und Ordnern (NTFS).
657
DISKPART.EXE
Dient der Einrichtung und Verwaltung von physischen Datenträgern und Volumes (Pendant zur grafischen Datenträgerverwaltung).
600
FSUTIL.EXE
Bietet umfassende Verwaltungsaufgaben auf Dateisystem-Ebene. Es werden alle wichtigen Funktionen von FAT/FAT32und NTFS-Volumes unterstützt.
612
MOUNTVOL.EXE Ermöglicht die Erstellung und Löschung von Bereitstellungspunkten.
653
MKLINK
618
Erstellt symbolische und »harte« Links
Seite
Hervorzuheben ist an dieser Stelle vor allem das Tool FSUTIL.EXE. Dieses bringt einen sehr hohen Funktionsumfang mit und kann als Pendant des grafischen Werkzeugs DATENTRÄGERVERWALTUNG betrachtet werden. Darüber hinaus sind aber auch Funktionen integriert, die grafisch gar nicht zur Verfügung stehen. Umfassend wird das Tool in Abschnitt 12.1.5 Das Kommandozeilen-Tool FSUTIL.EXE ab Seite 612 erklärt.
12.1.2 Snap-In Datenträgerverwaltung im Detail Das MMC-Snap-In Datenträgerverwaltung, das die Firma VERITAS Software für Microsoft geschrieben hat, erlaubt Ihnen die Administration der Datenträger und Volumes Ihres Computersystems oder eines Fremdsystems, welches über eine Netzwerk- oder DFÜ-Verbindung erreichbar ist.
Funktionsumfang Direkt am Computer Die folgenden Administrationsaufgaben können Sie mit Hilfe des
Snap-Ins Datenträgerverwaltung auf einem Windows Vista-System durchführen: Abruf von Informationen über alle physischen und logischen Datenträger
12.1 Die Verwaltungswerkzeuge ___________________________________________ 593 Neu Einlesen der Datenträgerkonfiguration nach Entfernen oder Hinzunahme externer Geräte ohne Neustart Überprüfung und Reparatur von Volumes und Datenträgern Einrichtung und Änderung von Sicherheitseinstellungen für den Zugriff auf Datenträger Einrichtung und Löschung von Partitionen und logischen Laufwerken auf Basisdatenträgern Umwandlung von Basisdatenträgern in dynamische Datenträger und umgekehrt Erstellung, Erweiterung und Löschung von Einfachen Volumes auf dynamischen Datenträgern Erstellung, Erweiterung und Löschung von Übergreifenden Volumes auf dynamischen Datenträgern Erstellung und Löschung von Stripesetvolumes auf dynamischen Datenträgern Löschung von unter Windows NT erstellten Datenträgersätzen, Stripe Sets und Mirror Sets Sind Sie remote mit einem Windows-Serversystem verbunden, kön- Remote auf dem Server nen Sie diese zusätzlichen Administrationsaufgaben erledigen: Erstellung und Löschung von gespiegelten Volumes auf dynamischen Datenträgern des Servers Erstellung und Löschung von RAID-5-Volumes auf dynamischen Datenträgern des Servers Diese Server-Administrationsaufgaben werden unter anderem in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 näher betrachtet.
Aufbau der Benutzeroberfläche Die grafische Oberfläche der DATENTRÄGERVERWALTUNG erlaubt Ihnen eine sehr einfache Anwendung der vielfältigen Funktionen von Windows Vista für die Einrichtung und Verwaltung von Festplatten. Die Bedienung dieses Managementkonsolen-Snap-Ins fügt sich nahtlos in die der anderen Windows-Verwaltungsprogramme ein. Zur Managementkonsole selbst finden Sie eine ausführliche Beschreibung in Abschnitt 4.2 Die Microsoft Managementkonsole ab Seite 193. Im oberen Fensterteil werden standardmäßig die Volumes dargestellt, im unteren erscheint die grafische Ansicht der Datenträger. Diese Anordnung können Sie aber frei nach Ihren Bedürfnissen verändern. Über ANSICHT | ANZEIGE OBEN und ANZEIGE UNTEN lassen sich die Fensterbereiche einrichten als: DATENTRÄGERLISTE Damit sehen Sie die Liste der Datenträger in Ihrem System. Sie erkennen, welche Festplatten im Computer eingebaut sind und welche Größe und welchen momentanen Status diese haben.
MMC im Detail ab Seite 189
Datenträgeransichten
594 ______________________________________ 12 Administration der Massenspeicher VOLUMELISTE Sie sehen in dieser Ansicht, welche Volumes eingerichtet sind. GRAFISCHE ANSICHT Bei der grafischen Ansicht sehen Sie alle Datenträger sowie grafisch abgesetzt auf diesen die Lage und Größe der Volumes. So können Sie beispielsweise gut erkennen, über welche physischen Datenträger sich ein logisches Erweitertes Volume erstreckt (siehe auch Abschnitt 12.4.3 Einfache Volumes und ihre Erweiterung ab Seite 636). Abbildung 12.2: Benutzeroberfläche der Datenträgerverwaltung
Laufwerkpfade anzeigen
Grafische Ansicht anpassen
Die Größe der Anzeigenbereiche lässt sich einfach mit Hilfe der Maus einstellen. Der untere Bereich kann auch ganz ausgeblendet werden. Über ANSICHT | LAUFWERKPFADE sehen Sie die eingerichteten Bereitstellungspunkte, auch Laufwerkpfade genannt, über die Volumes in ein anderes NTFS-formatiertes Volume eingebunden sind (siehe auch Abschnitt 12.6 Volume-Zugriff ändern ab Seite 649). Die grafische Ansicht eignet sich hervorragend zur Einrichtung und Verwaltung der Datenträger und Volumes. Sie sehen hier auf einen Blick, welcher Datenträgertyp vorliegt und welche Arten von Volumes darauf eingerichtet oder wo freie Bereiche verfügbar sind. Die grafische Ansicht können Sie über das Hauptmenü ANSICHT | E INSTELLUNGEN hinsichtlich der verwendeten Farben und der grafischen Skalierung frei anpassen. Über ein Auswahlmenü (siehe Abbildung 12.3) können Sie jedem Objekttyp auf einem Datenträger eine beliebige Farbe und ein Hintergrundmuster zuordnen.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 595 Abbildung 12.3: Ändern der Farben und Muster für die grafische Anzeige
Im Bereich SKALIERUNG (siehe Abbildung 12.4) beeinflussen Sie, wie die Größenverhältnisse der Datenträger und Volumes untereinander dargestellt werden sollen. Abbildung 12.4: Ändern der Skalierungseigenschaften
Die Optionen für die Skalierung haben die folgende Bedeutung: Größen-Anzeige LOGARITHMISCHE SKALIERUNG Diese Skalierung erlaubt eine übersichtliche Darstellung der Größenverhältnisse auch bei sehr unterschiedlich großen Festplatten. Würden Sie beispielsweise eine 40 GB- und eine 250 GB-Festplatte in Ihrem System betreiben, wäre bei einer linearen Darstellung die kleinere kaum noch zu sehen.
596 ______________________________________ 12 Administration der Massenspeicher LINEARE SKALIERUNG Bei der linearen Skalierung werden Datenträger und Volumes stets in ihren tatsächlichen Größenverhältnissen zueinander dargestellt. Diese Einstellung empfiehlt sich, wenn die Festplatten beziehungsweise Volumes in ihren Größen nicht zu sehr differieren. GLEICHE GRÖßE Bei dieser Einstellung werden die Datenträger und Volumes unabhängig von ihren tatsächlichen Größenverhältnissen zueinander gleich groß dargestellt. Alle Skalierungsoptionen können Sie unabhängig voneinander für Datenträger und Volumes einstellen. So kann es beispielsweise Sinn machen, für die Datenträgeranzeige die logarithmische Skalierung zu wählen. Für die Anzeige der Volumes in dieser kann dann eine lineare Skalierung die Übersichtlichkeit verbessern.
Administrationsfunktionen aufrufen Objektfunktionen
Die Administrationsfunktionen erhalten Sie zur Auswahl, indem Sie den Datenträger markieren und das Kontextmenü aufrufen (rechte Maustaste), oder über das Hauptmenü AKTION | ALLE AUFGABEN. Es werden nur die für den konkreten Kontext gültigen Funktionen angezeigt. Nicht verfügbare Funktionen sind hellgrau dargestellt.
Datenträger aktualisieren und neu einlesen Aktualisieren
Festplatten neu einlesen
Haben Sie in ein Wechselplattenlaufwerk einen neuen Datenträger eingelegt oder nur über den Auswurfknopf des Laufwerks entfernt, wird dies nicht sofort automatisch in der Datenträgerverwaltung berücksichtigt. Über das Hauptmenü AKTION | AKTUALISIEREN lösen Sie manuell den Aktualisierungsvorgang der Software aus und die Liste der Datenträger entspricht wieder dem momentanen Stand. Wird die Datenträgerkonfiguration während des Betriebs geändert, kommen beispielsweise externe SCSI-Datenträger hinzu oder werden entfernt, können Sie ohne Neustart die Datenträgerliste aktualisieren. Gehen Sie dazu im Hauptmenü auf AKTION | DATENTRÄGER NEU EINLESEN. Dieser Vorgang führt neben der oben beschriebenen Aktualisierung auch ein Neueinlesen aller verfügbaren Bussysteme (SCSI, IDE etc.) durch und dauert dadurch etwas länger. Das Entfernen oder das Hinzufügen von Festplatten während des laufenden Betriebes ist in Windows Vista grundsätzlich möglich. Voraussetzung ist allerdings, dass die Hardware (Festplatteneinschub, Controller etc.) ein Hot-Plug (Änderung während des Betriebs) ausdrücklich unterstützt. System- und Startdatenträger dürfen generell nicht während des Betriebs geändert werden.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 597
12.1.3 Snap-In Wechselmedienverwaltung In diesem Abschnitt werden die Funktionen des grafischen Dienstprogramms zum Wechselmediendienst vorgestellt, soweit sie geeignet sind, auf einer Arbeitsstation den Umgang mit Magnetbändern und anderen Wechselmedien zu erleichtern. Das Snap-In Wechselmedienverwaltung ist Bestandteil des Snap-Ins Datenspeicher, wenn die Funktion Wechselmedien installiert wurde. Es ist erst dann in der COMPUTERVERWALTUNG (siehe auch Abbildung 5.9 auf Seite 270) zu finden. Hier wird es allerdings abgekürzt WECHSELMEDIEN genannt. Für den normalen Umgang mit Wechselmedien wie ZIP-Disketten, JAZZ- oder Syquest-Medien brauchen Sie den Wechselmediendienst nicht. Alle relevanten Funktionen für diese Medien erreichen Sie über die Funktionen des Windows Explorers (Formatieren, Auswerfen etc.). Für die Verwaltung von Magnetbändern bietet darüber hinaus das Datensicherungsprogramm SDCLT.exe eine eigene, vereinfachte Schnittstelle. Sie können dieses Snap-In ebenso in eine eigene Managementkonsole integrieren. Das prinzipielle Vorgehen dazu wird in Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199 erläutert. Abbildung 12.5: Managementkonsole mit dem Snap-In WECHSELMEDIENVERWALTUNG
Über die Remote-Steuerfunktion der Managementkonsole können Sie dieses Snap-In auch für den Zugriff auf einen im Netzwerk erreichbaren Windows 2000/2003-Server einrichten.
Einfache und vollständige Sicht In der Standardansicht zeigt das Snap-In nur eine einfache Sicht auf Einfache Sicht die MEDIEN und die Geräte, hier B IBLIOTHEKEN genannt, an. Diese Sicht reicht allerdings völlig aus, wenn Sie nur einfache Wechselspeichersysteme einsetzen. Dazu gehört beispielsweise ein Bandlaufwerk (DAT-, QIC- oder DLT-Streamer), welches über einen einzigen Schacht verfügt. In der einfachen Sicht finden Sie diese beiden Zweige vor: MEDIEN Hier werden automatisch alle Medien geführt, die über entsprechende Geräte (BIBLIOTHEKEN genannt) angesprochen werden. Angezeigt werden dabei nur die Medien, die aktuell verfügbar sind.
598 ______________________________________ 12 Administration der Massenspeicher
Vollständige Sicht
Eine Ausnahme bilden Magnetbänder. Hier wird zwischen Offlineund Online-Medien unterschieden. Weitere Hinweise finden Sie dazu im nachfolgenden Abschnitt. BIBLIOTHEKEN In diesem Zweig sehen Sie alle Geräte, die über den Wechselmediendienst angesprochen werden können. Unter Umständen erscheinen hier Geräte nicht, für die unter Windows Vista keine direkte Unterstützung durch den Wechselmediendienst verfügbar ist. So schalten Sie auf die vollständige Sicht um: 1. Markieren Sie direkt das Snap-In WECHSELMEDIENVERWALTUNG. 2. Wählen Sie im Menü ANSICHT den Punkt VOLLSTÄNDIG.
Abbildung 12.6: Vollständige Sicht des Snap-Ins WECHSELMEDIENVERWALTUNG
In der vollständigen Sicht finden Sie zusätzlich diese Optionen: MEDIENPOOLS Medien werden durch den Wechselmediendienst in Medienpools zusammengefasst. Damit können beispielsweise einer bestimmten Anwendung Medien fest zugeordnet werden. Sichern Sie Daten mit der integrierten Datensicherungslösung WINDOWS BACKUP (SDCLT.EXE) auf ein Magnetband, wird dieses bei der ersten Verwendung entsprechend vorbereitet und automatisch in den Pool BACKUP verschoben. Weitere Informationen zur Datensicherung finden Sie in Abschnitt 4.7 Datensicherung ab Seite 245. Im Normalfall brauchen Sie sich um Medienpools nicht weiter zu kümmern. Diese machen nur Sinn, wenn Sie eine Vielzahl von Medien, vielleicht auch für mehrere Anwendungen, katalogisieren wollen. Recht umfassend fällt die Unterstützung für automatische Bandwechselsysteme in Windows Vista aus, die Sie dann unter anderem über die Medienpool-Funktionen gezielt verwalten können. WARTESCHLANGE Im diesem Bereich werden Operationen des Wechselmediendienstes angezeigt und protokolliert. Im Falle einer Fehlfunktion eines Bandlaufwerks lohnt ein Blick in diese Liste. Zusätzlich sollten Sie immer einen Blick in das Ereignisprotokoll werfen, wo Hardwarefehler im Zweig SYSTEM protokolliert sein könnten (siehe Abschnitt 4.4 Ereignisanzeige ab Seite 217).
12.1 Die Verwaltungswerkzeuge ___________________________________________ 599 OPERATORANFORDERUNGEN Hier werden Anforderungen des Wechselmediendienstes an den Bediener (Operator) angezeigt und protokolliert. Die entsprechende Anforderung wird allerdings im Normalfall ebenso auf dem Bildschirm angezeigt, sodass Sie sich den Blick in diese Liste meist sparen können.
Hinweise zur Verwaltung von Magnetbändern Der Standard-Anwendungsfall für den Wechselmediendienst besteht auf einer lokalen Arbeitsstation meist in der Ansteuerung eines Bandlaufwerks (auch Streamer genannt) für die Datensicherung. Dafür steht unter Windows Vista das Sicherungsprogramm WINDOWS BACKUP (SDCLT.EXE) zur Verfügung. Dieses wird in Abschnitt 4.7 Datensicherung ab Seite 245 beschrieben. Alle Bänder, die Sie in Ihren Streamer einlegen, werden durch den Wechselmediendienst erfasst. Dieser versucht dann, das Medium zu erkennen und einem der Medienpools zuzuordnen. So landen neue, unbeschriebene Bänder zunächst im Pool FREIE MEDIEN. Medien aus diesem Pool können durch alle Anwendungen, auch durch WINDOWS BACKUP, sofort verwendet werden. Sie können bei Bedarf manuell ein Medium in diesen Pool verschieben. Es wird dann vorbereitet, was bedeutet, dass alle Daten auf ihm gelöscht werden. Bereits auf anderen Systemen beschriebene Bänder landen hingegen im Pool NICHT ERKANNTE MEDIEN. Bevor diese verwendet werden können, müssen sie eingerichtet werden. Dies müssen Sie eigentlich manuell über die Wechselmedienverwaltung durchführen. Für die einfachere Handhabung gibt es in Windows Vista allerdings einen automatisch ablaufenden Mechanismus. Dabei wird ein eingelegtes Band generell durch das Datensicherungsprogramm WINDOWS BACKUP für seine Verwendung vereinnahmt. Im Pool BACKUP werden die Medien verwaltet, die durch das Sicherungsprogramm WINDOWS BACKUP bereits benutzt worden sind. Wenn Sie eine Wiederherstellung von einem Band durchführen wollen, finden Sie diese Liste ebenso unter WINDOWS BACKUP wieder. Nicht eingelegte Bänder sind mit dem Status OFFLINE gekennzeichnet. Wenn Sie ein Band einlegen, wird nicht unbedingt sofort eine Erkennung gestartet. Sollten Sie dann beispielsweise eine Rücksicherung von dem eingelegten Band starten wollen, werden Sie mit einer Operatoranforderung zum Einlegen des bereits im Streamer befindlichen Bandes konfrontiert. Aktualisieren Sie dann die Bibliothek im Wechselmediendienst manuell. So können Sie dazu vorgehen: 1. Öffnen Sie die Wechselmedienverwaltung und markieren Sie unter BIBLIOTHEKEN das entsprechende Gerät. 2. Klicken Sie mit der rechten Maustaste darauf und wählen Sie im Kontextmenü den Punkt INVENTUR. Damit werden alle Medien (also das eingelegte Band) in der Bibliothek identifiziert.
Zur Sicherung mit WINDOWS BACKUP
Pool FREIE MEDIEN
Pool N ICHT ERKANNTE MEDIEN
Pool B ACKUP
Bandwechsel nicht sofort erkannt
600 ______________________________________ 12 Administration der Massenspeicher Automatisierte Erkennung
Bei einigen Bandlaufwerken kann es dazu kommen, dass der Wechselmediendienst ausgetauschte Bänder nicht oder erst mit einer langen Verzögerung erkennt. Das kann dazu führen, dass eine automatisch gestartete Sicherung mit einer Fehlermeldung Medium nicht verfügbar abgebrochen wird. Über einen Kommandozeilen-Aufruf des Wechselmediendienstes können Sie dem begegnen: Rsm REFRESH /LF"HP C1537A SCSI Sequential Device" Mit diesem Kommando wird für einen HP-Streamer eine Aktualisierung durchgeführt, wobei das eingelegte Band neu erkannt wird. Diese Zeile können Sie in eine Batchdatei einsetzen, welche Sie automatisch einige Minuten vor der eigentlichen Sicherung aufrufen lassen können (siehe dazu Abschnitt 4.6 Zeitgesteuerte automatisierte Verwaltung ab Seite 238). Sie müssen nur die konkrete BibliotheksBezeichnung für Ihr System einsetzen. Weitere Hinweise zu RSM.EXE finden Sie in der Online-Hilfe.
12.1.4 Das Kommandozeilen-Tool DISKPART.EXE
Syntax
Dieses Kommandozeilen-Tool bietet einen hohen Funktionsumfang für alle wesentlichen Verwaltungsarbeiten an Datenträgern und Volumes. Sie können damit beispielsweise Basisdatenträger in dynamische Datenträger konvertieren oder Volumes und Partitionen anlegen beziehungsweise löschen. Rufen Sie das Programm einfach an der Eingabeaufforderung ohne weitere Parameter auf. Diskpart Sie können es ebenfalls in Skripten zum Einsatz bringen und damit vollautomatisch komplexe Einrichtungsschritte an Festplatten durchführen (siehe Seite 603).
Die DISKPART-Befehle im Überblick Das Programm verfügt über einen eigenen Eingabeprompt, über den Sie weitere Befehle eingeben. Die folgende Tabelle zeigt Ihnen alle DISKPART-Befehle in einer Übersicht. Dabei sind bei vielen Befehlen die Seiten angegeben, auf denen Sie weitergehende Informationen finden. Tabelle 12.2: Diskpart-Befehle
DISKPARTBefehl
Beschreibung
Seite
active
Markiert die aktuell ausgewählte Partition als aktiv.
605
add
Nur für Windows 2000/2003-Serversysteme. Fügt eine Spiegelung zu einem Volume hinzu.
---
assign
Weist dem selektierten Volume einen Laufwerkbuchstaben oder pfad zu.
605
attributes
Ändert die Volumeattribute
605
12.1 Die Verwaltungswerkzeuge ___________________________________________ 601 DISKPARTBefehl
Beschreibung
Seite
auto mount
Schaltet die automatische Bereitstellung von Basisdatenträgern ein und aus.
606
Break
Nur für Windows 2000/2003-Serversysteme. Entfernt die Spiegelung von einem gespiegelten Volume.
---
Clean
Löscht eine Festplatte komplett und unwiderruflich.
606
convert
Erlaubt die Konvertierung von Basisdatenträgern in dynamische Datenträger und umgekehrt sowie die Konvertierung von GPT- in MBR-Partitionen und umgekehrt.
606
create
Erstellt Partitionen und Volumes.
607
delete
Löscht Festplatten, Partitionen oder Volumes.
608
detail
Liefert detaillierte Informationen zu Datenträgern und Volumes.
609
Exit
Beendet DISKPART und kehrt zur Eingabeaufforderung zurück.
---
Extend
Erweitert Partitionen auf Basisdatenträgern und Volumes auf dynamischen Datenträger.
609
filesystems
Zeigt das aktuelle Dateisystem und die verfügbaren Dateisysteme an.
---
Format
Formatiert das Volume oder die Partition.
609
Gpt
Ändert Attribute für GPT-Partitionen.
610
help oder ?
Listet DISKPART-Kommandos auf.
---
Import
Importiert Datenträger aus fremden Windows-Konfigurationen.
610
Inactive
Setzt die ausgewählte Basispartition auf inaktiv.
610
List
Liefert Informationen zu Datenträgern und Volumes.
610
Online
Schaltet Offline-Festplatten in den Online-Zustand.
610
Rem
Kommentarzeichen; nutzbar in Skripten
---
602 ______________________________________ 12 Administration der Massenspeicher DISKPARTBefehl
Reihenfolge beim Vorgehen
Beschreibung
Seite
Remove
Löscht einen Laufwerkbuchstaben oder einen Laufwerkpfad zu einem Datenträger.
611
Repair
Nur für Windows 2000/2003-Serversysteme. Repariert ein RAID 5-Volume mit einem defekten Mitglied.
---
Rescan
Liest alle angeschlossenen Datenträger neu ein (keine weiteren Optionen).
---
Retain
Erzeugt für ein einfaches Volume einen Eintrag in der Partitionstabelle, sodass von diesem gestartet beziehungsweise Windows Vista auf diesem installiert werden kann.
611
Select
Setzt den Fokus auf einen Datenträger oder ein Volume.
611
Setid
Ändert den Partitionstyp.
611
Shrink
Verkleinert das ausgewählte Volume
611
Zum interaktiven Vorgehen mit DISKPART an der Eingabeaufforderung empfiehlt sich diese Reihenfolge beim Vorgehen: 1. Lassen Sie sich alle angeschlossenen Festplatten, Partitionen beziehungsweise Volumes mit dem list-Kommando anzeigen. 2. Setzen Sie mit dem select-Befehl den Fokus auf das Objekt, welches Sie bearbeiten wollen. Sie erkennen das Objekt, auf das der aktuelle Fokus liegt, daran, dass beim list disk-Kommando vor dem Eintrag ein Sternchen gesetzt ist. 3. Führen Sie dann für das selektierte Objekt alle notwendigen weiteren DISKPART-Befehle aus.
Eine neue Festplatte mit DISKPART einbinden Eine fabrikneue Festplatte oder eine, die Sie über den Befehl clean in diesen Zustand zurückversetzt haben, können Sie neben der Zuhilfenahme des Assistenten oder direkt über die Datenträgerverwaltung mit DISKPART.EXE einrichten. Wichtig ist zu wissen, dass Windows Vista ohne eine eindeutige Datenträgerkennung (auch als Signatur bezeichnet) nicht auf eine Festplatte zugreifen kann. Diese Kennung wird durch den grafischen Assistenten automatisch gesetzt. Erzeugen der Daten- DISKPART setzt die Kennung ebenfalls, und zwar bei den folgenden trägerkennung Befehlen: Sie erzeugen mit create partition eine Partition. Damit wird die betreffende Festplatte zugleich als Basisdatenträger eingerichtet
12.1 Die Verwaltungswerkzeuge ___________________________________________ 603 (siehe auch Abschnitt 10.2.2 Aufbau des Volume Managements ab Seite 528). Sie wandeln mit Hilfe des Befehls convert dynamic die Festplatte gleich in einen dynamischen Datenträger um. Übrigens schlägt der Befehl convert basic fehl. Hier erkennt DISKPART eigentlich richtig, dass die betreffende Festplatte kein dynamischer Datenträger ist. Das lässt einmal mehr die Priorität erkennen, die Microsoft der dynamischen Datenträgerverwaltung einräumt.
Erweitern von Partitionen und Volumes mit DISKPART Eine der bemerkenswertesten Funktionen von DISKPART ist die Erweiterung bestehender Partitionen und Volumes. Diese Funktionalität ist bei dynamischen Datenträgern seit Windows 2000 nichts Ungewöhnliches mehr (siehe auch Abschnitt 10.4.2 Einfache Volumes und ihre Erweiterung ab Seite 536). DISKPART kann aber auch Partitionen auf Basisdatenträgern erweitern. Bedingung dafür ist allerdings, dass direkt im Anschluss an eine Partition noch freier, unpartitionierter Speicherplatz zur Verfügung steht. Dazu muss die Partition mit dem Dateisystem NTFS formatiert sein. Die Erweiterung der Partition erfolgt unter Beibehaltung aller Daten. Im Gegensatz zu Windows XP lassen sich bei Vista auch System- und Startpartitionen nachträglich verändern. Die Verwendung von Tools von Drittherstellern ist dafür nicht mehr notwendig. Ausführlich wird der DISKPART-Befehl extend, mit dem Sie diese Erweiterungen vornehmen können, auf Seite 609 beschrieben.
Erweitern dynamischer Volumes
Erweitern von Partitionen
Verkleinern von Partitionen und Volumes mit DISKPART Eine neue und lange vermisste Funktion ist die Verkleinerung von Partitionen und Volumes. Eine anfänglich zu groß dimensionierte Systempartition lässt sich auf das tatsächlich gebrauchte Maß schrumpfen. Der gewonnene Platz kann für weitere Partitionen genutzt werden. Der DISKPART-Befehl shrink, mit dem Sie diese Verkleinerungen vornehmen können, ist auf Seite 611 beschrieben.
Verwendung von DISKPART in Skripten DISKPART lässt sich in Skripten einsetzen. So können Sie beispielsweise Festplatten, die für eine unbeaufsichtigte Installation von Arbeitsplatzcomputern vorgesehen sind, automatisiert einrichten. Die Partitionierung der betreffenden Festplatten über DISKPART muss nicht zwangsweise über ein laufendes Windows Vista-System erfolgen. Alternativ ist der Einsatz von WinPE (Windows Preinstallation Environment) denkbar, um die Festplatten schon vor der eigentlichen Installation zu partitionieren. Die Erstellung einer WinPE-CD wird auf Seite 80 erklärt.
Keinen Platz verschenken: Partitionen verkleinern
604 ______________________________________ 12 Administration der Massenspeicher Skriptdatei mit Befehlen einbinden
Meldungen in Logdatei
Stopp bei Fehler
Tabelle 12.3: Diskpart-Rückgabecodes
Listing 12.1: Beispiel-Skriptdatei HDDNEU.TXT für Diskpart
Um die Befehle von DISKPART im Skript einsetzen zu können, gibt es den Schalter /s. Diskpart /s <skriptdatei> Geben Sie nach /s den Namen der Textdatei an, in welcher die erforderlichen DISKPART-Befehle aufgeführt sind. Verwenden Sie in dieser Datei für jeden Befehl eine separate Zeile. Um die Ausgaben von DISKPART im Nachhinein auswerten zu können, leiten Sie diese mit dem Umleitungszeichen > oder >> in eine entsprechende Logdatei um. Mit > erzeugen Sie dabei eine neue Logdatei; eine bereits vorhandene mit demselben Namen wird dabei überschrieben. Mit >> wird die Ausgabe an eine vorhandene Logdatei angehangen. Diskpart /S HDDNEU.TXT >HDDNEU.LOG DISKPART stoppt die Verarbeitung, wenn ein Befehl einen Fehler auslöst (beispielsweise, wenn Sie versuchen, eine Festplatte zu selektieren, die im System nicht vorhanden ist) oder wenn ein Syntaxfehler auftritt. Sie können den Stopp der weiteren Verarbeitung für semantische Fehler verhindern, wenn Sie bei den Befehlen, wo verfügbar, die noerr-Option setzen. Wenn Sie DISKPART selbst innerhalb eines Skripts aufrufen, können Sie über die Fehlercodes, die das Programm beim Beenden zurückliefert, entsprechende Reaktionen vornehmen. Die nachfolgende Tabelle enthält diese Codes. Code
Beschreibung
0
Keine Fehler, ordnungsgemäße Abarbeitung
1
Fataler Fehler, schwerwiegendes Problem
2
Übergebene Parameter an einen DISKPART-Befehl sind fehlerhaft.
3
Skriptdatei oder Logdatei können nicht geöffnet werden.
4
Ein DISKPART-Dienst wurde fehlerhaft beendet.
5
Syntax-Fehler oder Ausführungsfehler
Ein kleines Beispiel einer Skriptdatei für DISKPART finden Sie im folgenden Listing. Hier wird eine Festplatte für die Installation einer Arbeitsstation partitioniert, die über eine Festplatte verfügt. REM Neueinrichten einer Festplatte für die Installation REM Neueinlesen der angeschlossenen Festplatten, wenn die REM einzurichtenden während des Betriebs gewechselt werden rescan REM Auswahl der Festplatte 1 (hier 2. Festplatte im System) select disk=1
12.1 Die Verwaltungswerkzeuge ___________________________________________ 605
REM Festplatte löschen (Auslieferungszustand herstellen) clean REM Primäre Partition für Swap erstellen (=Systempartition) create partition primary size=1000 assign letter=C REM Setzen der Partition als AKTIV (für Startfähigkeit) active REM Primäre Partition für das Betriebssystem (=Startpartition) create partition primary size=6000 assign letter=D REM Rest als primäre Partition für Daten (soll K sein) create partition primary assign letter=K
DISKPART-Befehle im Detail Im folgenden Text werden einige der wichtigsten DISKPART-Befehle im Detail erläutert. active active Aktiviert die Partition, auf der momentan der Fokus liegt (siehe Befehl select auf Seite 611). Dieser Befehl kennt keine weiteren Optionen. Beachten Sie, dass dieser Befehl ohne eine inhaltliche Prüfung ausgeführt wird. Wenn Sie eine Partition als aktiv markieren, die keine Systempartition ist (siehe auch Abschnitt 10.3.1 Partitionen und Partitionstypen ab Seite 530), kann der Computer nicht mehr von diesem Basisdatenträger starten. assign [letter=|mount=] [noerr] assign Mit diesem Befehl können Sie dem selektierten Volume einen Laufwerkbuchstaben oder Laufwerkpfad zuweisen (siehe auch Abschnitt 12.6 Volume-Zugriff ändern ab Seite 649). Diese dürfen aber noch nicht in Verwendung sein. Wenn Sie assign ohne weitere Parameter aufrufen, wird nur der nächste freie Laufwerkbuchstabe zugewiesen. Der bisher verwendete Laufwerkbuchstabe wird dann freigegeben. Wieder entfernen können Sie Laufwerkbuchstaben oder pfade mit remove. Mit der Option noerr erreichen Sie, dass DISKPART in Skripten im Fehlerfall nicht mit einem Fehlercode abbricht, sondern seine Verarbeitung fortsetzt. attributes [{set | clear}] [{hidden | readonly | attributes nodefaultdriveletter | shadowcopy}] [noerr] Zeigt die Attribute des ausgewählten Volumes an. Mit den Optionen set und clear kann ein Setzen und Löschen der Attribute bewirkt werden. Mit dem Parameter hidden wird ein Volume ausgeblendet, also versteckt. Readonly schaltet den Schreibschutz ein, nodefaultdriveletter gibt an, dass das Volume standardmäßig keinen Laufwerk-
606 ______________________________________ 12 Administration der Massenspeicher
automount
clean
Löschung aller Datenspuren
Festplattenliste auf Fehler prüfen
convert
buchstaben erhält und shadowcopy bestimmt, ob das Volume ein Schattenkopievolume ist. automount [enable] [disable] [scrub] [noerr] Windows wird die automatische Bereitstellung neuer Basisvolumes ermöglicht, die dem System hinzugefügt werden, und anschließend erfolgt die Zuweisung von Laufwerkbuchstaben. Der Parameter scrub entfernt Verzeichnisse für Volumebereitstellungspunkte und Registrierungseinstellungen für Volumes, die sich nicht mehr im System befinden. clean [all] Mit diesem mächtigen Befehl können Sie die selektierte Festplatte komplett und unwiderruflich löschen. Es werden bei Basisdatenträgern die Partitionstabelle und bei dynamischen Datenträgern die Datenträgerverwaltungsdatenbank und, falls dort aus einer Konvertierung aus einem Basisdatenträger vorhanden, die Partitionstabelle überschrieben. Die Festplatte befindet sich danach im »Auslieferungszustand«. Es ist noch keinerlei Initialisierung vorgenommen. Starten Sie dann Windows Vista oder die Datenträgerverwaltung neu, erkennt der Assistent zum Einbinden neuer Festplatten die veränderte Konfiguration (siehe auch Abschnitt 12.2.1 Erkennung einer neuen Festplatte ab Seite 625). Der Befehl clean wird ohne vorherige Sicherheitsrückfrage durchgeführt. Überprüfen Sie zuvor unbedingt (mit list disk), ob Sie auch die richtige Festplatte mit select disk ausgewählt haben, um Datenverluste zu vermeiden. Verwenden Sie die Option all, wird zusätzlich zum Löschen der Partitionstabelle jeder Sektor des Datenträgers mit Nulldaten überschrieben. Damit können Sie sicherstellen, dass selbst Profis mit aufwändigen Restaurierungsarbeiten Daten nicht wiederherstellen können. Für das sichere Löschen einzelner Dateien können Sie den Kommandozeilenbefehl FSUTIL FILE SETZERODATA verwenden. Dieser wird auf Seite 614 näher erläutert. Führen Sie nach dem Löschen einer Festplatte mit clean ein Neueinlesen der Datenträger mit rescan durch. Überprüfen Sie dann mit list disk, ob die Einträge in der Liste der Festplatten korrekt sind. Es kann vorkommen, dass Ihre soeben gelöschte Festplatte zweimal in dieser Liste auftaucht: Einmal als »normale«, nun leere Festplatte mit einer Datenträgerkennung, die nur aus Nullen besteht, und einmal als nicht aktive, fehlerhafte Festplatte. Sie können mit dem Befehl detail disk ermitteln, ob es sich um dieselbe physische Festplatte handelt. Löschen Sie dann mit delete disk die als fehlerhaft angezeigte Festplatte aus der Liste. Schlägt das fehl, prüfen Sie, ob dieser Festplatteneintrag vielleicht mit einem Volumeeintrag verbunden ist (auch über detail disk erkennbar). Diesen können Sie zuerst mit delete volume löschen, um danach mit delete disk die Festplattenliste zu bereinigen. convert [noerr]
12.1 Die Verwaltungswerkzeuge ___________________________________________ 607 Dieser Befehl erlaubt die Umwandlung eines Festplattentyps in einen anderen. Für können Sie die folgenden Optionen setzen: Option Basic
Tabelle 12.4: Optionen für den Wandelt einen dynamischen Datenträger in einen Basis- Befehl convert datenträger um. Voraussetzung ist allerdings, dass dieser leer ist, d.h. keine Volumes mehr enthält. Diese müssen gegebenenfalls mit dem Befehl delete volume vorher gelöscht werden.
Erklärung
dynamic
Wandelt einen Basisdatenträger in einen dynamischen Datenträger um. Dabei werden alle enthaltenen Partitionen mit konvertiert. Ein Datenverlust tritt nicht auf.
gpt
Für Windows 64 Bit: Wandelt eine leere MBR-Basisfestplatte in eine GPT-Basisfestplatte um (siehe auch Abschnitt 10.5 GPT-Partitionen unter Windows Vista ab Seite 539).
mbr
Für Windows 64 Bit: Wandelt eine leere GPT-Basisfestplatte in eine MBR-Basisfestplatte um.
noerr
Verhindert einen Abbruch mit einem Fehlercode, falls bei der Aktion ein Fehler auftritt (kann bei einer Anwendung in Skripten wichtig sein).
Weitere Informationen zu diesem Thema finden Sie in Abschnitt 10.4.1 Erstellung und Aufbau dynamischer Datenträger ab Seite 533. Mit Hilfe des Befehls create können Sie Partitionen und Volumes ein- create richten. Zunächst finden Sie hier die Beschreibung zum Erstellen von Partitionen. Dies geschieht mit create partition. Die nachfolgend aufgeführten Optionen betreffen die Anlage von primären und erweiterten Partitionen sowie in letzteren die Erzeugung von logischen Laufwerken (siehe auch Abschnitt 10.3 Basisdatenträger und Partitionen ab Seite 530). noerr dient hier ebenfalls der Verhinderung eines Abbruchs, wenn ein Fehler auftreten sollte (in Skripten wichtig). create partition primary [size=<wert>] [offset=<wert>] create partition [id=<wert>] [noerr] create partition extended [size=<wert>] [offset=<wert>] [noerr] create partition logical [size=<wert>] [offset=<wert>] [noerr] Der Parameter size gibt die Größe in MByte an. Legen Sie keinen Wert fest, wird der gesamte verfügbare Platz eingenommen. Mit offset können Sie den Beginn der Partition auf dem Datenträger bestimmen. Standardmäßig beginnt die Partition sonst an der nächsten verfügbaren Stelle (am Anfang der Festplatte oder direkt hinter der letzten Partition, wenn dort noch Platz ist). Den Wert für offset geben Sie auch in MB an, allerdings wird er automatisch durch DISKPART auf ein ganzzahliges Vielfaches der Zylindergröße angepasst. Generell kann gesagt werden, dass Sie den Parameter offset nur dann anwenden sollten, wenn ein zwingender Grund dafür vor-
608 ______________________________________ 12 Administration der Massenspeicher
Itanium-basierte Systeme
create volume
delete
delete partition
delete volume
liegt. Für die normale Einrichtung eines Basisdatenträgers wird dies sicherlich nicht notwendig sein. Über den Parameter id können Sie eine eigene GUID oder eine abweichende Partitionskennung eintragen. Dies ist aber nicht zu empfehlen und vor allem für OEMs oder ganz spezielle Einsatzfälle gedacht. Beachten Sie, dass mit dem Befehl create partition die betreffenden Partitionen noch keinen Laufwerkbuchstaben zugewiesen bekommen. Dies müssen Sie, wenn das erforderlich ist, mit assign nachträglich durchführen. Für den Einsatz von Windows mit Itanium-basierten Systemen gibt es spezielle Optionen: create partition efi [size=<wert>] [offset=<wert>] [noerr] create partition msr [size=<wert>] [offset=<wert>] [noerr] Mit der Option efi erstellen Sie eine EFI-Systempartition (Extensible Firmware Interface) auf einer GPT-Festplatte. Mit msr können Sie entsprechend eine MSR-Partition (Microsoft Reserved) erstellen. Weitere Informationen zu diesen Partitionstypen finden Sie in Abschnitt 10.3.1 Partitionen und Partitionstypen ab Seite 530. Mit Hilfe des create volume-Befehls erzeugen Sie Volumes auf dynamischen Datenträgern. create volume simple [size=<wert>] [disk=] [noerr] create volume stripe [size=<wert>] [disk=,[,
]] [noerr] create volume raid [size=<wert>] [disk=,[,
]] [noerr] Mit create volume simple erzeugen Sie ein einfaches dynamisches Volume. Mit size geben Sie die Größe in MB an. Über disk bestimmen Sie den betreffenden dynamischen Datenträger. Über create volume stripe lässt sich ein Stripesetvolume anlegen (siehe auch Abschnitt 10.4.3 Stripeset ab Seite 536). Geben Sie bei disk die Liste der Datenträger an, über die sich dieses Volume erstrecken soll. create volume raid wird nur für Windows Server 2003 unterstützt und dient der Erstellung eines fehlertoleranten RAID5-Volumes. Der Befehl delete dient zum Löschen von Partitionen, Volumes sowie ungültigen Einträgen aus der Liste der Datenträger. Nicht gelöscht werden können alle Volumes, die sich direkt im Zugriff des Betriebssystems befinden. Das sind insbesondere System- und Startvolumes oder die Partition, welche eine aktive Auslagerungsdatei enthält. delete partition [noerr] [override] Damit können Sie die Partition löschen, auf der momentan der Fokus steht (gewählt mit select partition). Mit der Option override veranlassen Sie DISKPART, eine Partition unabhängig vom Partitionstyp zu löschen. Standardmäßig werden sonst nur die direkt von Windows unterstützten Partitionstypen erkannt und gelöscht. Mit noerr wird die Abarbeitung von DISKPART auch dann fortgesetzt, wenn es zu einem Fehler in der Abarbeitung kommt (wichtig bei der Verwendung in Skripten). delete volume [noerr]
12.1 Die Verwaltungswerkzeuge ___________________________________________ 609 Mit diesem Befehl löschen Sie das Volume, das Sie zuvor mit select volume ausgewählt haben. delete disk [noerr] [override] Nach dem Entfernen einer Festplatte aus einem Windows VistaSystem kann es vorkommen, dass die Festplattenliste diese noch mit einem, allerdings ungültigen, Eintrag führt. Sie können dann mit diesem Befehl den betreffenden Eintrag löschen. Setzen Sie zuvor aber den Fokus mit select disk auf die richtige Festplatte. Mit der Option override können Sie das Löschen einer Festplatte erzwingen und damit auch solche Festplatten entfernen, die Teil eines gespiegelten Volumes, aber nicht aktiv sind. Eine aktive Festplatte eines gespiegelten Volumes entfernen Sie mit dem Befehl break disk. detail disk detail partition detail volume Neben dem Befehl list, der Ihnen wichtige Informationen überblicksartig geben kann, liefert Ihnen der Befehl detail ausführliche Informationen zum ausgewählten Datenträger oder Volume. Zuvor müssen Sie das Objekt mit select ausgewählt haben. extend [size=<wert>] [disk=] [noerr] Dieser Befehl dient zum Erweitern von Partitionen und Volumes. Ausgenommen sind davon jegliche System- und Startvolumes sowie Volumes, die auch noch über einen Eintrag in der Partitionstabelle geführt werden. Eine Partition lässt sich darüber hinaus nur dann erweitern, wenn auf demselben Datenträger direkt im Anschluss an diese freier, unpartitionierter Speicherplatz zur Verfügung steht (Option disk hat hier keine Bedeutung). Ist diese Partition formatiert, wird das Erweitern nur für das NTFS-Dateisystem unterstützt. Dann allerdings können Sie eine dynamische Vergrößerung der Partition ohne Datenverlust erreichen. Mit Hilfe des Parameters size geben Sie die Größe in MB an, um die erweitert werden soll. Lassen Sie size aus, wird der maximal verfügbare Platz eingenommen. Für Volumes auf dynamischen Datenträgern können Sie den Befehl extend deutlich flexibler einsetzen. Geben Sie mit disk die Nummer des Datenträgers an, auf dem freier Speicherplatz für die Erweiterung hinzugezogen werden soll. Ohne diesen Parameter versucht DISKPART, auf der aktuell ausgewählten Festplatte Speicherplatz zum Erweitern zu nutzen. noerr verhindert den Abbruch des Programms, wenn es zu einem Fehler in der Abarbeitung kommt und hat seine Bedeutung im SkriptEinsatz. format [ {FS=] [revision=x.xx>] | recommended}] [label=] [unit= [quick] [compress] [override] [nowait] [noerr] Damit Windows das Volume benutzen kann, kann hier die Formatierung gleich mit angegeben werden. FS gibt an, mit welchem Dateisys-
delete disk
detail
extend
format
610 ______________________________________ 12 Administration der Massenspeicher
gpt
import
inactive
list
online
tem das Volume formatiert werden soll. Wird kein FS-Parameter angegeben, benutzt DISKPART das aktuelle Standardsystem, wie es mit filesystems abgefragt werden kann. revision gibt eine Version des Dateisystems an, falls nötig. Mit dem Parameter recommended kann statt des standardmäßigen Dateisystems ein empfohlenes benutzt werden. Das empfohlene Dateisystem ist meist NTFS. Die Volumenbezeichnung legt label fest. Möchten Sie die Standardgrößen der Zuordnungseinheiten ändern, können Sie mit unit einen neuen Wert festlegen. Eine Schnellformatierung ist mit dem Parameter quick möglich. Falls NTFS benutzt wird, kann mit compress die NTFS-Komprimierung eingeschaltet werden. override erzwingt die Aufhebung der Bereitstellung eines Volumes. Sollen mehrere Festplatten gleichzeitig formatiert werden, ermöglicht der Parameter nowait eine Fortführung des Skripts, ohne auf die Beendigung der Formatierung zu warten. gpt attributes= Den Basis-Festplatten mit GUID-Partitionstabelle können auf der ausgewählten Partition GPT-Attributen zugewiesen werden. n ist ein 64Bit-Hexadezimalwert, der das Attributsfeld repräsentiert. Der Wert 0x0000000000000001 setzt bei allen Partitionen das Flag erforderlich. So markierte Partitionen dürfen von keinem Verwaltungsprogramm gelöscht werden. Der Wert 0x800000000000000 verhindert, das einer Basispartition automatisch ein Laufwerksbuchstabe zugewiesen wird. import [noerr] Mit import können Sie Festplatten in Ihre Datenträgerliste importieren, die als »fremd« gekennzeichnet sind und aus anderen WindowsInstallationen stammen. import wird ohne weitere Parameter aufgerufen. Es unterstützt einzig die Option noerr (siehe den Befehl extend). inactive Dieser Befehl ist sehr mit Vorsicht zu genießen. Die ausgewählte Partition wird auf inaktiv gesetzt. Sie können damit verhindern, dass der Computer über diese Basis-Partition gestartet wird. Erwartet Ihr Computer eine aktive Partition beim Systemstart, ist das System nicht mehr startfähig! list disk list partition list volume Mit Hilfe von list können Sie sich alle Datenträger und Volumes in einer Übersicht anzeigen lassen. Objekte mit einem Fokus (ausgewählt mit select) erkennen Sie an einem Sternchen vor der entsprechenden Zeile. online [noerr] Mit diesem Befehl können Sie eine Offline-geschaltete Festplatte wieder reaktivieren. Den Status eines Datenträgers erkennen Sie mit Hilfe der Befehle list disk beziehungsweise detail disk. Wenden Sie den Befehl in einem Skript an, können Sie bei Angabe von noerr verhindern, dass DISKPART im Fehlerfall (Festplatte lässt sich nicht reaktivieren) abbricht.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 611 remove [letter=|mount=] [all] [noerr] remove Sie können mit remove den Laufwerkbuchstaben (letter=...) oder eingerichtete Laufwerkpfade (mount=...) auf einem Volume entfernen (siehe auch Anlage derselben mit assign). Geben Sie keine weiteren Optionen an, wird nur der Laufwerkbuchstabe entfernt, wenn einer zugewiesen war. Mit all werden alle Zugriffsmöglichkeiten auf das Volume entfernt. noerr verhindert den Abbruch von DISKPART innerhalb eines Skripts, wenn es zu einem Fehler in der Abarbeitung kommt. retain retain Mit Hilfe dieses Befehls können Sie für ein einfaches dynamisches Volume, das Sie zuvor mit select volume ausgewählt haben, einen Eintrag in der Partitionstabelle erzeugen. Damit lässt sich für den Start beziehungsweise die Installation von Windows Vista ein »rein« dynamisches Volume entsprechend umkonfigurieren. Beachten Sie, dass ein mit retain umkonfiguriertes dynamisches Volume das damit über einen Eintrag in der Partitionstabelle verfügt nachträglich nicht mehr erweitert werden kann. Der Vorgang kann nicht rückgängig gemacht werden. select disk= select select partition=| select volume=| Mit select wählen Sie den Datenträger oder das Volume aus, für das Sie weitere Befehle zur Anwendung bringen wollen (Fokus setzen). Sie können mit Hilfe der list-Befehle überprüfen, auf welchem Objekt aktuell der Fokus sitzt. Mit geben Sie die entsprechende Nummer des Objekts an (lässt sich auch mit list ermitteln). steht für den Laufwerkbuchstaben oder pfad, den Sie alternativ zur Nummer bei Volumes angeben können. Für select wird keine noerr-Option unterstützt. Dies ist insofern unkritisch, da die Angabe eines nicht existenten Objekts keinen fehlerhaften Abbruch von DISKPART verursacht. Sie müssen allerdings beachten, dass dann kein Objekt selektiert wird. set ID={ | } [override] [noerr] setid Das Partitionstypenfeld wird geändert. Die gültigen GUID-Werte entnehmen Sie der Hilfe zu DISKPART. shrink [desired=<wert>] [minimum=<wert>] [nowait] [noerr] shrink shrink querymax [noerr] Dieser Befehl dient dem Verkleinern von Partitionen und Volumes. Der Wert, der bei desired in MB angegeben wird, ist die Größe um den das Volume reduziert werden soll. Wird kein Wert angegeben, benutzt shrink den maximal zur Verfügung stehenden Platz für die Reduktion. Der Parameter minimum gibt den Mindestwert an um den das Volume reduziert werden soll. Die Abfrage shrink querymax die maximale Anzahl an Bytes zurück, um die das Volume verringert
612 ______________________________________ 12 Administration der Massenspeicher werden kann. nowait setzt die Skriptausführung fort ohne auf das Ergebnis der Verringerung zu warten. noerr verhindert den Abbruch des Programms, wenn es zu einem Fehler in der Abarbeitung kommt und hat seine Bedeutung im Skript-Einsatz.
12.1.5 Das Kommandozeilen-Tool FSUTIL.EXE
Syntax
Tabelle 12.5: Übersicht über die Fsutil-Befehle
Mit diesem Kommandozeilentool können Sie alle wichtigen Dateisystem-spezifischen Einstellungen an Volumes vornehmen. Aufgerufen wird das Programm gemeinsam mit einem Befehl. Fsutil Eine Übersicht über die einzelnen Befehle sowie jeweils die Seite, wo der Befehl näher erläutert wird, finden Sie in der folgenden Tabelle. FSUTIL-Befehl
Beschreibung
Seite
behavior
Ermöglicht die Modifikation erweiterter Einstellungen des NTFS-Dateisystems.
613
Dirty
Lässt die Überprüfung und das Setzen des Dirty-Bits für einzelne Volumes zu.
613
File
Ermöglicht verschiedenste systemnahe Operationen auf Dateiebene.
614
fsinfo
Gibt umfassende Informationen zu den Volumes und den Dateisystemen zurück.
614
hardlink
Dient der Erstellung von Hardlinks auf NTFS-Volumes.
615
objectid
Ermöglicht die Verwaltung von Objekt-IDs
615
Quota
Dient der Verwaltung von Datenträgerkontingenten.
615
repair
Vistas NTFS ist selbstreparierend. Mit diesem Befehl lässt sich die Selbst-Reparatur verwalten.
616
reparsepoint
Ermöglicht das Abfragen und Löschen von NTFS-Analysepunkten.
617
resource
Der Transaktions-Ressourcen-Manager
617
sparse
Dient der Erstellung und Verwaltung von Dateien mit geringer Dichte.
618
transaction
Die Transaktionsverwaltung
618
Usn
Ermöglicht Änderungen am NTFS-Änderungsjournal.
618
12.1 Die Verwaltungswerkzeuge ___________________________________________ 613 FSUTIL-Befehl volume
Beschreibung
Seite
Ermöglicht das Überprüfen von freiem Speicherplatz auf Volumes sowie das Deaktivieren derselben.
618
Fsutil behavior query <parameter> Fsutil behavior Fsutil behavior set <parameter> {1|0|<wert>} Die nachfolgende Tabelle enthält die Parameter für Fsutil behavior. Deren derzeitige Werte können Sie mittels query abfragen und mit set neu setzen. Parameter disable8dot3 allowextchar
Tabelle 12.6: Parameter für Fsutil Diese beiden Parameter beeinflussen die Erzeu- behavior gung von MS-DOS-kompatiblen Dateinamen im 8.3-Format. Werden keine 8.3-Dateinamen mehr benötigt, kann disable8dot3 auf 1 gesetzt werden.
Bedeutung
disablelastaccess
Dieser Parameter steuert den Zeitstempel des letzten Zugriffs für NTFS-Datenträger. Um den Zeitstempel zu deaktivieren, muss der Parameter auf 1 gesetzt werden.
quotanotify
Der Parameter steuert, wie oft Überschreitungen von Datenträgerkontingenten im System-Ereignisprotokoll eingetragen werden (<wert> in Sekunden). Der Standardwert beträgt 3 600 Sekunden (1 Stunde). Die Protokollierung kann abgeschaltet werden, indem der Parameter auf 0 gesetzt wird.
mftzone
Zur Sicherstellung einer hohen Performance eines NTFS-Volumes ist für eine ausreichend dimensionierte und unfragmentierte MFT (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 553) zu sorgen. Dieser Parameter bestimmt die Größe des reservierten Platzes für die MFT in Achteln der Gesamt-Volumegröße (Standard ist 1; maximal kann die Reservierung 4 Achtel betragen).
Fsutil dirty Fsutil dirty {query|set} Mit diesem Kommando können Sie das Dirty-Bit für ein Volume abfragen beziehungsweise neu setzen. Ist dieses gesetzt, wird beim nächsten Neustart von Windows Vista eine automatische Überprüfung des Volumes durchgeführt (mit AUTOCHK; siehe auch Abschnitt 12.12.3 Überprüfung eines Volumes auf Fehler ab Seite 717). Für geben Sie das Volume über seinen Laufwerkbuchstaben, einen Laufwerkpfad oder mit seiner Bezeichnung an.
614 ______________________________________ 12 Administration der Massenspeicher Fsutil file - createnew
- findbysid
- queryallocranges
- setshortname
- setvaliddata
- setzerodata
Fsutil fsinfo
Operationen auf Dateiebene ermöglicht dieses Kommando. Dazu gibt es weitere Optionen, die nachfolgend aufgeführt sind: Fsutil file createnew Damit können Sie eine neue Datei erzeugen. Geben Sie für den Namen der Datei an, der auch mit einer genauen Laufwerks- und Pfadangabe verbunden sein kann. steht für die Längenangabe in Bytes. Fsutil file findbysid Benutzen Sie dieses Kommando, um Dateien in einem Pfad zu suchen, die zu einem bestimmten Benutzer gehören. Für geben Sie den Benutzer- oder Login-Namen an. Fsutil file queryallocranges offset=<wert> legth=<wert> Dieses Kommando gibt Ihnen die Informationen zu den Bereichen aus, die eine Datei auf einem NTFS-Volume belegt. Geben Sie mit offset und length den Bereich der Datei an, zu dem Sie Informationen erhalten wollen. Für geben Sie den Dateinamen an, der auch mit einer Laufwerks- und Pfadangabe verbunden sein kann. Fsutil file setshortname Erzeugen Sie damit einen 8.3-Dateinamen auf einem NTFS-Volume für eine bestimmte Datei . Fsutil file setvaliddata Eine NTFS-Datei wird in ihrer Größe durch zwei Parameter begrenzt: Die EOF (End of File)-Kennung und das Feld VDL (Valid Data Length) in der MFT (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 553). Für den praktischen Einsatz von Windows Vista ist es sicherlich kaum erforderlich, hier einzugreifen. Sie könnten aber das Feld VDL mit einem neuen Wert belegen. Beachten Sie jedoch, dass dann der Lesezugriff auf den Dateiinhalt zwischen dem VDL-Wert (wenn dieser kleiner als die tatsächliche Dateigröße ist) und dem EOFZeichen nur Leerdaten zurückliefert. Fsutil file setzerodata offset=<wert> length=<wert> Dies ist ein wirkungsvoller Befehl, um den Inhalt einer Datei »richtig« zu löschen. Dabei wird ab dem Offset-Wert der Inhalt mit der angegebenen Menge (Parameter length; alle Angaben in Bytes) mit Leerdaten überschrieben. Für das sichere Löschen eines ganzen Datenträgers können Sie das Programm DISKPART mit dem Befehl C LEAN verwenden. Weitere Informationen finden Sie dazu auf Seite 606. Fsutil fsinfo [] Mit diesem Befehl können Sie Informationen über Ihre Volumes ermitteln. Details zu den physischen Datenträgern sehen Sie hier allerdings nicht. Diese erhalten Sie mit Hilfe des Befehls DISKPART (siehe Abschnitt 12.1.4 Das Kommandozeilen-Tool DISKPART.EXE ab Seite 600). Die gültigen Optionen und ihre Parameter entnehmen Sie der folgenden Tabelle.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 615 Option
Erklärung
drives
Listet alle verfügbaren Volumes auf.
drivetype
Gibt den Typ des mit angegebenen Laufwerks an, allerdings nur in den Kategorien »Eingebaut« und »Austauschbar«.
ntfsinfo
Liefert Informationen zum mit angegebenen NTFS-Volume. Hier sind Informationen zur MFT zu erhalten.
statistics
Gibt statistische Daten zum mit angegebenen Volume aus, sofern verfügbar.
volumeinfo
Liefert Informationen zum mit angegebenen Volume.
Fsutil hardlink create Mit diesem Kommando erzeugen Sie einen Hardlink auf eine existierende Datei. Genau genommen wird ein weiterer Verzeichniseintrag in der MFT erzeugt. Eine Unterscheidung zwischen Hardlink und ursprünglicher Datei kann im Nachhinein nicht mehr vorgenommen werden. Deshalb gibt es auch keinen expliziten Befehl zum Löschen eines Hardlinks. Weitere Informationen finden Sie in Abschnitt Hardlinks und Verknüpfungen ab Seite 579. Geben Sie mit den neuen Dateinamen an, unter dem die Datei geführt werden soll. Sie können den Hardlink in einem beliebigen Unterverzeichnis des NTFS-Volumes anlegen. Bedingung ist nur, dass er sich auf demselben Volume befindet. Fsutil objectid create|delete|query|set [] Dieser Befehl greift tief in die systeminterne Speicherung von Objekten im NTFS-Dateisystem ein. Normalerweise auch nicht im Fall von logischen Datenbeschädigungen sollten Sie diesen Befehl nicht anwenden. Sie können damit die internen Objekt-Identifikatoren (OIDs) von Windows Vista manipulieren. Für die Einrichtung und Anpassung von Datenträgerkontingenten können Sie das Kommando fsutil quota benutzen. Dateien, die sich vor einer Kontingentzuweisung auf einem Volume befinden, werden bei der Kontingentüberwachung mit berücksichtigt. Bei der ersten Einrichtung läuft für den Administrator unsichtbar eine spezielle Routine für deren Erfassung ab. Weitere Informationen zu den Hintergründen finden Sie in Abschnitt 11.3.3 Datenträgerkontingente ab Seite 576. Zu fsutil quota gibt es weitere Optionen, die nachfolgend beschrieben sind: Fsutil quota track Standardmäßig ist die Überwachung von Kontingenten auf einem Volume deaktiviert. Mit diesem Kommando schalten Sie diese für das
Tabelle 12.7: Optionen von Fsutil fsinfo
Fsutil hardlink
Fsutil objectid
Fsutil quota
- track
616 ______________________________________ 12 Administration der Massenspeicher
- disable
- enforce
- modify
- query
- violations
Fsutil repair
- query
- set
- wait
über angegebenen Volume ein. Damit sind allerdings noch keine Kontingenteinträge selbst eingerichtet worden. Diese können Sie über die Option modify einrichten. Fsutil quota disable Mit der Option disable deaktivieren Sie die Kontingentüberwachung für das mit angegebene Volume komplett. Fsutil quota enforce Mit enforce aktivieren Sie die restriktive Verweigerung weiteren Speicherplatzes bei Erreichen der Kontingentgrenze auf dem Datenträger. Fsutil quota modify <warnschwelle> Wenden Sie diese Option an, um einen Kontingenteintrag für das mit spezifizierte Volume neu zu erstellen oder zu verändern. Mit <warnschwelle> geben Sie die Größe in Bytes an, ab der eine Warnung ins Ereignisprotokoll geschrieben werden soll. steht für die Kontingentgrenze, ab der weiterer Speicherplatz nicht mehr zur Verfügung gestellt wird. Geben Sie über den Parameter einen gültigen Benutzernamen an. Dies kann der Login-Name oder der FQDN (siehe Seite 789) des Benutzers oder der Gruppe sein. Fsutil quota query Mit dieser Kommandosequenz erhalten Sie eine Liste der aktuell eingerichteten Kontingenteinträge für das mit spezifizierte Volume. Fsutil quota violations Mit dieser Option durchsucht Fsutil das System- und AnwendungsEreignisprotokoll nach Einträgen, die auf ein Erreichen der Warnschwelle oder der Kontingentgrenze für Benutzer hindeuten. Damit können Sie automatisiert regelmäßig Abfragen zur Kontingentauslastung von Volumes durchführen. Fsutil repair Der Status der Selbst-Reparatur kann abgefragt und gesetzt werden. Das Reparieren einer Datei kann gestartet werden. Fsutil repair query Die Abfrage gibt den Selbst-Reparatur-Status des unter angegebenen Volumepfadnamens zurück. Fsutil repair set Diese Option legt den Selbst-Reparatur-Status für den unter angegebenen Volumepfadnamen fest. Mögliche flags sind 1 (Allgemeine Reparatur aktivieren) und 8 (Warnung für potenzielle Datenverluste anzeigen). Fsutil repair wait <wartetyp> Fsutil kann angewiesen werden, auf die Beendigung der aktuellen oder aller Reparaturen zu warten, bevor der nächste Befehl ausgeführt wird. Das ist für das Skripting wichtig, wenn weitere Befehle davon abhängig sind, ob bestimmte Dateien repariert sind. Die Option für den wartetyp sind 0 (warten auf alle Reparaturen) und 1 (warten auf die aktuelle Reparatur).
12.1 Die Verwaltungswerkzeuge ___________________________________________ 617 Fsutil repair initiate Dieser Befehl startet die Reparatur einer Datei im Volumepfad unter Angabe ihrer Segmentnummer (64-Bit Hex-Wert). Fsutil reparsepoint query|delete Dieses Kommando dient der Kontrolle und dem Löschen von NTFSAnalysepunkten, die beispielsweise für Volume-Bereitstellungen innerhalb einer NTFS-Verzeichnisstruktur genutzt werden (siehe auch Abschnitt 11.2.3 Analysepunkte und Bereitstellungen ab Seite 558). Sie können über den Parameter query abfragen, ob der mit angegebene Eintrag ein Analysepunkt ist und welche internen Daten im NTFS-Dateisystem dazu gespeichert sind. Mit delete können Sie einen Analysepunkt entfernen. Zurück bleibt dann im Falle eines Breitstellungspunktes ein leeres Verzeichnis. Fsutil resource Transaktionsabhängige Anwendungen wie SQL-Server und ähnliche profitieren von der Fähigkeit des NTFS Transaktionen und deren Ressourcen sicher zu verwalten. Fsutil resource steuert den Transaktionsressourcen-Manager, nicht die Transaktionen (siehe transaction). Fsutil resource start Um den Transaktionsressourcen-Manager zu starten sind drei Parameter nötig. Der ist der Root (Wurzel)-Ordner des Ressourcen-Managers. gibt an, wo der Ressourcen-Manager seine Log-Daten lässt. gibt an, wo die Protokolle des Transaktionsmanagers liegen. Fsutil resource stop Dieser Befehl stoppt den Transaktionsressourcen-Manager mit dem angegebenen Root-Ordner . Fsutil resource info Mit dieser Option werden Informationen zum Transaktionsressourcen-Manager angezeigt, unter anderem den aktuell vom Kernel verwendeten Protokollpfad für das Transaktions-Management. Fsutil resource setlog Mit dieser Option werden diverse Logeinstellungen für den Transaktionsressourcen-Manager geändert: growth: Ändert die automatischen Wachstumseinstellungen. maxextents: Ändert die maximale Anzahl von Containern. minextents: Ändert die minimale Anzahl von Containern. mode: Wechselt die Protokollierungsart. rename: Ändert die GUID des Ressourcen-Managers. shrink: Ändert die automatischen Verkleinerungseinstellungen. size: Ändert die Anzahl der Container.
- initiate
Fsutil reparsepoint
Fsutil resource
- start
- stop
- info
- setlog
618 ______________________________________ 12 Administration der Massenspeicher -setautoreset
-create
Fsutil sparse
Fsutil transaction
- list - fileinfo
- query
- commit
- rollback Fsutil usn
Fsutil volume
Fsutil resource setautoreset {true|false} <Standard-RM-Stamm-pfadname> Mit dieser Option wird festgelegt, ob Metadaten bei der nächsten Bereitstellung bereinigt werden oder nicht. Fsutil resource create Ein sekundärer Transaktionsressourcen-Manager wird für den angegebenen Pfad erstellt. Fsutil sparse [<parameter>] Über dieses Kommando können Sie Dateien mit geringer Dichte erzeugen und verwalten (siehe auch Abschnitt Unterstützung für Dateien mit geringer Datendichte ab Seite 578). Für den normalen Administrationsalltag benötigen Sie allerdings diese nicht. Solche Dateien werden in erster Linie für interne Zwecke im NTFS-Dateisystem genutzt. Fsutil transaction Der Transaktions-Manager kann aktuelle Transaktionen auflisten, abfragen, abschließen und zurückrollen. Fsutil transaction list Aktuell ausgeführte Transaktionen werden aufgelistet. Fsutil transaction fileinfo Informationen zu Transaktionen für eine bestimmte Datei werden angezeigt, die als Parameter angegeben wird. Fsutil transaction query {files|all} Zeigt detaillierte Informationen zu einer Transaktion an, deren GUID angegeben wird. Fsutil transaction commit Eine mit angegebene Transaktion wird endgültig abgeschlossen. Fsutil transaction rollback Eine Transaktion wird zurück gesetzt. Fsutil usn <parameter> Dieses Kommando ist ebenso wie das vorhergehende nicht für den »normalen« Gebrauch durch den Administrator gedacht. Sie können damit NTFS-Änderungsjournale anlegen, modifizieren und löschen (siehe auch Abschnitt Änderungsjournal ab Seite 578). Fsutil volume diskfree Fsutil volume dismount Mit Hilfe der Option diskfree wird der freie Speicherplatz auf dem mit spezifizierten Volume in Bytes angegeben. Mit dismount können Sie ein Volume deaktivieren. Ausnahme bilden aber Systemund Startvolume von Windows Vista.
12.1.6
Das Kommandozeilen-Tool MKLINK.EXE
Mit dem Kommandozeilen-Tool MKLINK.EXE lassen sich symbolische und harte Verknüpfungen (Links) zu Dateien und Ordnern herstellen.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 619 Die Syntax von MKLINK.EXE sieht wie folgt aus: Mklink [[/D] | [/H] | [/J]] Option
-
Tabelle 12.8: Optionen von Erstellt einen symbolischen Link für einen Ordner MKLINK (Directory). Standardmäßig werden symbolische Links für Dateien erstellt. -
Auswirkung
-
/D
-
/H
Erstellt einen Hardlink anstelle eines symbolischen Links. Mehr zu Hardlinks finden Sie unter Hardlinks und Verknüpfungen auf Seite 579.
-
/J
Erstellt eine Verknüpfung oder Verzweigung (Junction) zu einem Ordner.
Ein kurzes Beispiel soll den Nutzen von MKLINK verdeutlichen: Sie betreiben Windows XP und Windows Vista im Dual-Boot-Verfahren auf demselben Computer und möchten Ihre mühsam gepflegten Favoritenlisten in beiden Betriebsystemen konsistent nutzen. Um das zu erreichen, führen Sie folgende Schritte aus: 1. Sie öffnen die Eingabeaufforderung mit der Option ALS ADMINISTRATOR AUSFÜHREN in Ihrem Homeverzeichnis, also beispielsweise c:\Users\. 2. Sie löschen ihren Favoritenordner in Vista (In diesem haben Sie ja noch nichts eingetragen). Sie benutzen dazu den Befehl: Rd /s /q favorites 3. Sie erstellen eine Verknüpfung zu Ihrem XP-Favoritenordner her. Mklink /j Favorites C:\Dokumente und Einstellungen\ \Favoriten 4. Zur Kontrolle lassen Sie sich den aktuellen Ordner mit Dir anzeigen und stellen fest, dass FAVORITES jetzt als <JUNCTION> und nicht als markiert ist. Sie pflegen jetzt eine Liste. Vistas Favoriten zeigen auf die XP-Liste.
12.1.7 Den BCD-Speicher bearbeiten Die Datei BOOT.INI hat ausgedient. Der Speicher für Bootkonfigurationsdaten (Boot Configuration Data- BCD) hat ihre Stelle eingenommen, denn er verspricht eine Vielseitigkeit, die die BOOT.INI nicht bieten konnte. So lassen sich andere System konfigurieren, die kein konventionelles BIOS haben (EFI-Systeme). Diese neue Konfiguration erfordert auch neue Tools. Mit der alten BOOTCFG.EXE lassen sich diese Daten nicht ändern. Sie befindet sich nur aus Gründen der Kompatibilität im Lieferumfang von Vista. In Abschnitt 10.3.3 BCD das Ende der Boot.ini ab Seite 532 erfahren Sie mehr zum Aufbau des im weiteren nur BCD genannten Speichers.
620 ______________________________________ 12 Administration der Massenspeicher Abhängig davon, was Sie ändern möchten, stehen Ihnen mehrere Möglichkeiten für die Modifikation des BCD bereit: Der Dialog Starten und Wiederherstellen Einfache Einstellungen können Sie in diesem Dialog vornehmen, der im nachfolgenden Abschnitt beschrieben ist. MSCONFIG.EXE Komfortabel und sicher lassen sich die häufigsten Einträge in der Bootkonfiguration mit diesem grafischen Tool bearbeiten (siehe dazu Abschnitt BCD mit M SCONFIG.EXE anpassen auf Seite 621). BCDEDIT.EXE BCDEDIT.EXE ist das Kommandozeilen-Tool, das die BOOTCFG.EXE in Windows Vista ablöst. Die Befehlsoptionen sind im Abschnitt BCD mit B CDEDIT.EXE anpassen ab Seite 622 beschrieben. BCD WMI provider Die einzige Möglichkeit, den BCD per Skript zu programmieren, stellt das Windows Management Instrumentation (WMI) dar. Dieser provider ist die Verwaltungsschnittstelle für Skripte und Tools. Mehr Informationen, wie interne Elemente und Objekte des BCD, enthält diese Microsofts Webseite: http://go.microsoft.com/fwlink/?LinkId=56792 Weitere Angaben zu WMI sind in unserem Buch Windows XP Professional enthalten oder auf englisch auf der folgenden Webseite: http://msdn.microsoft.com/library/default.asp?url= /library/en-us/wmisdk/wmi/wmi_start_page.asp
BCD und der Dialog Starten und Wiederherstellen Den Dialog Starten und Wiederherstellen erreichen Sie über START|SYSTEMSTEUERUNG|SYSTEM UND WARTUNG |SYSTEM. Abbildung 12.7: Systemstart konfigurieren
12.1 Die Verwaltungswerkzeuge ___________________________________________ 621 In der linken Aufgabenleiste klicken Sie auf ERWEITERTE SYSTEMEINSTELLUNGEN. Öffnen Sie die Registerkarte ERWEITERT . Im Abschnitt STARTEN UND WIEDERHERSTELLEN klicken Sie auf die Schaltfläche EINSTELLUNGEN. Haben Sie mehrere Betriebsysteme auf Ihrem Computer installiert, können Sie mit der Dropdown-Box das Standard-Betriebssystem auswählen. Die Anzeigedauer für die Auswahl der Betriebssysteme und der Wiederherstellungsoptionen lässt sich ebenfalls einstellen.
BCD mit MSCONFIG.EXE anpassen Dieses grafische Dienstprogramm können Sie direkt über START | AUSFÜHREN oder durch Eingabe von MSCONFIG.EXE in die Suchleiste starten. Öffnen Sie hier die Registerkarte START. Abbildung 12.8: MSCONFIG.EXE zum Setzen der Startparameter
Markieren Sie zunächst den Eintrag, für den Sie Parameter anpassen oder hinzufügen wollen. Klicken Sie dann auf den entsprechenden Parameter. Über ERWEITERTE OPTIONEN können Sie auf noch weitere, hardwarenahe Parameter zugreifen. So ist die Anzahl der zu verwendenden Prozessoren einstellbar, ein »Verschließen« des PCI-Buses möglich und Optionen für den Debug-Modus können eingestellt werden. Beachten Sie bei der Bearbeitung des BCD-Speichers mit diesem Tool Einschränkungen mit MSCONFIG die folgenden Einschränkungen: Sie können nur bestehende Starteinträge bearbeiten, keine löschen oder neue hinzufügen. Es lassen sich nur die Parameter hinzufügen, löschen oder verändern, die durch MSCONFIG selbst unterstützt werden.
622 ______________________________________ 12 Administration der Massenspeicher Die Kontrollkästchen in der unteren Mitte legen das Startverhalten für das oben ausgewählte Betriebssystem fest: KEIN GUI-START Beim Start wird kein Windows-Begrüßungsschirm angezeigt. STARTPROTOKOLLIERUNG Alle Informationen über den Startvorgang werden in der Datei %Systemroot%\Ntbtlog.txt mitgeschrieben. BASISVIDEO Bei Problemen mit der Grafikkarte oder dem Grafikkartentreiber kann Vista im minimalen VGA-Modus gestartet werden. BETRIEBSSYSTEM-STARTINFORMATIONEN Während des Startvorgangs können die Treibernamen angezeigt werden.
BCD mit BCDEDIT.EXE anpassen Das Programm BCDEDIT.EXE ist ein rein kommandozeilenorientiertes Dienstprogramm. Es steht sowohl im »normalen« Windows Vista als auch unter der Wiederherstellungskonsole. Das Programm wird über die folgende Syntax gesteuert: Bcdedit / [<argument1>] [<argument2>] ... Die Befehlsübersicht enthält die wichtigsten Kommandos. Microsoft stellt die komplette Befehlsreferenz im Internet zum Download bereit. Hilfestellung: Bcdedit /? Ohne den optionalen Parameter werden alle B CDEDIT-Befehle aufgelistet. Für detaillierte Hilfe zu einem bestimmten Befehl geben Sie diesen hinter dem Fragezeichen an. Befehle, die den Speicher selbst steuern: Bcdedit /createstore Dieser Befehl erstellt einen neuen, leeren Speicher für Bootkonfigurationsdaten. Bcdedit /export Der Inhalt des Systemspeichers wird in eine Datei exportiert. Diese kann für die Wiederherstellung benutzt werden. Bcdedit /import Dieser Befehl stellt den Systemspeicher aus einer vorher durch /export gesicherten Datei her und löscht alle bestehenden Einträge im Systemspeicher. Bcdedit /store Diese Option kann mit den meisten BCDEDIT-Befehlen benutzt werden. /store gibt an, welcher Speicher benutzt wird. Wird keiner explizit angegeben, wird automatisch der Systemspeicher benutzt.
12.1 Die Verwaltungswerkzeuge ___________________________________________ 623 Befehle, die auf die Einträge im Speicher wirken: Bcdedit /copy [{}] /d Es wird eine Kopie von einem Eintrag in demselben Systemspeicher erstellt. Bcdedit /create [{}] /d [-application ] | /inherit DEVICE | /device Der Befehl erstellt einen neuen Eintrag im Startkonfigurationsdaten-Speicher. Wenn eine bekannte ID angegeben wird, können die Optionen /application, /inherit und /device nicht angegeben werden. Wenn die nicht angegeben wird, müssen die Optionen /application, /inherit oder /device angegeben werden. Bcdedit /delete [{}] /f [cleanup|nocleanup] Damit kann ein Eintrag im Startkonfigurationsdaten-Speicher gelöscht werden. Die Option /f forciert die Löschung von Einträgen, die eine bekannte ID haben. Mit /cleanup wird auch die Anzeigereihenfolge geändert, mit /nocleanup nicht. Befehle, die Eintragsoptionen steuern: Bcdedit /deletevalue [] Ein Datenelement aus einem Eintrag im StartkonfigurationsdatenSpeicher wird gelöscht. Bcdedit /set [{}] <wert> Der Befehl setzt einen Eintragsoptionswert im Startkonfigurationsdaten-Speicher. Ein einfaches Beispiel soll dies verdeutlichen, bei dem eine neue Beschreibung für einen Eintrag erstellt wird: Bcdedit /set description "Neue Beschreibung" Mit diesem Befehl setzen Sie die NX-Richtlinie: Bcdedit /set nx optin Befehle, die die Ausgabe kontrollieren: Bcdedit /enum [ | ] [/v] Listet alle Einträge in einem Speicher auf. Bcdedit /enum ACTIVE ist der Standardwert. Dieser wird immer benutzt, wenn Sie bcdedit ohne Parameter angeben. Mit dem Parameter /v (Verbose) gibt /enum eine detaillierte Auskunft. Befehle, die den Boot-Manager steuern: Bcdedit /bootsequence [
] [ /addfirst | /addlast | /remove] Die einmalige Startsequenz wird festgelegt, die vom Boot-Manager verwendet werden soll. Bcdedit /default Der Befehl legt den mit angegebenen Starteintrag als Standard fest. Bcdedit /displayorder [
] [ /addfirst | /addlast | /remove] Mit dieser Option kann die Anzeigereihenfolge vorgegeben werden, die der Boot-Manager dem Anwender anzeigt.
624 ______________________________________ 12 Administration der Massenspeicher Bcdedit /timeout Es kann angegeben werden, wie viel Sekunden gewartet wird, bis der Boot-Manager den Standardeintrag auswählt. Befehle, die den Notverwaltungsdienst (Emergency Management Services EMS) steuern: EMS erlaubt die Remotesteuerung für den Fall, dass kein installiertes Betriebsystem in der Lage ist das System zu starten. Bcdedit /bootems [] {ON|OFF} Der EMS wird für den mit angegebenen Eintrag ein- oder ausgeschaltet. Bcdedit /ems [] {ON|OFF} Der EMS wird für den mit angegebenen Betriebssystem-Starteintrag ein- oder ausgeschaltet. Bcdedit /emssettings [BIOS] | [EMSPORT:<port>] | [EMSBAUDRATE:] Dieser Befehl umfasst die globalen Einstellungen für den Notverwaltungsdienst. Stellt das BIOS eine Unterstützung für den Notverwaltungsdienst bereit, kann BIOS als Parameter angegeben werden, falls nicht, müssen der Kommunikationsport (COM) mit <port> und der Schnittstellengeschwindigkeit mit bestimmt werden. Befehle, die das Debugging steuern: bcdedit /debug [ID] {on | off} Der Kernel-Debugger für den mit angegebenen Eintrag wird ein- oder ausgeschaltet. bcdedit /bootdebug [ID] {on | off} Der Kernel-Debugger zum Debuggen von Boot-Applikationen wird ein- oder ausgeschaltet. bcdedit /dgbsettings [<debuggertyp> [debugport:<port>] [baudrate:] [channel:] [targetname:] /start <startrichtlinie> /noumex] Damit werden die globalen Debugger-Einstellungen eingestellt. <debuggertyp> stellt den Anschluss des Debuggers ein. Gültige Werte sind SERIAL, 1394 (für Firewire) oder USB. <debugport> und sind für den seriellen Anschluss einzustellen. ist für Firewire auf die Kanalnummer zu stellen. Der gibt den USB-Zielnamen an. Die <startrichtlinie> kann für alle Debuggertypen drei Werte annehmen: ACTIVE, AUTOENABLE und DISABLE. Der Parameter /noumex gibt an, dass der Kerneldebugger alle Benutzermodusausnahmen (Exceptions) ignorieren soll.
12.2 Einrichtung einer neuen Festplatte _____________________________________ 625
12.2 Einrichtung einer neuen Festplatte Wenn Sie eine neue Festplatte in Ihren Computer einsetzen und diese unter Windows Vista in Betrieb nehmen wollen, helfen Ihnen die automatische Erkennung von Hardwareänderungen sowie ein Assistent bei der Einrichtung. Dadurch ist dieser Vorgang schnell und unkompliziert erledigt, hat aber auch einige Tücken. Insbesondere wenn Sie eine Dualbootkonfiguration mit Windows XP haben, sollten Sie dem Assistenten nicht blind folgen, sondern die auszuwählenden Optionen genau einschätzen können. Bevor Sie eine neue Festplatte in Ihrem Windows Vista-System einsetzen und einrichten, sollten Sie die beiden grundlegenden Festplattentypen Basisdatenträger und Dynamischer Datenträger und Ihre jeweiligen Vor- und Nachteile kennen. Weitergehende Informationen dazu finden Sie in Abschnitt 10.2 Das Volume Management ab Seite 527. In den nachfolgenden Abschnitten wird die Einrichtung einer neuen Festplatte mit Hilfe des Windows Vista-Assistenten beschrieben. Falls Sie die grundlegende Einrichtung selbst vornehmen wollen, können Sie auch auf den Assistenten verzichten. Diese beiden Abschnitte behandeln die Administrationsschritte für die manuelle Einrichtung von Festplatten: 12.3 Basisdatenträger einrichten ab Seite 627 12.4 Dynamische Datenträger einrichten ab Seite 633
Einrichtung mit dem Assistenten
Manuelle Einrichtung
12.2.1 Erkennung einer neuen Festplatte Vor der Einrichtung einer neuen Festplatte muss diese durch Windows Vista erst erkannt werden. Bei allen modernen Computersystemen ist dies normalerweise kein Problem und läuft nach dem Startprozess automatisch ab.
Hardwareerkennung manuell starten Sollte dies nicht der Fall sein und die neue Festplatte erscheint in Ihrem System nicht, können Sie die Hardware-Erkennung auch manuell starten: 1. Starten Sie den Geräte-Manager (siehe Abschnitt 9.2.1 Geräte-Manager ab Seite 438). Wählen Sie aus dem Kontextmenü zum Computersymbol den Punkt NACH GEÄNDERTER HARDWARE SUCHEN. 2. Gehen Sie dann in die Datenträgerverwaltung. Wählen Sie aus dem Kontextmenü den Punkt DATENTRÄGER NEU EINLESEN (siehe auch Abschnitt Datenträger aktualisieren und neu einlesen ab Seite 596). Danach sollte die neue Festplatte erkannt worden sein und in der grafischen Ansicht der DATENTRÄGERVERWALTUNG erscheinen. Jetzt kann sie mit dem Assistenten, der automatisch startet, oder manuell eingerichtet werden.
Normal: Automatische Erkennung durch Windows Vista
626 ______________________________________ 12 Administration der Massenspeicher Wenn die Erkennung durch Windows Vista fehlschlägt Fehlersuche: Strom Kabelprobleme
Master/Slave
IDE-Kompatibilität?
Mainboard-BIOS
SATA
SCSI
Externe Festplatten
Sollte die Erkennung fehlgeschlagen sein, könnten Ihnen vielleicht die folgenden Hinweise bei der Fehlersuche behilflich sein: Ist die Stromversorgung der neuen Festplatte sichergestellt? Ist das Anschlusskabel (IDE oder SCSI-Flachbandkabel bei internen Festplatten) richtig gepolt angeschlossen und vom richtigen Typ? Insbesondere moderne IDE-Festplatten mit Ultra-DMA-Interface benötigen spezielle Anschlusskabel, die in älteren Computersystemen nicht verwendet wurden. Sind die eingebauten IDE-Festplatten mit den richtigen Master/Slave-Einstellungen versehen? Diese Einstellungen sind dann wichtig, wenn Sie zwei IDE-Geräte an einem Anschluss betreiben wollen. Achten Sie auch darauf, dass es bei vielen Festplatten ein Unterschied ist, ob diese allein (meist kein Jumper gesetzt) oder als Master mit einem Slave betrieben werden (meist ein Jumper gesetzt). »Vertragen« sich die IDE-Festplatten? Gerade beim Aufrüsten eines älteren Systems kann es vorkommen, dass die vorhandene Festplatte mit der neuen zusammen an einem Anschluss nicht laufen will. Schließen Sie die neue Festplatte dann an einem anderen Anschluss an (in der Regel sind zwei IDE-Anschlüsse vorhanden). Beachten Sie auch hier den vorhergehenden Hinweis zum richtigen IDE-Anschlusskabel. Ist das BIOS des Computers auf dem aktuellen Stand? Ältere PCs haben unter Umständen Probleme, moderne große IDEFestplatten korrekt zu erkennen und einzubinden. Abhilfe kann hier ein neues BIOS für das Mainboard bringen, welches Sie sich normalerweise über die Website des Boardherstellers besorgen können. Korrekte Treiber für den SATA-Adapter? Treiber für SATA-Adapter müssen meist nachträglich installiert werden. Ist so ein Adapter auf dem Mainboard direkt untergebracht, achten Sie auf die neueste BIOS-Version des Herstellers sowie auf die korrekte Aktivierung und gegebenenfalls Konfiguration im BIOS. Haben Sie SCSI-Geräte korrekt konfiguriert? Achten Sie auch auf eine richtige Einstellung der ID und der Terminierung bei SCSI-Festplatten. Moderne SCSI-Systeme benötigen aber in der Regel keine manuellen Eingriffe mehr. Ziehen Sie dazu im Zweifelsfall die Hersteller-Dokumentation mit zu Rate. Bei externen Festplatten an USB oder Firewire: Entsprechen die Schnittstellen der Norm und liegen gültige Treiber dafür vor? Im Normalfall werden diese Schnittstellen automatisch von Windows Vista erkannt und eingebunden. Allerdings kann es vor-
12.3 Basisdatenträger einrichten ___________________________________________ 627 kommen, dass Hersteller eigene Implementierungen entwickelt haben (wie beispielsweise die erste IEEE 1394-Implementierung von Sony in Notebooks, auch iLink genannt) und diese mit den Microsoft Standard-Treibern nicht funktionieren. Kontrollieren können Sie das im GERÄTE-MANAGER, wenn eine dieser Schnittstellen mit einem Fragezeichen versehen unter der Rubrik ANDERE GERÄTE auftaucht. Bei USB-Festplatten sollten Sie beachten, dass manche Geräte einen erhöhten Strombedarf haben und an passiven ISDN-Hubs oder an verlängerten Anschlüssen wie beispielsweise an einer USB-Tastatur die Mitarbeit verweigern können. Abhilfe kann hier der direkte Anschluss am Computer oder an einem USB-Hub mit Stromversorgung schaffen.
12.3 Basisdatenträger einrichten Basisdatenträger unter Windows Vista entsprechen in ihrem Aufbau den Festplatten in anderen Betriebssystemen. Sie können diese Festplatten in Partitionen und logische Laufwerke einteilen. Alle Konfigurationsarbeiten an Partitionen und logischen Laufwerken sind auf Administratoren oder Benutzer mit entsprechenden Rechten beschränkt. Ausführlich wird der Aufbau von Basisdatenträgern in Abschnitt 10.3 Grundlagen ab Seite 530 Basisdatenträger und Partitionen ab Seite 530 behandelt.
12.3.1 Partitionierungswerkzeuge Der erste Schritt beim Einrichten einer Basisfestplatte besteht in der Partitionierung, bei der die physische Festplatte in einen oder mehrere logische Bereiche unterteilt wird. Das Partitionierungsverfahren hat sich seit Zeiten von Windows 9x/ME grundlegend geändert. So besitzen bereits Windows 2000 und XP besitzen bereits deutlich verbesserte Tools für die Partitionierung von Festplatten. Zur besseren Verdeutlichung beginnt dieser Abschnitt mit einem kleinen Rückblick in die Windows-Geschichte.
Ein kleiner Rückblick Partitionen legen Sie unter MS-DOS oder Windows 9x/ME mit dem fdisk Programm FDISK an, einem wenig komfortablen Werkzeug, welches noch ohne grafische Oberfläche auskommen muss. Einer der größten Nachteile bei der Anwendung von FDISK ist, dass nach jeder Änderung an der Partitionstabelle ein Neustart erforderlich ist, damit das Betriebssystem überhaupt auf die neuen Partitionen zugreifen kann. Mit Windows NT trat der Festplatten-Manager auf den Plan. Dieser ist NT-Festplattendank seiner grafischen Oberfläche nicht nur deutlich komfortabler zu manager bedienen, sondern umfasst neben der Partitionierung auch weitere
628 ______________________________________ 12 Administration der Massenspeicher Funktionen wie beispielsweise das Formatieren oder das Umbenennen der Laufwerkbuchstaben. Sie können Partitionen und Logische Laufwerke in erweiterten Partitionen anlegen, ohne dass ein Neustart erforderlich ist. Möchten Sie allerdings Partitionsgruppen wie Datenträgersätze oder Stripe Sets einrichten, kommen Sie auch bei Windows NT nicht um einen Neustart herum.
Partitionswerkzeuge unter Windows Vista Sie können mit der Datenträgerverwaltung, die als Snap-In für die Kein Neustart mehr unter Windows Vista Microsoft Managementkonsole ausgeführt ist, Partitionen anlegen und XP
sowie Datenträgersätze auf dynamischen Datenträgern einrichten, ohne dass dazu ein Neustart notwendig wäre.
Abbildung 12.9: Windows Vista-Datenträgerverwaltung
Erkennt die Datenträgerverwaltung beim Starten eine Festplatte, die noch eingerichtet ist, fordert das Programm zur Initialisierung der Festplatte auf. Abbildung 12.10: Datenträgerinitialisierung
12.3 Basisdatenträger einrichten ___________________________________________ 629 Entscheiden Sie, welcher Partitionsstil benutzt werden soll. Kompatibilität zu älteren Windows-Versionen erhalten Sie mit MBRPartitionen. (Mehr zu MBR- und GPT-Partitionen können Sie im gleichnamigen Abschnitt auf Seite 539 erfahren). Unter Windows Vista finden Sie neben der grafischen Datenträgerver- Kommandozeilenwaltung das Kommandozeilentool DISKPART.EXE. Es ist insbesondere tool D ISKPART.EXE dazu geeignet, Festplatten über Skripte vollautomatisch einzurichten. Neben dem Anlegen von Partitionen auf Basisfestplatten beherrscht das Programm alle wesentlichen Funktionen für die Verwaltung von Datenträgern und Volumes. Ausführlich wird das Programm in Abschnitt 12.1.4 Das Kommandozeilen-Tool DISKPART.EXE ab Seite 600 behandelt.
Einschränkungen für die Partitionierung Für die Anlage von Partitionen gelten unter Windows Vista die folgenden Einschränkungen: Partitionen oder logische Laufwerke in erweiterten Partitionen können unter Windows Vista nur auf Basisdatenträgern eingerichtet werden. Sie können maximal 4 primäre Partitionen pro Festplatte anlegen. Wenn Sie noch mehr Teilbereiche benötigen, müssen Sie statt einer primären eine erweiterte Partition (statt 4 primäre dann 3 primäre und eine erweiterte) anlegen, in der Sie logische Laufwerke definieren können. Die Datenträgerverwaltung von Vista macht das automatisch. Wenn Sie eine Konfiguration benötigen, die auch kompatibel zu Kompatibilität zu Windows 9x/ME oder MS-DOS sein soll, dürfen Sie die Festplatte Windows 9x/ME und MS-DOS maximal in eine primäre und eine erweiterte Partition mit logischen Laufwerken aufteilen. Mehr als eine primäre Partition können diese Betriebssysteme nicht erkennen und verwalten. Weitergehende Hinweise finden Sie in Abschnitt 10.3 Basisdatenträger und Partitionen ab Seite 530.
12.3.2 Anlegen von primären Partitionen Das Anlegen von primären Partitionen auf Basisdatenträgern können Sie sowohl über die Datenträgerverwaltung (siehe Abschnitt 12.1.2 SnapIn Datenträgerverwaltung im Detail ab Seite 592) als auch mit dem DISKPART.EXE erledigen (siehe Abschnitt 12.1.4 Das KommandozeilenTool DISKPART.EXE ab Seite 600). Hier finden Sie die ausführliche Beschreibung für den Weg über die Datenträgerverwaltung: 1. Öffnen Sie die Datenträgerverwaltung und markieren Sie mit der Maus in der grafischen Ansicht einen freien, unpartitionierten Bereich auf der betreffenden Basisfestplatte. Wählen Sie aus dem
630 ______________________________________ 12 Administration der Massenspeicher Kontextmenü zu dieser (rechte Maustaste) den Punkt NEUES EINFACHES VOLUME. Abbildung 12.11: Kontextmenü auf dem freien Bereich einer Basisfestplatte
2. Es startet daraufhin ein Assistent, der Sie durch die weiteren Einrichtungsschritte begleitet. Die ersten drei Partitionen werden automatisch als Primär-Partitionen, die vierte als Erweiterte Partition eingerichtet. 3. Im nächsten Dialogfenster können Sie die Größe einstellen, welche die Partition auf der Festplatte einnehmen soll. Abbildung 12.12: Größe der Partition festlegen
Standardmäßig wird als Partitionsgröße der gesamte freie Bereich angeboten. Wenn Sie diesen Vorschlag übernehmen, können Sie die Festplatte nicht mehr weiter unterteilen. Beachten Sie, dass Sie diese Größeneinstellung später ohne weiteres ändern können. Mit DISKPART.EXE können Sie eine Partition aber unter bestimmten Umständen nachträglich vergrößern (siehe Abschnitt Erweitern von Partitionen und VOLUMES mit DISKPART ab Seite 603). Eine Verkleinerung ist mit DISKPART.EXE ebenfalls möglich (siehe Abschnitt Verkleinern von Partitionen und Volumes mit DISKPART ab Seite 603). 4. Danach können Sie festlegen, wie auf das Laufwerk zugegriffen werden kann. Diese Optionen stehen zur Auswahl: - FOLGENDEN LAUFWERKBUCHSTABEN ZUWEISEN: Die traditionelle Art, auf ein Laufwerk zuzugreifen, stellen Laufwerkbuchstaben dar. Es sind alle 26 Buchstaben des engli-
12.3 Basisdatenträger einrichten ___________________________________________ 631 schen Alphabets erlaubt, wobei in der Regel A und B Diskettenlaufwerken vorbehalten sind. Wählen Sie aus dem Menü einen der angebotenen Buchstaben aus, wenn Sie diese Form des Zugriffs einstellen wollen. Dabei werden automatisch nur die frei verfügbaren Buchstaben angeboten. - IN FOLGENDEM LEEREN NTFS-ORDNER BEREITSTELLEN: Neben dem Zugriff über einen Laufwerkbuchstaben können Sie ein Laufwerk direkt in die Ordnerstruktur auf einem anderen NTFS-formatierten Laufwerk einbinden. Dies wird auch mit Laufwerkpfad bezeichnet. Klicken Sie dabei auf DURCHSUCHEN, um einen leeren Ordner auszusuchen. - KEINEN LAUFWERKBUCHSTABEN ODER PFAD ZUWEISEN Sie brauchen sich an dieser Stelle noch nicht für eine konkrete Zugriffsmöglichkeit auf den Datenträger zu entscheiden. Abbildung 12.13: Laufwerkszugriff einstellen
Die Einstellung der Zugriffsmöglichkeiten auf ein Laufwerk können Sie über die Datenträgerverwaltung nachträglich jederzeit ändern (siehe Abschnitt 12.6 Volume-Zugriff ändern ab Seite 649). 5. Nach Festlegung der Zugriffsmöglichkeit führt Sie der Assistent zum Formatieren-Dialogfenster: Abbildung 12.14: Einstellung für das Formatieren festlegen
632 ______________________________________ 12 Administration der Massenspeicher
Formatieren im Detail ab Seite 642
Letzte Kontrollmöglichkeit!
Direkt nach dem Erstellen der Partition kann die neue Partition durch den Assistenten auch gleich formatiert werden. Diese zweite Option ist standardmäßig aktiviert. Dazu können Sie die folgenden Optionen festlegen: - ZU VERWENDENDES DATEISYSTEM: Bei Basisfestplatten können Sie sich hier zwischen FAT, FAT32 und NTFS als Dateisystem entscheiden. - GRÖßE DER ZURORDNUNGSEINHEIT: Normalerweise sollten Sie hier die Standardeinstellung übernehmen. - VOLUMEBEZEICHNUNG: Sie können dem Laufwerk gleich eine erklärende Bezeichnung geben. - SCHNELLFORMATIERUNG DURCHFÜHREN Dies beschleunigt den Formatprozess drastisch, erfolgt aber ohne eine ausgiebige Überprüfung. - KOMPRIMIERUNG FÜR DATEIEN UND ORDNER AKTIVIEREN Haben Sie als Dateisystem NTFS ausgewählt, können Sie die NTFS-Komprimierung gleich für die ganze Partition aktivieren. Davon ist aber in der Regel abzuraten. Weitergehende Informationen finden Sie in Abschnitt 11.2.5 NTFS-Komprimierung ab Seite 561. Ausführliche Informationen finden Sie zu diesem Thema in Abschnitt 12.5 Volumes formatieren ab Seite 642. Möchten Sie die Formatierung nicht durch den Assistenten, sondern selbst zu einem späteren Zeitpunkt durchführen, wählen Sie DIESES VOLUME NICHT FORMATIEREN im Dialogfenster. 6. Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen der Partition noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird. Hier können Sie die getroffenen Einstellungen überprüfen. Haben Sie einen Fehler festgestellt, können Sie den Prozess mit Klick auf ABBRECHEN stoppen und die Festplatte bleibt unverändert.
12.3.3 Anlegen von erweiterten Partitionen und logischen Laufwerken
Grundlagen ab Seite 530
Erweiterte Partitionen auf Basisdatenträgern können Sie sowohl mit Hilfe der Datenträgerverwaltung (siehe Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592) als auch mit dem Kommandozeilenwerkzeug DISKPART.EXE (ausführliche Beschreibung ab Seite 600) anlegen. Informationen zu den Partitionstypen finden Sie in Abschnitt 10.3.1 Partitionen und Partitionstypen ab Seite 530. In diesem Abschnitt finden Sie die Beschreibung für den Weg über die Datenträgerverwaltung.
12.4 Dynamische Datenträger einrichten ____________________________________ 633 Öffnen Sie die Datenträgerverwaltung und markieren Sie mit der Maus in der grafischen Ansicht einen freien, unpartitionierten Bereich auf dem betreffenden Basisdatenträger. Wählen Sie aus dem Kontextmenü zu diesem NEUES EINFACHES VOLUME (siehe Abbildung 12.11 auf Seite 630). Sobald drei Primär-Partitionen auf der Festplatte bereits erstellt sind, wird die vierte Partition (und weitere) als Erweiterte Partition erstellt. Der Ablauf ist identisch wie der im Abschnitt 12.3.2 Anlegen von primären Partitionen ab Seite 629 beschriebene. Sobald Volumes in einer erweiterten Partition anlegt werden, wird für jedes Volumes automatisch ein Logisches Laufwerk eingerichtet. Eine manuelle Einrichtung von Logischen Laufwerken ist nicht erforderlich.
12.4 Dynamische Datenträger einrichten Um die Funktionen und Vorteile dynamischer Datenträger nutzen zu können, müssen Sie die Festplatten entsprechend einrichten. Alle Hintergrundinformationen dazu finden Sie in Abschnitt 10.4 Dynamische Datenträger ab Seite 533. Beachten Sie, dass dieser Festplattentyp nur mit Windows 2000/2003, XP und Vista kompatibel ist. Wenn Sie eine neue Festplatte in Ihren Computer einsetzen, wird diese gleich als Basisdatenträger eingerichtet. Sie können jederzeit eine vorhandene Festplatte, die als Basisdatenträger eingerichtet ist, in einen dynamischen Datenträger konvertieren.
Grundlagen ab Seite 533
Neue Festplatten: Standardeinrichtung als Basisdatenträger durch Windows Vista
12.4.1 Basis- in dynamische Datenträger konvertieren Bevor Sie die Umwandlung eines Basis- in einen dynamischen Datenträger vornehmen, sollten Sie die Hinweise in Abschnitt 10.4.1 Erstellung und Aufbau dynamischer Datenträger ab Seite 533 beachten. Bedenken Sie vor allem, dass eine Rückkonvertierung eines dynamischen in einen Basisdatenträger nicht ohne weiteres möglich ist. Die Konvertierung können Sie über die Datenträgerverwaltung (siehe auch Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592) oder das Kommandozeilentool DISKPART.EXE vornehmen (siehe Seite 600). Im folgenden Text wird das Vorgehen über die Datenträgerverwaltung beschrieben. 1. Öffnen Sie die Datenträgerverwaltung und markieren Sie mit der Maus in der grafischen Ansicht den betreffenden Basisdatenträger. Wählen Sie aus dem Kontextmenü zu diesem IN DYNAMISCHEN DATENTRÄGER KONVERTIEREN. 2. Im dann folgenden Dialogfenster des Assistenten können Sie explizit noch einmal die gewählte Festplatte für die Konvertierung bestätigen. Dabei werden Ihnen alle bislang bestehenden Basisdatenträger angezeigt. Wollen Sie zusätzlich noch weitere Basisdatenträger konvertieren lassen, müssen Sie diese hier nur markieren.
Achtung: Vorgang nicht umkehrbar!
D ATENTRÄGERVERWALTUNG oder DISKPART.EXE
634 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.15: Auswahl der Basisfestplatten für die Konvertierung
3. Vor dem Start der Konvertierung erhalten Sie noch eine Übersicht über die ausgewählten Basisdatenträger. Klicken Sie auf DETAILS, um eine Liste mit allen physischen Festplatten inklusive der auf ihnen befindlichen Volumes angezeigt zu bekommen. Diese Volumes, bislang primäre Partitionen oder logische Laufwerke in einer erweiterten Partition, werden dann bei der Konvertierung in dynamische Volumes umgewandelt. Abbildung 12.16: Anzeige der Details zur Basisfestplatte vor der Konvertierung
4. Haben Sie alle Einstellungen überprüft, klicken Sie im Dialogfenster ZU KONVERTIERENDE DATENTRÄGER auf die Schaltfläche KONVERTIEREN. Sie erhalten noch eine Sicherheitsrückfrage, die Sie mit Klick auf JA bestätigen müssen. Abbildung 12.17: Warnung vor dem Beginn der Konvertierung
12.4 Dynamische Datenträger einrichten ____________________________________ 635 5. Abschließend wird eine Warnung angezeigt, die Sie darüber informiert, dass die Bereitstellung des Dateisystems aufgehoben wird. Dies passiert aber nur dann, wenn bereits Volumes auf der Basisfestplatte existieren. Während der Konvertierung kann natürlich nicht auf die Volumes zugegriffen werden. Deshalb sollten Sie vor diesem Vorgang alle Anwendungen schließen beziehungsweise Netzwerkverbindungen trennen, die auf Dateien auf dem betreffenden Laufwerk zugreifen. Nach Bestätigung der Warnung mit Klick auf JA wird die Konvertierung gestartet. Diese nimmt in der Regel nur wenig Zeit in Anspruch. Danach liegt der gewählte Basisdatenträger als dynamischer Datenträger vor. Die nun dynamischen Volumes auf diesem sind nach der Konvertierung so genannte Einfache dynamischen Volumes. Weitergehende Informationen erhalten Sie dazu in Abschnitt 12.4.3 Einfache Volumes und ihre Erweiterung ab Seite 636.
Konvertieren des Windows Vista-Startdatenträgers Sie können prinzipiell den Basisdatenträger in einen dynamischen Neustart nicht Datenträger konvertieren, welcher die Startpartition enthält. Anders notwendig als bei Windows XP ist dabei kein Neustart von Windows notwendig.
12.4.2 Dynamische in Basisdatenträger konvertieren Grundsätzlich können Sie dynamische Datenträger wieder zurück in Basisdatenträger konvertieren. Allerdings müssen erst alle bestehenden Volumes auf dem betreffenden dynamischen Datenträger gelöscht werden. Die Konvertierung können Sie über die Datenträgerverwaltung (siehe D ATENTRÄGERVERauch Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite WALTUNG oder 592) oder das Kommandozeilentool DISKPART.EXE vornehmen (siehe DISKPART.EXE Seite 600). Im folgenden Text wird das Vorgehen über die Datenträgerverwaltung beschrieben: 1. Sichern Sie die Daten von allen Volumes, die sich bisher auf dem betreffenden dynamischen Datenträger befinden. 2. Löschen Sie nacheinander alle Volumes auf dem dynamischen Datenträger. Markieren Sie dazu das betreffende Volume in der grafischen Ansicht der Datenträgerverwaltung und wählen Sie über das Kontextmenü VOLUME LÖSCHEN . Bestätigen Sie die folgende Sicherheitsrückfrage mit einem Klick auf JA. Abbildung 12.18: Sicherheitsrückfrage vor dem endgültigen Löschen
636 ______________________________________ 12 Administration der Massenspeicher Führen Sie das Löschen für alle anderen Volumes auf diesem dynamischen Datenträger durch, bis dieser vollkommen leer ist. Das erkennen Sie daran, dass der gesamte Speicherplatz als NICHT ZUGEORDNET gekennzeichnet ist. 3. Eine Konvertierung zurück in eine Basispartition brauchen Sie nicht explizit zu starten. Nach dem Löschen des letzten Volumes wird der Datenträger automatisch in einen Basisdatenträger konvertiert. Weitere Informationen erhalten Sie dazu in Abschnitt 12.3 Basisdatenträger einrichten ab Seite 627.
12.4.3 Einfache Volumes und ihre Erweiterung DATENTRÄGERVERWALTUNG oder DISKPART.EXE
Volumes auf dynamischen Datenträgern können Sie über die Datenträgerverwaltung (siehe auch Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592) oder das Kommandozeilentool DISKPART.EXE (siehe Seite 600) erstellen. Sie können aber auch aus der Konvertierung eines Basisdatenträgers hervorgegangen sein. Beachten Sie dabei die Hinweise in Abschnitt 10.4.1 Erstellung und Aufbau dynamischer Datenträger ab Seite 533. Die folgenden Abschnitte zeigen, wie Sie einfache dynamische Volumes über die Datenträgerverwaltung neu erstellen und nachträglich erweitern können.
Erstellen eines einfachen Volumes Ein einfaches Volume auf einem dynamischen Datenträger können Sie mit Hilfe eines Assistenten über die Datenträgerverwaltung erstellen. Gehen Sie dazu wie folgt vor: 1. Markieren Sie einen freien Bereich auf dem betreffenden dynamischen Datenträger und wählen Sie im Kontextmenü den Punkt NEUES VOLUME. Abbildung 12.19: Ein neues einfachesVolume anlegen
Datenträger erweitern
2. Die weitere Abfolge ist identisch, wie sie für Basisdatenträger in Abschnitt 12.3.2 auf Seite 629 beschrieben wird. Das erstellte einfache Volume können Sie jederzeit erweitern. Bedingung sind dabei das Dateisystem NTFS sowie freier Speicherplatz auf einem dynamischen Datenträger. Die genaue Beschreibung des Vorgehens dazu finden Sie im nachfolgenden Abschnitt beziehungsweise für ein übergreifendes Volume in Abschnitt 12.4.4 Übergreifende Volumes ab Seite 639.
12.4 Dynamische Datenträger einrichten ____________________________________ 637 Erweitern eines einfachen Volumes Ein einfaches dynamisches Volume können Sie jederzeit mit freiem Speicherplatz auf einem dynamischen Datenträger erweitern. Dieser Vorgang erfordert keinen Neustart des Computers. Die folgenden Voraussetzungen müssen dazu erfüllt sein: Das betreffende Volume ist nicht System- oder Startvolume von Windows Vista. Diese Volumes lassen sich nicht erweitern. Es steht nicht zugewiesener freier Speicherplatz auf demselben oder einem anderen dynamischen Datenträger zur Verfügung. Haben Sie nur nicht partitionierten Speicherplatz auf einem Basisdatenträger frei, müssen Sie diesen zunächst in einen dynamischen Datenträger konvertieren (mehr dazu in Abschnitt 12.4.1 Basis- in dynamische Datenträger konvertieren ab Seite 633). Das dynamische Volume ist kein Stripesetvolume. Diese Volumeart lässt sich nicht dynamisch in der Größe erweitern (siehe auch Abschnitt 12.4.5 Stripesetvolume erstellen ab Seite 640). Das Dateisystem des einfachen Volumes ist NTFS. Volumes, die mit den Dateisystemen FAT oder FAT32 formatiert worden sind, lassen sich nicht erweitern. Weitere Informationen finden Sie in Abschnitt 10.4.2 Einfache Volumes und ihre Erweiterung ab Seite 536. Gehen Sie für die Erweiterung eines einfachen Volumes über die Datenträgerverwaltung wie folgt vor: 1. Markieren Sie das betreffende Volume und wählen Sie im Kontextmenü den Punkt VOLUME ERWEITERN . Damit startet der entsprechende Assistent, der Sie durch die weiteren Einrichtungsschritte führt.
Voraussetzungen
Grundlagen ab Seite 536 Vorgehen bei der Erweiterung
Abbildung 12.20: Kontextmenü zu einem einfachen Datenträger
2. Nach dem Begrüßungsdialog kommen Sie zur Auswahl des freien Bereichs, um den das Volume erweitert werden soll. Dabei sind Sie nicht auf nur einen einzigen Bereich beschränkt. In diesem Dialogfenster werden im linken Bereich VERFÜGBAR die dynamischen Datenträger angezeigt, die über freie, noch nicht durch Volumes be-
638 ______________________________________ 12 Administration der Massenspeicher setzte Bereiche verfügen. Über die Schaltfläche HINZUFÜGEN nehmen Sie diese in die rechte Liste AUSGEWÄHLT auf. Abbildung 12.21: Festplatten und Bereiche für Erweiterung auswählen
Flexibel erweiterbar
Abbildung 12.22: Erweitertes Volume, hier als übergreifendes Volume über mehr als einen Datenträger
Für jede ausgewählte Festplatte können Sie zusätzlich die zu verwendende Speichermenge für die Erweiterung über die Option SPEICHERPLATZ IN MB bestimmen. 3. Im abschließenden Zusammenfassungs-Dialogfenster des Assistenten können Sie die getroffenen Einstellungen noch einmal überprüfen und gegebenenfalls den ganzen Vorgang abbrechen. Mit einem Klick auf FERTIGSTELLEN wird die Erweiterung vorgenommen. Ein Neustart ist dabei nicht notwendig. Die hinzugekommenen Teile werden ebenfalls NTFS-formatiert und mit dem ursprünglichen Volume zu einer einzigen logischen Einheit verbunden. Ein einmal erweitertes Volume können Sie mit dem geschilderten Verfahren immer weiter vergrößern. In der Datenträgerverwaltung wird die Erweiterung in der grafischen Anzeige durch die Unterteilung in die einzelnen physischen Teile deutlich.
12.4 Dynamische Datenträger einrichten ____________________________________ 639 Das erweiterte Volume verhält sich für den Benutzer wie eine einzige große Festplatte. Die einzelnen Teile sind dabei nicht sichtbar. Der logische Diskmanager von Windows Vista stellt sicher, dass intern die Speicherung der Daten auf die einzelnen neuen Teile ausgedehnt wird. So einfach und flexibel Sie ein dynamisches Volume auch erweitern Unmöglich: können, so unmöglich ist es leider, Erweiterungen wieder zu entfer- Erweiterungen nen. Wenn Sie die physische Struktur eines dynamischen Volumes entfernen nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Volumes.
12.4.4 Übergreifende Volumes Ein übergreifendes Volume in Windows Vista kennzeichnet die Zusammenfassung von Speicherbereichen auf mindestens zwei physischen dynamischen Datenträgern. Ein übergreifendes Volume mit praktisch beliebig vielen Teilen kann sich maximal auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem für ein übergreifendes Volume können Sie FAT, FAT32 oder NTFS verwenden. Erweiterbar sind aber nur NTFS-formatierte Volumes. Ein übergreifendes Volume können Sie auf zwei verschiedene Arten erzeugen: 1. Sie erzeugen das Volumes komplett neu, indem Sie freien Speicherplatz auf mindestens zwei dynamischen Datenträgern zusammenführen. 2. Sie erweitern ein einfaches Volume um mindestens einen freien Bereich auf einem anderen dynamischen Datenträger (siehe vorhergehender Abschnitt). Für die Erzeugung übergreifender Volumes können Sie die Daten- D ATENTRÄGERVERträgerverwaltung (siehe auch Abschnitt 12.1.2 Snap-In Datenträgerver- WALTUNG oder waltung im Detail ab Seite 592) oder das Kommandozeilentool DISKPART.EXE DISKPART.EXE (siehe Seite 600) nutzen.
Neuanlage eines übergreifenden Volumes Gehen Sie für die Neuanlage eines übergreifenden Volumes über die Datenträgerverwaltung wie folgt vor: 1. Markieren Sie einen freien Bereich auf dem betreffenden dynamischen Datenträger und wählen Sie im Kontextmenü den Punkt NEUES ÜBERGREIFENDES VOLUME. Abbildung 12.23: Ein neues übergreifendes Volume erstellen
640 ______________________________________ 12 Administration der Massenspeicher 2. Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl der Bereiche mit verfügbaren dynamischen Datenträgern, aus denen das neue übergreifende Volume gebildet werden soll. Abbildung 12.24: Bereiche für das übergreifende Volume auswählen
Weitere Schritte ab Seite 636
Im linken Fensterbereich werden nur die dynamischen Datenträger angezeigt, die freien Speicherplatz zur Verfügung haben. Basisdatenträger erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Möchten Sie ihre Auswahl ändern und die angezeigte Festplatte aus der Liste löschen, markieren Sie diese und klicken auf ENTFERNEN . Eine Festplatte können Sie in die Auswahl aufnehmen, indem Sie diese markieren und HINZUFÜGEN wählen. Im Dialogfenster des Assistenten können Sie für jeden Bereich die Größe über die Option SPEICHERPLATZ IN MB einstellen, die dieser für den übergreifenden Datenträger bereitstellen soll. Die weiteren Einrichtungsschritte entsprechen exakt denen für die Erstellung eines einfachen Volumes und werden ab Seite 636 ausführlich beschrieben.
12.4.5 Stripesetvolume erstellen Grundlagen ab Seite 536
Ein Stripesetvolume in Windows Vista kennzeichnet die Zusammenfassung von gleich großen Speicherbereichen auf mindestens zwei dynamischen Datenträgern. Durch die Aufteilung des Datenstroms in kleine Einheiten gleicher Größe und die parallele Speicherung erreichen Sie einen hohen Performancegewinn (siehe auch Abschnitt 10.4.3 Stripesetvolumes ab Seite 536). Ein Stripesetvolume kann sich auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem können Sie FAT32 oder NTFS verwenden, nicht jedoch FAT. Erweitert werden kann ein Stripesetvolume generell nicht.
12.4 Dynamische Datenträger einrichten ____________________________________ 641 Für die Erzeugung von Stripesetvolumes können Sie die Datenträgerverwaltung (siehe auch Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592) oder das Kommandozeilentool DISKPART.EXE (siehe Seite 600) einsetzen. Gehen Sie für die Neuanlage eines Stripesetvolumes über die Datenträgerverwaltung wie folgt vor: 1. Markieren Sie einen freien Bereich auf einem der betreffenden dynamischen Datenträger und wählen Sie im Kontextmenü den Punkt NEUES STRIPESETVOLUME. Abbildung 12.25: Ein neues Stripesetvolume erstellen
2. Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl der Bereiche auf den verfügbaren dynamischen Datenträgern, aus denen sich das Stripesetvolume zusammensetzen soll. Im linken Fensterbereich werden nur die dynamischen Datenträger angezeigt, die freien Speicherplatz zur Verfügung haben. Basisdatenträger erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Möchten Sie ihre Auswahl ändern und die angezeigte Festplatte aus der Liste löschen, markieren Sie diese und klicken auf ENTFERNEN . Eine Festplatte können Sie in die Auswahl aufnehmen, indem Sie diese markieren und HINZUFÜGEN wählen. Abbildung 12.26: Bereiche für das Stripesetvolume auswählen
642 ______________________________________ 12 Administration der Massenspeicher
Bereiche müssen gleich groß sein
Im Dialogfenster des Assistenten können Sie für jeden Bereich die Größe über die Option SPEICHERPLATZ IN MB einstellen, die dieser für das Volume bereitstellen soll. Da bei einem Stripesetvolume alle beteiligten physischen Festplatten mit gleich großen Anteilen vertreten sein müssen, richtet sich die maximale Größe nach der des kleinsten beteiligten Bereichs (siehe Abbildung 12.27).
Abbildung 12.27: Datenträger zum Stripeset hingefügt
Weitere Schritte ab Seite 636
Die weiteren Einrichtungsschritte entsprechen exakt denen für die Erstellung eines einfachen Volumes und sind ab Seite 636 ausführlich beschrieben.
12.5 Volumes formatieren Grundlagen zu Dateisystemen ab Seite 543
Administratorrecht erforderlich
Um Volumes, dazu zählen u.a. Partitionen und logische Laufwerke auf Basisdatenträgern, dynamische Volumes und Wechselspeichermedien, nutzen zu können, müssen diese zuerst mit einem Dateisystem formatiert werden. In diesem Abschnitt geht es darum, die konkreten Administrationsschritte dazu zu zeigen. Die Grundlagen der Dateisysteme, die durch Windows Vista unterstützt werden, sind Inhalt des Kapitels 11 ab Seite 543. Laufwerke können Sie mit einem Dateisystem formatieren, wenn Sie als Administrator angemeldet sind beziehungsweise die erforderlichen Rechte besitzen. Eine Ausnahme bildet das Formatieren von Disketten, wofür Sie keine gesonderten Rechte benötigen. Es ist generell nicht möglich, System- oder Startvolumes zu formatieren.
12.5 Volumes formatieren _________________________________________________ 643
12.5.1 Übersicht über die Format-Werkzeuge Unter Windows Vista können Sie Volumes auf vier verschiedene Arten formatieren: im Windows Explorer (siehe nachfolgender Abschnitt) in der Datenträgerverwaltung (siehe Abschnitt 12.1.2 Snap-In Datenträgerverwaltung im Detail ab Seite 592) mit dem Kommandozeilen-Tool DISKPART.EXE (siehe Seite 609). mit dem Kommandozeilen-Programm FORMAT.COM (siehe Abschnitt 12.5.3 Das Kommandozeilen-Programm FORMAT.COM ab Seite 647). Die Programme DISKPART.EXE und FORMAT.COM sind ohne grafische Oberfläche zur Bedienung ausgestattet und eignen sich auch für die Einbindung in Stapelverarbeitungsdateien. Bei den beiden ersten Varianten wird jeweils ein grafisches FormatDienstprogramm von Windows Vista gestartet. Diese Programme erlauben durch ihre einfache Bedienoberfläche eine problemlose Einstellung aller notwendigen Parameter. Die Datenträgerverwaltung unterstützt nicht das Formatieren von Dis- Disketten nicht in ketten. Das können Sie nur im Windows Explorer oder mit dem Kom- der Datenträgervermandozeilen-Programm FORMAT.COM erledigen. Andere Wechselda- waltung tenträger werden allerdings in der Datenträgerverwaltung direkt unterstützt.
12.5.2 Formatieren mit grafischen Dienstprogrammen Ein grafisches Dienstprogramm zum Formatieren starten Sie über das Kontextmenü eines Laufwerks oder in der Datenträgerverwaltung. Abbildung 12.28: Formatsoftware im Windows-Explorer
644 ______________________________________ 12 Administration der Massenspeicher Wählen Sie aus dem Kontextmenü den Punkt FORMATIEREN. In der Datenträgerverwaltung finden Sie das im Hauptmenü unter AKTION | ALLE AUFGABEN | FORMATIEREN. Ungewohnt ist die Schaltfläche GERÄTESTANDARDS WIEDERHERSTELLEN. Abhängig von der verfügbaren Speicherkapazität stellt der Explorer die Größe der Zuordnungseinheiten ein. Möchten Sie aber gerätespezifische Standards, setzen Sie mit GERÄTESTANDARDS WIEDERHERSTELLEN auch das ausgewählte Dateisystem zurück. Das Formatprogramm aus der DATENTRÄGERVERWALTUNG unterscheidet sich ein wenig von dem aus dem Windows Explorer. Abbildung 12.29: Formatsoftware in der Datenträgerverwaltung
Option SPEICHERKAPAZITÄT für Disketten
Dateisystem auswählen
Nur über den Windows Explorer haben Sie die Option SPEICHERKAPAZITÄT zur Verfügung. Diese dient ausschließlich dem Formatieren von Disketten, um beispielsweise neben den normalen 1,44 MB Disketten auch 2,88 MB oder 720 KB-Datenträger erstellen zu können. Für Volumes auf anderen Datenträgern hat diese Option keine Bedeutung. Teilweise können Sie hier die Kapazität des Volumes sehen. Manchmal wird auch nur Unbekannte Kapazität angezeigt. Für die Formatierung wählen Sie dann das gewünschte Dateisystem aus. Windows XP unterstützt die drei Dateisysteme FAT, FAT32 und NTFS. Allerdings bietet Ihnen das Formatprogramm in der Datenträgerverwaltung (siehe Abbildung 12.29) für Volumes auf dynamischen Datenträgern nur noch NTFS zur Auswahl an. Das ist sinnvoll, da auf diese ohnehin nur Windows 2000, Windows XP und Windows Vista zugreifen können. Wollen Sie trotzdem ein anderes Dateisystem für das Volume benutzen, gehen Sie einfach über das Formatprogramm des Windows Explorers. Dieses bietet generell alle drei Dateisysteme an. Allerdings wird das Dateisystem FAT nur dann angezeigt und kann ausgewählt werden, wenn die Volumegröße unter 2 GB beträgt. Das Gleiche trifft auch für FAT32 zu, welches nur bis zu einer Volumegröße von 32 GB unter Windows Vista zum Formatieren genutzt werden kann. Für eine reine Windows Vista Arbeitsstation empfiehlt sich uneingeschränkt der Einsatz des Dateisystems NTFS. Nur auf Systemen, die neben Windows Vista noch andere Betriebssysteme beherbergen, sind FAT oder FAT32 auf den System- beziehungsweise Startpartitionen sinnvoll, die sich dann aber auf Basisdatenträgern befinden müssen.
12.5 Volumes formatieren _________________________________________________ 645 Alle Freiheitsgrade hinsichtlich der Formatierung von Volumes haben Sie, wenn Sie das Kommandozeilenprogramm FORMAT.COM einsetzen. Damit können Sie beispielsweise auch FAT16-Volumes mit mehr als 2 GB und einer Clustergröße von 64 KB einstellen. Für das Formatieren können Sie neben der Auswahl des Dateisystems eine Reihe von weiteren Optionen festlegen (siehe Abbildung 12.28): GRÖßE DER ZUORDNUNGSEINHEITEN Die Verwendung des Standardwertes wird empfohlen. Sie können bei Bedarf aber den Wert selbst festlegen. Die Zuordnungseinheit, auch Cluster genannt, ist die kleinste Einheit, die für die Speicherung von Daten verwendet wird. Je kleiner der Wert ist, desto effizienter kann der Speicherplatz für eine Datei ausgenutzt werden. Es sinkt aber auch die Performance und die Fragmentierung des Speicherplatzes wird gefördert. Große Cluster erlauben eine hohe Performance, da die Daten in großen Blöcken gelesen und geschrieben werden können. Das ist eine gute Einstellung, wenn Sie Volumes für große Multimedia-Dateien (Filme, Videos und Musiktitel) vorgesehen haben. In Tabelle 11.2 auf Seite 547 sind die Standard-Clustergrößen für die Dateisysteme FAT, FAT32 und NTFS zusammengefasst. Die manuelle Einstellung kleiner Clustergrößen zwischen 1 und 4 KB für eine Partition kann für Volumes sinnvoll sein, die viele kleine Dateien beherbergen sollen, beispielsweise Textdateien oder kleine Tabellen ohne die Verwendung eingesetzter Grafiken. Große Cluster von 16 KB bis 64 KB oder darüber hinaus können die Performance beispielsweise von Bildverarbeitungscomputern steigern. Erstellen Sie mit diesen Clustergrößen aber nur spezielle Arbeitsvolumes, auf die große Bilddateien abgelegt werden oder die als temporäre Speicher für Bildverarbeitungssoftware dienen. Die Komprimierungsfunktionalität von NTFS wird nur für Clustergrößen bis 4 KB unterstützt. Für NTFS-Volumes mit größeren Clustern steht die Komprimierung nicht zur Verfügung (siehe auch Abschnitt 11.2.5 NTFS-Komprimierung ab Seite 561). Nur die Dateisysteme FAT32 und NTFS erlauben auch die manuelle Einstellung sehr kleiner Cluster für große Volumes. FAT ist hier aufgrund seiner internen Adressierung sehr begrenzt. SCHNELLFORMATIERUNG DURCHFÜHREN Die Schnell- (oder auch Quick-) Formatierung war schon unter MSDOS ab Version 6 eingeführt worden und beschleunigte den Formatiervorgang deutlich. Voraussetzung war hier jedoch, dass das Laufwerk bereits mit dem gleichen Dateisystem einmal formatiert worden war. Die Schnellformatierung können Sie einsetzen, egal ob das Volume nagelneu oder bereits mit irgendeinem anderen Dateisystem formatiert ist. Dabei wird auf eine Überprüfung der Sektoren auf physische Fehler verzichtet. Das bedeutet allerdings auch ein erhöhtes Risiko, da eventuelle Defekte nicht erkannt werden und
Maximale Einstellmöglichkeiten mit FORMAT.COM
Zuordnungseinheit
Anwendungsbeispiel eigener Clustergrößen
Beschränkungen für FAT Quickformat
Risiko beachten
646 ______________________________________ 12 Administration der Massenspeicher
Datenträgerbezeichnung
Komprimierung
später zur Beeinträchtigung oder zum Verlust von Daten führen können. Allerdings hält sich das Risiko bei modernen Festplatten in Grenzen, da IDE-Festplatten beispielsweise automatisch defekte Sektoren ausblenden können. Zeigt eine IDE-Festplatte trotzdem nach einer Formatierung defekte Sektoren an, sollten Sie diese schnellstens austauschen, da dies auf ernstere Beschädigungen des Laufwerks hinweisen kann. Zusammenfassend kann gesagt werden, dass die Schnellformatierung Ihnen nur dann einen Vorteil bringt, wenn Sie sicher sein können, dass der Datenträger keine Defekte aufweist. VOLUMEBEZEICHNUNG Die Volumebezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf ein Volume werden nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe auch Abschnitt 12.6 Volume-Zugriff ändern ab Seite 649). FAT-Volumes können Sie mit einer bis zu 11 Zeichen umfassenden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > " Die Bezeichnung für NTFS-Volumes hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen. KOMPRIMIERUNG AKTIVIEREN Nur dem Dateisystem NTFS vorbehalten ist eine integrierte Komprimierungsfunktion für die gespeicherten Daten. Aktivieren Sie diese schon beim Formatieren für ein Volume, werden standardmäßig alle Dateien und Ordner, die Sie auf diesem anlegen oder kopieren, komprimiert. Komprimierte Dateien können nicht für einen abgesicherten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Daten nicht nachträglich komprimieren. Die Komprimierung auf Ebene des Dateisystems macht nur für Dateien Sinn, die eine hohe Kompressionsrate erlauben. Das sind beispielsweise Textdateien und Dateien von Tabellenkalkulationsprogrammen oder unkomprimierte Bilddaten (BMP, TIF ungepackt etc.). Nicht oder nur schlecht komprimieren lassen sich hingegen ausführbare Programmdateien (EXE, COM, DLL). Dazu kommen spezielle Dokumentenformate wie PDF, Corel Draw oder Microsofts Powerpoint-Dateien, die an sich schon hoch komprimiert abgespeichert werden und für die eine weitere Komprimierung nichts bringt. Da die Komprimierung neben der Nichtverschlüsselbarkeit auch einen Performanceverlust bedeutet, empfiehlt sich die Einstellung nur auf Ordnerebene oder für ausgewählte einzelne Dateien. Weitergehende Informationen finden Sie in Abschnitt 11.2.5 NTFSKomprimierung ab Seite 561.
12.5 Volumes formatieren _________________________________________________ 647 MS-DOS STARTDISKETTE ERSTELLEN Diese Option steht Ihnen nur im Windows Explorer und für das Formatieren von Disketten zur Verfügung. Dabei wird eine Startdiskette mit einem rudimentären MS-DOS erzeugt. Durch das Formatieren werden alle gesetzten Bereitstellungen für das Volume über Laufwerkpfade zurückgesetzt. Nach Ende des Formatiervorgangs werden die Bereitstellungen automatisch wiederhergestellt. Der Fortschritt des Formatiervorganges wird in der Datenträgerverwaltung direkt in der grafischen Anzeige für das Volume angezeigt. Ist der Vorgang beendet, erfolgt keine separate Meldung mit Angabe des Formatiererfolges. Beim Formatieren über den Windows Explorer sehen Sie den Fortgang mit einem grafischen Balken im Fenster des Formatprogramms. Nach erfolgter Formatierung werden Sie in jedem Fall benachrichtigt. Diese Nachricht sehen Sie auch, wenn Sie die Formatierung im Hintergrund vornehmen. Unter Windows Vista können Sie, genauso wie bei Windows XP, mehrere Formatprozesse parallel in der Datenträgerverwaltung durchführen lassen. Im Windows Explorer geht dies ebenfalls. Zusätzlich können Sie natürlich auch mehrere Eingabeaufforderungen öffnen und in jeder das Kommandozeilenprogramm FORMAT.COM starten.
Zurücksetzen der Bereitstellungen
Formatieren im Windows Explorer
Parallel mehrere Volumes formatieren
12.5.3 Das Kommandozeilen-Programm FORMAT.COM Das Kommandozeilen-Programm FORMAT.COM können Sie über die EINGABEAUFFORDERUNG starten, erreichbar über START | ALLE PROGRAMME | ZUBEHÖR. Die EINGABEAUFFORDERUNG muss mit der im Kontextmenü auszuwählenden Option ALS ADMINISTRATOR AUSFÜHREN geöffnet werden, da sonst der Zugriff auf die Laufwerke verwehrt wird. Standardbenutzern ist es somit unmöglich, »versehentlich« ein Laufwerk zu formatieren. Die Syntax für den Aufruf des Programms lautet: format /FS: [/V:] [/Q] [/A:] [/R:] [/C] [/X] [/P:<schritte>] Für das Formatieren von Disketten gibt es spezielle Optionen, die Sie in diesen Zusammenstellungen benutzen können: format [/V: ] [/Q] [/F:] [/P:<schritte>] format [/V: ] [/Q] [/T:<spuren> /N:<sektoren>] [/P:] format [/Q] [/1] [/4] [/8] format /FS:UDF [/V: ] [/R:] /D Unter geben Sie den Laufwerkbuchstaben, den Laufwerkpfad oder die Volumebezeichnung an. Sie müssen, außer beim Formatieren von Disketten, immer die /FS-Option mit dem gewünschten Dateisystem angeben. Eine weitere Ausnahme bildet die Verwendung
Syntax
Formatieren von Disketten
Formatieren von UDF-Datenträgern
648 ______________________________________ 12 Administration der Massenspeicher von /Q, da dann beim Verzicht auf /FS: das zuvor bestehende Dateisystem beibehalten wird. Ebenso schließt die Verwendung von /Q die Option /P aus. Die Optionen für FORMAT.COM enthält die nachfolgende Tabelle. Tabelle 12.9: Optionen von Format.com
Option
Bedeutung
/FS: Für geben Sie das Dateisystem an: FAT, FAT32, NTFS oder UDF. /V:
Volumebezeichnung, die zugewiesen werden soll. Für ein FAT-Volume kann diese 11 Zeichen, bei NTFS 32 Zeichen lang sein.
/Q
Führt die Formatierung mit Schnellformat (Quick) durch. Dies geschieht sehr viel schneller als die Standardformatierung, da auf eine sektorweise Überprüfung verzichtet wird.
/C
Schaltet die standardmäßige Komprimierung für den Datenträger ein. Gilt nur für NTFS.
/X
Führt die zeitweise Aufhebung der Laufwerkpfade ohne Rückfrage für den zu formatierenden Datenträger durch.
/A:
Ändert die Standardgröße für die Zuordnungseinheiten (siehe auch Tabelle 11.2 auf Seite 547).
/F: /T:<spuren>
Diskettenkapazität: 1.44 Anzahl der Spuren (Tracks) je Seite der Diskette
/N:<sektoren>
Anzahl der Sektoren pro Spur
/P:durchläufe
Setzen jeden Sektor zu den Volumedurchlaufzeiten auf Null.
/R:revision
Gilt nur für UDF: Erzwingt das UDFVersionsformat. Gülitige Werte sind: 1.02, 1.50, 2.00, 2.01 und 2.50. Standardwert ist 2.01.
/D
Gilt nur für UDF 2.50: Metadaten werden dupliziert.
Eine genauere Beschreibung der einzelnen Formatoptionen wie Dateisystem, Quickformat oder Komprimierung finden Sie in Abschnitt 12.5.2 Formatieren mit grafischen Dienstprogrammen ab Seite 643.
12.6 Volume-Zugriff ändern________________________________________________ 649
12.6 Volume-Zugriff ändern Für den Zugriff auf eingerichtete Volumes auf dynamischen oder Basisdatenträgern haben Sie unter Windows Vista verschiedene Möglichkeiten: LaufwerkbuchLaufwerkbuchstaben Die traditionelle Art, auf ein Volume zuzugreifen, stellen Lauf- staben werkbuchstaben dar. Dies war schon seit den ersten Versionen von MS-DOS möglich und wurde bis in die heutigen Windows-Versionen hinübergerettet. Es sind alle 26 Buchstaben des englischen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. Für einen Datenträger kann nur jeweils genau ein Laufwerkbuchstabe definiert werden. Üblich ist dabei die Reservierung von A und B für Disketten- oder ähnliche Wechselspeicherlaufwerke. Das genaue Vorgehen zum Einrichten und Ändern von Laufwerkbuchstaben ist Inhalt des nächsten Abschnitts. Laufwerkpfade Laufwerkpfade Mit einem Laufwerkpfad können Sie ein Volume innerhalb einer Ordnerstruktur eines anderen Volumes einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundenen Datenträgers kann allerdings auch FAT oder FAT32 sein. Beachten Sie, dass bei Einbindung eines FAT- oder FAT32-formatierten Volumes in die Verzeichnisstruktur eines NTFS-Volumes die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung von NTFS für dieses nicht gelten. Das genaue Vorgehen zum Definieren und Ändern von Laufwerkpfaden ist Inhalt des Abschnitts 12.6.2 Laufwerkpfade einrichten und ändern ab Seite 651.
12.6.1 Laufwerkbuchstabe zuweisen und ändern Den Laufwerkbuchstaben definieren oder ändern Sie in der Managementkonsole Datenträgerverwaltung über das Kontextmenü des entsprechenden Volumes oder das Hauptmenü AKTION | ALLE AUFGABEN | L AUFWERKBUCHSTABEN UND PFAD ÄNDERN. Sie gelangen dann zu einem Dialogfenster für die Definition und Änderung der Zugriffsmöglichkeiten zu diesem Volume. Hier werden, falls vorhanden, der aktuell eingestellte Laufwerkbuchstabe und die eventuell definierten Laufwerkpfade angezeigt. Ist noch kein Laufwerkbuchstabe für den Zugriff eingerichtet, können Sie über HINZUFÜGEN einen definieren.
650 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.30: Zugriffsmöglichkeiten zu einem Volume
Zum Ändern eines Laufwerkbuchstabens markieren Sie den bisher gesetzten und gehen über die Schaltfläche ÄNDERN. Sie kommen in ein weiteres Dialogfenster, in dem nur die Option FOLGENDEN LAUFWERKBUCHSTABEN ZUWEISEN aktiv ist. Abbildung 12.31: Ändern des Laufwerkbuchstabens
System- und Startvolume Besetzte Laufwerkbuchstaben
Kein Neustart
Wenn schon eingerichtet, wird der aktuell zugewiesene Laufwerkbuchstabe angezeigt. Ist noch kein Buchstabe für dieses Volume definiert, wird der nächste freie angeboten. Ändern Sie den Buchstaben nach Ihren Bedürfnissen durch Auswahl aus der Liste. Das Ändern von Laufwerkbuchstaben kann weit reichenden Einfluss auf installierte Anwendungen haben. Führen Sie Änderungen an Volumes, die installierte Programme enthalten, deshalb nur mit Bedacht durch. Anderenfalls kann es zu Störungen in Programmfunktionen von Anwendersoftware oder zur generellen Nichtausführbarkeit von Programmen kommen. Windows Vista schützt sich übrigens wirkungsvoll gegen ungewollte Eingriffe. Für System- und Startvolumes lassen sich Laufwerkbuchstaben nachträglich nicht mehr ändern. Es werden nur die Buchstaben zur Auswahl angeboten, die noch verfügbar sind. Wollen Sie einen Laufwerkbuchstaben einem Volume zuordnen, der schon verwendet wird, müssen Sie erst bei diesem anderen Volume den Buchstaben ändern. Wird der Laufwerkbuchstabe des Volumes geändert, wird dies gleich durch die Datenträgerverwaltung aktiviert. Ein Neustart des Betriebssystems ist nicht erforderlich.
12.6 Volume-Zugriff ändern________________________________________________ 651
12.6.2 Laufwerkpfade einrichten und ändern Einen Laufwerkpfad können Sie für beliebige Volumes, die FAT-, FAT32- oder NTFS-formatiert sein können, einrichten. Nur der Bereitstellungsordner muss sich auf einem NTFS-Volume befinden. Der Laufwerkpfad kann also nur in eine NTFS-Struktur eingebunden werden. Laufwerkpfade definieren oder ändern Sie in der Datenträgerverwaltung über das Kontextmenü des entsprechenden Volumes oder das Hauptmenü AKTION | ALLE AUFGABEN | LAUFWERKBUCHSTABEN UND -PFAD ÄNDERN.
Neuen Laufwerkpfad einrichten Einen neuen Laufwerkpfad erzeugen Sie über HINZUFÜGEN im Dialogfenster (siehe auch Abbildung 12.30 auf Seite 650). Im folgenden Dialogfenster können Sie den Laufwerkpfad zu einem NTFS-Volume direkt eingeben. Abbildung 12.32: Laufwerkpfad hinzufügen
Zu beachten ist, dass Sie hier einen leeren Ordner innerhalb eines an- Leerer Ordner auf deren, NTFS-formatierten Volumes angeben müssen. Sie können sich NTFS-Volume die Arbeit ein wenig erleichtern, wenn Sie über DURCHSUCHEN diesen Ordner aussuchen beziehungsweise erstellen. Abbildung 12.33: Durchsuchen nach Bereitstellungsordner
Es werden hier nur die NTFS-Volumes Ihres Computers angeboten. Anzeige der NTFSFAT/FAT32-formatierte Volumes erscheinen in der Auswahlliste Datenträger nicht. Wählen Sie einen beliebigen leeren Ordner aus. Sie können über NEUER ORDNER auch einen neuen, leeren Ordner erstellen.
652 ______________________________________ 12 Administration der Massenspeicher Wechseldatenträger
Im Dateisystem NTFS-formatierter Wechseldatenträger können keine Laufwerkpfade anderer Volumes eingebunden werden. Allerdings können Sie für Wechseldatenträger Laufwerkpfade innerhalb anderer, fester NTFS-Volumes definieren. Nach Abschluss der Definition steht der Laufwerkpfad sofort zur Verfügung. Für den Benutzer oder Applikationen geschieht dies völlig transparent. Es ist praktisch nur ein Ordner hinzugekommen, hinter dem sich ein weiteres Volume mit seiner Dateistruktur verbirgt. Beachten Sie, dass die Sicherheitseinstellungen, die Sie für NTFSVolumes definieren können, sich nicht auf durch Laufwerkpfade eingebundene Volumes ausdehnen, die mit dem FAT- oder FAT32-Dateisystem formatiert sind.
Laufwerkpfad löschen Einen gesetzten Laufwerkpfad löschen Sie über E NTFERNEN im Dialogfenster für die Änderung der Zugriffsmöglichkeiten. Abbildung 12.34: Sicherheitsabfrage vor dem Löschen
Bevor der Vorgang durch die Datenträgerverwaltung ausgeführt wird, erhalten Sie eine letzte Sicherheitsabfrage. Die Löschung des Laufwerkpfads eines Volumes kann Auswirkung auf das richtige Funktionieren von Anwendungsprogrammen haben. Die Löschung des Laufwerkpfads wird sofort ohne einen Neustart zu benötigen wirksam. Dabei wird der Bereitstellungsordner nicht physisch gelöscht, sondern steht weiterhin als jetzt leerer Ordner zur Verfügung.
Laufwerkpfad ändern Einmal gesetzte Laufwerkpfade zu bestimmten Volumes können nachträglich leider nicht geändert werden. Es bleibt Ihnen nur der Weg, den Laufwerkpfad zu löschen und einen neuen zu definieren. Ändern können Sie aber den Namen des Ordners, über den das VoName und Ort innerhalb desselben lume eingebunden worden ist. Diesen können Sie auch innerhalb desVolumes selben NTFS-Volumes verschieben oder auf andere Laufwerke kopieren. Änderungen nicht möglich
12.6 Volume-Zugriff ändern________________________________________________ 653
12.6.3 Das Kommandozeilen-Tool MOUNTVOL.EXE Alternativ zu den grafischen Tools über die Datenträgerverwaltung können Sie Bereitstellungspunkte mit dem Programm MOUNTVOL.EXE ändern. Mountvol [] Syntax Mountvol [] /D Mountvol [] /L Mountvol [] /P Mountvol [] /R Mountvol [] /N Mountvol [] /E Der Aufruf von MOUNTVOL ohne eine weitere Angabe bringt eine kurze Erklärung der Syntax sowie eine Liste aller eingerichteten Bereitstellungspunkte auf den Bildschirm. Option
Tabelle 12.10: Optionen von Gibt den Laufwerksbuchstaben an, unter dem das Mountvol.exe Volume verfügbar sein soll (siehe Hinweis unten)
Erklärung
oder gibt den Laufwerksbuchstaben des Volumes an, auf dem die Bereitstellung in dem unter abgegebenen Ordner eingerichtet werden soll.
Angabe des Laufwerkspfades, der als Bereitstellungsort eingerichtet werden soll. Dieser muss bereits als leerer Ordner auf dem NTFS-Volume bereitstehen.
Ist die eindeutige Bezeichnung des Volumes, für das die Bereitstellung erzeugt werden soll.
/D
Löscht den angegebenen Bereitstellungspunkt. Zurück bleibt ein normaler leerer Ordner.
/L
Zeigt den Namen des bereitgestellten Volumes an.
/P
Entfernt den Volumebereitstellungspunkt vom angegebenen Ordner. Die Volumebereitstellung wird entfernt und das Volume wird auf nicht mehr bereitstellbar gesetzt. Es muss ein neuer Volumebereitstellungspunkt gesetzt werden, um das Volume wieder bereitstellbar zu machen.
/R
Entfernt Ordner für Volumebereitstellungspunkte und Registriereinstellungen für Volumes, die nicht mehr existieren.
/N
Schaltet die automatische Bereitstellung neuer Volumes ab.
654 ______________________________________ 12 Administration der Massenspeicher Option /E Beispiele
Erklärung Schaltet die automatische Bereitstellung neuer Volumes ein.
Die folgenden Beispiele zeigen die praktische Nutzung des Programms MOUNTVOL: Mountvol d:\laufwerkc\ \\?\Volume{0e566... 07-2696f}\ Hier wird auf dem NTFS-Volume D: im Verzeichnis \laufwerkc des Volumes C: eingebunden. Die Volumebezeichnung entnehmen Sie einfach der Ausgabe, die Sie mit dem Aufruf von MOUNTVOL ohne Optionen erhalten. Der folgende Aufruf löscht den eingerichteten Bereitstellungspunkt wieder: Mountvol d:\laufwerkc /D Das nächste Beispiel richtet für das angegebene Volume den Laufwerkbuchstaben H: ein: Mountvol h: \\?\Volume{0e566... 07-2696f}\ Für jedes Volume lässt sich nur genau ein Laufwerkbuchstabe einrichten. Wollen Sie den Zugriff für ein Volume über einen anderen Laufwerkbuchstaben ermöglichen, müssen Sie zuvor den vorhandenen Laufwerkbuchstaben entfernen. Mountvol H: /D Dieser Aufruf entfernt beispielsweise den Zugriff über den Laufwerkbuchstaben H: für das Volume.
12.7 Erweiterte NTFS-Attribute Die folgenden erweiterten NTFS-Attribute können Sie für Dateien und Ordner oder für ganze Volumes setzen: Tabelle 12.11: Erweiterte NTFSAttribute
Verschlüsselndes Dateisystem (EFS)
Attribut
Beschreibung
Komprimierung
Komprimiert Dateien mit dem NTFS-Kompressionsalgorithmus (siehe Abschnitt 11.2.5 NTFSKomprimierung ab Seite 561).
Indizierung
Bezieht gekennzeichnete Dateien und Ordner mit in den Indexdienst ein (siehe Abschnitt 12.13 Windows Suche und die Indizierung ab Seite 727).
Mit dazu gehört eigentlich auch das Attribut »Verschlüsselung«. Dieses können Sie auf Datei- und Ordnerebene setzen. Aufgrund der Komplexität seiner Anwendung finden Sie die dazugehörigen Informationen in Abschnitt 12.8 Einrichten und Anwenden des EFS ab Seite 660.
12.7 Erweiterte NTFS-Attribute_____________________________________________ 655
12.7.1 Aktivieren der Komprimierung Für Volumes, die mit dem Dateisystem NTFS formatiert sind, können Sie eine integrierte Komprimierungsfunktion für Dateien nutzen. Diese Komprimierung ist als Dateiattribut transparent für Anwendungen implementiert. Dabei können Sie entscheiden, ob nur für bestimmte Dateien beziehungsweise Ordner oder das gesamte Volume die Komprimierungsfunktion des Dateisystems eingesetzt werden soll. Die Komprimierung können Sie, immer ausreichend Speicherplatz vorausgesetzt, auch jederzeit teilweise oder ganz rückgängig machen. Die Komprimierung von Dateien beziehungsweise das Setzen des Attributs für ganze Ordner wird über die entsprechenden Eigenschaften-Fenster der Volumes, Dateien und Ordner ermöglicht oder mit dem Kommandozeilen-Tool COMPACT.EXE (siehe Seite 657). Für mehr Übersichtlichkeit lassen sich komprimierte Dateien und Ordner im Windows Explorer farbig hervorgehoben darstellen. Öffnen Sie dazu im Explorerfenster über das Hauptmenü ORGANISIEREN die ORDNER- UND SUCHOPTIONEN und aktivieren Sie dort im Abschnitt ANSICHT den Eintrag KOMPRIMIERTE DATEIEN UND ORDNER IN ANDERER FARBE ZEIGEN.
Grafisch oder mit COMPACT.EXE
Farbige Anzeige komprimierter Dateien
Aktivieren der Komprimierung Der einfachste Weg für das Aktivieren der Komprimierung ist das Kontrollkästchen im Setzen des entsprechenden Kontrollkästchens im Eigenschaften- EigenschaftenFenster. Sie können dies auf Datei-, Ordner- und Volumeebene tun. Fenster Bei Dateien und Ordnern finden Sie das Kontrollkästchen in den erweiterten Eigenschaften. Abbildung 12.35: Erweiterte Attribute zu einem Ordner
Aktivieren Sie die Komprimierung für einen Datenträger als Ganzes oder für einen Ordner, erscheint ein Dialogfenster, um das weitere Vorgehen dabei zu bestimmen.
656 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.36: Einstellen des Komprimierungsziels
Bestimmen Sie, ob das Komprimierungsattribut nur für das Stammverzeichnis des Volumes beziehungsweise des gewählten Verzeichnisses gesetzt werden soll oder ob die darunter liegenden Ordner und Dateien in diesen gleich mit einbezogen werden sollen. Übernehmen der Änderung für das (Stamm-) verzeichnis Es werden keine bisher in dem Verzeichnis befindlichen Dateien oder Ordner komprimiert. Neue Dateien oder Ordner, die Sie darin speichern beziehungsweise kopieren, werden hingegen standardmäßig mit dem Komprimierungsattribut versehen und komprimiert. Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse werden die Attribute gesetzt und die Dateien komprimiert. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen. Nach dem Komprimieren der bestehenden Daten werden auch zukünftig alle neu in diesem Verzeichnis gespeicherten oder kopierten Daten komprimiert.
Nachteile der Komprimierung für ein ganzes Volume Die Aktivierung der Komprimierung für das gesamte Volume kann auch Nachteile mit sich bringen: Sind viele Dateien dabei, die sich nur schlecht oder gar nicht weiter komprimieren lassen, kosten die Komprimierungsanstrengungen des Betriebssystems lediglich Performance, ohne einen Nutzen zu erbringen. Beispielsweise lassen sich diese Dateitypen meist nur schlecht bis gar nicht komprimieren, da sie durch die Anwendungsprogramme, die sie erzeugt haben, bereits komprimiert worden sind: - Adobe PDF - CorelDraw (DRW) - Microsoft Powerpoint (PPT) Hinzu kommen ausführbare Programme (EXE, DLL). Komprimierte Dateien können durch das Verschlüsselnde Dateisystem nicht für einen geschützten Zugriff verschlüsselt werden.
12.7 Erweiterte NTFS-Attribute_____________________________________________ 657 Ebenso lassen sich verschlüsselte Dateien nicht nachträglich komprimieren. Setzen Sie die Komprimierung nur für Ordner ein, die gut komprimierbare Dateien enthalten und für die keine Verschlüsselung benötigt wird.
Überprüfung der Kompressionsrate Die erreichte Kompressionsrate können Sie dem Eigenschaften-Fenster der entsprechenden Datei oder des Ordners entnehmen. Abbildung 12.37: Angabe der komprimierten Größe
Im Feld GRÖßE AUF DATENTRÄGER wird der Speicherplatz angegeben, den die Datei tatsächlich auf dem Volume einnimmt.
Dekomprimierung Die Dekomprimierung erfolgt analog zur Komprimierung, nur dass dann das Attribut gelöscht wird. Ebenso können Sie wieder entscheiden, ob dieser Vorgang für das Stammverzeichnis oder für das gesamte Volume (entspricht Abbildung 12.36 auf Seite 656) gelten soll.
Aktivieren der Komprimierung mit COMPACT.EXE Das Kommandozeilen-Tool COMPACT.EXE erlaubt die Aktivierung beziehungsweise Deaktivierung der NTFS-Komprimierung über die Kommandozeile. Damit haben Sie eine einfache Möglichkeit, die Komprimierung über eine Stapelverarbeitungsdatei zu steuern. Der Aufruf von COMPACT ohne weitere Angaben listet den Status der Komprimierung der Dateien und Ordner im aktuellen Verzeichnis auf. Die erreichte Komprimierungsrate wird mit ausgegeben. Weitere mögliche Varianten des Aufrufs sind die folgenden: Compact [/C | /U] Syntax Compact [/C | /U] Compact [/C | /U] [/S[:]]
658 ______________________________________ 12 Administration der Massenspeicher Die erste Variante des Aufrufs setzt das Komprimierungsattribut für die spezifizierten Dateien. Dabei werden diese entsprechend gleich komprimiert beziehungsweise dekomprimiert. Die zweite Variante setzt oder löscht das Komprimierungsattribut für ein Verzeichnis. Eventuell in diesem Verzeichnis enthaltene Dateien werden so aber nicht berührt. Wird das Komprimierungsattribut aktiviert, werden alle Dateien, die in das Verzeichnis neu aufgenommen werden, automatisch komprimiert. Die dritte Variante setzt das Komprimierungsattribut für das spezifizierte Verzeichnis und bearbeitet alle darin enthaltenen Dateien mit. Dateien, bei den die Attribute Versteckt, System oder Schreibgeschützt gesetzt sind, werden beim Abarbeiten von COMPACT automatisch mit einbezogen. Sollen diese Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /A erreichen. In der folgenden Tabelle finden Sie alle Optionen des Programms COMPACT.EXE in einer Übersicht: Tabelle 12.12: Optionen von Compact.exe
Option
Erklärung
/C
Setzt das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.
/U
Löscht das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.
/S
Führt die Komprimierungs- beziehungsweise Dekomprimierungsvorgänge für alle Dateien des aktuellen (ohne Angabe) oder des spezifizierten Verzeichnisses durch (bei Angabe hinter /S).
Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen
Name des entsprechenden Verzeichnisses oder Pfades
Rechte beachten
: /A
Anzeige auch der Dateien, die über die Attribute Versteckt oder System verfügen
/I
Ignoriert auftretende Fehler und setzt Komprimierungen oder Dekomprimierungen trotzdem fort (bei Verwendung in Stapelverarbeitungsdateien wichtig).
/F
Es werden bei einem Komprimierungsvorgang auch die Dateien neu komprimiert, die schon komprimiert vorliegen. Standardmäßig würden diese übersprungen werden.
/Q
Die Anzeige wird auf wenige Details beschränkt.
Das Komprimierungsattribut lässt sich natürlich auch mit COMPACT nur für die Volumes, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die Zugriffsrechte besitzen.
12.7 Erweiterte NTFS-Attribute_____________________________________________ 659
12.7.2 Setzen des Index-Attributs Im NTFS-Dateisystem haben Sie die Möglichkeit, mit einem speziellen Attribut eine Datei, einen Ordner oder ein ganzes Volume als indizierbar oder nicht indizierbar zu markieren. Dieses NTFS-Attribut bestimmt allerdings lediglich, dass die betreffenden Dateien und Verzeichnisse explizit durch den Indexdienst erfasst werden dürfen oder nicht. Es ist standardmäßig immer gesetzt. Um diese Dateien in den Index aufnehmen zu können, müssen Sie zuerst natürlich die entsprechenden Kataloge mit dem Indexdienst einrichten. Dateien und Ordner auf anderen Volumes, die nicht mit NTFS forma- Aufnahme in den tiert sind, können natürlich trotzdem durch den Indexdienst bearbeitet Index (FAT/FAT32) werden. Es steht dort allerdings kein derartiges Index-Attribut zur Verfügung, mit dem Sie den Indexdienst gezielt steuern können. Das Setzen des Attributs für ein NTFS-Volume können Sie über dessen Eigenschaften-Fenster vornehmen. Für eine Datei oder einen Ordner setzen Sie das Attribut in den erweiterten Eigenschaften (siehe auch Abbildung 12.35 auf Seite 655). Abbildung 12.38: Indexattribut für einen NTFS-Datenträger
Beim Setzen des Attributs für ein Volume oder einen Ordner können Sie bestimmen, ob bisher darin untergeordnet gespeicherte Daten mit einbezogen werden sollen: ÜBERNEHMEN DER ÄNDERUNG FÜR DAS (STAMM-)VERZEICHNIS Es werden keine bisher gespeicherten Dateien oder Ordner in den Vorgang einbezogen. Neue Dateien oder Ordner, die Sie auf das Volume oder in das betreffende Verzeichnis speichern beziehungsweise kopieren, werden hingegen standardmäßig indiziert
660 ______________________________________ 12 Administration der Massenspeicher (bei Setzen des Attributs) oder nicht mehr im Index berücksichtigt (beim Löschen). ÜBERNEHMEN DER ÄNDERUNG FÜR ALLE DATEIEN UND VERZEICHNISSE Für alle bisher bestehenden Dateien und Unterverzeichnisse wird das Indexattribut gesetzt beziehungsweise entfernt. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen. Nur wenn der Indexdienst auch ausgeführt wird, können das NTFSAttribut der entsprechenden Dateien und Ordner ausgewertet und die Vorteile der Indizierung genutzt werden. Der Indexdienst und seine Einrichtung sind Inhalt des Abschnitts 12.13 Windows Suche und die Indizierung ab Seite 727.
12.8 Einrichten und Anwenden des EFS Grundlagen ab Seite 572
Jeder Benutzer kann seine Dateien und Ordner auf einem NTFSVolume über das Verschlüsselnde Dateisystem (EFS) vor unerlaubtem Einblick durch Verschlüsselung schützen. Diese Funktion ist als Dateiattribut transparent für Anwendungen implementiert und kann nicht zusammen mit der NTFS-Komprimierung eingesetzt werden. Mehr zu den Grundlagen des Verschlüsselnden Dateisystems erfahren Sie in Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572.
12.8.1
Erstellen eines Dateiverschlüsselungszertifikats mit Hilfe des Assistenten
Führen Sie die folgenden Schritte aus, um ein Verschlüsselungszertifikat für den angemeldeten Benutzer zu erzeugen. 1. Öffnen Sie die Einstellungen für das Benutzerkonto über das entsprechende Applet in der Systemsteuerung. Abbildung 12.39: Dateiverschlüsselungszertifikat für den Benutzer anlegen
12.8 Einrichten und Anwenden des EFS_____________________________________ 661 2. Auf der linken Aufgabenleiste wählen Sie DATEIVERSCHLÜSSELUNGSZERTIFIKATE VERWALTEN. 3. Ein Assistent startet, der darauf hinweist, dass ein Verschlüsselungszertifikat und ein Schlüssel zur Entschlüsselung nötig sind, um Dateien sicher zu ver- und entschlüsseln. 4. Auf der folgenden Dialogseite wählen Sie NEUES ZERTIFIKAT ERSTELLEN. 5. Neben der Erstellung eines Zertifikates für den Computer ist auch die Zertifikatserzeugung für eine Smartcard möglich. Davon wird in diesem Beispiel kein Gebrauch gemacht. Abbildung 12.40: Selbstsigniertes Zertifikat auf dem Computer erstellen
6. Der Aufforderung das Zertifikat und den Schlüssel zu sichern sollten Sie nachkommen. Wählen Sie einen Namen und einen Sicherungsort für die PFX-Datei. Abbildung 12.41: Schlüssel und Zertifikat sichern
7. Wurden bereits Dateien auf diesem Computer verschlüsselt, können Sie wählen, ob die Zertifikat-Schlüssel-Kombination für diese Dateien auch geändert werden soll. 8. Klicken Sie auf der letzten Seite auf FERTIG, um den Assistenten zu beenden.
12.8.2 Einrichtung des Wiederherstellungsagenten Bevor Sie auf Ihrem System mit EFS-verschlüsselten Dateien arbeiten, sollten Sie dafür Sorge tragen, dass ein Wiederherstellungsagent exis-
662 ______________________________________ 12 Administration der Massenspeicher tiert. In den folgenden Abschnitten erfahren Sie, wie Sie den EFSWiederherstellungsagenten einrichten können und wie Sie mit seinem Wiederherstellungs-Zertifikat umgehen sollten.
Einrichtung auf einem Standalone-System Ohne Active Directory
Anmelden mit AdministratorRechten
WiederherstellungsZertifikat erzeugen
Zwei Dateien
Auf einem Windows Vista-System, welches nicht in eine Active Directory-Domäne eingebunden ist, existiert, anders als die Online-Hilfe oder diverse Microsoft-Beschreibungen glauben machen wollen, standardmäßig kein Wiederherstellungsagent. Die entsprechende Richtlinie ist einfach nicht definiert. Trotzdem können Sie und andere Benutzer des Computers Dateien verschlüsseln. Löschen Sie allerdings ein Benutzerkonto, kann auf die verschlüsselten Dateien niemand mehr zugreifen auch ein nachträgliches Einrichten eines Wiederherstellungsagenten hilft dann leider nicht. Melden Sie sich zuerst als der Benutzer mit Administratorrechten an, der als Wiederherstellungsagent eingerichtet werden soll. Die folgenden Beschreibungen gehen von dem Standardfall aus, dass der lokale ADMINISTRATOR (das voreingerichtete Konto) diese Funktion bekommen soll. Dieses Konto ist anfänglich deaktiviert. Zur Aktivierung des lokalen ADMINISTRATOR-KONTOS schalten sie die Computerverwaltung über das Kontextmenü (VERWALTEN) des Eintrags COMPUTER im Startmenü ein. Dort navigieren Sie zum Eintrag LOKALE B ENUTZER UND GRUPPEN | BENUTZER. Bei den Eigenschaften von ADMINISTRATOR entfernen Sie das Häkchen bei DIESES KONTO IST DEAKTIVIERT. Sie können aber auch jeden anderen Benutzer dafür auswählen, der zur Gruppe der Administratoren gehört. Gehen Sie dann wie folgt vor: 1. Ohne Active Directory haben Sie keinen Zugriff auf einen autorisierten Administrator, den Sie über dessen WiederherstellungsZertifikat zum Wiederherstellungsagenten bestimmen könnten. Somit müssen Sie zuerst ein solches Zertifikat erzeugen. Das können Sie einfach über das Kommandozeilentool CIPHER.EXE erledigen (siehe auch Abschnitt 12.8.8 Das Kommandozeilentool CIPHER.EXE ab Seite 676). Öffnen Sie eine EINGABEAUFFORDERUNG (über START | ALLE PROGRAMME | ZUBEHÖR) und geben Sie das folgende Kommando ein: Cipher /R: Geben Sie für den Namen und den Pfad der Datei (ohne Endung!) an, in der das Zertifikat und der Schlüssel gespeichert werden sollen. Sie werden dann zur Eingabe eines Kennworts und dessen Bestätigung mit einer zweiten Eingabe aufgefordert. Dieses Kennwort dient als zusätzlicher Schutz, falls die PFXZertifikatdatei doch einmal in unbefugte Hände gelangen sollte. Es werden zwei Dateien mit dem gleichen Namen, aber unterschiedlichen Endungen erzeugt: .CER
Diese Datei enthält nur das Zertifikat.
12.8 Einrichten und Anwenden des EFS_____________________________________ 663 .PFX
Diese Datei enthält das Zertifikat und den privaten Schlüssel des Wiederherstellungsagenten.
Damit haben Sie sowohl das Zertifikat als auch den privaten Schlüssel des Wiederherstellungsagenten. Kopieren Sie die PFX-Datei auf einen externen Datenträger und bewahren Sie diesen an einem sicheren Ort auf. Auf dem lokalen Computersystem sollten Sie diese Datei löschen. Erst mit dem privaten Schlüssel des Wiederherstellungsagenten, der in dieser Datei enthalten ist, können Sie die Wiederherstellungsfunktionen für durch andere Benutzer verschlüsselte Dateien ausführen. Lesen Sie in Abschnitt 12.8.3 Wiederherstellungs-Zertifikat mit Schlüssel laden ab Seite 664, wie Sie das Zertifikat laden. 2. Öffnen Sie eine Managementkonsole mit dem Snap-In Sicherheitsrichtlinie GRUPPENRICHTLINIE. Sie können über START | AUSFÜHREN auch einrichten SECPOL.MSC aufrufen. Damit gelangen Sie direkt in die lokalen Sicherheitseinstellungen zu Ihrem System. Abbildung 12.42: Managementkonsole SECPOL.MSC
Öffnen Sie in der linken Strukturansicht RICHTLINIEN ÖFFENTLICHER SCHLÜSSEL und klicken Sie mit der rechten Maustaste auf VERSCHLÜSSELNDES DATEISYSTEM. Wählen Sie aus dem Kontextmenü DATENWIEDERHERSTELLUNGS-AGENTEN HINZUFÜGEN. Es startet ein Assistent, der Sie durch die weiteren Schritte führt: 3. Wählen Sie nach Bestätigung des Begrüßungsfensters des Assistenten über die Schaltfläche ORDNER DURCHSUCHEN das Zertifikat aus, welches Sie mit CIPHER erzeugt haben. Die Schaltfläche VERZEICHNIS DURCHSUCHEN ist bei einem Standalone-System ohne Einbindung ins Active Directory nicht aktiv. Abbildung 12.43: Sperrprüfung für das Zertifikat
664 ______________________________________ 12 Administration der Massenspeicher
Abbildung 12.44: Eingebundenes Zertifkat des Wiederherstellungsagenten
4. Windows konnte die Sperrfunktion des Zertifikats nicht durchführen. Lassen Sie das Zertifikat dennoch installieren. 5. Nach Bestätigung des obigen Dialogs wird das Zertifikat eingebunden.
6. Nach der Bestätigung des FERTIGSTELLEN-Fensters des Assistenten sehen Sie in der Managementkonsole die neue Richtlinie, die in diesem Fall den lokalen Administrator als Wiederherstellungsagenten ausweist. Mit lokalem Administrator ist das voreingestellte Administrator-Konto in Windows Vista gemeint. Sie können auch jeden anderen Benutzer hier einsetzen. Voraussetzung ist lediglich, dass dieser zur Gruppe der Administratoren gehört. Abbildung 12.45: Neue Sicherheitsrichtlinie mit dem Wiederherstellungsagenten
Alle Dateien, die Sie ab jetzt verschlüsseln, werden zusätzlich mit dem öffentlichen Schlüssel des Wiederherstellungsagenten verschlüsselt und können über dessen privaten Schlüssel wieder entschlüsselt werden.
Einrichtung im Active Directory Haben Sie ein Netzwerk mit Active Directory, kann die Wiederherstellungsrichtlinie auf Domänenebene definiert werden. Weiterführende Informationen finden Sie dazu in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
12.8.3 Wiederherstellungs-Zertifikat mit Schlüssel laden Damit der Wiederherstellungsagent die Dateien aller anderen Benutzer entschlüsseln kann, müssen Sie das Wiederherstellungs-Zertifikat mit dem privaten Schlüssel in den Zertifikatspeicher laden. Dazu be-
12.8 Einrichten und Anwenden des EFS_____________________________________ 665 nötigen Sie die PFX-Datei (siehe auch zu deren Erzeugung Abschnitt 12.8.2 Einrichtung des Wiederherstellungsagenten ab Seite 661). Gehen Sie zum Laden des Zertifikats mit dem privaten Schlüssel in den Zertifikatspeicher wie folgt vor: 1. Melden Sie sich als Wiederherstellungsagent an und öffnen Sie die CERTMGR.MSC Managementkonsole ZERTIFIKATE. Sie können dazu über START | AUSFÜHREN direkt CERTMGR.MSC aufrufen. Abbildung 12.46: Managementkonsole ZERTIFIKATE
Unter EIGENE ZERTIFIKATE | ZERTIFIKATE sehen Sie normalerweise ein Zertifikat das eigene für die Verschlüsselung von Dateien; vorausgesetzt, die Schritte für die Zertifikatserstellung (siehe 12.8.1 Erstellen eines Dateiverschlüsselungszertifikats mit Hilfe des Assistenten) wurde auch für den Administrator durchgeführt. 2. Klicken Sie mit der rechten Maustaste auf ZERTIFIKATE und wählen Sie aus dem Kontextmenü ALLE AUFGABEN | IMPORTIEREN. Abbildung 12.47: Importieren eines Zertifikats
Daraufhin startet ein Assistent, der Sie durch die weiteren Schritte führt. 3. Geben Sie hier die gespeicherte PFX-Datei mit dem Zertifikat und Speicherort der dem privaten Schlüssel des Wiederherstellungsassistenten an. Ge- PFX-Datei angeben hen Sie über die DURCHSUCHEN-Schaltfläche, achten Sie darauf, dass Sie als Dateityp *.PFX angeben. Standardmäßig ist hier *.CER eingetragen, sodass Sie die richtige Datei nicht finden würden.
666 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.48: PFX-Datei mit privatem Schlüssel angeben
Kennwort des Schlüssels angeben
4. Geben Sie im nächsten Dialogfenster des Assistenten das Kennwort ein, mit dem der private Schlüssel des Wiederherstellungsassistenten geschützt worden ist.
Abbildung 12.49: Kennwort für den privaten Schlüssel eingeben
Für den normalen Gebrauch sollten Sie die Option HOHE SICHERHEIT... nicht aktivieren. Aktivieren Sie die Option SCHLÜSSEL ALS EXPORTIERBAR MARKIEREN... Damit stellen Sie sicher, dass Sie das Zertifikat mit dem Schlüssel wieder exportieren und damit sichern können (siehe auch nächster Abschnitt). 5. Bestimmen Sie dann, wohin das Zertifikat im Zertifikatspeicher abgelegt werden soll. Im Normalfall wird dies EIGENE ZERTIFIKATE | ZERTIFIKATE des Wiederherstellungsassistenten sein. Sie brauchen diesen Speicherort in der Regel nicht auszuwählen, da er durch das System bereits vorgeschlagen wird.
12.8 Einrichten und Anwenden des EFS_____________________________________ 667 Abbildung 12.50: Speicherort des Zertifikats angeben
6. Sie können nach dem Import des Zertifikats (der PFX-Datei) für Ihren Wiederherstellungsassistenten neben dessen Verschlüsselungs-Zertifikat das Wiederherstellungs-Zertifikat erkennen. Abbildung 12.51: Zertifikatspeicher nach dem Import
Nach der Installation des Zertifikats mit dem privaten Schlüssel kön- Entschlüsselung nen Sie als Wiederherstellungsassistent ebenso auf verschlüsselte Dateien zugreifen wie die berechtigten Benutzer selbst. Gelingt dies nicht, haben Sie vielleicht nicht die PFX-Datei, sondern Fehlersuche nur die CER-Datei geladen, welche den privaten Schlüssel des Wiederherstellungsagenten nicht enthält. Sie können leicht nachprüfen, ob ein privater Schlüssel zum Wiederherstellungs-Zertifikat gehört, indem Sie auf dieses doppelklicken. Sie sollten dann im EigenschaftenDialogfenster den Hinweis finden SIE BESITZEN EINEN PRIVATEN SCHLÜSSEL... (siehe Abbildung 12.52). Außerdem erscheint das Symbol unter AUSGESTELLT mit einem Schlüssel auf dem Zertifikatszeichen. Finden Sie diesen Hinweis nicht, müssen Sie den Import-Vorgang mit der PFX-Datei wiederholen.
668 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.52: Eigenschaften zum WiederherstellungsZertifikat
Sie können das Zertifikat und den Schlüssel eines Wiederherstellungsagenten aus der PFX-Datei auch einfacher installieren, indem Sie auf diese doppelklicken. Damit startet ebenfalls der betreffende Assistent und führt Sie mit wenigen Schritten zum Ziel.
12.8.4 Wiederherstellungs-Zertifikat exportieren
CERTMGR.MSC
Das EFS-Wiederherstellungs-Zertifikat des Wiederherstellungsagenten sollte aus Sicherheitsgründen nicht auf Ihrem lokalen Computersystem verbleiben. Sie sollten dieses exportieren und an einem sicheren Ort, beispielsweise abgelegt auf einem externen Datenträger wie ZIP-Diskette oder CD-ROM, aufbewahren. Gehen Sie dazu wie folgt vor: 1. Melden Sie sich am System als der betreffende Wiederherstellungsagent an und öffnen Sie die Managementkonsole Zertifikate. Sie erreichen diese Konsole auch, wenn Sie über das Suchen-Feld des Startmenüs direkt CERTMGR.MSC aufrufen. 2. Markieren Sie das Zertifikat mit dem Zweck DATEIWIEDERHERSTELLUNG und wählen Sie aus dem Kontextmenü (rechte Maustaste) den Punkt ALLE AUFGABEN | EXPORTIEREN.
12.8 Einrichten und Anwenden des EFS_____________________________________ 669 Abbildung 12.53: WiederherstellungsZertifikat exportieren
3. Wählen Sie im nächsten Dialogfenster die Option JA, SCHLÜSSEL EXPORTIEREN aus.
PRIVATEN
Abbildung 12.54: Privaten Schlüssel unbedingt mit exportieren
Nur so erhalten Sie eine PFX-Datei, die neben dem Zertifikat auch den privaten Schlüssel des Wiederherstellungsagenten enthält. Diese können Sie dann bei Bedarf wieder komplett importieren (siehe Abschnitt 12.8.3 Wiederherstellungs-Zertifikat mit Schlüssel laden ab Seite 664). 4. Für den Export des Schlüssels bleiben die Angaben für das Dateiformat ausgegraut. Abbildung 12.55: Wählen, ob der Schlüssel nach dem Export gelöscht werden soll
Wenn Sie die Option PRIVATEN SCHLÜSSEL NACH ERFOLGREICHEM EXPORT LÖSCHEN auswählen, stellen Sie sicher, dass der private Schlüssel des Wiederherstellungsagenten auch wirklich aus dem gespeicherten Zertifikat entfernt wird. Ebenso gut können Sie aber auch nach erfolgreichem Export das ganze Zertifikat inklusive Schlüssel aus dem Zertifikatspeicher löschen.
670 ______________________________________ 12 Administration der Massenspeicher 5. Wenn Sie den Schlüssel mit exportieren, werden Sie nach einem Kennwort gefragt, mit welchem dieser geschützt werden soll. Abbildung 12.56: Privaten Schlüssel mit einem Kennwort schützen
6. Geben Sie abschließend den Speicherort und den Dateinamen an, unter dem das Zertifikat abgelegt werden soll. Mit FAT-formatierte Wechseldatenträger werden in der Auswahl unter O RDNER DURCHSUCHEN nicht angezeigt. Abbildung 12.57: Dateinamen für das Zertifikat vergeben
Wird das Zertifikat mit dem privaten Schlüssel exportiert, erhalten Sie automatisch eine PFX-Datei. Ohne privaten Schlüssel wird eine CER-Datei erzeugt. Abbildung 12.58: Zertifikat ohne privaten Schlüssel
12.8 Einrichten und Anwenden des EFS_____________________________________ 671 Haben Sie den Export mit Löschung des Schlüssels vorgenommen, können Sie das kontrollieren, indem Sie auf das WiederherstellungsZertifikat im Zertifikatspeicher doppelklicken. Im Eigenschaften-Fenster des Zertifikats erscheint kein Hinweis mehr, dass ein privater Schlüssel mit enthalten ist (vergleiche Abbildung 12.52 auf Seite 668). Im Zertifikatsmanager wird kein Schlüssel mehr bei dem Datenwiederherstellungszertifikat in der Spalte AUSGESTELLT angezeigt. So ist der Wiederherstellungsagent zwar noch eingerichtet, kann aber mangels privatem Schlüssel keine Dateien anderer Benutzer mehr entschlüsseln. Informationen zum Importieren des Zertifikats mit dem privaten Schlüssel finden Sie in Abschnitt 12.8.3 WiederherstellungsZertifikat mit Schlüssel laden ab Seite 664.
Kontrolle der Löschung des Schlüssels
Import mit Schlüssel ab Seite 664
12.8.5 Setzen des Verschlüsselungs-Attributs Der einfachste Weg für das Setzen des Verschlüsselungs-Attributs geht über das entsprechende Dialogfenster für die erweiterten Eigenschaften für einen Ordner oder eine Datei. Auf Ebene eines gesamten Volumes können Sie das Verschlüsselungs-Attribut nicht setzen. Abbildung 12.59: Setzen des Verschlüsselungs-Attributs für einen Ordner
Aktivieren Sie das Verschlüsselungs-Attribut, wird gleichzeitig ein Komprimierte eventuell gesetztes Komprimierungs-Attribut gelöscht. Wie in Ab- Dateien schnitt 12.7.1 Aktivieren der Komprimierung ab Seite 655 bereits erläutert, können Sie die NTFS-Komprimierung und die EFS-Verschlüsselung stets nur alternativ zur Anwendung bringen. Verschlüsseln Sie NTFS-komprimierte Dateien, werden diese zunächst dekomprimiert und dann verschlüsselt. Das betrifft natürlich nicht mit Tools von Drittherstellern komprimierte Dateien (beispielsweise ZIP-Archive). Die Schaltfläche DETAILS steht erst dann zur Verfügung, wenn die Details Verschlüsselung der betreffenden Dateien erstmalig durchgeführt worden ist. Sie haben hier die Möglichkeit, auch anderen Benutzern
672 ______________________________________ 12 Administration der Massenspeicher den Zugriff auf Ihre verschlüsselten Dateien zu ermöglichen (siehe nächster Abschnitt). Nach dem Setzen des Verschlüsselungs-Attributs für einen Ordner erscheint generell das folgende Dialogfenster, um das weitere Vorgehen zu bestimmen: Abbildung 12.60: Setzen des Verschlüsselungs-Attributs für Unterordner festlegen
Funktionen verschlüsselter Ordner
Entschlüsselung
EFS heißt nicht sicherer Netzwerktransport!
Löschen des VerschlüsselungsAttributs
Sie können entscheiden, ob das Setzen des Attributs nur für den angegebenen Ordner oder auch für alle darin bisher enthaltenen Objekte übernommen werden soll. Ordner, die über das gesetzte Verschlüsselungs-Attribut verfügen, verschlüsseln automatisch alle Dateien und Ordner, die in diese kopiert oder verschoben werden. Komprimierte Dateien werden dabei dekomprimiert und ebenfalls verschlüsselt. Dies kann je nach Größe der Datei auch einen Moment dauern, da das EFS dann eine temporäre Datei anlegt, in welche die dekomprimierte Datei übertragen und verschlüsselt wird. Die Entschlüsselung der entsprechenden Dateien und Ordner geschieht für den Benutzer transparent. Beim Öffnen einer Datei wird diese automatisch entschlüsselt und dann an die Anwendung übergeben. Das betrifft auch das Kopieren einer verschlüsselten Datei zwischen Datenträgern. Vor dem Kopieren wird diese entschlüsselt und in Abhängigkeit von der Fähigkeit des Dateisystems des Zieldatenträgers wieder verschlüsselt. Auf einem FAT- oder FAT32-Datenträger wird die Datei also generell unverschlüsselt abgelegt. Für den Netzwerktransport trifft dies allerdings auch zu. Über das Netzwerktransportmedium (beispielsweise Kabel oder Funk) wandern nur die unverschlüsselten Daten. Wollen Sie eine sichere Verbindung aufbauen, die für eine Chiffrierung des Datenstroms sorgt, müssen Sie andere Mittel wie beispielsweise IPSec zum Einsatz bringen. Zu IPSec finden Sie weiterführende Informationen in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003. Das Löschen des Verschlüsselungs-Attributs erfolgt analog dem Setzen. Sie können das über die erweiterten Eigenschaften des Eigenschaften-Fensters der betreffenden Dateien oder Ordner oder mit Hilfe des Kommandozeilen-Tools CIPHER.EXE (siehe Seite 676) vornehmen. Mit dem Löschen des Attributs werden die betreffenden Dateien gleich entschlüsselt.
12.8 Einrichten und Anwenden des EFS_____________________________________ 673
12.8.6 EFS-Zugriff für mehrere Benutzer einrichten Anderen Benutzern können Sie Zugriff auf Ihre EFS-verschlüsselten Benutzer benötigen Dateien einräumen. Bedingung ist allerdings, dass die betreffenden EFS-Zertifikat! Benutzer selbst über ein EFS-Zertifikat verfügen. Dieses erhalten sie erst dann, wenn sie erstmalig selbst Dateien EFS-verschlüsselt haben. Sie können weiteren Benutzern nur den Zugriff auf einzelne EFS-verschlüsselte Dateien gestatten, nicht jedoch auf ganze Ordner oder mehrere Dateien auf einmal. Gehen Sie folgendermaßen vor: 1. Die betreffende Datei muss bereits verschlüsselt worden sein; wenn nicht, gehen Sie dazu wie ab Seite 671 beschrieben vor. 2. Öffnen Sie das Fenster für die erweiterten Eigenschaften zu dieser Datei und klicken Sie auf die nun aktive Schaltfläche DETAILS. Abbildung 12.61: Details in den erweiterten Eigenschaften einer verschlüsselten Datei
3. Klicken Sie dann auf die Schaltfläche HINZUFÜGEN. Es erscheint ein Auswahlfenster mit den Benutzern, für die ein EFS-Zertifikat auf Ihrem System existiert. Abbildung 12.62: Auswahl weiterer Benutzer für den EFS-Zugriff
674 ______________________________________ 12 Administration der Massenspeicher Wählen Sie den betreffenden Benutzer aus. Schließen Sie alle Dialogfenster jeweils mit einem Klick auf OK. NTFS-Zugriffsrechte Nach dieser Prozedur erhalten die damit spezifizierten Benutzer beachten Zugriff auf diese Datei. Allerdings müssen dafür auch die anderen NTFS-Zugriffsrechte richtig gesetzt worden sein. Anderenfalls wird der Zugriff verweigert, bevor entschlüsselt werden kann.
12.8.7 Maximale Absicherung lokaler Daten mit EFS Wie in Abschnitt Wiederherstellungsagent und maximale Absicherung ab Seite 575 beschrieben, besteht die Notwendigkeit einiger administrativer Eingriffe, wenn Sie sensible Dateien wirksam lokal absichern wollen. Die folgenden Ausführungen beziehen sich dabei auf das Vorgehen bei einem lokal arbeitenden System mit Windows Vista, beispielsweise auch für ein Notebook.
Zertifikat des EFS-Wiederherstellungsagenten sichern
Export von Zertifikat+Schlüssel mit lokalem Löschen des Schlüssels
Eigentlich existiert bei einem lokal arbeitenden System (ohne Einbindung in ein Active Directory) kein Wiederherstellungsagent und damit auch kein potentielles Sicherheitsrisiko, dass sich ein unbefugter Administrator an sensiblen Daten zu schaffen machen kann. Trotzdem sollten Sie einen anlegen, damit im Fall der Fälle (Benutzerkonto versehentlich gelöscht, Benutzerzertifikat verloren gegangen u.ä.) doch noch auf die Daten zugegriffen werden kann. Dies wird in Abschnitt 12.8.2 Einrichtung des Wiederherstellungsagenten ab Seite 661 erläutert. Exportieren Sie das Zertifikat mit Schlüssel des Wiederherstellungsagenten (mit gleichzeitigem Löschen des Schlüssels auf dem lokalen System!) und verwahren Sie es an einem sicheren Ort auf einem externen Datenträger. Die dabei entstehende Datei ist nur wenige KiloByte groß lassen Sie sich aber trotzdem besser nicht verleiten, diese auf einer Diskette zu speichern. Disketten altern verhältnismäßig schnell und stellen somit die denkbar schlechteste Methode zur dauerhaften Aufbewahrung sensibler Inhalte dar. Weitere Hinweise zum konkreten Vorgehen finden Sie dazu in Abschnitt 12.8.4 WiederherstellungsZertifikat exportieren ab Seite 668.
EFS-Benutzerzertifikat sichern
MMC ZERTIFIKATE
Das eigene Benutzer-EFS-Zertifikat finden Sie im Zertifikatspeicher. Voraussetzung ist allerdings, Sie haben unter Ihrem Benutzerkonto die EFS-Verschlüsselung mindestens einmal angewandt. Anderenfalls ist an dieser Stelle noch kein Zertifikat vorhanden. Zugriff auf den Zertifikatspeicher erhalten Sie über das Managementkonsolen-Snap-In ZERTIFIKATE. Erstellen Sie dazu eine entsprechende neue Konsole. Weitere Hinweise finden Sie dazu in Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199.
12.8 Einrichten und Anwenden des EFS_____________________________________ 675 Abbildung 12.63: Selbst erstellte MMC ZERTIFIKATE
Unter EIGENE ZERTIFIKATE|ZERTIFIKATE finden Sie dann Ihr EFSZertifikat. Dieses können Sie prinzipiell genauso exportieren, wie es in Abschnitt 12.8.4 Wiederherstellungs-Zertifikat exportieren ab Seite 668 beschrieben worden ist. Verwahren Sie auch dieses an einem sicheren Ort. Vergessen Sie nicht, den Schlüssel mit zu exportieren. Sie können nach dem erfolgreichen Export des Zertifikats mit dem Schlüssel bedenkenlos das gesamte Zertifikat im Zertifikatspeicher löschen. Mit einem Doppelklick auf die Zertifikatdatei können Sie später das Zertifikat schnell und einfach wieder installieren. Bedenken sollten Sie folgendes, wenn Sie Ihr EFS-Zertifikat exportieren und dann das gesamte Zertifikat oder nur dessen Schlüssel löschen: Direkt nach dem Löschen des Schlüssels und/oder Zertifikats können Sie für eine bestimmte Zeitspanne auf die verschlüsselten Dateien noch zugreifen. Standardmäßig überprüft die EFSBenutzerkomponente von Windows Vista jede Stunde einmal, ob der betreffende Benutzer über ein gültiges EFS-Zertifikat mit Schlüssel verfügt. Erst nach Verstreichen der Zeitspanne oder einem erneuten Ab- und Anmelden am System wird der Verlust des privaten EFS-Schlüssels erkannt. Das sollten Sie bedenken, wenn Sie Ihren PC nach dem Löschen des Zertifikats verlassen wollen und Ihre Daten in Sicherheit wähnen. Sie können diese Zeitspanne über einen Eingriff in die Registrierung beeinflussen. Fügen Sie den Wert KeyCacheValidPeriod in den folgenden Zweig ein: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \EFS Der Typ des Wertes ist REG_DWORD. Geben Sie die Zeitspanne in Sekunden an, innerhalb der keine erneute Prüfung des EFSZertifikats erfolgen soll. Der gültige Minimalwert lautet 60, maximal sind 86 400 Sekunden (1 Tag) möglich. Haben Sie Ihr EFS-Zertifikat oder auch nur den Schlüssel gelöscht, wird automatisch ein neues Zertifikat mit einem neuen Schlüssel erzeugt, wenn Sie erneut Daten verschlüsseln. Damit verschlüssel-
676 ______________________________________ 12 Administration der Massenspeicher te Dateien können Sie auch nur mit diesem neuen EFS-Schlüssel wieder entschlüsseln. Zuvor mit einem anderen (dem exportierten und gelöschten) EFS-Schlüssel verschlüsselte Dateien sind damit aber nicht entschlüsselbar. Sie sollten also die Zusammenhänge zwischen dem EFS-Zertifikat und dem dazugehörigen privaten Schlüssel richtig verstanden haben. Denken Sie auch daran, dass ein gut gesichertes und im Notfall zugänglich abgelegtes Wiederherstellungs-Zertifikat mit Schlüssel Sie vor Datenverlusten schützen kann.
12.8.8 Das Kommandozeilentool CIPHER.EXE
Syntax
Informationen gewinnen
Neuen Schlüssel erzeugen WiederherstellungsZertifikat
Das Tool CIPHER.EXE erlaubt verschiedene Einstellungen bezüglich des verschlüsselnden Dateisystems auf Kommandozeilen-Ebene. Die wichtigsten Varianten des Aufrufs sind die folgenden: Cipher [/E | /D | /C] [/S:] [/B] [/H] [] Cipher /K Cipher /R: [/SMARTCARD] Cipher /U [/N] Cipher /W: Cipher /X:[<efs-datei>] [] Cipher /Y Cipher /ADDUSER [/CERTHASH:] | /CERTFILE:] [/S:] [/B] [/H] [] Cipher /REMOVEUSER [/CERTHASH:] | /CERTFILE:] [/S:] [/B] [/H] [] Cipher /REKEY [] Der Aufruf von CIPHER ohne weitere Angaben listet den Status der Verschlüsselung der Dateien und Ordner im aktuellen Verzeichnis auf. Sie können einen Dateinamen mit Pfadangabe, auch mit Platzhaltern wie *.* versehen, angeben. Sie erhalten dann die Information über den Verschlüsselungsstatus der betreffenden Dateien oder Verzeichnisse. Gleichzeitig erfahren Sie, ob zum betreffenden Verzeichnis neu hinzukommende Dateien verschlüsselt werden, also ob das Verschlüsselungs-Attribut für dieses gesetzt ist. Dateien, bei denen die Attribute VERSTECKT, SYSTEM oder SCHREIBGESCHÜTZT gesetzt sind, werden beim Abarbeiten von CIPHER trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /H erreichen. Der Schalter /K dient der Erzeugung eines neuen Dateiverschlüsselungs-Schlüssels für den Benutzer, der aktuell angemeldet ist. Mit dem Schalter /R können Sie ein neues WiederherstellungsZertifikat mit einem privaten Schlüssel für den WiederherstellungsAgenten erzeugen. Es werden dabei zwei Dateien angelegt. Weitere Informationen finden Sie ab Seite 662. Die nachfolgende Tabelle enthält alle Optionen des Programms in einer Übersicht.
12.8 Einrichten und Anwenden des EFS_____________________________________ 677 Option
Tabelle 12.13: Optionen von Setzt das Verschlüsselungsattribut für den CIPHER.EXE angegebenen Ordner.
Erklärung /E /D
Löscht das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.
/C
Zeigt Informationen zur verschlüsselten Datei an
/S:
Setzt oder entfernt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Objekte.
Name der Datei oder Dateien (mit * oder ?) beziehungsweise des Verzeichnisses
Dateiname
Bei Dateinamen wird die Endung nicht mit angegeben.
/A
Setzt oder entfernt das Verschlüsselungsattribut sowohl bei Verzeichnissen als auch bei Dateien.
/I
Ignoriert auftretende Fehler und setzt den Vorgang trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.
/F
Es werden bei einem Verschlüsselungsvorgang auch die Dateien neu verschlüsselt, die schon verschlüsselt vorliegen. Standardmäßig würden diese übersprungen werden.
/Q
Die Anzeige des Programms CIPHER wird auf wenige Details beschränkt.
/B
(Break) CIPHER wird angewiesen die weitere Verarbeitung anzuhalten. Standardmäßig wird die Verarbeitung fortgesetzt, auch wenn Fehler erkannt werden
/H
Zeigt während der Abarbeitung auch versteckte oder Dateien an, für die das Systemattribut gesetzt ist.
/K
Es wird ein neuer EFS-Schlüssel für den aktuellen Benutzer erstellt.
678 ______________________________________ 12 Administration der Massenspeicher Option
Erklärung /R
Es wird ein Wiederherstellungs-Zertifikat mit einem privaten Wiederherstellungs-Schlüssel für den aktuell angemeldeten Benutzer erzeugt. Zusätzlich kann die Option /SMARTCARD gesetzt werden, wenn das Wiederherstellungszertifikat auf eine Smartcard geschrieben werden soll.
/U
Sucht alle verschlüsselten Dateien des angemeldeten Benutzers auf allen lokalen Datenträgern und aktualisiert dessen Schlüssel und den Schlüssel des Wiederherstellungsagenten.
/N
Setzen Sie diese Option zusammen mit /U ein, werden keine Änderungen an den Dateien vorgenommen, sondern diese nur angezeigt. Damit eignet sich diese Option zum Auffinden aller verschlüsselten Dateien des aktuell angemeldeten Benutzers.
/W:
Alle anderen Optionen werden ignoriert, wenn diese Option ausgewählt wird. /W entfernt Daten von verfügbarem, nicht verwendetem Speicherplatz auf dem Volume. Das angegebene Verzeichnis kann sich entweder auf dem lokalen Volume befinden, ein Bereitstellungspunkt sein oder ein Zeiger auf ein Verzeichnis auf einem anderen Volume. Ist diese Option gesetzt, werden die Daten auch auf diesen Volumes entfernt (mehr dazu weiter unten in Abschnitt Endgültiges Vernichten von Daten ab Seite 679.
/X:[efs-datei] []
Sichert das EFS-Zertifikat und die Schlüssel in der Datei . Wenn eine EFS-Datei angegeben wurde, werden die zur Verschlüsselung verwendeten Zertifikate des derzeitigen Benutzers gesichert. Andernfalls werden das aktuelle EFS-Zertifikat und die Schlüssel des Benutzers gesichert.
/Y
Das aktuelle EFS-Zertifikat wird als Miniaturansicht auf dem lokalen Computer angezeigt.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 679 Option
Erklärung
/ADDUSER [/CERTHASH:] | /CERTFILE: ]
Fügt einen Benutzer zu den angegebenen verschlüsselten Dateien hinzu. Wenn CERTHASH angegeben ist, sucht die Chiffrierung nach einem Zertifikat mit diesem SHA1Hash. Wenn CERTFILE angegeben ist, extrahiert die Chiffrierung das Zertifikat aus der Datei
/REMOVEUSER [/CERTHASH:] | /CERTFILE: ]
Entfernt einen Benutzer aus den angegebenen Dateien. CERTHASH muss der SHA1-Hash des zu entfernenden Zertifikats sein.
/REKEY []
Aktualisiert die angegebenen verschlüsselten Dateien, um den konfigurierten und aktuellen EFS-Schlüssel zu verwenden.
Endgültiges Vernichten von Daten Mit CIPHER /W haben Sie eine mächtige Funktion zur Verfügung, um als gelöscht markierte Dateien tatsächlich physisch von Ihren Datenträgern zu entfernen. Auch wenn Sie den Papierkorb im Windows Explorer entleeren, bleiben in den vormals belegten Clustern die Daten zunächst unberührt. Diese Cluster sind somit nur als gelöscht markiert und sind bei den nächsten Schreiboperationen des Betriebssystems wieder zur Aufnahme neuer Daten bereit. Da Sie auch bei nachfolgenden Schreiboperationen aber nicht wissen können, ob nun gerade Ihre zuletzt gelöschten Dateien (und damit deren Cluster) wirklich überschrieben werden, können Sie nicht sicher sein, dass gelöschte Dateien nicht doch noch, wenigstens teilweise, über geeignete Werkzeuge wiederhergestellt werden können. Wollen Sie das ausschließen, können Sie das Tool mit der Option /W aufrufen. Dieser Vorgang kann sehr lange dauern. Sie können ihn aber jederzeit mit Strg+C abbrechen. Beachten Sie auch, dass während der Operation der Datenträger nicht gesperrt wird und somit Anwendungen, die Dateien sperren (und vielleicht temporäre Arbeitskopien erst beim Beenden löschen), einen kompletten Vorgang verhindern können.
12.9 NTFS-Zugriffsrechte einstellen Mit den richtigen Grundeinstellungen können Sie unter Windows Vista die Zugriffsrechte für Dateien und Ordner sehr differenziert setzen. Neben den eigentlichen Zugriffsrechten lassen sich auch Überwachungen einrichten, mit deren Hilfe Sie beispielsweise nachvollziehen können, wer wann auf welche Dateien und Ordner zugegriffen hat.
680 ______________________________________ 12 Administration der Massenspeicher Grundlagen ab Seite 559
Die Grundlagen zu diesem Thema werden in Abschnitt 11.2.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 559 behandelt.
12.9.1 Einstellen der Stufe der NTFS-Zugriffsrechte Erweiterte NTFSRechtevergabe nur in den ProfiEditionen sichtbar
Alle Editionen von Windows Vista verfügen über vereinfachte Einstellmöglichkeiten für die NTFS-Zugriffsrechte. Bei den HomeEditionen Basic und Premium bleibt es dabei. Die Profi-Editionen Business, Enterprise und Ultimate besitzen die Möglichkeit der erweiterten Rechtevergabe.
Abbildung 12.64: Vereinfachte NTFSRechtestruktur bei einer Installation ohne Active Directory
Einfache Zugriffsbeschränkungen
Weitere NTFSAttribute
Mit dieser vereinfachten Darstellung können Sie lediglich die folgenden Rechte verwenden: SCHREIBGESCHÜTZT Sie können die Datei mit einem einfachen Schreibschutz versehen, der allerdings durch andere Benutzer zurückgesetzt werden kann. VERSTECKT Sie können damit Objekte verstecken, sodass sie nicht über den Windows Explorer, wenn dieser entsprechend eingestellt ist, angezeigt werden. Das betrifft auch die Anzeige über die Eingabeaufforderung und den Befehl DIR. Eine feinere Differenzierung und Steuerung der Zugriffsrechte ist somit nicht möglich. Zusätzlich können Sie noch über die Schaltfläche ERWEITERT diese beiden NTFS-Attribute setzen: INHALT KOMPRIMIEREN Mit dieser einfach zu handhabenden Funktion können Sie Dateien auf NTFS-Volumes automatisch komprimiert speichern lassen.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 681 Weitere Hinweise dazu finden Sie in Abschnitt 12.7.1 Aktivieren der Komprimierung ab Seite 655. INHALT VERSCHLÜSSELN Setzen Sie nur die vereinfachten NTFS-Zugriffsrechte ein, stellt dieses Attribut den einzigen wirksamen Schutz von Dateien vor unbefugtem Zugriff dar. Weitere Informationen finden Sie dazu in Abschnitt 12.8 Einrichten und Anwenden des EFS ab Seite 660. Abbildung 12.65: Erweiterte NTFSZugriffsrechte
Im Eigenschaften-Dialogfenster für die Datei oder den Ordner erscheint eine weitere Registerkarte SICHERHEIT (siehe Abbildung 12.65). Wie Sie diese einstellen, ist Inhalt des nachfolgenden Abschnitts.
12.9.2 Anwenden der erweiterten NTFS-Zugriffsrechte Nur mit dem NTFS-Dateisystem können Sie sehr differenziert Benutzerrechte für Dateien und Ordner vergeben. Im Attribut SICHERHEITSBESCHREIBUNG einer Datei oder eines Ordners sind die Zugriffsrechte hinterlegt. Diese so genannte Access Control List (ACL) legt genau fest, wer in welchem Umfang welche Rechte besitzt. Mehr zu den Grundlagen erfahren Sie in Abschnitt 11.2.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 559. Sie können diese Sicherheitseinstellungen über das Eigenschaften-Fenster eines Objekts (Datei oder Ordner) oder über das Kommandozeilen-Tool CACLS.EXE ODER ICACLS.EXE (siehe Seite 692) setzen. Im Eigenschaften-Fenster, erreichbar über das Kontextmenü zu einer Datei oder einem Ordner, finden Sie die gesetzten Zugriffsberechtigungen. Im Bereich GRUPPEN- UND BENUTZERNAMEN sind die Gruppen
Stufen der NTFSRechte Grundlagen ab Seite 559
682 ______________________________________ 12 Administration der Massenspeicher und Benutzer aufgelistet, für die Zugriffsrechte definiert worden sind. Im Bereich BERECHTIGUNGEN sehen Sie die aktuellen Einstellungen für den jeweils oben ausgewählten Eintrag. Über die Schaltfläche BEARBEITEN gelangen Sie in einen Dialog, der Änderungen an den Zugriffsrechten zulässt. Abbildung 12.66: Ändern der Sicherheitseinstellungen
Vererbte Berechtigungen
Vererbte Berechtigungen ändern
Bevor Sie mit dem Ändern der Berechtigungen beginnen, ist es wichtig, die Sicherheitsprinzipien richtig verstanden zu haben. Standardmäßig werden im NTFS-Dateisystem die Berechtigungen vom übergeordneten Verzeichnis geerbt. Damit können Sie Änderungen an Berechtigungen deutlich einfacher und schneller durchführen. Sie müssen lediglich die oberste Organisationseinheit ändern. Alle enthaltenen Verzeichnisse und Dateien erben dann diese Einstellungen und brauchen nicht separat behandelt zu werden. Das bedeutet aber auch, dass Sie dies bei der spezifischen Änderung von Zugriffsrechten an bestimmten Dateien und Ordnern beachten müssen. Werden die Kontrollkästchen grau schattiert dargestellt (siehe Abbildung 12.66), sind diese Berechtigungen vom übergeordneten Ordner geerbt worden. Möchten Sie diese ändern, aktivieren Sie das entsprechende Kontrollkästchen für die Verweigerung der bestimmten Rechte. Verweigerungen haben immer Vorrang vor der Zulassung eines Rechts. Entziehen Sie beispielsweise der Gruppe Jeder alle Zugriffsrechte, kann niemand mehr, auch nicht der Administrator, auf die betreffende Datei zugreifen. Lediglich der Besitzer kann die Zugriffsrechte dann wieder ändern.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 683 Deaktivieren der NTFS-Rechtevererbung Möchten Sie generell ein geerbtes Zugriffsrecht entfernen, beispielsweise den Eintrag JEDER, um einer bestimmten Gruppe den Zugriff zu erteilen, so müssen Sie die Vererbung vom übergeordneten Objekt deaktivieren. Gehen Sie dazu wie folgt vor: 1. Klicken Sie im Eigenschaften-Fenster innerhalb der Registerkarte SICHERHEIT auf die Schaltfläche ERWEITERT (siehe auch Abbildung 12.66 auf Seite 682). 2. Deaktivieren Sie das Kontrollkästchen VERERBBARE BERECHTIGUNGEN DES ÜBERGEORDNETEN OBJEKTES EINSCHLIEßEN unterhalb der Liste der Berechtigungseinträge. Abbildung 12.67: Deaktivieren der Rechtevererbung vom übergeordneten Ordner
3. Beim Deaktivieren der Vererbung stellt sich die folgende Frage: Was geschieht mit Sollen alle bisher geerbten Sicherheitseinstellungen entfernt wer- den bisher ererbten den, das Objekt also enterbt werden? Oder ist es besser, die geerb- Rechten? ten Sicherheitseinstellungen zu behalten, um sie dann entsprechend zu modifizieren? Das Dialogfenster, was sich beim Deaktivieren des Kontrollkästchens für die Vererbung öffnet, weist Sie auf diese Problematik hin. Abbildung 12.68: Entfernen übergeordneter Berechtigungen
684 ______________________________________ 12 Administration der Massenspeicher
Verweigerungen haben Vorrang
Meist ist es besser, die bisher geerbten Sicherheitseinstellungen auf das Objekt zu kopieren, um sie dann entsprechend anzupassen. So können Sie beispielsweise aus dem übernommenen Vollzugriff für Jeder eine Leseberechtigung und einen Vollzugriff für speziell ausgewählte Benutzer einrichten. Sie sollten dabei aber vorrangig mit Zulassungen arbeiten, da Verweigerungen immer Vorrang haben. Verweigern Sie beispielsweise explizit das Schreibrecht für Jeder, so kann niemand mehr, auch nicht der Administrator, auf die Datei schreibend zugreifen.
12.9.3 Erweiterte Einstellungen und Überwachung Über die Schaltfläche ERWEITERT der Sicherheitseinstellungen (siehe Abbildung 12.65 auf Seite 681) können Sie neben der im vorhergehenden Abschnitt besprochenen NTFS-Vererbungsproblematik von Rechten auch die erweiterten Zugriffseinstellungen und die Überwachung festlegen sowie die Besitzrechte für Dateien und Ordner ändern. Abbildung 12.69: Erweiterte Sicherheitseinstellungen
Erweiterte Zugriffseinstellungen Die erweiterten Zugriffseinstellungen erlauben Ihnen eine sehr differenzierte Festlegung aller Benutzerrechte zum aktuellen Objekt. Die folgenden Punkte finden Sie auf der ersten Seite BERECHTIGUNGEN dieses Dialogfensters.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 685 Abbildung 12.70: Berechtigungseintrag ändern
BERECHTIGUNGSEINTRÄGE Hier sehen Sie die Liste der Benutzer und Gruppen, für die explizite Zugriffsrechte beziehungsweise -verweigerungen definiert sind. Sie können bestehende ENTFERNEN oder BEARBEITEN sowie neue HINZUFÜGEN. Der neue Auswahldialog für Benutzer und Gruppen wird in Abschnitt Auswahldialog für Benutzer und Gruppen ab Seite 687 näher vorgestellt. Entfernen Sie alle Einträge aus der Liste, sind die betreffenden Daten durch niemanden mehr erreichbar. Lediglich der Besitzer kann dann die Zugriffsrechte neu definieren (siehe Abschnitt Besitzrechte ändern ab Seite 691). Sind die Rechte für das aktuelle Objekt nicht vom übergeordneten Objekt geerbt worden (siehe zum Deaktivieren der Vererbung auch den nächsten Punkt), können Sie über die Schaltfläche BEARBEITEN (oder einen Doppelklick) den Berechtigungseintrag sehr differenziert anpassen. Sie sollten Änderungen an dieser kompletten Liste der NTFSRechte nur dann vornehmen, wenn ein zwingender Grund dafür vorliegt. Anderenfalls ist die Handhabung der zusammengefasst dargestellten erweiterten NTFS-Zugriffsrechte (wie in Abbildung 12.66 auf Seite 682) wesentlich einfacher. Die folgenden Parameter können Sie für einen solchen Berechtigungseintrag setzen: - NAME Hier können Sie die ursprünglich voreingestellte Gruppe oder den Benutzer ändern, für den dieser Eintrag gilt. Beachten Sie aber, wenn Sie auf diese Weise einen zuerst eingetragenen Be-
686 ______________________________________ 12 Administration der Massenspeicher nutzer (oder eine Gruppe) aus der Liste der Berechtigungseinträge entfernen, dass dieser überhaupt keine Rechte auf das Objekt mehr hat. - ÜBERNEHMEN FÜR Legen Sie fest, inwieweit die eingestellten Berechtigungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Berechtigungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Bestehende und auch nachträglich neu angelegte Dateien bleiben dann von diesem Eintrag unberührt. - BERECHTIGUNGEN Die Liste der Berechtigungen ist hier ausführlicher in die einzelnen Unterberechtigungen zerlegt. Sicher ist es wenig sinnvoll, diese alle speziell für einzelne Dateien einzustellen. Aber für einen übergeordneten Ordner, der diese Berechtigungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht. - BERECHTIGUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER IN DIESEM CONTAINER ÜBERNEHMEN Aktivieren Sie diese Option, wenn die gesetzten Sicherheitseinstellungen nur auf die erste Ebene der direkt in diesem Verzeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Einstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert. VERERBBARE B ERECHTIGUNGEN DES ÜBERGEORDNETER OBJEKTES EINSCHLIEßEN
Erben vom übergeordneten Objekt aktivieren
Vererbung komplett wieder einsetzen
Deaktivieren Sie diese Option, wenn Sie für das aktuelle Objekt die Vererbung der Rechte vom übergeordneten Ordner ausschalten wollen (siehe auch vorhergehender Abschnitt). Wenn Sie für ein Objekt die Vererbung aktivieren wollen, müssen Sie das Kontrollkästchen anklicken. Vererbbare Berechtigungen heißt in diesem Zusammenhang, dass sich die Vererbung nur auf die Objekte bezieht, bei denen dieses »Vererbungs-Kontrollkästchen« ebenfalls aktiv ist. BESTEHENDE BERECHTIGUNGEN ALLER UNTERGEORDNETEN OBJEKTE DURCH VERERBBARE BERECHTIGUNGEN DIESE OBJEKTES ERSETZEN Dieses Kontrollkästchen finden Sie nur bei übergeordneten Objekten, die etwas vererben können. Das sind im NTFS-Dateisystem die Ordner. Wollen Sie für alle diesem Objekt untergeordneten Objekte (Dateien und Ordner) die eventuell individuell gesetzten Zugriffsrechte wieder zurücksetzen, aktivieren Sie diese Option und bestätigen Sie die Aktion mit einem Klick auf OK oder ÜBERNEHMEN. Dabei wird nach dem Zurücksetzen der Rechte bei allen unterge-
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 687 ordneten Objekten die Vererbung der Zugriffsrechte vom aktuellen übergeordneten Ordner wieder aktiviert. Diese Funktion eignet sich insbesondere dann, wenn Sie für alle untergeordneten Dateien und Ordner Zugriffsrechte wieder auf einheitliche Werte setzen wollen. Bevor jedoch alle Objekte entsprechend bearbeitet werden, erfolgt eine Sicherheits-Rückfrage des Systems, ob Sie diese Änderungen an den Zugriffsrechten auch wirklich durchführen lassen wollen. Diese Änderungen können je nach Größe der Ordner (und Unterordner) eine gewisse Zeit in Anspruch. Sie können diesen Vorgang abbrechen, erhalten aber dann eine inkonsistente Sicherheitsstruktur.
Auswahldialog für Benutzer und Gruppen In Windows Vista steht ein spezielles Auswahl-Dialogfenster für das Suchen und Hinzufügen von Benutzer- und Gruppenkonten zur Verfügung. Sie werden damit beispielsweise konfrontiert, wenn Sie für ein Objekt die Zugriffsrechte für zusätzliche Benutzer oder Gruppen erweitern wollen. Bei einem System, welches nicht in eine Active Directory-Domäne eingebunden ist, finden Sie unter SUCHPFAD nur Ihre lokale Maschine. Sie können im Eingabefeld darunter einen Benutzernamen direkt eingeben. Allerdings muss dieser Name hier komplett als Anmelde- beziehungsweise Gruppenname eingetragen werden, damit das System ihn eindeutig identifizieren kann. Klicken Sie auf NAMEN ÜBERPRÜFEN , erscheint im Erfolgsfall automatisch der unterstrichene vollständige relativ definierte Name des Objekts (Relative Distinguished Name, RDN), im Regelfall des Benutzers oder der Gruppe. Werden mehrere Namen gefunden, wird übrigens ein Dialogfenster mit dem Suchergebnis zur weiteren Auswahl angezeigt.
Auch für den Standalone-PC gilt: Anmelde- oder Gruppenname vollständig angeben
Abbildung 12.71: Dialogfenster für die Auswahl von Sicherheitskonten
Ist Ihnen die genaue Schreibweise der Namen nicht gegenwärtig, nach Suchdialogfenster dem Sie suchen, können Sie über einen Klick auf ERWEITERT ein Suchdialogfenster öffnen.
688 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.72: Erweiterten Suchdialog benutzen
Bei einem Standalone-System ohne Active Directory-Anbindung können Sie keine weiteren Suchkriterien definieren. Der Bereich ALLGEMEINE ABFRAGEN bleibt deaktiviert. Klicken Sie auf JETZT SUCHEN, werden alle entsprechenden Objektkennungen mit ihren RDN im unteren Teil aufgelistet. Sie können dann den gewünschten markieren und mit OK in Ihre Auswahl übernehmen. Wollen Sie mehrere Einträge auf einmal markieren, können Sie dies mit gedrückter Strg-Taste zusammen mit jedem Mausklick auf den einzelnen Eintrag erreichen. Halten Sie beim Klick die Umschalt-Taste gedrückt, wenn Sie einen zusammenhängenden Bereich markieren wollen. Suche einschränken Obwohl Sie, wie erwähnt, bei einem Standalone-System keine weiteren Suchoptionen zur Verfügung haben, können Sie dennoch die Suche etwas einschränken. In der Regel werden Sie, vor allem wenn es um die Einrichtung von NTFS-Zugriffsberechtigungen geht, nach Benutzern und Gruppen suchen. Wenn Sie im erweiterten Suchdialog vor der eigentlichen Suche auf OBJEKTTYPEN klicken (siehe Abbildung 12.72 im oberen Teil), können Sie einige Einschränkungen vornehmen.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 689 Abbildung 12.73: Objekttypen für die Suche bestimmen
Deaktivieren Sie hier vor der Suche die Objekttypen, nach denen Sie nicht suchen wollen. So wird sich das Ergebnis deutlich übersichtlicher präsentieren. Ist Ihr System in eine Active Directory-Domäne integriert, können Sie System in Active komfortabler nach anderen Benutzern oder Gruppen suchen. Sie ha- Directory-Domäne ben dabei automatisch Zugriff auf den Globalen Katalog des Verzeichnisdienstes und können beispielsweise einen unvollständigen Anmeldenamen eintragen. So reicht bei der Suche nach dem Benutzer Lukas die Eingabe von Luk aus, um diesen über NAMEN ÜBERPRÜFEN vervollständigen zu lassen (für den kompletten Benutzernamen
[email protected]). Bei einem Active Directory-integrierten System haben Sie auch im erweiterten Suchdialog mehr Möglichkeiten. Eine umfassende Beschreibung des Verzeichnisdienstes Active Directory finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
Überwachung von Dateien und Ordnern definieren Für NTFS-Dateien und Ordner können Sie Überwachungen einrichten. Dabei wird der Zugriff auf die spezifizierten Objekte im EREIGNISPROTOKOLL unter SICHERHEIT protokolliert (siehe Abschnitt 4.4 Ereignisanzeige ab Seite 217). Da dies auch Performance kostet, sollten Sie gut überlegen, welche Dateien und Ordner wirklich überwacht werden müssen. Damit die Überwachung überhaupt stattfinden kann, muss die Überwachungsrichtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN entsprechend definiert werden. Diese ist standardmäßig bei einem Standalone-PC deaktiviert. Gehen Sie so für die Einrichtung der Richtlinie vor: 1. Öffnen Sie die Managementkonsole LOKALE SICHERHEITSEINSTELLUNGEN. Der schnellste Weg geht dazu über den Aufruf von SECPOL.MSC im Startmenü unter AUSFÜHREN . 2. Öffnen Sie hier in der Strukturansicht auf der rechten Seite LOKALE RICHTLINIEN | ÜBERWACHUNGSRICHTLINIEN.
Überwachungseinträge im Ereignisprotokoll
Standalone-PC: Überwachungsrichtlinie definieren
690 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.74: Ort der lokalen Überwachungsrichtlinie
3. Mit einem Doppelklick auf OBJEKTZUGRIFFSVERSUCHE öffnet sich das Dialogfenster zu dieser Richtlinie.
ÜBERWACHEN
Abbildung 12.75: Richtlinieneinstellungen für die Überwachung festlegen
Richtlinie im Active Directory
Für die Überwachung lässt sich definieren, ob diese bei erfolgreicher oder fehlgeschlagener Aktion (oder beides) auf die zu überwachenden Objekte eine entsprechende Ereignismeldung generieren soll. Für die Überwachung von sensiblen Dateien und Ordnern kann beides wichtig sein. Ist das System in eine Active Directory-Domäne integriert, kann die Sicherheitsrichtlinie auf Domänenebene definiert sein und gilt dann automatisch auch für Ihr System. In unserem Buch Windows 2000 im Netzwerkeinsatz finden Sie dazu weiterführende Informationen. Für die Einrichtung einer Überwachung fügen Sie einfach einen neuen Eintrag zu der Liste der Überwachungen im Dialogfenster ERWEITERTE SICHERHEITSEINSTELLUNGEN für die Datei oder den Ordner hinzu. Definieren Sie für den Eintrag, welche Aktionen für das Objekt überwacht werden sollen. Sie können dabei den erfolgreichen oder den fehlgeschlagenen Zugriff (oder beide Arten) protokollieren lassen.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 691 Abbildung 12.76: Überwachungseinträge definieren
Beachten Sie, dass auch die Überwachungseinträge vererbt werden Vererbung der können. Richten Sie dafür den Eintrag für einen übergeordneten Ord- Überwachung ner ein und aktivieren Sie die Vererbung. Dies geschieht genauso wie für die erweiterten Zugriffsrechte und ist auf Seite 686 beschrieben. Da die Überwachung letztlich Ressourcen benötigt, sollten Sie insbesondere bei der Vererbung von Überwachungseinträgen darauf achten, nur die Dateien und Ordner einzubeziehen, für die das sinnvoll und notwendig ist.
Besitzrechte ändern Grundlage der Zugriffssteuerung im NTFS-Dateisystem über Benut- Besitz ist alles zerberechtigungen sind die Eigentumsverhältnisse an Dateien und Ordnern. Die Besitzrechte sowie die Vergabe des Rechtes auf Übernahme des Besitzes sind strikt geregelt. Als Administrator haben Sie die Berechtigung zum Ändern der Besitzrechte. Wird dies benötigt, gehen Sie wie folgt vor: 1. Öffnen Sie die Registerkarte BESITZER im Dialogfenster für die ERWEITERTEN SICHERHEITSEINSTELLUNGEN. Im Feld AKTUELLER BESITZER DIESES ELEMENTS sehen Sie den bisher eingetragenen Besitzer. 2. Unter BESITZER ÄNDERN NACH finden Sie einen Eintrag für sich selbst, wenn Sie über Administratorrechte verfügen, sowie die Gruppe der Administratoren. So können Sie die Besitzrechte universell auf die Administratoren übertragen oder auf Sie selbst.
692 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.77: Übernahme des Besitzes für ein Objekt
Stellen Sie vor der Übernahme des Besitzes innerhalb des Unternehmens durch Richtlinien sicher, dass Sie zur Besitzübernahme berechtigt sind. Nicht alle Chefs sind begeistert, wenn Administratoren vertrauliche Daten »an sich reißen«.
12.9.4
Syntax
Die Kommandozeilen-Werkzeuge CACLS.EXE UND ICACLS.EXE
Das in unserem Buch Windows XP Professional beschriebene Kommandozeilen-Tool CACLS.EXE ist in Vista mit der dort beschriebenen Parametrisierung noch enthalten. Es ist aber mittlerweile veraltet und hat mit dem Tool ICACLS.EXE einen würdigen Nachfolger gefunden. Sie können mit beiden Tools die Zugriffsberechtigungen (Access Control List ACL) von Dateien und Ordnern setzen oder ändern. Die Besitzverhältnisse können Sie mit ICACLS.EXE ändern, nicht jedoch mit CACLS.EXE. Die Überwachungen können Sie nicht beeinflussen. Im Weiteren wird auf ICACLS.EXE eingegangen. Die Syntax für den Aufruf des Programms lautet: Icacls /save [Optionen] Icacls [/substitute <sid-alt> <sid-neu> [...]] /restore: [Optionen außer /T] Icacls /setowner [Optionen] Icacls /findsid <sid> [Optionen] Icacls /verify [Optionen] Icacls /reset [Optionen] Icacls [/grant[:r] SID:[...]] [/deny SID: [...]] [/remove[:g|:d]] <sid> [...]] [Optionen] [/setintegritylevel [(CI)(OI)] <Stufe>] In der nachfolgenden Tabelle finden Sie die Erläuterungen zu den Bestandteilen der Syntax.
12.9 NTFS-Zugriffsrechte einstellen_________________________________________ 693 Option
Tabelle 12.14: Optionen von Die zu bearbeitenden Dateien oder Ordner. ICACLS.EXE Es sind auch Platzhalter wie *.* zulässig.
Bedeutung
Der Aufruf allein mit zeigt die gesetzten ACLs für die betreffenden Dateien und Ordner an.
/T gibt an, dass dieser Vorgang für alle übereinstimmenden Dateien/Verzeichnisse ausgeführt wird, die sich unter den Verzeichnissen befinden, die im Namen angegeben sind. /C gibt an, dass dieser Vorgang bei allen Dateifehlern fortgesetzt wird Fehlermeldungen werden weiterhin angezeigt. /L gibt an, dass dieser Vorgang für einen symbolischen Link selbst und das dazugehörige Ziel ausgeführt wird. /Q gibt an, dass ICACLS Erfolgsmeldungen unterdrücken soll.
/save
Speichert die ACLs für alle übereinstimmenden Namen in der ACL-Datei, damit sie später mit /restore wiederhergestellt werden können.
/restore
Wendet die gespeicherten ACL aus der ACL-Datei auf die Dateien im Verzeichnis an. Die gleichzeitige Verwendung von /substitute <sid-alt> <sid-neu> erlaubt die Ersetzung der SID.
/setowner
Ändert den Besitzer für alle übereinstimmenden Namen
/findsid <sid>
Findet alle übereinstimmenden Namen, die eine ACL enthalten, in dem die SID enthalten ist.
/verify
Findet alle Dateien, deren ACL kein kanonisches Format aufweist oder deren Längen nicht mit der ACE-Anzahl übereinstimmt.
/reset
Ersetzt die ACLs durch standardmäßige vererbte ACLs für alle übereinstimmenden Dateien.
694 ______________________________________ 12 Administration der Massenspeicher Option /grant[:r] SID:Berechtigung
Bedeutung Gewährt die angegebenen Benutzerzugriffsrechte. Mit :r werden die Berechtigungen aller zuvor gewährten ausdrücklichen Berechtigungen ersetzt. Ohne :r werden die Berechtigungen zu beliebigen, zuvor gewährten ausdrücklichen Berechtigungen hinzugefügt.
/deny SID:Berechtigung
Verweigert die angegebenen Benutzerzugriffsrechte ausdrücklich. Ein ausdrücklich verweigerter ACE wird für die angegebenen Berechtigungen hinzugefügt und die gleichen Berechtigungen werden in einer ausdrücklichen Berechtigung entfernt.
/remove[:[g|d]] SID
Entfernt alle Vorkommen der SID in der ACL. Mit :g werden alle Vorkommen von gewährten Rechten für diese SID entfernt. Mit :d werden alle Vorkommen von verweigerten Rechten für diese SID entfernt.
/setintegritylevel [(CI)(OI)]<Stufe>
Fügt explizit ein Integritäts-ACE zu allen passenden Dateien hinzu. <Stufe> muss angegeben werden als L = Niedrig M = Mittel H = Hoch Vererbungsoptionen können dem Integritäts-ACE vorangestellt werden und werden nur auf Verzeichnisse angewendet.
Einsatz in Stapeldateien
Berechtigung
Wenn Sie ICACLS in Stapeldateien zum automatisierten Abarbeiten von Aufgaben einsetzen, sollten Sie Gebrauch von den Optionen /Q und /C machen. Die Berechtigung ist eine Maskierung und kann in einem von zwei Formaten angegeben werden: Eine Folge von einfachen Rechten: - F - Vollzugriff - M - Änderungszugriff - RX - Lese- und Ausführungszugriff - R - Schreibgeschützter Zugriff - W - Lesegeschützter Zugriff
12.10 Dateiattribute bei FAT und FAT32_____________________________________ 695 Eine kommagetrennte Liste von bestimmten Rechten, umschlossen von Klammern: - D - Löschen - RC - Lesesteuerung - WDAC - DAC schreiben - WO - Besitzer schreiben - S - Synchronisieren - AS - Systemsicherheitszugriff - MA - Maximal zulässig - GR - Allgemeiner Lesezugriff - GW - Allgemeiner Schreibzugriff - GE - Allgemeiner Ausführungszugriff - GA - Allgemeiner Zugriff (alle) - RD - Daten lesen/Verzeichnis auflisten - D - Daten schreiben/Datei hinzufügen - AD - Daten anfügen/Unterverzeichnis hinzufügen - REA - Erweiterte Attribute lesen - WEA - Erweiterte Attribute schreiben - X - Ausführen/Durchsuchen - DC - Untergeordnetes Element löschen - RA - Attribute lesen - WA - Attribute schreiben Die Vererbungsrechte können in einer der beiden Formate vorangestellt Vererbungsrechte werden und werden nur auf Verzeichnisse angewendet: (OI) - Objektvererbung (CI) - Containervererbung (IO) - Nur vererben (NP) - Vererbung nicht propagieren
12.10 Dateiattribute bei FAT und FAT32 Die erreichbare Sicherheit für Dateien und Ordner ist auf FAT- bezie- Keine Sicherheit auf hungsweise FAT32-Volumes minimal. Generell können alle Attribute FAT/FAT32 durch alle Benutzer gesetzt und gelöscht werden. Lediglich bei Netzwerkfreigaben auf FAT/FAT32-Volumes sind für alle Benutzer gültige Restriktionen anwendbar. Die nachfolgende Tabelle zeigt alle einsetzbaren Attribute. Tabelle 12.15: Attribute bei SCHREIBGESCHÜTZT Verhindert das Überschreiben der Datei. Viele FAT/FAT32 Anwendungen setzen aber das Attribut einfach außer Kraft und können dann trotzdem die Datei überschreiben.
Attribut
Auswirkung
696 ______________________________________ 12 Administration der Massenspeicher Attribut
Auswirkung
VERSTECKT
Verhindert die Anzeige der Datei mit Standardanzeigeprogrammen für Verzeichnisse (beispielsweise mit DIR). Über manche Anwendungsprogramme oder über eine entsprechende Einstellung des Windows Explorers können diese Dateien aber trotzdem sichtbar werden.
SYSTEM
Versteckt die Datei bei gleichzeitigem Schreibschutz. Soll als besonderer Schutz für Betriebssystemdateien dienen. Vorteil dieses Attributs ist, dass es sich nicht über das Eigenschaften-Fenster der Datei deaktivieren lässt.
ARCHIV
Hat keine Auswirkung auf den Zugriff. Wird beispielsweise von Datensicherungsprogrammen genutzt, um die Datei als gesichert zu markieren.
12.10.1 FAT-Attribute im Windows Explorer setzen Im Eigenschaften-Fenster zu einer Datei oder einem Verzeichnis können Sie die folgenden Attribute setzen oder löschen: SCHREIBGESCHÜTZT, VERSTECKT oder ARCHIV Abbildung 12.78: Setzen der FAT/ FAT32-Attribute
Attribut System
Eine Ausnahme bildet das Attribut SYSTEM. Da dieses dem besonderen Schutz von Betriebssystemkomponenten dienen soll, wird es dem
12.10 Dateiattribute bei FAT und FAT32_____________________________________ 697 normalen Benutzer etwas schwerer gemacht, dieses zu ändern. Das ist nur mit dem Kommandozeilen-Tool ATTRIB.EXE möglich.
12.10.2 Das Kommandozeilen-Werkzeug ATTRIB.EXE Das Dienstprogramm ATTRIB ermöglicht das Setzen und Löschen von FAT-Attributen von der Kommandozeile aus und ist damit ebenfalls für den Einsatz in Stapelverarbeitungsdateien geeignet. ATTRIB.EXE können Sie auch für NTFS-Volumes benutzen. Sie haben damit allerdings nur die einfachen Attribute zur Verfügung, die Sie auf FAT/FAT32-Volumes anwenden können. Die erweiterten Zugriffsrechte für Dateien und Ordner auf NTFS-Volumes können Sie mit ICACLS.EXE einstellen (siehe Seite 692). Der Aufruf von ATTRIB ohne eine weitere Angabe zeigt die gesetzten Attribute aller Dateien im aktuellen Verzeichnis. Für das Setzen und Entfernen von Attributen gilt die folgende Syntax: Attrib [[] [] ] [/S] [/D] [/L] Syntax In der folgenden Tabelle finden Sie die möglichen Optionen, mit denen Sie dieses Programm aufrufen können: Option
Tabelle 12.16: Optionen zu Folgende Attribute sind möglich; ein »+« vor dem ATTRIB.EXE Attribut setzt dieses, ein »« entfernt es:
Erklärung
R - Schreibschutz (Read-Only) A - Archiv S - System H - Versteckt (Hidden)
I - Inhalt nicht indiziert Geben Sie kein Attribut an, werden die aktuell gesetzten Attribute der entsprechenden Dateien oder Verzeichnisse angezeigt.
Der Datenträger, angegeben über seinen Laufwerkbuchstaben, gefolgt von einem Doppelpunkt
Das Verzeichnis, für das ein Attribut gesetzt werden soll
Die zu ändernde Datei. Sie können auch Platzhalter wie beispielsweise *.* oder *.txt einsetzen.
/S
Setzt oder entfernt Attribute in untergeordneten Verzeichnissen.
/D
Setzt oder entfernt Attribute auch für Ordner selbst.
/L
Verarbeitet die Attribute des symbolischen Links anstelle des Linkziels
698 ______________________________________ 12 Administration der Massenspeicher Reihenfolge beim Entfernen beachten Beispiel
Beim Entfernen von Attributen spielt die Reihenfolge eine Rolle. So ist es nicht möglich, für eine Datei, die VERSTECKT und SCHREIBGESCHÜTZT gesetzt ist, allein das Attribut SCHREIBGESCHÜTZT zurückzusetzen. Für die Datei Report.xsl werden mit ATTRIB.EXE alle Attribute gesetzt: Attrib +R +S +H Report.xsl Beim Setzen spielt die Reihenfolge, mit der Sie die Attribut-Optionen angeben, noch keine Rolle. Sie hätten auch +H +R +S eingeben können. Beim Löschen müssen Sie beachten: SYSTEM geht vor alle anderen Attribute und muss zuerst entfernt werden. VERSTECKT geht vor SCHREIBGESCHÜTZT und muss davor entfernt werden. Für das Entfernen aller Attribute von der Datei Report.xsl müssen Sie den Aufruf in der Reihenfolge tätigen: Attrib -S Report.xsl Attrib -H Report.xsl Attrib -R Report.xsl Alternativ können Sie auch folgendes schreiben: Attrib -S -H -R Report.xsl Wenn Sie alle drei Attribute auf einmal entfernen, ist auch folgende Reihenfolge möglich: Attrib -S R -H Report.xsl Im letzten Beispiel ist darauf zu achten, dass S am Anfang steht.
12.11 Freigaben für Ordner einrichten Die Funktion der Ordnerfreigaben gibt es bereits seit den ersten, netzwerkfähigen Windows-Versionen. In den nachfolgenden Abschnitten wird gezeigt, wie Sie in einem Peer-to-Peer-Netzwerk Ordnerfreigaben auf Arbeitsstationen einrichten und verwalten, die unter Windows Vista laufen. Der clientseitige Zugriff auf solche Freigaben wird unter anderem in Freigaben nutzen ab Seite 898 Abschnitt 14.4.3 Freigabe von Ressourcen ab Seite 898 behandelt. Für den gemeinsamen Zugriff auf lokale Ordner durch mehrere BeGemeinsamer Zugriff auf lokale Ordnutzer stellt Windows Vista ebenfalls Funktionen bereit. In Abschnitt ner ab Seite 268 Datenaustausch über ÖFFENTLICH ab Seite 268 wird das Vorgehen dazu erläutert. Web-Freigaben über Neben Freigaben für das lokale Netzwerk gibt es die Möglichkeit, DaAssistenten teien online im Internet über einen Assistenten zur Verfügung zu stellen. Dahinter verbirgt sich nichts weiter, als dass im IIS ein virtuelles Verzeichnis angelegt wird. Der Assistent erspart damit den Zugriff auf das Snap-In Internet-Informationsdienste. In Kapitel 16 Internet Informationsdienste ab Seite 1037 wird dieses Thema erörtert.
12.11 Freigaben für Ordner einrichten_______________________________________ 699
12.11.1 Voraussetzungen Die folgenden Voraussetzungen müssen gegeben sein, damit Sie Freigaben im lokalen Netzwerk einrichten und nutzen können: 1. In der entsprechenden Netzwerkverbindung muss der Client für Microsoft-Netzwerke installiert und aktiviert sein (siehe Abbildung 14.6 auf Seite 859). Bei Wählverbindungen in das Internet sollte diese Komponente stets deaktiviert sein, da sonst Unbefugte Zugriff auf alle Daten Ihres Computers erhalten können. 2. Wenn Sie die integrierte Windows-Firewall nutzen, sollte die für die Netzwerkverbindungen in das lokale Netzwerk deaktiviert beziehungsweise angepasst werden. Sonst können Sie zwar Freigaben einrichten, ein Zugriff von anderen Computern wird jedoch unterbunden. In Abschnitt 15.2.6 Einsatz der integrierten WindowsFirewall ab Seite 969 finden Sie dazu weitere Informationen. 3. Im Netzwerk- und Freigabecenter, das in Abschnitt 14.1.1 Das Netzwerk- und Freigabecenter ab Seite 855 erläutert wird, müssen die entsprechenden Optionen für Freigaben eingeschaltet sein.
12.11.2 Überblick über die Verwaltungswerkzeuge Für die Einrichtung und Verwaltung gibt es drei verschiedene Wege: Windows Explorer Das Eigenschaften-Fenster eines Ordners ist die erste Anlaufstelle. In Abschnitt 12.11.3 Freigaben über den Explorer verwalten ab Seite 699 wird gezeigt, wie Sie die erweiterte Ordneransicht aktivieren und nutzen können, um Freigaben nicht nur einzurichten, sondern auch gezielt mit Zugriffsrechten zu versehen. Snap-In Freigegebene Ordner Dieses Snap-In ist das zentrale Verwaltungswerkzeug für Freigaben schlechthin. Neben dem eigenen PC können damit die Freigaben auf allen anderen Computer im Netzwerk ebenfalls verwaltet werden. In Abschnitt 12.11.5 Snap-In Freigegebene Ordner nutzen ab Seite 706 wird das Snap-In vorgestellt. NET.EXE auf Kommandozeilen-Ebene Für alle Kommandozeilen-Puristen beziehungsweise für den Einsatz in Stapelverarbeitungsdateien steht dieses universelle Netzwerk-Dienstprogramm bereit. In Abschnitt 12.11.8 Freigaben mit NET.EXE verwalten ab Seite 712 wird seine Anwendung gezeigt.
12.11.3 Freigaben über den Explorer verwalten Um das Eigenschaften-Fenster zu einem Ordner zu erhalten, wählen Sie aus dem Kontextmenü den Punkt EIGENSCHAFTEN. Von dort können Sie in die Registerkarte FREIGABE wechseln. Die Schaltfläche F REIGABE
Eigenschaften-Fenster ab Seite 699
Snap-In ab Seite 706
NET.EXE ab Seite 712
700 ______________________________________ 12 Administration der Massenspeicher startet den Assistenten. Über die ERWEITERTE FREIGABE wird die erweiterte Ordnerfreigabe eingerichtet. Die erweiterte Ordnerfreigabe wird in Abschnitt Zugriffsrechte über die erweiterte Ordnerfreigabe einstellen ab Seite 702 erklärt.
Assistent oder erweiterte Ordnerfreigabe? Einfache Ordnerfreigabe
FreigabeAssistenten deaktivieren
Standardmäßig werden Sie mit dem so genannten Freigabe-Assistenten konfrontiert. Für ungeübte Benutzer mag dieser bequem zu handhaben sein. Allerdings lassen sich damit keine differenzierten Sicherheitseinstellungen vornehmen. Der Freigabename lässt sich mit dem Assistenten nicht ändern. Er entspricht immer dem Namen des freigegebenen Ordners. Die zugelassene Benutzeranzahl von 10 lässt sich nicht reduzieren. Wollen Sie den Freigabe-Assistenten deaktivieren, können Sie das über das Dialogfenster Ordneroptionen erledigen. Das öffnen Sie aus einem normalen Explorerfenster über das Menü O RGANISIEREN. Deaktivieren Sie hier das Kontrollkästchen FREIGABE-ASSISTENT VERWENDEN (EMPFOHLEN ).
Abbildung 12.79: Freigabeeigenschaften eines Ordnes; links mit, rechts ohne aktiviertem Assistenten
Neue Freigaben mit dem Assistenten einrichten Über das Kontext-Menü des Ordners wählen Sie den Eintrag FREIGABE aus. Es erscheint standardmäßig der Assistent. Zunächst wählen Sie aus, welche Personen (Benutzer) auf die freigegebenen Daten zugreifen dürfen. Dazu wählen Sie die Benutzer aus der Liste, die aufklappt, wenn Sie den Pfeil neben der Schaltfläche HINZUFÜGEN anklicken. Möchten Sie für den Zugriff einen speziellen Benutzer einrichten, können Sie einen anlegen. Die Schaltfläche HINZUFÜGEN übernimmt die Auswahl in das Hauptfenster. Sobald die Einträge vorhanden sind,
12.11 Freigaben für Ordner einrichten_______________________________________ 701 kann für jeden einzelnen Eintrag die Berechtigungsebene festgelegt werden. Abbildung 12.80: Freigabe-Assistent
Die Berechtigungsebenen sind: Berechtigungsebenen 1. Leser Der Benutzer hat lediglich Leserechte. Dateien können von ihm nicht geändert oder hinzugefügt werden. 2. Mitwirkender Der Benutzer kann alle Dateien lesen und Dateien hinzufügen. Selbst hinzugefügte Dateien dürfen verändert und wieder gelöscht werden. 3. Mitbesitzer Mitbesitzer haben Vollzugriff. Sie können alle Dateien lesen, ändern, Dateien hinzufügen und löschen. Über die letzte Option kann der ausgewählte Eintrag wieder entfernt werden. Mit der Auswahl der Schaltfläche FREIGABE bestätigen Sie die Einträge. Abbildung 12.81: Freigabe wurde bestätigt
702 ______________________________________ 12 Administration der Massenspeicher Die Freigabe-Bestätigung lässt zwei Möglichkeiten zu, wie die Benutzer über die neue Freigabe benachrichtigt werden. Der im Hauptfenster gezeigte Freigabepfad kann in die Zwischenablage kopiert werden, um in allen Windows-Programmen nutzen zu können. Außerdem können Sie den Pfad per E-Mail mit dem Programm Windows Mail (mehr dazu in Abschnitt E-Mail senden ab Seite 1018) verschicken. Zur Kontrolle können Sie sich die freigegebenen Dateien anzeigen lassen.
Zugriffsrechte über die erweiterte Ordnerfreigabe einstellen Die komplexere Variante eine Freigabe zu erstellen, erreichen Sie über die erweiterte Freigabe. Öffnen Sie dazu den Eigenschaften-Dialog des Ordners über das Kontext-Menü. Es erscheint der in Abbildung 12.79 gezeigte Dialog. Die Schaltfläche ERWEITERTE FREIGABE öffnet den gleichnamigen Dialog. Abbildung 12.82: Einstellungen für die Erweiterte Freigabe
Mehrere Freigaben für einen Ordner
Die Freigabe eines Ordners wird eingerichtet, sobald Sie einen entsprechenden Freigabenamen vergeben. Dieser kann bis zu 70 Zeichen lang sein und alle Zeichen des Unicode-Zeichensatzes enthalten. Führende Leerzeichen sind nicht zulässig, werden bei der Eingabe automatisch entfernt. Windows 9x/Me und Windows NT können nur auf Freigaben zugreifen, deren Bezeichner maximal 12 Zeichen lang ist. Noch ältere Clients, wie beispielsweise der Netzwerkclient für MS-DOS, haben eine Beschränkung auf ASCII-8 Zeichen, wobei das Leerzeichen dort gar nicht zulässig ist. Im Prinzip können Sie mehr als eine Freigabe pro Ordner anlegen. Ob das wirklich sinnvoll ist, müssen Sie selbst entscheiden. Verschiedene Freigaben ein und desselben Ordners können beispielsweise so mit
12.11 Freigaben für Ordner einrichten_______________________________________ 703 verschiedenen Freigabeberechtigungen versehen werden. Allerdings ist das zweigeteilte Rechtesystem mit Freigabe- und NTFS-Zugriffsrechten so ausgefeilt und individuell anpassbar, dass das kaum ein wirklicher Grund sein kann. Um mehrere Freigaben für den Ordner anzulegen, benutzen Sie die Schaltfläche HINZUFÜGEN. Eine Ausnahme gibt es: Die Stammverzeichnisse der Laufwerke (C:\, Stammlaufwerke D:\ etc.) sind bereits standardmäßig freigegeben. Dabei handelt es sich um so genannte Administrative Freigaben, die nur von Administratoren genutzt werden können. Wenn Sie jetzt ein solches Laufwerk über das Stammverzeichnis freigeben wollen, dann müssen Sie eine zusätzliche Freigabe einrichten. Zu empfehlen ist das aus Sicherheitsgründen jedoch nicht. In Abschnitt 12.11.6 Administrative Freigaben ab Seite 708 finden Sie weitere Informationen. Die Arbeitsplatzversionen von Windows sind in der Anzahl der Benutzer, die eine Freigabe nutzen dürfen, auf 10 limitiert. Möchten Sie, dass Ihr Arbeitsplatz-Computer nicht mit der Bereitstellung für andere überlastet ist, können Sie die Benutzeranzahl weiter reduzieren. Die erweiterte Ansicht stellt dafür eine entsprechende Auswahlbox bereit. Über die Schaltfläche BERECHTIGUNGEN öffnet der Berechtigungsdialog Freigabe-Rechte (Abbildung 12.83), der festlegt, welche Benutzer auf die Freigabe über das Netzwerk überhaupt zugreifen können und welche Rechte sie dazu besitzen. Die Schaltfläche HINZUFÜGEN öffnet den erweiterten Suchdialog (siehe Abbildung 12.72), der es ermöglicht Benutzer aus einer Active-Directory-Domäne hinzuzufügen vorausgesetzt natürlich, dass der Computer Mitglied einer Domäne ist. Abbildung 12.83: Erweiterte FreigabeBerechtigungen
Im unteren Fenster legen Sie die Berechtigungsstufe fest. Die Zugriffsrechte lassen sich für jede Freigabe individuell einstellen Hinter den
704 ______________________________________ 12 Administration der Massenspeicher
Grundsätze für Freigabe-Zugriffsrechte
NTFS-Rechte
drei Möglichkeiten Lesen, Schreiben und Vollzugriff verbergen sich konkret folgende Rechte, die den Rollen der vereinfachten Freigabe (im vorhergehenden Anschnitt) entsprechen: LESEN (LESER) Die Leseberechtigung ermöglicht dem Benutzer Folgendes: - Anzeigen von Datei- und Unterordnernamen - Wechseln zu Unterordnern - Anzeigen von Daten in Dateien - Ausführen von Programmdateien ÄNDERN (MITWIRKENDER) Die Berechtigung zum Ändern umfasst neben allen Leseberechtigungen Folgendes: - Hinzufügen von Dateien und Unterordnern - Ändern von Daten in Dateien - Löschen von Unterordnern und Dateien VOLLZUGRIFF (MITBESITZER) Der Vollzugriff umfasst neben allen Berechtigungen zum Lesen und Ändern diese Möglichkeiten: - Ändern der Berechtigungen - Übernahme des Besitzes, wenn der Benutzer gleichzeitig zur Gruppe der Administratoren gehört. Mitglieder der internen Gruppe Jeder sind alle Benutzer und Gruppen, die in der Benutzerdatenbank geführt werden und sich erfolgreich angemeldet haben. Wenn Sie Benutzern Zugriff gestatten wollen, die nicht in der lokalen Benutzerdatenbank geführt werden, dann lesen Sie den Abschnitt 12.11.4 Anonymen Zugriff auf Freigaben zulassen ab Seite 705. Folgende Grundsätze gelten für die Zugriffsrechte auf Freigaben: Benutzer oder Gruppen, die nicht in der Liste auftauchen, haben kein Zugriffsrecht auf die Freigabe. Das trifft nicht auf Benutzer zu, die Mitglieder einer aufgelisteten Gruppe sind. Vermeiden Sie das Zuweisen von Verweigerungen. Wenn eine Gruppe oder ein Benutzer in der Liste gar nicht erst erscheinen, ist der Zugriff nicht möglich. Wenn Sie hingegen der Gruppe Jeder den VOLLZUGRIFF verweigern, hat niemand mehr Zugriff auf die Freigabe. Nicht im Freigabe-Dialog, sondern auf der Registerkarte SICHERHEIT befinden sich die Einstellungen der Zugriffsrechte auf Ebene des Dateisystems NTFS. Weitere Informationen finden Sie zu diesem Thema in Abschnitt 11.2.4 NTFS-Zugriffsrechte für Dateien und Ordner ab Seite 559. Das restriktivere Recht gewinnt immer. Ist auf Freigabeebene Vollzugriff eingerichtet und auf NTFS-Ebene nur das Lesenrecht, können die betroffenen Benutzer nur lesend zugreifen. Das gilt auch umgekehrt.
12.11 Freigaben für Ordner einrichten_______________________________________ 705 Freigaben aufheben Ein freigegebener Ordner ist im Explorer an einem Symbol zu erkennen, das zwei Personen zeigt. Um eine FREIGABE wieder aufzuheben, wählen Sie den Eintrag Freigabe im Fenster Eigenschaften des Ordners. Bei aktiviertem Assistenten haben Sie im erscheinenden Dialog die Möglichkeit die Zugriffrechte zu ändern oder die Freigabe zu beenden. Bei abgeschaltetem Assistenten erscheint der Dialog Erweiterte Freigabe (siehe Abbildung 12.82 auf Seite 702). Mit der Schaltfläche ENTFERNEN beenden Sie die ausgewählte Freigabe. Ist der Ordner mehrfach freigegeben, wählen Sie die nächste Freigabe aus und wiederholen den Vorgang.
12.11.4 Anonymen Zugriff auf Freigaben zulassen Nicht alle Windows-Nutzer wollen sich mit dem Anlegen und Pflegen von Benutzerkonten in einem Peer-to-Peer-Netzwerk auseinandersetzen. Deshalb sind Möglichkeiten vorgesehen, Zugriff auf Netzwerkfreigaben für Benutzer zuzulassen, die nicht auf dem PC in der Benutzerdatenbank geführt werden. Es gibt zwei Methoden, einen anonymen Zugriff auf Freigaben zuzulassen: 1. Aktivierung des Gastkontos 2. Ausschalten des Kennwortschutzes
Anonymer Zugriff über Aktivierung des Gastkontos Sie müssen dazu lediglich das Gastkonto, welches standardmäßig deaktiviert ist, freigeben (siehe Abschnitt 5.2.3 Das Gastkonto ab Seite 264). Alle Benutzer, die nicht in der lokalen Benutzerdatenbank geführt werden, werden automatisch der Gruppe Gäste zugeordnet. Für diese wiederum gelten die Sicherheitseinstellungen, die Sie dem integrierten Sicherheitsprinzipal Jeder zuweisen. Solange also in den ACL für die Freigaben weder für die Gruppe Gäste noch für Jeder Berechtigungseinträge vorhanden sind, können Benutzer ohne ein gültiges Anmeldekonto nicht auf die freigegebenen Ressourcen zugreifen. Der Zugriff bei aktiviertem Gastkonto misslingt, wenn auf zwei Computern zufällig die gleichen Anmeldenamen geführt werden, beispielsweise Uwe für Uwe Meier und Uwe für Uwe Bünning. Auch wenn die beiden nichts miteinander zu tun haben, wird der Anmeldeversuch als regulär für das Konto Uwe ausgeführt und schlägt fehl, wenn das dabei übergebene Kennwort nicht übereinstimmt (was Zufall wäre). Damit ein Gastzugriff möglich ist, müssen sich die Anmeldenamen zwischen allen beteiligten Computern unterscheiden.
Gastkonto freigeben ab Seite 264 Gast: Jeder-ACEs gelten
Anmeldenamen beachten
706 ______________________________________ 12 Administration der Massenspeicher Anonymer Zugriff über Ausschalten des Kennwortschutzes In den Freigabeeigenschaften eines Ordners (Abbildung 12.79) ist im unteren Drittel des Dialogs, im Abschnitt KENNWORTSCHUTZ, zu erkennen, ob Kennwörter für den Zugriff auf Freigaben gebraucht werden oder nicht. Der Kennwortschutz wird im Netzwerk- und Freigabecenter (siehe Abschnitt 14.1.1 Das Netzwerk- und Freigabecenter ab Seite 855) verwaltet. Die Option KENNWORTGESCHÜTZES FREIGEBEN muss auf AUS stehen. Abbildung 12.84: Ausschnitt aus dem Netzwerk- und Freigabecenter
12.11.5 Snap-In Freigegebene Ordner nutzen Zentrales Management
Um Freigaben zentral verwalten zu können, gibt es ein spezielles Snap-In für die Managementkonsole. Das Snap-In Freigegebene Ordner ist Bestandteil der MMC Computerverwaltung und kann auch in eine eigene MMC eingebaut werden. Die folgenden drei Zweige werden angezeigt: FREIGABEN: Hier erscheint die Liste der freigegeben Ordner, einschließlich der administrativen Freigaben (siehe Abschnitt 12.11.6 Administrative Freigaben ab Seite 708). Sie finden hier Angaben zu dem Namen des Ordners, den physischen Pfad zur Ressource und den Typ der Freigabe. Unter ANZAHL DER CLIENTVERBINDUNGEN ist die Anzahl der verbundenen Benutzer zu verstehen. SITZUNGEN: Es werden die aktuellen Sitzungen angezeigt. Sie erkennen, welcher Benutzer derzeit über das Netzwerk mit dem Computer verbunden ist. In der letzten Spalte GAST erkennen Sie, ob der angemeldete Benutzer unter dem Gastkonto zugreift. Eine Sitzung können Sie gewaltsam über das Kontextmenü beenden (Punkt SITZUNG SCHLIESSEN). GEÖFFNETE DATEIEN: Diese Liste zeigt alle Dateien, auf die momentan über das Netzwerk zugegriffen wird. Offene Dateien können
12.11 Freigaben für Ordner einrichten_______________________________________ 707 Sie ebenfalls gewaltsam schließen. Zu empfehlen ist das aber nicht. Datenverluste könnten sonst die Folge sein. Abbildung 12.85: Freigaben zentral im Snap-In Freigegebene Ordner verwalten
Neue Freigaben können Sie über das Snap-In ebenfalls einrichten. Freigaben einrichten Wählen Sie dazu aus dem Kontextmenü zum Zweig FREIGABEN den Punkt NEUE F REIGABE. Es startet ein Assistent, der Sie durch die weiteren Schritte führt. Das Ändern von bestehenden Freigaben erreichen Sie über das Eigen- Freigaben ändern schaften-Fenster, aufrufbar über das Kontextmenü zu einer Freigabe. Freigabename und Pfadangabe sind allerdings fest und können nachträglich nicht mehr geändert werden. Im Bedarfsfall bleibt Ihnen leider nur, die Freigabe zu löschen und eine neue zu erstellen. Angepasst werden können diese Einstellungen: Offlinedateien Freigabeberechtigungen Sicherheitseinstellungen auf NTFS-Ordnerebene Abbildung 12.86: Einstellungen zu einer Freigabe ändern
708 ______________________________________ 12 Administration der Massenspeicher Freigaben löschen
Zum Löschen einer Freigabe wählen Sie aus dem Kontextmenü den Punkt FREIGABE AUFHEBEN.
12.11.6 Administrative Freigaben
Unsichtbare Freigaben
Zugriff beschränkt
Es gibt eine Reihe von so genannten administrativen Freigaben, die bereits standardmäßig vom Betriebssystem eingerichtet worden sind. Sie erkennen diese im Snap-In Freigegebene Ordner daran, dass sie mit einem Dollarzeichen ($) versehen sind. Administrative Freigaben entstehen nicht dadurch, dass sie im Freigabenamen ein Dollarzeichen ($) enthalten. Vielmehr wird mit diesem Zeichen die Freigabe »unsichtbar«, erscheint also in Netzwerk-Browsern der Windows-Clients nicht. Ein Zugriff, beispielsweise über \\MeinPC\C$, ist aber dennoch möglich. Dank der besonders eingerichteten Berechtigungen ist der Zugriff auf administrative Freigaben auf Mitglieder der Gruppe der Administratoren beschränkt. Sie können sich eigene »unsichtbare« Freigaben erstellen, indem Sie an den Freigabenamen einfach ein Dollarzeichen ($) anhängen. Eine höhere Sicherheit erreichen Sie damit aber nur bedingt. Nur Laien werden solche Freigaben nicht aufspüren. Trotzdem ist ihre Einrichtung sinnvoll. Sie verhindern damit, dass Anwender versehentlich Freigaben im Explorer anklicken, für die sie keine Berechtigung haben. Was nicht zu sehen ist, weckt auch kein Interesse.
Überblick über typische administrative Freigaben Die folgenden administrativen Freigaben finden Sie in der Regel auf einer Arbeitsstation unter Windows Vista vor: C$, D$, E$ etc. Dies sind die administrativen Freigaben für die einzelnen Volumes. Sie werden automatisch eingerichtet, wenn ein Volume über einen Laufwerkbuchstaben angesprochen werden kann. ADMIN$ Dahinter verbirgt sich der %Systemroot%-Ordner des Computers. IPC$ Über diese Freigabe (IPC steht für Interprocess Connection) werden verschiedene Kommunikationsprozesse zwischen Computern unter Windows Betriebssystemen bei RPC-Verbindungen (Remote Procedure Call) abgewickelt. Diese Freigabe ist nicht löschbar. Es ist grundsätzlich nicht zu empfehlen, administrative Freigaben umzukonfigurieren oder gar zu löschen. Durch das Entfernen der Freigabe C$ stellen Sie beispielsweise keineswegs sicher, dass niemand mehr auf das Laufwerk C: zugreifen kann. Der Zugriff auf die administrativen Freigaben ist ohnehin nur Administratoren gestattet. Kann sich ein Eindringling als Administrator
12.11 Freigaben für Ordner einrichten_______________________________________ 709 authentifizieren, so ist er auch in der Lage, neue Freigaben auf beliebigen Volumes einzurichten. Eine eventuell gelöschte administrative Freigabe kann ihn davon nicht abhalten.
12.11.7 Clientseitiger Zugriff auf Freigaben Zum Zugriff auf freigegebene Ordner gibt es verschiedene Methoden. Nachfolgend werden die wichtigsten vorgestellt.
Zugriff über das Fenster Netzwerk Die meistgenutzte Anlaufstelle für den Zugriff auf freigegebene Netzwerkressourcen von anderen Computern ist das Fenster Netzwerk. Sie erhalten den Zugriff über ein normales Explorer-Fenster, indem Sie den Eintrag NETZWERK im Startmenü anklicken. Abbildung 12.87: Fenster Netzwerk mit Anzeige aller Netzwerkkomponenten
Es sind alle Netzwerkkomponenten sichtbar. Möchten Sie nur die Computer sehen, filtern Sie sie über das Menü KATEGORIE heraus. Die Freigaben der einzelnen Computer werden sichtbar, sobald Sie einen angeklickt haben. Voraussetzung ist lediglich, dass Sie mit Ihren momentan verwendeten Anmeldeinformationen regulär Zugriff auf diese Freigaben haben. Um eine Freigabe zu verwenden, brauchen Sie nur auf diese doppelzuklicken.
Suche nach Freigaben im Verzeichnis Ist Ihre Arbeitsstation in eine Active Directory-Domäne eingebunden, können Sie nach Freigaben gezielt im Verzeichnis suchen. Wählen Sie dazu im Suchfenster unter SUCHEN den Eintrag FREIGEGEBENE ORDNER. Im Feld STICHWÖRTER können Sie Begriffe eingeben, um Freigaben nach inhaltlichen Schwerpunkten zu suchen. Voraussetzung ist allerdings, dass Sie Schlüsselwörter bei der Veröffentlichung eingetragen haben.
710 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.88: Suche nach Freigaben im Verzeichnis
Ein Doppelklick öffnet die gewählte Freigabe übrigens genau so, als hätten Sie deren UNC-Namen im Explorer direkt eingegeben.
Eingabe des UNC-Namens im Explorer Zugriff auf die Freigaben erhalten Sie recht schnell und einfach, wenn Sie den UNC-Namen in der Adressleiste eines Windows ExplorerFensters direkt eingeben. Abbildung 12.89: Zugriff auf eine Freigabe über den UNCNamen
UNC
UNC steht für Universal Naming Convention und stellt ein Standardformat für den Zugriff auf Netzwerkressourcen dar: \\<server>\ Für <server> wird der Netzwerkname des Computers angegeben, der die bereitstellt. Ressourcen können Ordnerfreigaben genauso gut wie freigegebene Drucker sein. Sie werden feststellen, dass der Explorer die Ansicht in der Navigationsleiste ändert, sobald der Fokus in das Hauptfenster wechselt.
12.11 Freigaben für Ordner einrichten_______________________________________ 711 Statt der eingegebenen Notation
steht dann automatisch:
Laufwerkbuchstaben für Zugriff einrichten Feste Laufwerkbuchstaben für den Zugriff auf Freigaben sind nach Laufwerkbuchstawie vor beliebte Praxis, auch wenn die meisten modernen Windows- ben: Relikt aus der Anwendungen dies nicht mehr benötigen würden. Viele Anwender Vergangenheit? sind das aber so gewohnt. Deshalb wird hier gezeigt, wie Sie das einrichten können. Auf der Anzeige im Fenster Netzwerk (siehe Abbildung 12.87 auf Seite 709) öffnen Sie in der linken Navigationsleiste den Computer, der die Freigabe enthält. Mit einem Rechtsklick auf die Freigabe öffnen Sie das Kontextmenü und wählen NETZLAUFWERK ZUORDNEN
aus. Abbildung 12.90: Kontextmenü zur Freigabe
Das nachfolgende Dialogfenster (siehe Abbildung 12.89 auf Seite 710) stellt die Verknüpfung zwischen Laufwerksbuchstaben und Freigabe her. Der Laufwerksbuchstabe kann unter allen verfügbaren Buchstaben Laufwerksbuchstagewählt werden. Der Ordner ist vorgeblendet, weil er über das Kon- be wählen textmenü bereits definiert wurde. Mit aktiviertem Kontrollkästchen VERBINDUNG BEI ANMELDUNG WIEDERHERSTELLEN stellen Sie sicher, dass das Laufwerk auch nach der nächsten Anmeldung noch verfügbar ist. Diese Freigabe erscheint dann mit ihrem Laufwerkbuchstaben wie ein normales lokales Laufwerk im Fenster Computer. Beachten Sie, dass so eingerichtete Verbindungen nur für den Benutzer gelten, der aktuell angemeldet ist.
712 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.91: Freigabe mit einem Laufwerkbuchstaben koppeln
Wollen Sie für alle Benutzer eine feste Anzahl von Freigaben mit Laufwerkbuchstaben verbinden, nutzen Sie Anmeldeskripte. Hier erstellen Sie diese Verbindungen über das Dienstprogramm NET.EXE, welches in Abschnitt Mit Freigaben über NET.EXE verbinden ab Seite 714 erläutert wird. Es besteht eine weitere schnelle Möglichkeit die Verknüpfung zwischen Laufwerksbuchstaben und Freigabe herzustellen: 1. In der oberen Eingabeleiste des Explorers öffnen Sie das Kontextmenü (mit Rechtsklick). Wählen Sie den Eintrag ADRESSE ALS TEXT KOPIEREN aus. 2. Im Startmenü wählen Sie im Kontextmenü zum Eintrag COMPUTER den Eintrag NETZLAUFWERK ZUORDNEN
aus. 3. Der Dialog erscheint wie in Abbildung 12.91 gezeigt mit dem Unterschied, dass der Ordner frei gewählt werden kann. Mit einem Rechtsklick in die Ordnerleiste kann über E INFÜGEN (oder Strg+V) die Freigabe eingefügt werden.
12.11.8 Freigaben mit NET.EXE verwalten Zur Freigabeverwaltung auf Kommandozeilen-Ebene oder in Stapelverarbeitungsdateien steht mit dem Dienstprogramm NET.EXE ein leistungsfähiges Werkzeug zur Verfügung.
Freigaben mit NET.EXE einrichten und entfernen Die wichtigsten Optionen werden nachfolgend erläutert. Eine umfassende Dokumentation bietet die Online-Hilfe.
12.11 Freigaben für Ordner einrichten_______________________________________ 713 Net share [] Net share Beispiele: Net share Manuskripte Net share Texte=W:\Dokumente\TXT /remark:Archiv für Texte Net share Texte /delete Es lassen sich Informationen zu Freigaben anzeigen sowie neue Freigaben anlegen oder bestehende löschen. Option /users:
Tabelle 12.17: Ausgewählte OptioAnzahl der Benutzer, die gleichzeitig auf nen für Net share die Freigabe zugreifen dürfen
Erklärung
/grant:, Gibt dem das auf die Freigabe. kann die Werte Read, Change oder Full annehmen. /unlimited
Keine Einschränkung der Benutzeranzahl. Dies ist die Standardeinstellung.
/remark:
Beschreibungstext zur Freigabe
/cache:
Erlaubt das Zwischenspeichern bestimmter Daten. kann diese Werte annehmen:
- Manual - Documents - Programs - None /delete
Löscht die angegebene Freigabe.
Net file [[] /close]] Net file Beispiele: Net file Net file 399 /close Mit Net file ohne weitere Angaben erhalten Sie die Liste der derzeit offenen Dateien auf dem Computer. Aus dieser lässt sich dann die Datei-ID entnehmen, die Sie für das Schließen via /close einsetzen können. Net session [] [/delete] Net session Beispiele: Net session Net session \\WKS02 Net session \\192.168.100.212 /delete Über Net session ohne weitere Optionen wird die Liste der derzeit aktiven Sitzungen angezeigt. Mit /delete können Sie alle Sitzungen schließen. Dabei werden alle offenen Dateien ebenfalls geschlossen.
714 ______________________________________ 12 Administration der Massenspeicher Mit Freigaben über NET.EXE verbinden
Net use
Das Kommandozeilen-Tool NET.EXE eignet sich ebenfalls, um Zugriff auf Freigaben clientseitig zu erhalten. Die wichtigsten Optionen werden nachfolgend erläutert. Net use [[] \\\] [/user:] [/persistant:yes|no] Net use |\\\ /delete Beispiele: Net use W: \\svrw2003-1\Manuskripte Net use H: \\svrw2003-1\Texte /persistant:yes Net use K: \\svrw2003-1\Bilder /user:comzept\uwe Net use \\svrw2003-1\Manuskripte /delete Net use W: /delete Die Eingabe von Net use ohne weitere Parameter zeigt die Liste der derzeit mit dem Computer verbundenen Freigaben. Um eine Verbindung zu einer Freigabe herzustellen, geben Sie den UNC-Namen der Freigabe an. Optional können ein Laufwerkbuchstabe oder ein Benutzerkonto eingegeben werden. Zum Löschen nutzen Sie die Option /delete.
12.12 Weitere Eigenschaften von Volumes Eigenschaften eines Volumes definieren oder ändern Sie in der Datenträgerverwaltung über das entsprechende Kontextmenü oder das Hauptmenü AKTION | ALLE AUFGABEN | E IGENSCHAFTEN. Sie können die Eigenschaften auch über das Kontextmenü im Windows Explorer aufrufen. Im Eigenschaften-Fenster finden Sie neben allgemeinen Informationen zum Volume weitere Funktionen für das Datenträgermanagement. Die folgenden Funktionen können Sie ausführen: Umbenennen eines Volumes Bereinigen des Volumes von temporären Dateien und Deinstallation von Software Aktivieren der generellen Komprimierung für das Volume Aktivieren der Indizierung für schnellere Dateisuche Überprüfung auf logische und physische Datenfehler Start der Datensicherung Start des Defragmentierungsprogramms Änderung von Hardwareeinstellungen Einrichten der Netzwerkfreigaben Einstellen von benutzerorientierten Sicherheitseinstellungen Aktivieren und Konfigurieren von Datenträgerkontingenten Wiederherstellen vorheriger Versionen von Dateien
12.12 Weitere Eigenschaften von Volumes __________________________________ 715 Abbildung 12.92: Eigenschaften-Dialogfenster
Alle diese Funktionen verbergen sich hinter den sieben Registerkarten des Eigenschaften-Fensters und werden in den folgenden Abschnitten detailliert erklärt.
12.12.1 Umbenennen eines Volumes Die Volumebezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf ein Volume werden allerdings nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe auch Abschnitt 12.6 Volume-Zugriff ändern auf Seite 649). Eine Volumebezeichnung können Sie über die folgenden Verfahren ändern: Im Windows Explorer über Computer Gehen Sie über die Option UMBENENNEN des Kontextmenüs des Volumes in der linken Navigationsleiste, wird die Bezeichnung zu einem editierbaren Feld und kann geändert werden. Im Eigenschaften-Fenster In der allgemeinen Übersichtsseite des Eigenschaften-Fensters des Volumes können Sie die Datenträgerbezeichnung direkt ändern. FAT/FAT32-Volumes können Sie mit einer bis zu 11 Zeichen umfas- FAT/FAT32 senden Bezeichnung versehen. Ausgenommen sind die folgenden Zeichen: * ? / \ | . , ; : + = [ ] < > "
716 ______________________________________ 12 Administration der Massenspeicher NTFS
Die Bezeichnung für NTFS-Volumes hingegen kann 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen.
12.12.2 Bereinigen des Volumes
CLEANMGR.EXE
Über den Punkt BEREINIGEN in der Registerkarte ALLGEMEIN in den Eigenschaften eines Volumes können Sie ein nützliches Werkzeug aufrufen, welches Ihnen hilft, überflüssige Daten zu finden. Dies können beispielsweise temporäre Internet-Dateien oder offline abgelegte Datenbestände sein, auf die Sie vielleicht verzichten könnten. Sinnvoll ist der Einsatz dieser Bereinigung insbesondere dann, wenn Sie nur noch wenig Speicherplatz auf dem Volume zur Verfügung haben. Das Dienstprogramm für diese Bereinigung heißt CLEANMGR.EXE, welches Sie auch direkt durch Eingabe in die Suchleiste (oder über START | AUSFÜHREN ) aufrufen können. Wenn Sie diesen Weg gehen, müssen Sie am Anfang nur das Volume auswählen, das bereinigt werden soll. Zuvor müssen Sie in jedem Fall einstellen, ob Sie nur eigene Dateien oder die aller Benutzer bereinigen wollen. Nach dem Start erfolgt eine Überprüfung des Volumes auf entfernbare Dateien, welche je nach Datenumfang relativ lange dauern kann. Nach erfolgter Überprüfung wird das Ergebnis präsentiert. Bei intensiver Internetnutzung wird bei vielen Nutzern der Eintrag mit den temporären Internetdateien einen größeren Umfang einnehmen.
Abbildung 12.93: Ergebnis der Überprüfung
Temporäre Internetdateien
Insbesondere die temporären Internetdateien können Sie bedenkenlos löschen. Gegenüber solchen Dateien ist sowieso Vorsicht geboten. Unter den durch den Internet Explorer temporär abgelegten Dateien
12.12 Weitere Eigenschaften von Volumes __________________________________ 717 können sich auch Webseiten befinden, die beispielsweise Kontostände oder andere vertrauliche Informationen enthalten. Sicherer ist es, keine Speicherung von Webseiten und Webelementen temporär zuzulassen. Das kann allerdings ein wenig Performance kosten, da bestimmte Elemente wiederholt über das Web geladen werden müssen. Aktivieren Sie die Einträge (siehe Abbildung 12.93), die gelöscht wer- Dateien löschen den sollen. Über DATEIEN ANZEIGEN haben Sie die Möglichkeit, noch einmal zu überprüfen, ob die ausgewählten Daten auch wirklich gelöscht werden können.
12.12.3 Überprüfung eines Volumes auf Fehler Um Volumes auf physische und logische Fehler zu untersuchen, gibt es unter Windows Vista mehrere Dienstprogramme. Zu unterscheiden ist dabei zwischen grafischen und kommandozeilenorientierten Werkzeugen. Damit eine Fehlerbehebung an einem Volume durchgeführt werden kann, ist generell exklusiver Zugriff auf dieses notwendig. Das bedeutet, dass keine Dateien geöffnet und in Benutzung sein dürfen. Während der Fehlerprüfung und korrektur im exklusiven Zugriff können keine anderen Anwendungen oder Benutzer, die beispielsweise über Netzwerkfreigaben Zugang haben, das Volume benutzen. Für das System- und das Startvolume von Windows Vista kann die Fehlerbehebung nicht direkt erfolgen, da diese Dateien im ständigen Zugriff verfügbar bleiben müssen. Sie können aber dafür sorgen, dass diese Volumes beim Systemstart von Windows Vista überprüft und gegebenenfalls repariert werden.
Exklusiver Zugriff notwendig
System- und Startdatenträger
Grafisches Dienstprogramm für die Fehlerbehebung Über den Punkt TOOLS des Eigenschaften-Fensters eines Volumes können Sie das grafische Dienstprogramm für die Überprüfung auf Fehler starten. Abbildung 12.94: Eigenschaften-Dialogfenster eines Datenträgers
Klicken Sie zum Start des Programms auf die Schaltfläche JETZT PRÜFEN. Sie können dann für den Umfang und die Art der Überprüfung aus zwei Voreinstellungen auswählen:
718 ______________________________________ 12 Administration der Massenspeicher Abbildung 12.95: Umfang der Arbeiten bestimmen
Logische Fehler beheben
Physische Fehler beheben: Vorteil bei Verwendung von NTFS
System- oder Startdatenträger
Sie können diese beiden Optionen setzen: DATEISYSTEMFEHLER AUTOMATISCH KORRIGIEREN Es werden auftretende Fehler im Dateisystem automatisch korrigiert. Es erfolgt jedoch keine sektorweise Überprüfung des Volumes. Diese Option spart Zeit und reicht für eine normale Prüfung aus, wenn Sie sicher sein können, dass das Speichermedium keine physischen Defekte aufweist. FEHLERHAFTE SEKTOREN SUCHEN/WIEDERHERSTELLEN Diese Option können Sie alternativ zur ersten benutzen. Sie enthält bereits die Überprüfung auf Dateisystemfehler. Zusätzlich erfolgt aber eine sektorweise Überprüfung des Speichermediums. Nur das NTFS-Dateisystem ist in der Lage, auftretende Sektorfehler durch Kennzeichnung und Umadressierung von Clustern wirksam zu beheben. Das Auftreten von Sektorfehlern, die sich mit der Zeit eventuell häufen, deutet auf ein ernstes Problem mit dem Speichermedium hin. Es empfiehlt sich daher ein sofortiger Austausch, wenn Sie auf die sichere Speicherung Ihrer Daten Wert legen. Versuchen Sie, ein System- oder Startvolume von Windows Vista mit diesem Programm zu bearbeiten, erhalten Sie einen Hinweis, wenn Sie eine der Optionen (siehe Abbildung 12.95) aktiviert haben.
Abbildung 12.96: Hinweis beim Versuch der Reparatur
Beim nächsten Systemstart mit Reparatur
Eine Überprüfung ist ohne weiteres möglich, nur eben nicht ein schreibender Zugriff auf das Volume, der bei einer Reparatur logischer oder physischer Fehler notwendig wäre. Sie können hier aber entscheiden, ob die Überprüfung mit eventueller Reparatur dieses Volumes beim nächsten Systemstart automatisch erfolgen soll.
12.12 Weitere Eigenschaften von Volumes __________________________________ 719 Die Kommandozeilen-Werkzeuge Auf der Ebene der Kommandozeile stehen für Sie als Administrator einige Tools zur Verfügung. Im Mittelpunkt steht dabei sicherlich das Dienstprogramm CHKDSK.EXE, vom Namen her vielen sicherlich noch aus alten DOS-Tagen ein Begriff. Mehr als der Name ist allerdings nicht geblieben. Dieses Tool kann umfassend mit logischen und physischen Volumefehlern umgehen. Zusätzlich gibt es noch weitere kleine, aber nicht weniger wichtige Tools, mit deren Hilfe Sie verschiedene Parameter zum Check von Volumes steuern können. Die folgende Tabelle enthält eine Übersicht über alle nichtgrafischen Programme:
CHKDSK .EXE als wichtigstes nichtgrafisches Dienstprogramm
Programm
Kurzbeschreibung
CHKDSK.EXE
Dienstprogramm zum Überprüfen von Datenträgern und Beheben von logischen und physischen Fehlern
719
Abbildung 12.97: Übersicht über die Kommandozeilentools
CHKNTFS.EXE
Abfragen des Dirty-Bit eines Volumes (wie FSUTIL DIRTY). Zusätzlich haben Sie weitere Manipulationsmöglichkeiten von Parametern für den automatischen Check von Volumes beim Start von Windows.
720
AUTOCHK.EXE
Tool, welches nicht vom Benutzer, sondern von Windows Vista beim Systemstart aufgerufen wird und alle Volumes abfragt, ob sie als fehlerhaft markiert sind
721
FSUTIL.EXE DIRTY
Setzen oder Abfragen des Dirty-Bits
613
Seite
Mit Hilfe des Kommandozeilen-Programms CHKDSK.EXE können Sie durch Einstellung verschiedener Parameter die Überprüfung eines Volumes umfassender beeinflussen als mit dem grafischen Dienstprogramm (siehe vorhergehender Abschnitt). Die Syntax für den Aufruf der Überprüfung eines NTFS-Volumes lautet: Chkdsk [] [/F] [/V] [/R] [/X] [/I] [/C] [/L[:]] [/B] Für die Prüfung und Fehlerbehebung eines FAT/FAT32-Volumes können Sie folgende Syntax benutzen: Chkdsk [ [[]]]] [/F] [/V] [/R] [/X] In der folgenden Tabelle finden Sie alle Optionen zu CHKDSK.EXE: Option
Erklärung Das zu überprüfende Volume. Gütige Angaben sind: - Laufwerkbuchstabe, gefolgt von einem Doppelpunkt - Bereitstellungspunkt - Volumebezeichnung
Parameter von CHKDSK .EXE
Syntax bei NTFS
Syntax bei FAT
Tabelle 12.18: Optionen von CHKDSK.EXE
720 ______________________________________ 12 Administration der Massenspeicher
Wiederherstellungskonsole: Spezielle Version
CHKNTFS.EXE
Option
Erklärung
und
Sie können ein bestimmtes Verzeichnis oder ausgewählte Dateien überprüfen lassen (nur bei den Dateisystemen FAT/FAT32).
/F
Es wird die Fehlerbehebung mit durchgeführt. Das ist allerdings nur dann möglich, wenn das Volume für den exklusiven Zugriff durch CHKDSK.EXE gesperrt werden kann. Anderenfalls erfolgt eine Meldung mit der Rückfrage, ob beim nächsten Systemstart eine automatische Prüfung mit Fehlerbehebung veranlasst werden soll. Ohne diese Option wird das Volume lediglich überprüft.
/V
Es werden ausführliche Meldungen während der Konvertierung angezeigt.
/R
Es wird auch eine Überprüfung auf fehlerhafte Sektoren vorgenommen und versucht, Daten wiederherzustellen. Diese Option bedingt den Schalter /F.
/L:
Verändert die Größe der NTFS-Protokolldatei. Ohne Größenangabe wird die aktuelle Größe angezeigt.
/X
Beendet selbständig vorübergehend die Bereitstellung des Volumes in einem NTFS-Ordner; damit zum vollautomatischen Ablauf in Stapelverarbeitungsdateien geeignet. Die Kombination mit /F ist erforderlich.
/I
Überprüfung ohne Berücksichtigung von NTFS-Indexeinträgen; damit schnellerer Durchlauf möglich
/C
Überprüfung ohne Berücksichtigung von Zyklen innerhalb der NTFS-Ordnerstruktur; damit wie bei /I ein schnellerer Durchlauf möglich
/B
Bewertet fehlerhafte Cluster erneut auf dem Volume. Diese Option kann nur in Kombination mit /R eingesetzt werden.
An der Wiederherstellungskonsole steht Ihnen eine spezielle Version von CHKDSK.EXE zur Verfügung. Diese umfasst nur bestimmte, eingeschränkte Optionen, kann aber trotzdem zur wirksamen Behebung von logischen und physischen Fehler benutzt werden. Sie finden dazu in Abschnitt Ausgewählte Befehle im Detail ab Seite 497 weitergehende Informationen. Das Dienstprogramm CHKNTFS.EXE dient in erster Linie dazu, das Dirty-Bit eines Volumes zu überprüfen. Zusätzlich können Sie mit Hilfe weiterer Parameter steuern, ob Volumes von der Fehlerbehebung beim Systemstart ausgenommen oder unabhängig vom Dirty-Bit
12.12 Weitere Eigenschaften von Volumes __________________________________ 721 einbezogen werden sollen oder wie lange die AUTOCHK-Meldung beim Start auf eine Intervention des Benutzers warten soll. Chkntfs [
] Syntax Chkntfs /D Chkntfs /T:[] Chkntfs /X [
] Chkntfs /C [
] In der folgenden Tabelle finden Sie die Parameter beschrieben: Parameter
Beschreibung Angabe des Volumes. Zulässig sind:
Tabelle 12.19: Parameter von CHKNTFS.EXE
- Laufwerkbuchstabe, gefolgt von einem Doppelpunkt - Bereitstellungspunkt - Volumebezeichnung Sie können auch mehrere Volumes, getrennt durch Leerzeichen, angeben. /D
Setzt alle Einstellungen, die Sie durch CHKNTFS vorgenommen haben, auf die Standardeinstellungen zurück (betrifft vor allem /X und /C, nicht jedoch Änderungen über /T).
/T
Ermöglicht die Änderung der Zeitdauer (in Sekunden), die AUTOCHK beim Systemstart wartet, wenn ein Datenträger als fehlerhaft erkannt worden ist und via CHKDSK überprüft und repariert werden soll. Während dieser Dauer kann der Benutzer den Vorgang noch stoppen. Ohne Zeitangabe wird die aktuell eingestellte Dauer angezeigt.
/X
Damit können Sie Volumes von der Überprüfung beim nächsten Systemstart explizit ausschließen, auch wenn deren Dirty-Bit gesetzt ist, sie also als fehlerhaft markiert sind.
/C
Über diese Option können Sie Volumes explizit in die Überprüfung beim Start einbeziehen, unabhängig davon, ob deren Dirty-Bit gesetzt ist oder nicht.
Dieses systeminterne Programm wird ausschließlich von Windows AUTOCHK.EXE Vista selbst beim Systemstart bemüht, um herauszufinden, für welche Volumes das Dirty-Bit gesetzt ist. Werden ein oder mehrere solche Volumes erkannt, gibt AUTOCHK dem Benutzer während einer definierten Zeitspanne die Möglichkeit, die folgende Überprüfung und Reparatur noch abzubrechen (siehe CHKNTFS /T). Erfolgt dies nicht, werden die betreffenden Volumes überprüft und gegebenenfalls repariert.
722 ______________________________________ 12 Administration der Massenspeicher
12.12.4 Datenträgerkontingente festlegen Grundlagen ab Seite 576
Voraussetzungen - Administrator - NTFS Einrichtungs-Werkzeuge
Datenträgerkontingente, vorrangig auf Serversystemen zur Kontrolle der Speichernutzung von Anwendern gedacht, können Sie unter Windows Vista lokal einsetzen (siehe Abschnitt 11.3.3 Datenträgerkontingente ab Seite 576). Die folgenden Voraussetzungen müssen gegeben sein, damit Sie Datenträgerkontingente einrichten können: Sie verfügen über Administratorrechte. Kontingente werden nur für NTFS-Volumes unterstützt. Die Kontingenteinträge können Sie komfortabel über das Eigenschaften-Dialogfenster eines Volumes erstellen und ändern. Zusätzlich besteht die Möglichkeit der Einrichtung über das Kommandozeilentool FSUTIL QUOTA. Dieses Dienstprogramm wird eingehend ab Seite 612 behandelt. Im nachfolgenden Text wird auf die grafische Variante eingegangen.
Aktivieren der Kontingentverwaltung für ein Volume Standardmäßig ist die Kontingentverwaltung für ein NTFS-Volume zunächst deaktiviert. Auch wenn Sie Kontingente einrichten würden, hätten diese so lange keine Gültigkeit, bis Sie diese aktivieren. Gehen Sie dazu wie folgt vor: 1. Öffnen Sie das Eigenschaften-Dialogfenster des betreffenden Volumes über das Kontextmenü im ARBEITSPLATZ-Fenster des Explorers. Klicken Sie auf die Registerkarte KONTINGENT. Abbildung 12.98: Standardmäßig deaktivierte Kontingentverwaltung
2. Klicken Sie auf das Kontrollkästchen KONTINGENTVERWALTUNG AKTIVIEREN und danach auf OK oder ÜBERNEHMEN. Bevor die Kontingentverwaltung aktiviert wird, erhalten Sie eine Warnmeldung. Abbildung 12.99: Warnung vor Kontingentaktivierung
12.12 Weitere Eigenschaften von Volumes __________________________________ 723 Hintergrund dieser Meldung ist, dass die erstmalige Aktivierung der Kontingentverwaltung einige Zeit in Anspruch nehmen kann.
Standard-Kontingenteintrag festlegen Unter der Registerkarte KONTINGENT des Eigenschaften-Fensters eines NTFS-Volumes können Sie neben dem generellen Aktivieren der Kontingentverwaltung (siehe vorhergehender Abschnitt) auch die Standard-Kontingentbegrenzungen einstellen. Daneben gibt es weitere wichtige globale Einstellungen für dieses Volume. Abbildung 12.100: Aktivierte Kontingentverwaltung für einen Datenträger
Die einzelnen Optionen haben die folgenden Bedeutungen: SPEICHERPLATZ BEI KONTINGENTÜBERSCHREITUNG VERWEIGERN Legen Sie fest, was bei einer Kontingentüberschreitung durch einen Benutzer, für den ein Datenträgerkontingent eingerichtet wurde, passieren soll. Lassen Sie diese Option deaktiviert, kann der Benutzer weitere Daten speichern. Sie können aber die Überschreitung im Ereignisprotokoll registrieren lassen (siehe weiter unten in diesem Abschnitt). Ist diese Option aktiv, kann bei Kontingentüberschreitung der betreffende Benutzer keine weiteren Daten auf diesem Volume abspeichern. SPEICHERPLATZ BESCHRÄNKEN AUF Geben Sie hier an, ob eine Standardbeschränkung für dieses Volu- Standardbeme eingerichtet werden soll. Diese Standardbeschränkung gilt schränkung dann automatisch für alle neuen Benutzer des Volumes. Eine Stan-
724 ______________________________________ 12 Administration der Massenspeicher dardbeschränkung muss nicht definiert werden, wenn Sie für jeden Benutzer individuell eine Beschränkung einrichten. Für die übersichtlichere Darstellung können Sie als Speichermaß zwischen den folgenden Einheiten auswählen: KB = 1 024 Byte MB = 1 024 KB GB = 1 024 MB
Eintrag in das Ereignisprotokoll
TB PB EB
= 1 024 GB = 1 024 TB = 1 024 PB
Zusätzlich zur Standardbeschränkung können Sie eine Warnstufe bestimmen, mit deren Erreichen ein Eintrag im Ereignisprotokoll vorgenommen werden soll. Diese Standardbeschränkung hat nur Auswirkung auf neue Benutzer, die danach angelegt werden. Auf bereits bestehende Benutzer wirkt sie nicht. Dies können Sie nur mit individuellen Kontingenteinträgen erreichen (siehe nachfolgender Abschnitt). EREIGNIS BEI KONTINGENTÜBERSCHREITUNG PROTOKOLLIEREN / E REIGNIS BEI W ARNSTUFENÜBERSCHREITUNG PROTOKOLLIEREN Hier können Sie festlegen, dass bei Überschreitung des Kontingents beziehungsweise der Warnstufe ein Eintrag in das Ereignisprotokoll vorgenommen werden soll.
Individuelle Kontingenteinträge Sie können auch Kontingente für jeden Benutzer individuell einrichten. Klicken Sie dazu auf die Schaltfläche KONTINGENTEINTRÄGE. Abbildung 12.101: Kontingenteinträge verwalten
Neue Einträge
Es werden alle eingerichteten Kontingente angezeigt. Mit Hilfe der Pfeiltasten können Sie in der Liste der Einträge nach oben und nach unten scrollen. Über das Hauptmenü KONTINGENT | NEUER KONTINGENTEINTRAG oder das entsprechende Symbol in der Symbolleiste fügen Sie einen neuen Kontingenteintrag hinzu. Wählen Sie dazu zuerst den entsprechenden Benutzer aus. Wie in Abbildung 12.102 gezeigt, können Sie auch mehrere Benutzer auf einmal in die Liste eintragen. Das Handling mit den neuen Auswahlfenstern wird in Abschnitt Auswahldialog für Benutzer und Gruppen ab Seite 687 ausführlich erläutert.
12.12 Weitere Eigenschaften von Volumes __________________________________ 725 Abbildung 12.102: Benutzer für Kontingenteintrag wählen
Haben Sie die Benutzerauswahl abgeschlossen, kommen Sie zum Dialogfenster für die eigentlichen Kontingenteinstellungen. Abbildung 12.103: Neuen Kontingenteintrag definieren
Haben Sie mehrere Benutzer bestimmt, erscheint unter BENUTZER nur der Eintrag MEHRERE. Bei nur einem Benutzer steht hier der Benutzername. Unter SPEICHERPLATZ BESCHRÄNKEN AUF geben Sie die Limitierung des Speicherplatzes auf dem Datenträger in der gewünschten Einheit an. Dazu können Sie eine Warnstufe festlegen, ab der das System einen Eintrag in das Ereignisprotokoll vornehmen soll. Entsprechende Einträge in das Ereignisprotokoll werden nur dann vorgenommen, wenn Sie das in den allgemeinen Einstellungen auch eingestellt haben (siehe Seite 724). Geben Sie in diesem Dialogfenster keine Beschränkung an, indem Sie die Option SPEICHERPLATZNUTZUNG NICHT BESCHRÄNKEN aktivieren, bekommen die betreffenden Benutzer einen hinsichtlich des Speicherplatzes freien Zugriff auf den Datenträger. Das ist dann sinnvoll, wenn Sie beispielsweise aus einer Anzahl normaler Benutzer einige auswählen wollen, denen Sie explizit eine freie Speicherplatznutzung einräumen wollen. Haben Sie in der Liste der Benutzer eines neuen Kontingenteintrages Benutzer aufgenommen, für die bereits ein Kontingent auf diesem Datenträger besteht, wird dies durch eine entsprechende Fehlermeldung angezeigt. Diese Meldung ist nicht weiter tragisch. Es wird nur das Kontingent desjenigen Benutzers nicht neu eingetragen, für den bereits eines existiert. Alle anderen Kontingente werden eingerichtet.
Speicherplatz beschränken
Benutzer mit unbeschränktem Zugriff
Keine doppelte Kontingent-Vergabe!
726 ______________________________________ 12 Administration der Massenspeicher Einträge ändern
Einträge löschen
Probleme beim Löschen
Einen Kontingenteintrag können Sie zum Ändern durch einen Doppelklick oder über das entsprechende Symbol öffnen. Sie können auch gleichzeitig mehrere Kontingenteinträge öffnen und auf gemeinsame Werte setzen, indem Sie diese zuvor zusammen markieren (über die gedrückte Maustaste + Umschalt- beziehungsweise Strg-Taste). Wollen Sie einen Kontingenteintrag für einen Benutzer entfernen, markieren Sie diesen und drücken die Entf-Taste oder klicken auf das entsprechende Symbol. Für ein generelles Deaktivieren der Kontingente reicht aber auch die Abschaltung der entsprechenden Option in den allgemeinen Einstellungen (siehe Seite 722). Versuchen Sie, Einträge zu löschen, für die Dateien existieren, die diese Kontingente in Anspruch genommen haben, bekommen Sie ein Dialogfenster wie in Abbildung 12.104 angezeigt. Sie können hier entscheiden, wie weiter mit diesen Dateien verfahren werden soll.
Abbildung 12.104: Liste der Dateien, die zu löschende Kontingenteinträge in Anspruch nehmen
Markieren Sie alle oder ausgewählte Dateien und klicken Sie auf eine der Schaltflächen in der unteren Hälfte des Dialogfensters. DATEIEN UNWIDERRUFLICH LÖSCHEN Damit löschen Sie die markierten Dateien und geben damit die Kontingenteinträge wieder frei. BESITZ VON DATEIEN ÜBERNEHMEN Die Besitzrechte an diesen Dateien werden an die vordefinierte Gruppe der Administratoren übergeben und in diesem Kontingent mitgezählt. DATEIEN VERSCHIEBEN NACH: Sie können diese Dateien auf ein anderes Volume verschieben und geben damit den Eintrag auf diesem Volume frei.
12.13 Windows Suche und die Indizierung ___________________________________ 727
12.13 Windows Suche und die Indizierung Mit der stetig steigenden Menge an elektronisch gespeicherten Dokumenten wird das Wiederfinden von Informationen immer aufwändiger. Reichte vor Jahren noch eine übersichtliche Verzeichnisstruktur für die Dateiablage aus, um Dokumente zu finden, sind die heutigen Praxisanforderungen deutlich gestiegen. Schließlich werden immer mehr Dokumente mit dem Computer erstellt und allein auf diesem gehalten. Zwar sind wir vom papierlosen Büro noch weit entfernt, aber es besteht heute in vielen Firmen nicht mehr der Zwang, jedes Dokument in riesigen Ordnersammlungen in Papierform abzulegen. Umso wichtiger sind eine sichere Speicherung und eine Möglichkeit des schnellen Wiederfindens.
12.13.1 Einführung Für die Dokumentenarchivierung gibt es mittlerweile die verschiedensten Softwarelösungen. Bisher bot der Indexdienst für die moderne Windows-Betriebssystemfamilie schon standardmäßig eine durchaus leistungsfähige Möglichkeit, Dokumente verschiedenster Formate zu katalogisieren. In Vista ist die Funktionalität der leistungsstarken Suchfunktion und Erstellung der Indizes in dem Dienst Windows Suche zusammengefasst. Die erzeugten Indizes können nach den gewünschten Informationen durchsucht werden. Dabei werden die Dateiinhalte in die Suche einbezogen, deren Kerninformationen beim Indizierungsvorgang extrahiert und mit in den Index abgelegt werden. Im Suchfenster über dem Startknopf steht Ihnen diese so genannte Instant Search-Funktion (sofortige Suche) zur Verfügung. Geben Sie nur einen einzigen Buchstaben ein, wird der Index sofort danach durchsucht. Um den Indexdienst effektiv einsetzen zu können, ist es empfehlenswert, diesen benutzerspezifisch anzupassen. So ist es wenig sinnvoll, auf einem System einfach pauschal alle Dateien aller Datenträger in einem einzigen Index zu erfassen.
Standardmäßig enthalten
Neu bei Vista: Instant Search die sofortige Suche
Anpassungen notwendig
12.13.2 Überblick zur Indizierung Unter Indizierung von Dateien versteht man die systematische Kata- Was ist Indizierung? logisierung nach bestimmten Eigenschaften. Diese Dokumenteigenschaften werden zusammen mit der Angabe des Datei-Speicherorts in einem Eintrag in der Indexdatenbank abgelegt. Bei der Suche wird dann auf diese Datenbank zugegriffen. Die Art des Aufbaus der Datenbank entscheidet darüber, wie effizient die Suche durchgeführt wird und wie viele relevante Informationen zu den verwalteten Daten enthalten sind.
728 ______________________________________ 12 Administration der Massenspeicher Windows Suche standardmäßig installiert Indizierung im Hintergrund
Was wird indiziert?
iFilter
Unterstützung mehrerer Sprachen
Kataloge
Vorteil bei Nutzung von NTFS
Der Such- und Indizierungsdienst (SEARCH INDEXER.EXE) in Windows Vista ist standardmäßig installiert. Die Aktivierung und Konfiguration des Indexdienstes ist Administratoren vorbehalten. Die Indizierung erfolgt unter Windows Vista als Prozess im Hintergrund. Inwieweit der Computer dabei beansprucht wird, hängt in erster Linie von der Leistungsfähigkeit der eingesetzten Hardware und der Anzahl der zu indizierenden Dateien ab. Die Indizierung können Sie weitgehend an die jeweiligen Anforderungen anpassen. Sie können sehr differenziert bestimmen, welche Dateien und Ordner in die Indizierung einbezogen werden sollen. Meist ist es sinnvoll, nur ausgewählte Verzeichnisse oder Volumes zu indizieren. Das Dateisystem eines zu indizierenden Datenträgers ist dabei zunächst ohne Bedeutung. Eine entscheidende Rolle für die Effektivität des Indexdienstes spielen die Dokumentfilter, als iFilter bezeichnet. Nur mit einem passenden iFilter können Inhalte von Dateien vollständig im Index erfasst werden. Microsoft liefert bereits einige iFilter für seine eigenen Dateitypen mit. Einen Überblick erhalten Sie dazu in Abschnitt Registerkarte Dateitypen ab Seite 735. Der Indexdienst unterstützt standardmäßig mehrere Sprachen, sodass Sie Dokumente, die in verschiedenen Sprachen verfasst worden sind, über die Suchfunktionen indizieren und zuverlässig wieder finden können. In Abschnitt 12.13.3 Unterstützung mehrerer Sprachen ab Seite 731 finden Sie dazu weiterführende Informationen. Endergebnis der Indizierung ist die Katalogdatenbank, die ein oder mehrere benutzerspezifische Kataloge enthält. Die Kataloge enthalten einen kompletten Index mit den Verweisen und allen gewünschten Informationen zu den entsprechenden Dateien. Die Suche über das SUCHEN-Dialogfenster im Windows Explorer der Clientsysteme kann so eingestellt werden, so nur Indizierte Orte durchsucht werden. Bei einer aufwändigen Suche wird er nur deutlich schneller ein Ergebnis präsentiert bekommen. Eine Suche nach einem Textauszug aus dem Inhalt beispielsweise wird dann im aktuellen Katalog durchgeführt. Steht kein Katalog zur Verfügung beziehungsweise ist der Indexdienst inaktiv, erfolgt die Suche herkömmlich mit dem Durchforsten jeder einzelnen Datei. Das dauert natürlich länger und hat deutlich mehr Datenträgerzugriffe zur Folge. Die maximale Performance und mehr Einflussmöglichkeiten bietet aber das Dateisystem NTFS. NTFS-Änderungsjournal Über das NTFS-Änderungsjournal können Änderungen an Dateien schnell auf Dateisystemebene erfasst werden. Dadurch kann der Indexdienst besonders bei großen Datenbeständen sehr schnell auf Änderungen reagieren. Entscheidend für die Performance ist hier nicht mehr, wie viele Dateien auf dem Volume existieren, sondern wie viele geändert worden sind.
12.13 Windows Suche und die Indizierung ___________________________________ 729 NTFS-Indexattribut Der zweite wichtige Unterschied zu den FAT-Dateisystemen ist die Existenz eines Indexattributs. Sie können damit bei Bedarf genau auf Ebene des Dateisystems bestimmen, welche Dateien und Ordner durch die Indizierung explizit eingeschlossen oder ausgenommen werden sollen. Sichere Abfragen Schließlich ist die Verwendung des NTFS-Dateisystems eng mit der Frage nach der Datensicherheit verbunden. Vor der Rückgabe eines Abfrageergebnisses an den Benutzer steht die Auswertung der Sicherheitseinstellungen. Damit werden nur die Dokumente angezeigt, für die der betreffende Benutzer die entsprechenden Zugriffsrechte hat.
Dateien, die nicht indiziert werden Die folgenden Dateien werden nicht indiziert, auch wenn sie sich in einem zu indizierenden Verzeichnis befinden: Dateien ohne gesetztes Index-Attribut Benutzen Sie die Indizierung für Dateien auf NTFS-Volumes, beachten Sie, dass hier ein Indizierungsattribut existiert. Ist dieses erweiterte NTFS-Attribut nicht gesetzt, wird die betreffende Datei nicht indiziert. Für Dateien auf FAT-Volumes ist dieses Attribut nicht verfügbar. Hier werden generell alle Dateien eines in den Katalog aufgenommenen Verzeichnisses indiziert. Verschlüsselte Dateien Dateien, die durch das verschlüsselnde Dateisystem (EFS; siehe Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572) chiffriert sind, werden standardmäßig nicht in den Index aufgenommen. Im Gegensatz zum bisherigen Indexdienst vergangener Versionen kann die Indizierung verschlüsselter Dateien jetzt aktiviert werden. Damit kann ein vollständiger Index erstellt werden, was bislang nicht möglich war. Mitunter sind die Indexdaten aber auswertbar, wenn sie »in die falschen Hände geraten«. Es könnte sich somit ein Sicherheitsproblem ergeben. Dateien, die sich momentan in Benutzung befinden Dateien, die gerade bearbeitet werden und von Anwendungsprogrammen gesperrt sind, werden so lange nicht neu indiziert, wie diese Sperre besteht. Erst nach Beendigung der Bearbeitung erfolgt die Neuindizierung.
Indizierung von Dateien über einen iFilter Die folgende Abbildung zeigt schematisch die einzelnen Schritte beim Indizieren einer Datei, wenn ein iFilter vorhanden ist. Bei der Indizierung werden die folgenden Schritte nacheinander durchgeführt:
NTFS-Attribut beachten
Indizierung trotz Verschlüsselung möglich
Dateien in Bearbeitung
730 ______________________________________ 12 Administration der Massenspeicher 1. Zuerst wird der Typ des Dokuments ermittelt. Über den passenden iFilter werden dann der Inhalt und die Dokumenteigenschaften extrahiert. 2. Der Inhalt des Dokuments wird analysiert und die verwendeten Sprachen werden ermittelt. Es wird eine Einzelwortliste erstellt, bereinigt um die Wörter aus der Ausnahmewortliste. Ergebnis ist eine Liste der inhaltsrelevanten Wörter des Dokuments. Weitere Informationen finden Sie dazu im nachfolgenden Abschnitt. 3. Die ermittelten Dokumenteigenschaften werden im Eigenschaftencache abgelegt, wenn Sie dort noch nicht erfasst worden sind. Abhängig von dem Dokumentenformat und dem eingesetzten iFilter stehen die verschiedenen spezifischen Eigenschaften dadurch später für die Suchfunktion des Indexdienstes zur Verfügung. Abbildung 12.105: Ablauf bei der Indizierung einer Datei
Ablauf der Indizierung
4. Die gewonnenen Informationen zu den Eigenschaften und zum Inhalt werden zunächst temporär im Arbeitsspeicher in so genannten Wortlisten gehalten. Solange Dokumente nur in Wortlisten erfasst sind, erfolgt automatisch deren Neuindizierung, wenn der Computer oder der Indexdienst allein zwischenzeitlich neu gestartet werden musste. Die Wortlisten gehen, da nur im Hauptspeicher gehalten, bei einem solchen Neustart verloren.
12.13 Windows Suche und die Indizierung ___________________________________ 731 5. Wird eine bestimmte Anzahl an Wortlisten erreicht, erfolgt deren Zusammenführung zu einem temporären Index auf dem Datenträger. Dieser steht damit nach einem Neustart wieder zur Verfügung. 6. Nach einer definierten Zeitspanne (meist einmal am Tag) oder einer bestimmten Menge an temporären Indizes werden diese zu einem so genannten Masterindex zusammengeführt. Die Zusammenführung können Sie manuell vornehmen, wenn Sie eine schnellere Aktualisierung des Masterindex wünschen. Der Masterindex stellt die effizienteste Form des Index dar. Die Daten Masterindex sind hier hoch komprimiert und für die Suchfunktionen optimiert. Die Zusammenführung kann insbesondere bei umfangreichen Indizes einige Zeit in Anspruch nehmen.
Indizierung von Dateien ohne iFilter Dateien, für die kein iFilter zur Verfügung steht, können trotzdem in Beschränkung meist den Index aufgenommen werden. Allerdings beschränken sich die auf Eigenschaften ermittelbaren Informationen in der Regel auf die Datei-Eigenschaften. Sie können sowohl für den Indexdienst insgesamt als auch für einzelne Kataloge einstellen, wie mit unbekannten Dateitypen umgegangen werden soll. Standardmäßig werden diese in die Indizierung einbezogen.
12.13.3 Unterstützung mehrerer Sprachen Der Indexdienst unterstützt mehrere Sprachen sowohl bei der Erfassung der Inhalte als auch für die Abfrage.
Extrahierung der Dateiinhalte Bei der Indizierung, ein passender iFilter vorausgesetzt, werden die Dateiinhalte so extrahiert, dass später eine Volltextsuche zum Erfolg führen kann. Dabei ist klar, dass im Index nur die Wörter landen sollen, die eine Relevanz für den Inhalt haben. So gibt es in jeder Sprache allgemeine Wörter wie Artikel, Pronomen oder Verbindungsworte, die für eine Volltextsuche untauglich sind. Diese allgemeinen Wörter werden in sprachspezifischen Ausnahmewortlisten gehalten. Diese können Sie, da es sich um einfache Textdateien handelt, nachträglich anpassen. Die Bezeichnung dieser Ausnahmewortlisten folgt einem einheitlichen Ausnahmewortlisten Schema. Die Dateien sind an folgendem Speicherort zu finden: %Systemroot%\system32\Noise.xxx xxx steht für die Sprachen-Kennung. Die Datei NOISE.DEU enthält beispielsweise die Ausnahmewortliste für die deutsche Sprache. Bei der Indizierung werden übrigens mehrere verwendete Sprachen in Mehrsprachige einem Dokument zuverlässig erkannt. So können Sie beispielsweise Dokumente
732 ______________________________________ 12 Administration der Massenspeicher
Textinformationen im Index in Unicode
ein Textdokument, das englische und deutsche Abschnitte beinhaltet, später über eine Abfrage nach deutschen oder englischen Schlüsselwörtern mit einer Volltextabfrage zuverlässig wieder finden. Um eine spätere Abfrage zu vereinfachen, werden alle Textinformationen im Index im Unicode-Zeichensatz abgelegt. Inhalte aus ASCIITextdateien werden damit bei der Indizierung in Unicode transformiert.
12.13.4 Indizierungsoptionen anpassen Für die Indizierung gibt es verschiedene Optionen, die Sie über einen entsprechen Dialog einrichten können. Erreichbar ist der Dialog über START | SYSTEMSTEUERUNG | SYSTEM UND WARTUNG | INDIZIERUNGSOPTIONEN. Abbildung 12.106: Indizierte Orte anzeigen
Die Ordner, deren Inhalt bereits in der Indexdatenbank enthalten sind, sind als E NTHALTENE ORTE aufgeführt. Die rechte Spalte beinhaltet Ordner, die von der Indizierung ausgeschlossen werden. Ordner können über die Schaltfläche ÄNDERN hinzugefügt oder entfernt werden. Nach der Auswahl ALLE ORTE ANZEIGEN öffnet sich der Dialog Indizierte Orte. Allen markierten Orte (Ordner) und deren Unterordner können per Index schnell durchsucht werden. Möchten Sie einzelne Ordner von der Indizierung ausklammern, deaktivieren Sie einfach das dazugehörige Kontrollkästchen. Obwohl die Verlockung groß ist, alle Orte auszuwählen, sollten Sie bedenken, dass der Index nur unnötig groß (und damit langsamer) wird. Nach Aussagen der Microsoft-Entwickler suchen die meisten Benutzer selbst erstellte Dateien und deren Inhalte. Selten hingegen ist es nötig, relativ statische Ordner wie Programmordner zu durchsuchen. Der Ordner PROGRAMME wird deshalb auch standardmäßig nicht indiziert.
12.13 Windows Suche und die Indizierung ___________________________________ 733 Abbildung 12.107: Zu indizierende Orte auswählen
12.13.5 Erweiterte Indizierungsoptionen Der Dialog Indizierungsoptionen (siehe Abbildung 12.104 auf Seite 726) bietet weitere Optionen für die Indizierung. Über die Schaltfläche ERWEITERT erreichen Sie den folgenden Dialog: Abbildung 12.108: Erweiterte Indizierungsoptionen
734 ______________________________________ 12 Administration der Massenspeicher Im Gegensatz zum Indexdienst vergangener Windows-Versionen kann dieser Indexer auch verschlüsselte Dateien indizieren. Im Bereich DATEIEINSTELLUNGEN brauchen Sie bei Bedarf diese Option nur zu aktivieren. Die zweite Option ÄHNLICHE WORTE, DIE DIAKRITISCHE ZEICHEN
baut den Index aus. Worte, die diakritische Zeichen enthalten, werden separat gelistet. Diakritische Zeichen sind Zusätze, die in, unter oder über einen Buchstaben gesetzt werden, damit dessen Aussprache oder Betonung differenzierter bezeichnet wird. Im Deutschen sind das die Punkte über den Umlauten. Tilden und Akzente sind in anderen Sprachen üblich. Die Aktivierung dieser Option erfordert die Neuerstellung des Index. Abbildung 12.109: Warnung für neue Indexerstellung
Neu erstellen
Wiederherstellen
Indizierungsort
Die Indizierung läuft normalerweise »wartungsfrei«. Sollten Sie jedoch feststellen, dass Dokumente nicht auffindbar sind, obwohl sie genau wissen, dass sich diese Dokumente in indizierten Orten befinden, können die Optionen im Bereich PROBLEMBEHANDLUNG helfen. Mit der Schaltfläche NEU ERSTELLEN stoßen Sie die Neuerstellung des Index an. Das kann je nach Größe der Ordner einige Stunden in Anspruch nehmen. Wenn möglich, sollten Sie diese Aktion in Nebenzeiten durchführen, also nach Feierabend oder den Bürorechner über das Wochenende laufen lassen. Die Schaltfläche WIEDERHERSTELLEN stellt, nach einer Warnung, Ihre selbst hinzugefügten indizierten Orte, wie im Abschnitt 12.13.4 Indizierungsoptionen anpassen ab Seite 732 beschrieben, wieder auf die Standardwerte zurück. Damit wird der aktuelle Index beim nächsten Neustart gelöscht und mit den neuen Einstellungen wieder aufgebaut. Im unteren Bereich INDIZIERUNGSORT können Sie bestimmen, wo die Indexdatenbank aufgebaut wird. Standardmäßig wird sie im versteckten Ordner %SystemDrive%\Program Data\Microsoft anlegt. Das ist nicht unbedingt sinnvoll, weil sich Aktivitäten bei der Indexpflege sofort auf das Laufwerk auswirken, das das System im Ganzen bedient. Tragen im Feld unter NEUER ORT, NACHDEM DER DIENST NEU GESTARTET WURDE einen Ordner auf der schnellsten Festplatte ein, der in Ihrem System zur Verfügung steht.
12.13 Windows Suche und die Indizierung ___________________________________ 735 Registerkarte Dateitypen Über die Registerkarte DATEITYPEN von dem Dialog Erweiterte Optionen können Filter für bestimmte Dateitypen abgegeben werden. Abbildung 12.110: Filter einzelner Dateitypen
Für jeden bekannten Dateityp kann ein Filter markiert werden. Null filter tragen lediglich die Existenz einer Datei ein. Dateieigenschaf- Filterbeschreibung tenfilter übernehmen die Eigenschaften der Datei in den Index. Plain Text filter erlauben die Indizierung von einfachem Text, Html filter die von Webseiten. Für Software, die eigene Dateistrukturen benutzt, sind spezielle Filter nötig. Für das Office-Paket von Microsoft sind Filter vorhanden. Andere Hersteller liefern zum Teil Filter für ihre Produkte. PDF-Dokumente lassen sich indizieren, wenn der IFilter der Firma Adobe installiert wird. Unter dem folgenden Link ist dieser in der Version 6.0 verfügbar: www.adobe.com/support/downloads/detail.jsp?ftpID=2611 Neue spezifische Dateitypen tragen Sie in das Eingabefeld unten links ein. Mit der dann aktiven Schaltfläche NEUE E RWEITERUNG HINZUFÜGEN wird die Erweiterung übernommen. Sie entscheiden vorher, ob nur die Eigenschaften oder auch die Inhalte indiziert werden sollen.
12.13 Windows Suche und die Indizierung ___________________________________ 737
IV Netzwerk
12.13 Windows Suche und die Indizierung ___________________________________ 739
13 13Netzwerkgrundlagen Die Netzwerkfähigkeiten von Windows Vista sind so erweitert worden, dass sie künftigen Anforderungen gewachsen sind. Lesen Sie in diesem Kapitel, auf welchen technischen Grundlagen die vielen Netzwerkfunktionen aufgebaut sind und welche Standards sich in diesem Bereich etabliert haben. Diese Informationen sind die Basis für eine korrekte Konfiguration und helfen nicht zuletzt, Sicherheitslücken zu vermeiden.
740 ___________________________________________________ 13 Netzwerkgrundlagen
Inhaltsübersicht Kapitel 13 13.1 13.2 13.3 13.4 13.5 13.6 13.7 13.8 13.9 13.10
Überblick über technische Aspekte ............................ 741 TCP/IP näher betrachtet.............................................. 753 IP-Adressvergabe im lokalen Netzwerk.................... 784 IP-Namensauflösung .................................................... 787 Next Generation TCP/IP-Stack im Überblick .......... 792 Reliable Multicast-Protokoll ........................................ 794 Grundlagen zu WLAN-Funknetzwerken ................. 795 Grundlagen zu Bluetooth ............................................ 802 Active Directory ............................................................ 809 Sicherheit im Netzwerk................................................ 828
13.1 Überblick über technische Aspekte _____________________________________ 741
13.1 Überblick über technische Aspekte In diesem Abschnitt finden Sie einen Überblick über die gängigsten und durch Windows Vista weitgehend standardmäßig unterstützten Netzwerktechnologien.
13.1.1 Peer-to-Peer oder Domäne? Windows Vista umfasst alle Funktionen, um mit einigen Stationen ein kleines Peer-to-Peer-Netzwerk aufzubauen. Darüber hinaus werden alle Client-Funktionen für die Integration in ein domänenbasiertes Netzwerk (mit Active Directory) geboten.
LAN, MAN, PAN, WAN... Im Netzwerkbereich werden verschiedene Abkürzungen verwendet, von denen einige an dieser Stelle kurz erklärt werden: LAN (Local Area Network) Damit werden lokale Netzwerke bezeichnet. Alle beteiligten Clientcomputer und anderen Netzwerkgeräte befinden sich in einer geschlossenen Örtlichkeit, meist in einem Gebäude. MAN (Metropolitan Area Network) Ein MAN kennzeichnet ein Netzwerk, welches sich über mehrere Standorte in einer abgegrenzten Region erstreckt. Typische Vertreter sind vernetzte Firmen-Filialen in einer Stadt oder ein Netzwerk auf einem Universitätsgelände. PAN (Personal Area Network) Für kleine lokale Netzwerke in einem sehr kleinen, eingeschränkten Bereich wird diese Abkürzung benutzt. Hier wird auch vom POS (Personal Operating Space) gesprochen, welcher etwa 10 Meter beträgt. Bluetooth-Geräte mit einem PAN-Profil, beispielsweise PDAs, können Sie direkt mit einem PC vernetzen. In Abschnitt 13.8 Grundlagen zu Bluetooth ab Seite 802 finden Sie dazu weitere Informationen. WAN (Wide Area Network) Mit dieser Abkürzung wird gemeinhin ein Netzwerk bezeichnet, welches sich über verschiedene geografische Standorte hinweg erstreckt. Über WAN-Verbindungen lassen sich lokale Netzwerke miteinander verbinden. Windows Vista bietet einige WAN-Funktionen, die in Abschnitt 14.7 WAN-Verbindungen einrichten ab Seite 907 näher beschrieben werden.
742 ___________________________________________________ 13 Netzwerkgrundlagen Peer-to-Peer-Vernetzung
Dezentralisierte Administration
Für den Zusammenschluss einiger weniger PCs bietet sich eine so genannte Peer-to-Peer-Vernetzung an. Hier gibt es keinen dedizierten Server, sondern alle Stationen kommunizieren direkt miteinander. Die Benutzerrechte und die Freigaben von Ressourcen müssen Sie bei dieser Form auf jedem Computer separat verwalten. Bei einer Hand voll Computer ist der Aufwand dabei sicherlich vertretbar. Sie benötigen kein separat zu erwerbendes Serverbetriebssystem, sondern können die integrierten Funktionen von Windows benutzen. Sie sind dabei nicht auf eine einzige Windows-Version festgelegt. Mit Windows Vista lassen sichs elbst Computer, die unter einem WindowsBetriebssystem ab Windows 9x/Me laufen, in einem Netzwerk vereinen.
Abbildung 13.1: Prinzip eines Peer-toPeer-Netzwerks
Lokale Benutzerdatenbanken
Anonyme Anmeldung mit Gastkonto
Auf jedem Computer im Netzwerk muss eine lokale Benutzerdatenbank eingerichtet und gepflegt werden. Das hat direkt Auswirkungen auf die Zugriffsrechte. So erhält jeder Benutzer eine völlig eigenständige SID (siehe Abschnitt Bedeutung der SID ab Seite 271). Über die automatisierten Anmeldemechanismen unter Windows Vista wird dennoch sichergestellt, dass Sie mit dem aktuell angemeldeten Benutzernamen und dem lokal eingegebenen Kennwort Kontakt zu einem benachbarten Computer aufnehmen können. Das läuft dann transparent ab, solange dort ein gleichlautender Benutzer mit identischem Kennwort existiert. Sie können den Austausch von Daten über freigegebene Ordner etwas vereinfachen, wenn Sie eine anonyme Anmeldung zulassen. Dazu muss das Gastkonto (siehe Abschnitt 5.2.3 Das Gastkonto ab Seite 264) aktiviert werden. Wenn Sie dann eine Freigabe einrichten und der vordefinierten Gruppe JEDER alle entsprechenden Rechte erteilt werden, können alle Benutzer im Netzwerk ohne weitere Anmeldung auf sie zugreifen. Weiterführende Informationen finden Sie in Abschnitt 12.11 Freigaben für Ordner einrichten ab Seite 698.
13.1 Überblick über technische Aspekte _____________________________________ 743 Domänenbasierte Windows-Netzwerke Wenn Sie eine Anzahl von Computern zusammenschließen wollen, stellt sich die Frage, wie die gemeinsamen Datenbestände und andere Funktionen im Netzwerk bereitgestellt werden sollen. In FirmenNetzwerken werden Sie hier in der Regel Server-basierte Konzepte vorfinden. Dabei stellen ein oder mehrere Netzwerkserver zentral alle wichtigen Funktionen zur Verfügung. Abbildung 13.2: Prinzip eines Serverbasierten Netzwerks
Der Vorteil einer solchen Lösung ist die zentrale Administration. In einer einzigen Benutzerdatenbank werden die Daten aller Netzwerkbenutzer geführt. Neben Benutzernamen und anderen Daten zur Person sind hier das Kennwort sowie die Benutzerrechte hinterlegt. Damit lassen sich sehr sichere Netzwerke realisieren, in denen die einzelnen Benutzer nur genau die Daten beziehungsweise Ressourcen nutzen können, für die sie die entsprechenden Berechtigungen haben. Die zentral gehaltenen Daten auf Servern können wesentlich sicherer vor unbefugtem Zugriff geschützt werden als Daten auf einem normalen PC in einem Heim- oder Büroumfeld. Das fängt schon bei der sicheren Unterbringung in einem speziell geschützten Serverraum an. Die Datensicherung kann ebenfalls zentral und automatisiert direkt am Server realisiert werden. Server-basierte Windows-Netzwerke werden über Domänen strukturiert. Dabei fungieren ein oder mehrere Server als Domänencontroller, welche die Benutzerdatenbank führen. Mit der Einführung der Windows 2000 Serverfamilie wurde das Domänenmodell (erstmals mit Windows NT Server angeboten) zum umfassenden Verzeichnisdienst Active Directory erweitert. Eine Einführung finden Sie dazu in Abschnitt 13.9 Active Directory ab Seite 809. Zur Einrichtung eines Windows Vista-PCs als Active Directory-Client finden Sie weiterführende Informationen in Abschnitt 14.5 Einbindung als Client in Active Directory ab Seite 898.
Vorteil: Zentrale Administration und Datenhaltung
Hohe Sicherheit möglich
Domänen und Active Directory
Vista als Active Directory-Client
744 ___________________________________________________ 13 Netzwerkgrundlagen
13.1.2 Aufbau und Struktur eines Ethernet-LANs Die geläufigste Form der Vernetzung mehrerer Computer ist die über ein Ethernet-Netzwerk.
Zugriffsverfahren CSMA/CD Beim Ethernet kommt das Zugriffsverfahren CSMA/CD zum Einsatz. Ausgeschrieben heißt das: Carrier Sense Multiple Access/Collision Detection. Diese Begriffe deuten auf die Arbeitsweise des Verfahrens hin: Carrier Sense Dieser deutsch nur schwer zu übersetzende Begriff bedeutet soviel Leitungskontrolle vor dem Senden wie »am Träger horchen«. Eine Station versucht darüber, vor dem Senden auf einen Moment zu warten, bei dem die Leitung nicht besetzt ist. Multiple Access Das Verfahren ist prinzipiell dazu geeignet, die Kommunikation Mehrere Stationen zwischen mehreren Stationen zu ermöglichen. Dabei erinnert die technische Implementierung an das grundsätzliche Prinzip eines Funknetzwerks: Alle Stationen senden und empfangen auf einer Frequenz und können sich damit untereinander verständigen. Sendet eine Station, wird dieser Verkehr von allen anderen Stationen gleichzeitig empfangen. Nur die Station, für die die Datenpakete gedacht sind, reagiert dann mit dem Empfang und gegebenenfalls einer Bestätigung. Daher stammt übrigens auch der Name Ethernet. Ether bedeutet im Englischen Äther, verbunden mit der Bezeichnung Net für Netzwerk. Mit dem Einzug aktiver Verteilerkomponenten in die Netzwerke wie Switches erfolgt allerdings bereits auf Schicht 2 des OSI-Referenzmodells eine Trennung der Datenströme anhand der MACAdressen, sodass in solchen Netzwerken nicht mehr alle Stationen den gesamten Verkehr »hören«. Collision Detection Sollten mehrere Stationen gleichzeitig mit dem Senden eines DaKollisionserkennung tenpakets beginnen, wird dies über die Kollisionserkennung festgestellt und sofort abgebrochen. Zufallsgesteuert wird dann mit einer jeweils unterschiedlichen Zeitverzögerung von den betreffenden Stationen der Sendeversuch wiederholt.
Übertragungsrate Die Geschwindigkeit der Netzwerkübertragung, auch Übertragungsrate genannt, wird üblicherweise in MBit/s (MegaBit pro Sekunde) angegeben. Entscheidend für die Geschwindigkeit ist der Taktung der Übertragung. Eine Taktrate 10 MHz ergibt eine Übertragung von 10 MBit/s. Das bedeutet, dass theoretisch 10 Millionen Bits in einer Sekunde übertragen werden können. 100 MBit bedeutet also 100 Millio-
13.1 Überblick über technische Aspekte _____________________________________ 745 nen Bits, 1 GBit eine Milliarde Bit und so weiter. Ein Byte wird mit 8 Bit codiert. Eine 100 MBit-Verbindung kann somit circa 12 MByte pro Sekunde übertragen. In der Praxis wird dies aufgrund benötigter Protokoll- und Prüfdaten aber nicht erreicht. Die Netto-Transferrate liegt üblicherweise zwischen 5 und 8 MByte/s Mittlerweile nur noch sehr selten anzutreffen sind die 10-MBit-Netzwerkumgebungen. Für die gemeinsame Nutzung vor allem von nicht allzu umfangreichen Textdokumenten oder von Druckfunktionen reicht die Geschwindigkeit eigentlich vollkommen aus. Durch den preisverfall der 100 MBit-Technik spielt dieser Geschwindigkeitsbereich in der Praxis heute keine Rolle mehr. Um den Faktor 10 schneller ist die 100 MBit-Ethernet oder Fast Ethernet-Technologie. Sie bildet heute den Standard für den Anschluss von Endgeräten. Nicht nur PCs, sondern auch Netzwerkdrucker verfügen in aller Regel über diesen Standard. Die neueste Ethernet-Generation, die bereits in Servern oder besseren Desktop-Computern standardmäßig verfügbar ist, leistet wiederum das Zehnfache der Übertragungsrate von Fast Ethernet. Technisch realisiert wird diese Gigabit-Ethernet genannte Technik, indem zum einen eine höhere Taktrate benutzt wird (250 MHz) und zum anderen 4 Adernpaare für die Übertragung eingesetzt werden (bei Fast Ethernet nur zwei). Server-zu-Server-Verbindungen, die für eine hohe Ausfallsicherheit sorgen sollen, können mit der bereits verfügbaren 10-GBit-Technologie realisiert werden. Die aktive Netzwerktechnik ist dafür aber noch sehr teuer.
Ethernet (10 MBit)
Fast Ethernet (100 MBit)
Gigabit-Ethernet (1 GBit)
Gigabit-Ethernet (10 GBit)
100 MBit-Netzwerke mit Stern-Topologie Mit dem Begriff Netzwerk-Topologie wird die grundlegende Art der Verkabelung bezeichnet. Aktuelle Ethernet-Netzwerke arbeiten dabei mit einer Stern-Topologie. Im Zentrum steht eine aktive Komponente als zentraler Verteiler des gesamten Datenstroms, wie in Abbildung 13.1 auf Seite 742 dargestellt. Von jedem Computer geht eine Leitung direkt in den Verteiler. Bei Direkte Verbindung kleinen Netzwerkumgebungen wird dabei ein Twisted Pair-Patchka- jedes Computers mit bel5 direkt zwischen Verteiler und Computer verlegt. Bei 100 MBit dem Verteiler sollte das Patchkabel mindestens der Kategorie 5 entsprechen. Gigabit verlangt die Verwendung der Kategorie 5e, besser noch 6. Bis zu 100 Meter Länge sind möglich. Vorteil einer solchen Lösung ist vor allem die Ausfallsicherheit. Wird die Zuleitung zu einem Computer unterbrochen, sind die anderen Stationen davon nicht betroffen.
5
Twisted Pair bedeutet »Verdrilltes Adernpaar« und steht für insgesamt vier Adern, die paarweise verdrillt sind. Ein Paar dient zum Senden, das andere zum Empfangen.
746 ___________________________________________________ 13 Netzwerkgrundlagen
Hub
Switch
Halb- und Vollduplex
Bei größeren Netzwerken werden Netzwerkdosen installiert, in die das Patchkabel gesteckt werden kann. Die Dosen werden wiederum mit Verlegekabeln an den Verteilerschrank (Wiring-Center) geführt. Hier landen Sie noch nicht direkt im Verteiler, sondern werden noch auf ein Patchfeld geführt. Von dort aus kann der Administrator dann ganz gezielt die einzelnen Ports des Hubs oder Switches mit bestimmten Dosen verbinden. Dem Verteiler kommt bei einer solchen Sterntopologie eine entscheidende Rolle zu. Je nach eigener »Intelligenz« wird dabei zwischen Hubs und Switches unterschieden. Bei einem Hub teilt sich der gesamte zu bewältigende Datenverkehr auf die zur Verfügung stehende Gesamt-Netzwerkübertragungsrate auf. Ein 100 MBit-Hub verfügt demzufolge über eine maximale Übertragungsrate von 100 MBit. Sendet ein Computer Daten zu einem anderen, kann er, vorausgesetzt beide verfügen über 100 MBit-Netzwerkadapter, diese Bandbreite voll ausnutzen. Kommen nun aber zwei weitere Computer dazu, die miteinander kommunizieren, teilt sich die effektiv zur Verfügung stehende Bandbreite bereits durch zwei (je Paar nur noch 50 MBit). Damit wird ein Netzwerk mit einem Hub als Verteiler immer langsamer, je mehr Stationen zur gleichen Zeit miteinander Daten austauschen. Diesem Problem kann mit einem Switch begegnet werden. Ein Switch verfügt im Vergleich zu einem Hub über eine deutlich leistungsfähigere Steuerungselektronik. Er ist in der Lage, zwischen zwei Stationen jeweils eine direkte Verbindung herzustellen und dabei die volle Übertragungsrate sicherzustellen. Zwei unabhängig miteinander kommunizierende Netzwerkpaare erreichen damit, um bei dem oben beschriebenen Beispiel zu bleiben, beide je 100 MBit. Ein Switch ist in einer typischen Peer-to-Peer-Netzwerkumgebung, in der alle angeschlossenen Stationen »kreuz und quer« miteinander reden, die optimale Lösung. Hubs sind technisch überholt und werden kaum noch angeboten. Einfache Switches sind günstig zu beschaffen. Das Leistungsspektrum bezüglich Administrierbarkeit und Unterstützung verschiedener Netzwerk-Standards ist groß und damit auch der Preisunterschied einzelner Modelle. Mit einem Switch haben Sie aber noch weitere Vorteile. Zum einen sind die Latenzzeiten geringer und zum anderen ermöglichen nur diese das parallele Senden und Empfangen von Daten. Diesen auch mit Vollduplex bezeichneten Modus beherrschen heute alle modernen Netzwerkadapter. Das auf Seite 605 erwähnte Zugriffsverfahren CSMA/CD verliert damit an Bedeutung, denn Kollisionen treten kaum noch auf. Keinen großen Vorteil bringt ein Switch immer dann, wenn alle Stationen nur mit einem einzigen Computer, beispielsweise dem Netzwerkserver, kommunizieren. In diesem Fall teilt sich die Bandbreite am Serversystem, wenn es nur über einen 100 MBit-Adapter verfügt, wieder auf die Anzahl der Verbindungen auf, die zur gleichen Zeit eingehen. Eine Lösung kann dann eine Struktur bringen, bei der bei-
13.1 Überblick über technische Aspekte _____________________________________ 747 spielsweise der Server über eine Gigabit-Ethernet-Schnittstelle verfügt und an einen Switch angeschlossen ist, der seinerseits auch mindestens einen solchen Anschlussport bietet. Bei der Auswahl eines Hubs oder Switches für Ihr Netzwerk sollten Auswahlkriterien Sie die folgenden Hinweise beachten, um eine maximale Performance und Flexibilität zu erhalten: Wählen Sie Switches, die sowohl 10 als auch 100 MBit-Übertragung unterstützen. Diese werden meist mit dem Zusatz »10/100 MBit« angeboten. Damit stellen Sie sicher, dass Sie beide Ethernet-Versionen parallel einsetzen können. Viele einfachere Netzwerkdrucker unterstützen nur 10 MBit, die dann in einer reinen 100 MBit-Umgebung nicht einsetzbar wären. Wählen Sie nur einen Verteiler, der selbstständig die Geschwindigkeit der angeschlossenen Netzwerksysteme erkennen kann (meist mit Auto Negotiation gekennzeichnet). Das bieten fast alle heute in den unteren Preisbereichen angebotenen Geräte. Professionelle Technik in 19-Bauweise kann dagegen mit einer umfassenden Management-Software aufwarten. Moderne Verteiler für kleine Netzwerke sind als Tischgeräte ausgeführt und kommen ohne Lüfter aus. Das kann nicht unbedeutend für die Lärmentwicklung in einem Heim- oder Büroumfeld sein, wo diese Geräte in der Regel direkt in der Nähe der Arbeitsplätze aufgestellt werden. Verschwindet hingegen der Verteiler in einem 19-Schaltschrank, stört dessen Lüfter sicherlich nicht.
Direktverbindung zweier PCs über Cross-Over-Kabel Verfügen beide Computer über Ethernet-Netzwerkschnittstellen, können Sie diese über ein geeignetes Kabel, ohne einen zentralen Verteiler wie einen Hub oder Switch zu benötigen, verbinden. Das Kabel wird als Cross-Over-Kabel bezeichnet und ist im Fachhandel erhältlich. Abbildung 13.3: Belegung bei einem normalen Patchkabel und einem CrossOver-Kabel
748 ___________________________________________________ 13 Netzwerkgrundlagen Ein Cross-Over-Kabel unterscheidet sich von einem normalen Patchkabel nur dadurch, dass beide Adernpaare gekreuzt anstatt 1:1 belegt sind. In Abbildung 13.3 sehen Sie die typische Kabelbelegung bei den heute üblichen 10- und 100 MBit-Ethernet-Netzwerken auf Basis einer Verkabelung mit Twisted Pair-Kabeln. Das Kabel zwischen den beiden Computern kann eine Länge von bis zu 100 Metern erreichen.
10 MBit-Netzwerke mit Bus-Topologie Vereinzelt noch anzutreffen sind Verkabelungen mit so genannten Coax-Kabeln, auch mit RG-58 oder BNC, abgeleitet von der Steckerform, bezeichnet. Die dabei eingesetzte Bus-Topologie ist dadurch gekennzeichnet, dass alle Stationen über eine Verbindung wie die Perlen auf einer Kette miteinander verbunden sind. Die Maximallänge eines solchen Stranges darf dabei 185 Meter nicht überschreiten. Das ist allerdings ein eher theoretischer Wert, da jeder Anschluss einer Station von dieser Gesamtlänge etwas auffrisst. Abbildung 13.4: Bus-Topologie eines Ethernet-Netzwerks
Nachteile: Sehr fehleranfällig und langsam
Der Nachteil dieser Lösung liegt auf der Hand: Wird die Verbindung an nur einer Stelle unterbrochen, steht das ganze Netz. Hinzu kommt, dass die Verbindungen von T-Stücken und BNC-Steckern mechanisch nicht sehr belastbar sind. Kleine Defekte können hier schnell zu langsamen oder sporadisch gestörten Netzwerkverbindungen führen. Die Übertragungsrate einer solchen Konfiguration ist übrigens generell auf 10 MBit begrenzt und teilt sich durch alle Stationen, die zur gleichen Zeit kommunizieren und das nur im Halbduplex-Modus.
13.1.3 Andere direkte Verbindungsmöglichkeiten Neben den beschriebenen technischen Lösungen gibt es noch weitere für eine direkte Verbindung zwischen zwei Computern.
Bluetooth Ähnlich wie WLAN auf Basis von Funkwellen arbeitet der Bluetooth genannte Standard. Allerdings war das Entwicklungsziel dieser Technik vor allem, den Kabelsalat für Peripheriegeräte drastisch zu vermindern. So gibt es mittlerweile entsprechende Tastaturen, Mäuse,
13.1 Überblick über technische Aspekte _____________________________________ 749 Drucker oder Mobiltelefone. Prinzipiell eignet sich dieser Standard auch für die Vernetzung von Computern. Dagegen spricht allerdings die relativ bescheidene Übertragungsrate von effektiv um die 700 KBit/s (brutto 1 MBit/s). Weitere Informationen finden Sie in Abschnitt 13.8 Grundlagen zu Bluetooth ab Seite 802.
USB (Universal Serial Bus) USB ist primär für den Anschluss von Peripheriegeräten an den Computer gedacht. Prinzipiell eignet er sich aber auch für die Vernetzung von Computern, deren Betriebssystem einen USB-Port als Netzwerkschnittstelle einbinden kann. In der Version 1.1 steht USB allerdings eher für relativ gemächliche Übertragungsleistungen von maximal 12 MBit/s. In der Praxis verbleibt dabei eine effektive Übertragungsrate von 4 bis 8 MBit/s übrig. Zudem teilt sich die Datenrate über alle angeschlossenen und zur gleichen Zeit sendenden Stationen auf. Mit breiter Verfügbarkeit von USB 2.0 als Standardausstattung von Computern kommt die Übertragungsrate mit 480 MBit/s in deutlich interessantere Regionen. Zum Anschluss selbst benötigen Sie die folgenden Komponenten, abhängig davon, wie der USB-Port für die Vernetzung benutzt wird: USB als direkte Netzwerkports über USB Linkkabel Ethernet-USB-Adapter zum Anschluss direkt an ein LAN Mit Windows Vista können Sie den USB-Port direkt als Netzwerkadapter einsetzen. Voraussetzung ist allerdings ein spezielles Verbindungskabel, auch als USB Linkkabel oder Transferkabel bezeichnet. Sie sollten darauf achten, dass das Kabel auch USB 2.0-kompatibel ist, damit Sie die maximale Bandbreite problemlos nutzen können. Für die Übertragung von Dateien und Einstellungen können Sie ein Transfer-Kabel, wie auf Seite 89 beschrieben, einsetzen. Weiterführende Informationen finden Sie zu diesem Thema in Abschnitt 2.9 Übertragen von Dateien und Einstellungen ab Seite 86. Theoretisch können Sie über USB ein Netzwerk mit bis zu 17 Geräten aufbauen. Die erreichbare Geschwindigkeit ist erst ab USB 2.0 hoch genug. Lohnen kann sich das beispielsweise, wenn Sie vorhaben, ein Notebook in Ihr lokales Netzwerk einzubinden. Dann können Sie die Netzwerkbrücken-Funktion benutzen, um dem Notebook den Zugang zu Ihrem lokalen Netz zu verschaffen. Deutlich verbreiteter sind inzwischen USB-Netzwerkadapter. Mit diesen können Sie sich die Aufrüstung mit einem internen Netzwerkadapter auch bei Desktop-Systemen sparen es ist schließlich nicht jedermanns Sache, seinen Computer auseinanderzunehmen. Bei den USB 1.1-Ethernet-Adaptern sollten Sie aber bedenken, dass auch bei Anschluss an ein 100 MBit-Netzwerk die maximale Transferleistung von 12 MBit nicht überschritten werden kann.
USB 1.1: 12 MBit USB 2.0: 480 MBit
USB als direkter Netzwerkport
USB-Netzwerkadapter
750 ___________________________________________________ 13 Netzwerkgrundlagen Infrarot-Verbindungen (IrDA)
Fast Infrared (FIR)
Serial Infrared (SIR)
Aussichten: VFIR und UFIR
Infrarot-Schnittstellen finden Sie heute bei fast allen modernen mobilen Kommunikationsgeräten, seien es Notebooks, Organizer (auch mit PDA Personal Digital Assistant bezeichnet) oder Mobiltelefone. IrDA steht für Infrared Data Association, einer internationalen Organisation mit Sitz in Walnut Creek, Kalifornien (USA). Sie wurde 1993 zur Entwicklung von Standards für die Infrarot-Datenübertragung gegründet. Weitere Informationen erhalten Sie unter folgender Adresse: www.irda.org Aktuell ist der FIR-Standard (Fast Infrared), der sich durch die folgenden Merkmale auszeichnet: Abdeckung eines Bereichs von circa 1 m (bis zu 2 m sind in der Praxis durchaus erreichbar). Voraussetzung ist natürlich, dass sich Sender und Empfänger direkt gegenüber befinden (sehen können). Eine Variante, die besonders sparsam mit Energie umgeht, erreicht laut Spezifikation nur eine Entfernung von circa 20 cm zwischen zwei gleichartigen Low-Power-Geräten (häufiger anzutreffen bei tragbaren kleinen Geräten wie Mobiltelefonen und PDAs). Die erreichbare Datentransferrate beträgt momentan maximal 4 MBit/s. In der Praxis sind damit Werte zu erzielen, die einer EPP/ECP-Parallelschnittstelle (siehe nächster Abschnitt) kaum nachstehen. Es gibt noch eine zweite Infrarot-Variante, die deutlich langsamer ist: Serial Infrared (SIR). Diese Schnittstelle erreicht maximal eine Übertragungsrate von 112 KBit/s. Treffen zwei Geräte mit unterschiedlich schnellen Infrarot-Schnittstellen aufeinander (SIR und FIR), einigen sie sich automatisch auf den langsameren Standard. Die IrDA hat Pläne zur Beschleunigung dieser Übertragungsmöglichkeit entwickelt. Unter dem Namen IrSimple entstehen die Standards VFIR (Very Fast Infrared) mit 16 MBit/s und UFIR (Ultra Fast Infrared) mit 100MBit/s.
Parallele und serielle Verbindungen
Maximal: Seriell: 112 KBit/s Parallel: 2 MByte/s
Für die direkte Kopplung zweier Computer eignen sich prinzipiell auch die seriellen (COM1, COM2) oder parallelen Ports (auch Druckerport, LPT1 genannt). Sie benötigen dazu spezielle serielle beziehungsweise parallele Datenübertragungskabel. Während die Übertragung über die seriellen Ports sehr gemächlich vonstattengeht (maximal 112 KBit/s), können Sie über die parallelen Ports durchaus bis zu 2 MByte/s erreichen. Das ist allerdings von der richtigen Konfiguration der parallelen Ports beider Computer abhängig, die dazu im BIOS auf den schnellen ECP-Modus eingestellt werden sollten. Die meisten modernen Computer bieten das. Allerdings ist in den Hersteller-Voreinstellungen der Parallel-Port oft nur auf den langsamen normalen Modus gesetzt.
13.1 Überblick über technische Aspekte _____________________________________ 751 Die drei grundlegenden Parallelport-Modi werden in Abschnitt Parallelport-Modi Parallele Schnittstelle ab Seite 331 vorgestellt. Sollen beide Computer mit maximaler Geschwindigkeit die Daten Kompatibilität über die Parallelports austauschen, müssen diese auf die gleichen Modi eingestellt sein. Anderenfalls ist aber Kompatibilität sichergestellt und die Übertragung erfolgt mit der jeweils langsameren Betriebsart. Teilweise funktioniert dies in der Praxis jedoch nicht. Sie müssen dann über die BIOS-Einstellungen beider Computer die Ports manuell auf einen einheitlichen Modus einstellen.
13.1.4 Verbinden von Netzwerken Windows Vista bietet eine Funktion, mit der Sie zwei separate lokale Brücken-Funktion in Netzwerke zu einer logischen Einheit zusammenführen können. Diese Vista Funktion wird sonst mit dedizierten so genannten Brücken (engl. Bridges) erledigt. Da eine Brücke in der Regel als Hardware-Komponente ausgeführt ist, können Sie beim Einsatz der Funktion als Softwarelösung auf einer Windows Vista-Arbeitsstation diese Investition sparen.
Einführung In Abbildung 13.5 sehen Sie ein typisches Szenario für den Einsatz Kopplung von einer Brücke. Ein älteres Netzwerk, welches beispielsweise noch mit Netzwerken 10 MBit Coax-Kabel (auch unter der Bezeichnung »RG-58« bekannt) arbeitet, soll mit einem neuen Teil, das mit einer 100 MBit-CAT5Verkabelung realisiert worden ist, zusammengeführt werden. Abbildung 13.5: Typisches Szenario für den Einsatz einer Brücke
Natürlich könnte das alte Netzwerk auf die neue VerkabelungsTechnologie umgestellt werden. Wenn sie aber ihren Zweck zur all-
752 ___________________________________________________ 13 Netzwerkgrundlagen gemeinen Zufriedenheit der Anwender erfüllt und ordentlich über EAD-Dosen ausgeführt ist, kann diese Mehrinvestition vielleicht doch noch warten. Für die Kopplung von verschiedenen Netzwerken können Sie eine Vista als SoftwareBrücke Windows Vista-Arbeitsstation einsetzen. Aufgrund der hohen Stabilität des Betriebssystems lässt sich auf dieser Station auch ohne weiteres normal arbeiten. Sind hohe Datenaufkommen zwischen den Netzwerken zu bewältigen, sollten Sie aber auf eine leistungsfähige HardwareAusstattung achten. Theoretisch beliebig Windows Vista ist in der Lage, so viele Netzwerke miteinander über viele Netzwerke die Brücken-Funktion zu verbinden, wie durch die jeweilige Hardkoppelbar ware angesteuert werden können. Allerdings ergeben sich praktische Grenzen in der erreichbaren Performance, wenn Sie versuchen würden, alle 5 PCI-Slots Ihres Systems mit 100 MBit-Netzwerkkarten zu bestücken. Ohne Probleme sollte die Kopplung von zwei bis maximal drei kleineren Netzwerken (mit vielleicht je 10 Stationen) realisierbar sein.
Funktion und Aufbau einer Brücke Eine Brücke arbeitet auf der OSI-Schicht 2 (Sicherungsschicht; siehe auch Abschnitt Das ISO/OSI-Referenzmodell ab Seite 757) und ist damit unabhängig vom verwendeten Netzwerkprotokoll. Für alle verbundenen Netzwerke gleich sein muss nur der grundsätzliche Netzwerktyp im Normalfall ist das Ethernet. Eine Brücke nutzt zur Erkennung und Weiterleitung der Datenpakete Kein Routing erforderlich die MAC-Adressen. Von Vorteil gegenüber der Verwendung eines Routers ist, dass Sie so mehrere Netzwerke, die beispielsweise über das Netzwerkprotokoll TCP/IP laufen, mit einem gemeinsamen Adressraum versehen können. Verschiedene Proto- Da eine Brücke das Netzwerkprotokoll nicht interessiert und sie sich kolle gleichzeitig nur um den Transport der (meist) Ethernet-Datenpakete kümmert, möglich können Sie auch verschiedene Protokolle gleichzeitig im Einsatz haben. So war es durchaus gängige Praxis, NetBEUI und TCP/IP in gemischten Umgebungen in einem gemeinsamen Netzwerk zusammenzubringen. Ein nicht-routingfähiges Netzwerkprotokoll wie NetBEUI einzusetzen NetBEUI ist Geschichte war lange der Standard in vielen kleinen Windows-Netzwerken, weil es schlank und schnell ist. Die Notwendigkeit der Routingfähigkeit und die Kopplung mit Nicht-Windows-Maschinen machte TCP/IP zum Standard-Netzwerk-Protokoll. Vista unterstützt NetBEUI nicht mehr. Microsoft hat bei seiner Brücken-Funktion in Windows den so geSpanning Tree Algoritmus nannten Spanning Tree Algorithmus (STA) implementiert. Damit wird automatisch der optimale Weg der Datenpakete zwischen den Netzwerken gefunden. Sie brauchen sich als Administrator darum nicht weiter zu kümmern. STA ist allerdings nur dann nötig, wenn mehrere Wege zu einem Ziel führen.
13.2 TCP/IP näher betrachtet ______________________________________________ 753 Im Vergleich zu Brücken arbeiten Router auf der OSI-Schicht 3 (Ver- Vergleich mit Router mittlung) und sind protokollabhängig. Im Gegensatz zur Brücke muss damit das Protokoll selbst routingfähig sein. Mit TCP/IP ist diese Routingfähigkeit gegeben, erfordert aber eine Unterteilung der einzelnen verbundenen Netzwerksegmente in eigene Adressräume. Router eignen sich besser als Brücken zur Kopplung größerer Netzwerke und sind im professionellen Umfeld nicht wegzudenken. Die sehr flexiblen Einrichtungsmöglichkeiten erfordern dann aber auch einen nicht zu unterschätzenden Administrationsaufwand. In unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 wird beschrieben, wie Sie ein entsprechendes Windows Serversystem als SoftwareRouter einsetzen können. In Abschnitt 14.1.5 Installation einer Netzwerkbrücke ab Seite 864 finden Administration ab Sie die Beschreibung aller erforderlichen Schritte für die Einrichtung Seite 864 der Brückenfunktion.
13.2 TCP/IP näher betrachtet Für die Vernetzung von Computersystemen spielen die Netzwerkprotokolle eine besondere Rolle. Im Mittelpunkt steht hierbei sicherlich die Internet-Protokollfamilie. In den nachfolgenden Abschnitten erfahren Sie einiges zu den unter Windows Vista unterstützten Protokollen.
13.2.1 TCP/IP eine Welt der Standards Mit der weltweiten rasanten Verbreitung des Internets und der damit TCP/IP als dominiemöglich gewordenen Kommunikation über alle Grenzen hinweg sind rendes Protokoll die Nutzung von Standards im Bereich der Vernetzung selbstverständlicher Alltag geworden. Inzwischen dominiert das Netzwerkprotokoll TCP/IP, sei es im Internet zwischen allen Beteiligten oder im kleinen oder größeren Firmennetzwerk. Die Verbreitung von TCP/IP ist heute so umfassend, dass sogar viele Computerlaien etwas mit diesem Begriff anfangen können. In diesem Abschnitt finden Sie grundlegende Informationen zu diesem wichtigen Netzwerkprotokoll. Das soll Ihnen helfen, nicht in Konfigurationsfallen zu tappen und Ihr Windows Vista-System optimal im Netzwerk zu konfigurieren und einzusetzen.
TCP/IP-Entstehungsgeschichte Es gibt einige grundlegende Standardisierungen oder Standardisierungsbemühungen im Bereich der Vernetzung von IT-Systemen, die Sie kennen sollten. TCP/IP nimmt hier sogar eine kleine Sonderstellung ein, da dieses Protokoll EDV-historisch gesehen ziemlich alt ist und seine Wurzeln vor manchen heute anerkannten Standardmodel-
754 ___________________________________________________ 13 Netzwerkgrundlagen
Bezeichnungen für TCP/IP
Vergangenheit im Kalten Krieg
ARPANET
DoD-Protokolle/ ARPANET-Protokolle UNIX
Geschichte in Zahlen
len, wie zum Beispiel dem ISO/OSI-Referenzmodell, hat. Dazu später jedoch mehr. Das TCP/IP-Protokoll ist genau genommen eine ganze Protokollsammlung und wird demzufolge mit Internet Protocol Suite (IPS), Internet-Protokollfamilie oder einfach mit Internet-Protokolle bezeichnet. In den folgenden Abschnitten werden Sie meist den Begriff InternetProtokolle vorfinden. Die Protokollbestandteile TCP und IP, aus denen der Name TCP/IP hervorgegangen ist, werden neben den anderen Bestandteilen in Abschnitt 13.2.4 Weitere Internetprotokolle im Detail ab Seite 769 näher vorgestellt. Obwohl das Internet heute vor allem für den friedlichen Austausch von Informationen weltweit steht (abgesehen von den Hackern, Viren...), haben die Internet-Protokolle eine »kriegerische« Vergangenheit. Ende der sechziger Jahre des vergangenen Jahrhunderts wurde auf Initiative und im Auftrag des US-Verteidigungsministeriums eine technische Lösung zur Vernetzung von (damals Groß-) Computern geschaffen. Unter anderem war eine Forderung der Militärs ein robuster Aufbau der Grundstrukturen der Protokolle, sodass eine landesweite Vernetzung auch dann noch funktioniert, wenn Teile des Netzwerks ausfallen sollten. Im Ergebnis der Forschung und Entwicklung entstand das so genannte ARPANET (Advanced Research Project Agency), aus welchem sich dann später das entwickelte, was heute allgemein als Internet bezeichnet wird. Das ARPANET wurde bereits 1972, schon weitgehend auf TCP/IP basierend, der Öffentlichkeit zugänglich gemacht. Am Anfang stand aber vor allem der Einsatz im Umfeld wissenschaftlicher Einrichtungen und Universitäten. Die hauptsächlich genutzten Dienste waren dabei die Fernbedienung von Rechnersystemen, E-Mail sowie der Austausch von Dateien. Die Internet-Protokolle werden aufgrund dieser Historie heute teilweise noch als Department of Defense (DoD)- oder ARPANET-Protokolle bezeichnet. Eine weite Verbreitung erreichte das TCP/IP-Protokoll schließlich vor allem durch die wachsende Verbreitung des Betriebssystems UNIX, anfangs vor allem im Umfeld von Universitäten. Seit der Version Berkley UNIX 4.2 wird TCP/IP umfassend unterstützt. Die Entstehungsgeschichte der Internet-Protokolle lässt sich an den folgenden geschichtlichen Eckdaten festhalten: 1969 Geburtsstunde des ARPANET 1972 ARPANET wird der Öffentlichkeit vorgestellt 1976 Geburtsstunde von TCP/IP; Grundsteinlegung zu TCP/IP durch die International Federation of Information Processing 1983 ARPANET wird auf TCP/IP umgestellt; TCP/IP-Protokolle werden als MIL-Specs veröffentlicht 1984 Vorstellung des Berkeley UNIX 4.2 1987 Unterstützung von TCP/IP durch IBM
13.2 TCP/IP näher betrachtet ______________________________________________ 755 1988 Simple Gateway Monitoring Protocol (SGMP) wird vollständig überarbeitet und als Simple Network Management Protocol (SNMP) veröffentlicht 1990 Unterstützung von TCP/IP durch weitere Hersteller (wie DEC, Novell und andere) 1992 Unterstützung von TCP/IP durch mehr als 10 000 Firmen weltweit 1993 Beginn der Planungen zur Erweiterung des Adressraumes von 32 auf 128 Bit (IPv6) 1999 Implementierung von TCP/IP in weitere Netzwerkbetriebssysteme (wie beispielsweise in Novell NetWare 5)
Standards und die RFCs In der Welt des Internets und insbesondere für die Internet-Protokolle spielen die RFCs (Request for Comments) eine bedeutende Rolle. Diese Form der offenen Diskussion von technischen Verfahren und Lösungen wird dabei nicht einer staatlichen Aufsicht unterworfen, sondern lebt durch die aktive Mitarbeit von privaten Initiativen, wissenschaftlichen Organisationen und Firmen. Damit können aber insbesondere bestimmte Märkte dominierende Gruppen oder Unternehmen eigene proprietäre Lösungen als Standards propagieren. Am 7. April 1969 wurde RFC 0001 veröffentlicht. Alle Protokolle, die im Netzwerk- und Internetbereich verwendet werden, werden heute in solchen RFCs spezifiziert. Ein RFC kann dabei verschiedene Stufen durchlaufen (siehe weiter unten). Solange das Dokument in der Entwicklung ist, wird es als »Draft« bezeichnet als Entwurf. Einige Protokolle sind schon seit langer Zeit in diesem Stadium dem Einsatz steht das nicht unbedingt entgegen. RFCs können auch reine Informationsdokumente ohne Bezug auf ein konkretes Protokoll sein. RFCs tragen generell eine fortlaufende Nummer. Versionsnummern gibt es nicht. Ändert sich ein RFC, wird eine neue Nummer vergeben und das alte Dokument als obsolet gekennzeichnet. Inzwischen gibt es Tausende RFCs und viele davon sind obsolet. In diesem Buch werden Sie an einigen Stellen mit RFC-Nummern konfrontiert, die Sie als Querverweis auf die Quelle der Information nutzen können. Ein RFC kann mehrere Stufen durchlaufen, vor allem um »offizielle« von »inoffiziellen« Veröffentlichungen zu unterscheiden. Als offiziell gelten fertige RFCs, die von einer der Standardisierungsorganisationen verabschiedet wurden. Die bekannteste ist die IETF (Internet Engineering Task Force). Typische Stufen eines RFC sind: Experimental (Experimentell) Das hier spezifizierte Protokoll sollte nur zu experimentellen Zwecken oder zur Evaluierung eingesetzt werden. Es sind noch grund-
Request for Comments
Fortlaufende Nummerierung
Stufen eines RFC
Experimental
756 ___________________________________________________ 13 Netzwerkgrundlagen
Proposal
Draft
Standard
Recommended Not recommended
Limited use
Required
Elective
Mehr Informationen zu RFCs
legende Änderungen möglich, ebenso wie das völlige Verwerfen der Entwicklung. Proposal (Vorschlag) Als Vorschlag werden RFCs gekennzeichnet, wenn die Standardisierung gezielt angestrebt wird. Dennoch befindet sich das Protokoll noch in der Entwicklung und wird voraussichtlich noch Änderungen unterworfen sein. Oft sind solche Änderungen Kompromisse, die notwendig sind, um die Anerkennung als Standard zu erlangen. Draft (Entwurf) In diesem Stadium, das Sie häufiger beobachten können, befinden sich Dokumente, die als Standard ernsthaft in Betracht gezogen werden. Praktisch ist die Entwicklung abgeschlossen. Durch die Veröffentlichung gelangen die Methoden zum praktischen Einsatz. Im Feldtest können sich Probleme herausstellen, die noch zu Änderungen am endgültigen Standard führen. Standard In dieser Phase ist das RFC verabschiedet und endgültig. Wenn sich Änderungen oder Weiterentwicklungen ergeben, wird eine neue Nummer vergeben und das alte RFC wird obsolet. Als Verabschiedungsgremium agiert das IAB (Internet Architecture Board). Neben diesen grundlegenden Eigenschaften können ergänzende Hinweise anfallen, die sich teilweise auf Systeme beziehen: Recommended (empfohlen) Das Protokoll wird zum Einsatz empfohlen. Not recommended (nicht empfohlen) Es ist nicht empfehlenswert, dieses Protokoll einzusetzen meist weil es inzwischen ein neueres gibt. Limited use (begrenzter Einsatz) Dieses Protokoll wird nur für sehr eng gesteckte Spezialfälle zur Anwendung kommen. Required (erforderlich) Die Anwendung ist im Zusammenhang mit anderen Protokollen zwingend. Elective (wahlweise) Für den vorgesehenen Zweck stehen mehrere Protokolle gleichwertig zur Auswahl. Aus den gültigen, verabschiedeten RFCs werden Standards, indem eine Standardnummer STD zugewiesen wird. Manchmal umfasst ein solcher Standard mehrere RFCs. STD-Nummern sind endgültig, werden also nicht geändert, wenn sich die zugrunde liegenden RFCs ändern. Die Zusammenfassung der STDs und RFCs wird in der RFC 2500 spezifiziert, eine Art rekursive Spezifikation also. Mehr Information zu den RFCs und STDs finden Sie im Internet unter den folgenden Adressen:
13.2 TCP/IP näher betrachtet ______________________________________________ 757 www.faqs.org www.rfc-editor.org www.rfc-ref.org Für das Studium der RFCs sollten Sie neben guten Englischkenntnissen allerdings Geduld mitbringen, wenn Sie sich durch die teilweise knochentrockenen Erläuterungen durcharbeiten wollen. Abbildung 13.6: rfc-editor.org als gute Nachschlagemöglichkeit
13.2.2 TCP/IP und das ISO/OSI-Referenzmodell Das so genannte ISO/OSI-Referenzmodell spielt bei der Entwicklung und Bewertung von EDV-gestützten Kommunikationssystemen eine bedeutende Rolle, weswegen es an dieser Stelle vorgestellt werden soll. Die Internet-Protokolle, wie sie sich historisch entwickelt haben, nehmen allerdings eine besondere Stellung zu diesem Standardmodell ein, wie Sie später noch sehen werden.
Das ISO/OSI-Referenzmodell Diese grundlegende Modellbeschreibung allgemeiner Kommunikationsprozesse bei der Datenübertragung wurde von der International Organization for Standardization (ISO) im Jahre 1984 verabschiedet. Das Modell wird immer wieder in der Fachpresse als Referenz zur Beschreibung technischer Vorgänge herangezogen. Das ISO/OSI-Referenzmodell (Reference Model for Open Systems Interconnection of the International Organization for Standardization) teilt Netzwerkverbindungen in sieben logische Schichten ein, die jeweils eine eigene Aufgabe übernehmen. Die Schichten werden nachfolgend beschrieben. Bei Protokollbeschreibungen in technischen Dokumentationen wird auf diese Schichten immer wieder Bezug genommen.
758 ___________________________________________________ 13 Netzwerkgrundlagen Tabelle 13.1: Das ISO/OSIReferenzmodell
Bitübertragung
Sicherung
Vermittlung
Transport
Sitzung
Nr. Schichtbezeichnung Aufgabe 7
Anwendung
Nutzerschnittstelle, KommandoAuswahl
6
Darstellung
Kodierung, Dekodierung, Kompression
5
Sitzung
Steuerung der Kommunikation
4
Transport
Verbindungsaufbau, Datentransport
3
Vermittlung
Adressierung, Routing
2
Sicherung
Fragmentierung, Kontrolle, Prüfung
1
Bitübertragung
Physischer Datentransport
Im Idealfall arbeitet auf jeder Ebene des in Tabelle 13.1 gezeigten Modells ein Protokoll. Der nächste Abschnitt zeigt, dass dies für die Internetprotokolle nicht der Fall ist. Dennoch ist das ISO/OSI-Modell Grundlage der gesamten modernen Protokollwelt. Die Funktion der einzelnen Schichten können wie folgt beschrieben werden: Schicht 1: Bitübertragungsschicht (physical layer) Hier wird die physikalische Übertragung (elektrisch sowie mechanisch) definiert: das Medium (Kabel, Funk, Infrarot), die gesendeten Signale usw. Schicht 2: Sicherungsschicht (data link layer, Verbindungsschicht oder MAC-Layer genannt) Hier werden die Daten in einzelne Rahmen aufgeteilt und gesichert übertragen. Beispiele für diese Schicht sind PPP, SLIP und HDLC. Schicht 3: Vermittlungsschicht (network layer oder Netzwerkschicht genannt) Zentrale Aufgabe ist die Bestimmung eines optimalen Weges durch ein Netzwerk. Ein wichtiges Protokoll auf dieser Ebene ist das IP (Internet Protocol). Schicht 4: Transportschicht (transport layer) Diese Schicht stellt einen gesicherten Kanal zwischen zwei Stationen her, sodass die Daten einfach seriell geschrieben beziehungsweise gelesen werden können. Auf dieser Ebene ist TCP zu finden. Schicht 5: Sitzungsschicht (session layer, Kommunikationssteuerungsschicht genannt) Diese Schicht synchronisiert das Zusammenspiel mehrerer Stationen. Es wird beispielsweise festgelegt, wie eine Sitzung zeitlich abzulaufen hat (Aufforderung zum Senden eines Kennwortes, Senden des Kennwortes, Bestätigung des Kennwortes usw.). Hier arbeitet beispielsweise HTTP.
13.2 TCP/IP näher betrachtet ______________________________________________ 759 Schicht 6: Darstellungsschicht (presentation layer) Hier werden die Daten in ein einheitliches Format transformiert, zum Beispiel durch Alphabetumwandlungen oder Datenkompression. An dieser Stelle gehen oft die Umlaute verloren, wenn die Übertragung mit 7 Bit statt 8 Bit erfolgt. Verschiedene Kodierungsarten sichern dann die Übertragung, beispielsweise MIME. Schicht 7: Anwendungsschicht (application layer) Diese Schicht beschreibt die Schnittstelle, über die Anwendungen auf Dienste eines anderen Systems zugreifen können. CGIProgramme beispielsweise nutzen diese Schicht. Jede Schicht kommuniziert mit der entsprechenden Schicht auf dem anderen System (logischer Datenfluss), indem sie Daten entweder an die darüber oder darunter liegende Schicht weiterleitet (physikalischer Datenfluss). Dabei verfügt jede Schicht über Schnittstellen, die folgende Abläufe ausführen können: Austausch von Daten mit der darüber liegenden Schicht Austausch von Daten mit der darunter liegenden Schicht Entscheidung darüber, welche Daten an dieselbe Schicht im anderen System übermittelt werden Wenn die Sitzung auf Schicht 5 ihre Daten an die Schicht 4 übergeben hat, wartet sie, bis die Antwort von Schicht 5 des anderen Systems zurückkommt. Wie diese Nachricht auf das andere System gelangt, ist Aufgabe von Schicht 4, die sich wiederum nur mit Schicht 3 in Verbindung setzt, usw. Der wirkliche Datenaustausch findet nur auf Schicht 1 statt. Durch dieses Verfahren sind höhere Schichten völlig unabhängig von den physikalischen Gegebenheiten (Funknetz, ISDN, Glasfaser usw.). Andererseits können über eine funktionierende physikalische Verbindung (Schicht 1) alle Arten von Daten und Protokollen (höhere Schichten) benutzt werden. Für das bessere Verständnis von Kommunikationsprozessen auf den unteren Ebenen können Sie die grundsätzlichen Eigenschaften von Repeatern, Bridges und Routern betrachten. Repeater arbeiten in Netzwerken üblicherweise als reine Signalverstärker. Die Hauptfunktion besteht also darin, den Datenfluss über größere Entfernungen aufrechtzuerhalten. Dazu arbeiten sie auf der untersten Schicht des ISO/OSI-Referenzmodells und sind unabhängig vom verwendeten Netzwerkprotokoll. Eine Bridge (Brücke) kann als »intelligente« Form des Repeaters bezeichnet werden, die den Datenverkehr anhand der Zieladresse im MAC-Header der Datenpakete zielgerichtet leiten kann. Daten, die nur innerhalb eines Segmentes benötigt werden, belasten somit nicht mehr das übrige Netzwerk. Bridges arbeiten wie Repeater unabhängig vom verwendeten Netzwerkprotokoll.
Darstellung
Anwendung
Kommunikationsprozesse
Praktisches Beispiel
Repeater
Bridge
760 ___________________________________________________ 13 Netzwerkgrundlagen Abbildung 13.7: Repeater, Bridge und Router im OSI-Modell
Router
Router hingegen arbeiten auf der OSI-Schicht 3 (Vermittlungsschicht) und sind damit auf ein routingfähiges Netzwerkprotokoll wie beispielsweise IP angewiesen. Damit lassen sich Router allerdings flexibler konfigurieren und bieten vor allem in größeren Netzwerken die notwendigen Funktionen für eine sinnvolle Strukturierung.
Abbildung der Internetprotokolle im OSI-Modell
4-Schichtenmodell der Internet-Protokollfamilie
Kapselung der Daten
Der theoretische Ansatz des Referenzmodells geht davon aus, dass auf jeder Ebene ein Protokoll arbeitet. Allerdings trifft das gerade auf die Internetprotokolle nicht zu. Deren Entwicklung beginnt bereits, bevor die ISO am Referenzmodell arbeitet und verläuft praktisch parallel zu diesem. Die Internet-Protokollfamilie kann aber durchaus mit dem ISO/OSIReferenzmodell verglichen werden. In Abbildung 13.8 sehen Sie eine Gegenüberstellung des OSI-Modells mit der üblichen Einteilung der Internet-Protokollfamilie in die vier Schichten Verbindung, Netzwerk, Transport und Anwendung. Die Daten durchlaufen beim Transport über ein Übertragungsmedium, wie beispielsweise ein Kupferkabel, üblicherweise alle Schichten von der Anwendung des Senders bis hin zum Empfänger. So übergibt eine Anwendung wie beispielsweise ein FTP-Client oder ein Terminalprogramm für Telnet seine Datenpakete an die Transportschicht. Hier bekommt das Paket einen Header, in dem weitere Informationen zu dessen Aufbau hinterlegt werden. Wird das Protokoll TCP verwendet, befinden sich im so genannten TCP-Header Angaben zum Quell- und Zielport sowie die TCP-Flags. Bei der Übergabe an die nächste Schicht (Netzwerk) wird das Paket um einen weiteren Header, beispielsweise den IP-Header, erweitert. In diesem werden unter anderem die IP-Quell- und Zieladresse hinterlegt, um den richtigen Weg im Netzwerk, auch über IP-Router, finden zu können. Schließlich
13.2 TCP/IP näher betrachtet ______________________________________________ 761 erfolgt eine letzte Erweiterung des Pakets in der Verbindungsschicht. Der neue Header enthält dann unter anderem Informationen zum verwendeten Übertragungsverfahren wie Ethernet oder Token Ring. Beim Weg zum Empfänger werden alle Schichten rückwärts wieder durchlaufen und die jeweiligen Header-Informationen entfernt. Dieser ganze Vorgang wird als Daten-Kapselung bezeichnet. Abbildung 13.8: Das OSI-Referenzmodell im Vergleich mit dem Schichtenmodell der InternetProtokollfamilie
Mit Hilfe dieser Datenkapselung können Kommunikationslösungen geschaffen werden, welche unabhängig vom verwendeten technischen Verfahren funktionieren. So ist beispielsweise die Verwendung der IPProtokollfamilie nicht an ein bestimmtes Übertragungsverfahren gebunden, sondern auch über Ethernet, Token Ring, ATM, PPP für die Datenfernübertragung oder andere, vielleicht erst in Zukunft verfügbare Medien möglich. Die wichtigsten Bestandteile der Internet-Protokollfamilie werden eingehender in den nachfolgenden Abschnitten beschrieben.
13.2.3
Internet Protocol (IP)
Das meistverwendete Protokoll auf der Schicht 2 (Netzwerk) der Internet-Protokollfamilie ist IP. Das wesentliche Merkmal dieses Protokolls besteht darin, dass jeder Netzwerkknoten (jedes Endgerät im Netzwerk) direkt angesprochen werden kann. Zu diesem Zweck verfügt jeder Knoten über eine IP-Adresse.
Aufbau von IP IP ist für die Zustellung der Datenpakete verantwortlich, hat jedoch Zustellung ohne selbst keine Mechanismen zur Fehlerkorrektur. Werden TCP-Data- Fehlerkorrektur
762 ___________________________________________________ 13 Netzwerkgrundlagen gramme transportiert, stellt TCP sicher, dass alle Daten garantiert fehlerfrei übertragen werden. Bei UDP-Datagrammen hingegen steht die fehlerfreie Übertragung zugunsten einer maximalen Performance nicht im Vordergrund. IP zerlegt die Datenpakete der darüber liegenden Schicht in IP-Pakete, welche ihrerseits aus dem IP-Header und dem Datenteil bestehen. Tabelle 13.2: Aufbau des IPHeaders
Bezeichnung
Länge in Bits
Beschreibung
VERSION
4
IP-Version: 4 = IPv4 6 = IPv6
HLEN (Internet Header Length)
4
Anzahl der 32-Bit-Wörter des Headers
SERVICE TYPE
8
Bits 0-2 haben folgende Bedeutung: 000 ROUTINE 001 PRIORITY 010 IMMEDIATE 011 FLASH 100 FLASH O VERRIDE 101 CRITIC/ECP 110 INTERNETWORK CONTROL 111 NETWORK CONTROL Bit 3, DELAY, ist normalerweise Null, für eilige (urgent) Pakete Eins. Bit 4, THROUGHPUT, steuert die Durchleitung, Bit 5, RELIABILITY, die Zuverlässigkeit. Die Bits 6 und 7 werden nicht verwendet.
TOTAL LENGTH
16
Die Länge des gesamten Datagramms einschließlich Daten. Die Länge darf bis zu 65 535 Byte betragen.
IDENTIFICATION
16
Eine vom Absender festgelegte, eindeutige Nummer. Mit Hilfe dieser Nummer werden fragmentierte Datagramme wieder zusammengesetzt.
FRAGMENT FLAGS
3
Bit 0 ist immer 0, Bit 1 steuert die Fragmentierung (0 = Fragmentierung erlaubt, 1 = Fragmentierung verboten). Bit 2 ist 1, wenn weitere Fragmente folgen (0, wenn das Datagramm das letzte Fragment ist).
13.2 TCP/IP näher betrachtet ______________________________________________ 763 Bezeichnung
Länge in Bits
Beschreibung
FRAGMENT OFFSET
13
Diese Zahl gibt an, welche Position das Fragment innerhalb des Datagramms hat.
TTL (Time To Live)
8
Lebensdauer in Hops. Hops sind die Stationen, die das Datagramm durchlaufen kann. Physikalisch ist jeder Router auf dem Weg ein Hop. Jeder Router reduziert den Wert TTL um 1. Ist der Wert 0, wird das Datagramm vernichtet. So wird verhindert, dass Datagramme auf der Suche nach dem Empfänger das Netz unendlich lange durchlaufen.
PROTOCOL
8
Das Protokoll, von dem das Datagramm initiiert wurde: ICMP Dezimalwert 1 IGMP Dezimalwert 2 TCP Dezimalwert 6 EGP Dezimalwert 8 UDP Dezimalwert 17 OSPF Dezimalwert 89
HEADER CHECKSUM
16
Eine Prüfsumme zur Kontrolle der Integrität
SOURCE IPADDRESS
32
Die IP-Adresse des Absenders
DESTINATION IP-ADDRESS
32
Die IP-Adresse des Empfängers
IP OPTIONS
0 bis 11 32-Bit-Wörter Optionale Angaben, die nicht fest durch IP spezifiziert sind
PADDING
variabel Auffüllwert auf ganze Bytes
DATA
Daten
IP-Fragmentierung Für den Datentransport im Netzwerk besitzt IP die Fähigkeit, die Pa- MTU kete in kleinere Einheiten aufzuteilen (zu fragmentieren). Das kann notwendig sein, wenn das zu übertragene Paket die maximale IPPaketgrößenbeschränkung eines Netzwerkgerätes (beispielsweise eines IP-Routers) überschreitet. Dieser Parameter wird mit MTU (Maximum Transmission Unit) bezeichnet.
764 ___________________________________________________ 13 Netzwerkgrundlagen Fragmentierte IP-Datenpakete können ein nicht unerhebliches Sicherheitsrisiko darstellen. Die einzelnen Fragmente können manipuliert den Zielhost erreichen. Geschickte Hacker sind in der Lage, die Fragmente so zu bilden, dass diese nicht direkt aneinander passen, sondern gemeinsam überlappende Bereiche enthalten. Beim Zusammensetzen im Zielsystem kann es dann durchaus dazu kommen, dass sich das Betriebssystem ins Nirwana verabschiedet. Heute gängige Firewall-Systeme weisen IP-Fragmente in der Regel ab. Path MTU Discovery Durch den Einsatz der »Path MTU Discovery«-Technologie in Netzwerksystemen wie Routern wird die IP-Fragmentierung überflüssig. Dabei handeln die beteiligten Systeme untereinander aus, wie groß die maximale Paketgröße (MTU) sein darf. Der eine Host startet dann Übertragungsversuche mit steigenden IP-Paketgrößen (Fragmentierungsflag: »Nicht fragmentieren«). Dies geschieht so lange, bis er eine ICMP-Fehlermeldung (»Paket zu groß«) zurückerhält. IP-Fragmentierung wird also im Internet immer seltener, sodass Sie kaum Einschränkungen zu befürchten haben, wenn Sie generell fragmentierte IP-Pakete abweisen. Beachten Sie dabei, wie Sie die Einrichtungsschritte für Ihre Firewall durchführen müssen. Damit ist übrigens eine externe Firewalllösung gemeint. Die in Windows Vista integrierte Firewall-Funktion weist standardmäßig IP-Fragmente ab. Mehr Informationen finden Sie dazu in Abschnitt 13.10.5 WindowsFirewall ab Seite 843. Für bestimmte Einsatzszenarios kann es sinnvoll sein, die MTU-Größe MTU anpassen anzupassen. So können Sie beispielsweise die Performance einer DSLVerbindung unter Umständen etwas verbessern. Der MTU-Parameter kann für jede logische Netzwerkverbindung separat gesetzt werden. Sie finden diese in der Registrierung im folgenden Zweig: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters \Interfaces \ Erzeugen Sie für das betreffende Interface einen neuen REG_DWORDWert mit dem Namen MTU. Der empfohlene Wert für Einwahlverbindungen über Modem ist 576 (dezimal), für DSL über das PPPoEProtokoll 1492 (oder weniger). Weitere Informationen finden Sie in Abschnitt 9.6.2 Bearbeiten der Registrierung ab Seite 478. Sicherheitsrisiko IPFragmente
IP-Broadcast Die meisten IP-Pakete im Netzwerk werden an einen bestimmten Zielknoten geschickt. Dies wird mit Unicast bezeichnet. Gehen IPPakete an alle erreichbaren Knoten, spricht man von Broadcast. Mit der Broadcast-Adresse 192.168.100.255 erreichen Sie alle Hosts im
13.2 TCP/IP näher betrachtet ______________________________________________ 765 angenommenen Netzwerk 192.168.100 (Netzmaske 255.255.255.0). Soll eine Nachricht an die über Router verbundenen Netzwerke 192.168.100, 192.168.101 und 192.168.102 gehen, ist die BroadcastAdresse 192.168.255.255. Über IP-Multicast lassen sich bestimmte Hosts adressieren. Dazu wer- IP-Multicast den Adressen aus dem IP-Bereich 224.0.0.0 bis 239.255.255.255 gewählt und zur Bildung von so genannten Multicast-Gruppen benutzt. Eine einzelne IP-Adresse aus diesem Bereich steht dann für eine MulticastGruppe (beispielsweise 224.1.1.22). Über IP-Multicast-Pakete werden nur IP-Protokolle übertragen, die nicht sitzungsorientiert (wie etwa TCP; siehe nächster Abschnitt) arbeiten. Das sind beispielsweise UDP oder Routingprotokolle wie IGMP und OSPF. Über UDP (siehe Abschnitt User Datagram Protocol (UDP) ab Seite 774) lassen sich Datenströme übertragen, bei denen es auf einen absolut fehlerfreien Transport nicht ankommt. Bei der Verwendung von IPMulticast anstelle von Unicast lässt sich die verfügbare Bandbreite für eine höhere Anzahl von Nutzern wesentlich effektiver ausnutzen. Statt Einzelverbindungen mit dem entsprechenden Overhead aufzusetzen, können die den entsprechenden Multicast-Gruppen zugewiesenen Hosts den Datenstrom direkt empfangen. Dabei ist die Vorgehensweise mit dem des Abbonierens eines bestimmten Fernsehkabelkanals vergleichbar. Eine Kabelgesellschaft speist eine Reihe von Kanälen in das Kabel ein, die jeweils nur von verschiedenen Gruppen von Kunden empfangen werden können. Damit eignet sich IP-Multicast insbesondere für die Implementierung von Audio- und Video-Streaming (beispielsweise für Konferenzsysteme). Das ist momentan die häufigste Anwendung im Internet.
IP-Adressversionen Die heute gebräuchliche und jedem bekannte Form einer IP-Adresse besteht aus vier dezimalen Zahlen, die jeweils durch einen Punkt voneinander getrennt sind. Hier kann sich in Zukunft einiges ändern, sodass sich eine nähere Betrachtung der IP-Adressversionen lohnt. Internet Protocol Version 4 Im derzeitigen Standard IPv4 (Internet Protocol Version 4) besteht Heutiger Standard die IP-Adresse aus 4 Oktetts. Jedes Oktett entspricht einem Byte (0255). Zur besseren Lesbarkeit werden sie dezimal ausgeschrieben und durch Punkte getrennt (beispielsweise 195.145.212.138). Theoretisch lassen sich damit 2564 = 232 = 4 294 967 296 verschiedene Adressen darstellen. In der Realität verbleiben aber weniger direkt im Internet nutzbare Adressen übrig, da ein Teil davon für die nichtöffentliche Verwendung reserviert ist (siehe auch Abschnitt Spezielle IP-Adressen ab Seite 768). Letztlich bleibt festzustellen, dass der einmal mit IPv4 definierte Adressraum langsam knapp wird und auf absehbare Zeit nicht mehr ausreicht.
766 ___________________________________________________ 13 Netzwerkgrundlagen
Zukunft
Erweiterte Möglichkeiten
Internet Protocol Version 6 Mit IPv6 wird die Größe einer IP-Adresse von 4 auf 16 Oktetts erweitert. Der derzeitigen Adressenverknappung mit IPv4 kann damit massiv entgegengetreten werden. Es können jetzt 2128 statt 232 Adressen gebildet werden. Dies entspricht einer Menge von etwa 3,4 x 1038 Computern oder anderen Systemen, die mit einer eindeutigen IP-Adresse versorgt werden könnten, was für die weitere Zukunft ausreichend dimensioniert ist. Neben einer grundsätzlich höheren Anzahl an verfügbaren Adressen bringt IPv6 weitere Möglichkeiten mit. So lassen sich beispielsweise unterschiedliche Datentypen spezifizieren (wie etwa Video- oder Ton-Übertragungen), die gegenüber weniger zeitkritischen Datentypen (zum Beispiel E-Mails) bevorzugt bearbeitet werden. Damit können Echtzeitanwendungen besser mit der nötigen Bandbreite ausgeführt werden. Der Großteil des Internets läuft noch unter der alten Version 4, aber einige Geräte unterstützen bereits IPv6. Windows Vista ist die erste Windows-Version, die standardmäßig nach der normalen Installation beide Protokollversionen eingebunden hat. In Abschnitt 13.5 Next Generation TCP/IP-Stack im Überblick ab Seite 792 finden Sie weitere Informationen zur neuen Netzwerkarchitektur von Windows Vista. Alle folgenden Ausführungen im vorliegenden Buch beschränken sich allerdings auf die aktuelle IP-Version 4.
Subnetze und Netzwerkklassen Aufteilung in Netz und Host
Tabelle 13.3: Netzwerk- und Hostadresse in dezimaler und binärer Form
Jede IP-Adresse wird in einen Netzwerk- und einen Hostbereich aufgeteilt. Für die Unterscheidung zwischen Netzwerk- und Hostbereich wird eine so genannte Subnetzmaske eingerichtet, die angibt, wie viele Bits einer Adresse zum Netz und wie viele zum Rechner gehören. In der nachfolgenden Tabelle finden Sie ein Beispiel in dezimaler und binärer Notation für die IP-Adresse 192.168.100.38 mit der Subnetzmaske 255.255.255.0. Netzwerkbereich Dezimal
Binär
Hostbereich Dez.
Binär
Subnetzmaske 255.255.255 11111111.11111111.11111111
0
00000000
IP-Adresse
38
00100110
192.168.100 11000000.10101000.01100100
Mit der Subnetzmaske 255.255.255.0 können in einem Netzwerk bis zu 254 Rechnern adressiert werden. Das ist für kleinere Netzumgebungen ausreichend. Die Null ist als reguläre Host-Adresse nicht zulässig (kennzeichnet das Netzwerk), ebenso die 255. Die 255 wird als Broadcast-Adresse benutzt, wenn alle Hosts angesprochen werden sollen (siehe Seite 764).
13.2 TCP/IP näher betrachtet ______________________________________________ 767 Die Subnetzmaske besteht generell aus einem durchgängigen Bereich Subnetzmaske von binären Einsen. Es hat sich eingebürgert, die Einsen zu zählen und in der Kurzform /n hinter der Netzwerkadresse aufzuschreiben. Eine Angabe von 192.168.100.0/24 bedeutet also Netzadressen im Bereich von 192.168.100.x mit einer Subnetzmaske von 255.255.255.0 (24 Einsen). Über die Aufsplittung der IP-Adresse in den Netzwerk- und den Hostbereich kann der Host einfach feststellen, ob diese im eigenen (Sub-)Netz oder in einem anderen liegt. In unserem Beispiel würde dann die Adresse 192.168.101.56 einen Host im (anderen) Subnetz 192.168.101 adressieren, während 192.168.100.78 im gleichen Netz zu finden ist. Eine IP-Adresse enthält im Netzwerkbereich eine Netzwerkkennung, Netzwerkklassen welche die verwendete Netzwerkklasse angibt. Es werden fünf verschiedene Netzwerkklassen (A bis E) unterschieden, wobei jeder Klasse eine bestimmte Standard-Subnetzmaske zugeordnet ist. Ein Klasse-A-Netz hat standardmäßig die Subnetzmaske 255.0.0.0. Klasse A Das erste Bit der Adresse ist auf 0 gesetzt. Abbildung 13.9: Netzwerkklassen
Ein Klasse-B-Netz hat die Subnetzmaske 255.255.0.0. Die ersten bei- Klasse B den Bits der Adresse sind auf 10 gesetzt. Ein Klasse-C-Netz hat die Subnetzmaske 255.255.255.0. Die ersten Klasse C drei Bits der Adresse sind hier auf 110 gesetzt. Daneben gibt es noch Klasse-D- (beginnt mit 1110) und Klasse-E-Netze Klasse D und E (beginnend mit 1111). Klasse-D-Adressen dienen zur Bildung von Multicast-Gruppen (siehe Seite 764), Klasse-E-Netze sind für Spezialfälle reserviert.
Routing in IP-Netzwerken Das Routing von Datenpaketen zwischen unterschiedlichen IP-Netz- Keine IP-Routingwerken übernehmen in der Regel IP-Router. Diese können als dedi- Funktionalität unter zierte Hardware-Router oder als Software-Router ausgeführt sein. Ein Vista Windows Vista-System können Sie nicht wie ein Windows Server -
768 ___________________________________________________ 13 Netzwerkgrundlagen System als IP-Router einsetzen. Allerdings verfügt das System über eine einfach zu handhabende Bridging-Funktionalität. Mehr dazu finden Sie in Abschnitt 13.1.4 Verbinden von Netzwerken ab Seite 751.
Spezielle IP-Adressen Es gibt eine Reihe von IP-Adressen, die nicht im öffentlichen Internet oder generell nicht im Netzwerk selbst zum Einsatz kommen und für spezielle Einsatzzwecke reserviert sind. Broadcast-Adressen Eine Broadcast-Adresse teilt dem Rechner mit, wie er alle Rechner in seinem Netz auf einmal erreichen kann (sog. Broadcast). Dabei werden einfach alle Bits im Rechnerbereich der Adresse auf 1 gesetzt (allgemeingültige Definition für ALL-ONE-Broadcasts). Die Standard-Broadcast-Adresse für einen Rechner aus dem Netz 192.168.100.0/24 wäre demnach 192.168.100.255. Sie können deshalb Adressen, die auf 255 enden, nicht als reguläre Netzwerkadresse angeben. Mit einer Adresse, die im ersten Oktett eine 127 enthält, adressiert sich Loopback jeder Rechner selbst (Loopback), was zu Tests der Netzwerksoftware benutzt werden kann. Eine solche Adresse ist daher niemals auf dem Kabel zu sehen. Adressen aus den Klasse-D- und -E-Netzen sind für bestimmte ZweReservierte Adressen cke reserviert. Die Adressen 224.x.x.x bis 255.x.x.x dürfen deshalb nicht für die normale Adressierung von Hosts benutzt werden. Genauere Informationen dazu stehen im RFC 2236.
Private Netzwerkadressen In jeder IP-Netzklasse (siehe vorhergehender Abschnitt) gibt es Adressbereiche, die nicht im Internet selbst zulässig sind und somit für die Implementierung lokaler Netzwerke genutzt werden können. Tabelle 13.4: Private Netzwerkadressen je Netzklasse
NAT
Klasse
Anz. Subnetze
Nutzbare Adressbereiche
A
1
10.0.0.0 bis 10.255.255.255
B
16
172.16.0.0 bis 172.31.255.255
C
256
192.168.0.0 bis 192.168.255.255
Für die Anbindung lokaler Netzwerke an das Internet, in denen diese privaten IP-Adressen verwendet werden, kommt NAT (Network Address Translation) zum Einsatz. Dabei werden die Anfragen der Clients, die über eine private IP verfügen, in die jeweilige öffentliche IP-Adresse des Internet-Routers übersetzt. Dieses Verfahren wird in anderen Systemwelten Masquerading genannt. NAT kommt beispielsweise in Internet-Routern zum Einsatz, die lokale Netzwerke mit dem Internet verbinden. Wie Sie einen WindowsServer 2003 als Internet-Router konfigurieren, wird in unserem Buch Windows Server 2003 beschrieben.
13.2 TCP/IP näher betrachtet ______________________________________________ 769 Eine vereinfachte Form von NAT finden Sie unter Windows Vista, wenn Sie für ein kleines Netzwerk einen gemeinsamen Internetzugang realisieren. Weiterführende Informationen finden Sie in Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988.
IP-Adressvergabe im Internet Jede öffentliche IP-Adresse ist weltweit eindeutig und wird von der IANA an die drei Organisationen APNIC, ARIN und RIPE vergeben, die diese dann wiederum an Endkunden (Firmen oder Internetprovider) verteilen. Weitere Informationen gibt es bei den entsprechenden Organisationen unter folgenden Adressen: IANA (Internet Assigned Numbers Authority): www.iana.net APNIC (Asia-Pacific Network Information Center): www.apnic.net ARIN (American Registry for Internet Numbers): www.arin.net RIPE NCC (Réseaux IP Europeens): www.ripe.net Generell bleibt festzuhalten, dass jegliche Verwendung von IP-Adressen bei direkt am Internet angeschlossenen Computern oder anderen Netzwerkgeräten sich nach diesen Bestimmungen zu richten hat. Für den Aufbau lokaler Netzwerke empfiehlt sich im Regelfall die Ein- IP-Adressvergabe richtung von IP-Adressen aus dem nichtöffentlichen (privaten) Ad- im lokalen Netzwerk ressbereich (siehe vorhergehender Abschnitt). Zur automatisierten IP- ab Seite 784 Adressvergabe im lokalen Netzwerk finden Sie weitergehende Informationen in Abschnitt 13.3 IP-Adressvergabe im lokalen Netzwerk ab Seite 784.
13.2.4 Weitere Internetprotokolle im Detail In diesem Abschnitt werden einige Protokolle der Internet-Protokollfamilie näher betrachtet. Dabei stehen vor allem die Protokolle im Mittelpunkt, die aus Sicht eines professionellen Anwenders von Windows Vista wichtig sein können. Protokoll
Funktion
Seite
ARP
Auflösung der IP-Adressen in MAC-Adressen der Netzwerkadapter
770
ICMP
Transport von Fehler- und Diagnosemeldungen
771
TCP
Gesicherter Transport der Daten mit Fehlerkorrektur
772
Tabelle 13.5: Übersicht über die behandelten InternetProtokolle
770 ___________________________________________________ 13 Netzwerkgrundlagen Protokoll
Weitere InternetProtokolle
Funktion
Seite
UDP
Ungesicherter Transport ohne Fehlerkorrektur
774
FTP
Dateitransfer zwischen Computern
775
Nicht betrachtet werden hier Routingprotokolle. Das Thema IPRouting wird in Abschnitt 13.1.4 Verbinden von Netzwerken ab Seite 751 kurz vorgestellt. Ausführlichere Informationen finden Sie zu diesem Thema in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003. Andere wichtige Protokolle der Schicht 4 (Anwendung) der Internet-Protokollfamilie wie SMTP oder HTTP werden eingehend in unserem Buch Internet Information Server 5 behandelt.
Address Resolution Protocol (ARP)
ARP-Pakete
Tabelle 13.6: Aufbau von ARPPaketen
ARP löst die IP-Adressen in MAC-Adressen auf. MAC steht für Media Access Control. Diese Adresse ist für jeden Netzwerkadapter eindeutig. Liegen Router zwischen Sender und Empfänger, wird die MACAdresse des dem Empfänger nächstgelegenen Routers verwendet. Wenn zwei Computer die Verbindung per IP aufnehmen, wird zuerst ARP eingesetzt. ARP fragt den gegnerischen Host nach seiner MACAdresse mit einer Broadcast-Anfrage an die IP-Nummer. Mit der übertragenen Antwort wird die physikalische Verbindung initiiert. Die ARP-Informationen werden in einem lokalen Cache gehalten, dessen Leistungsverhalten unter Windows Vista in der Registrierung kontrolliert werden kann. ARP verwendet zum Austausch von Informationen ARP-Pakete. Der Aufbau dieser Pakete ist in der folgenden Tabelle dargestellt. Bezeichnung
Länge in Bytes
Beschreibung
HARDWARE TYPE
2
Art der Hardware, beispielsweise Ethernet, ISDN
PROTOCOL TYPE
2
Das übergeordnete Protokoll. Normalerweise steht hier der Wert 0x0800 für IP.
HARDWARE ADDRESS LENGTH
1
Größe der Hardware-Adresse in Byte. Für Ethernet sind dies 6 Bytes.
PROTOCOL ADDRESS LENGTH
1
Anzahl der Bytes der Adresse des übergeordneten Protokolls. Für IPv4 ist das 4, für IPv6 die Zahl 6.
OPERATION CODE
1
Art der Anforderung, Query oder Reply
SENDER MAC ADDRESS
6
MAC-Adresse des Senders
13.2 TCP/IP näher betrachtet ______________________________________________ 771 Bezeichnung
Länge in Bytes
Beschreibung
SENDER IP ADDRESS
4
IP-Adresse des Senders
TARGET MAC ADDRESS
6
MAC-Adresse des Empfängers
TARGET IP ADDRESS
4
IP-Adresse des Empfängers
Dieses Paket kommt als Broadcast-Paket nur dann zur Anwendung, wenn die MAC-Adresse nicht aus dem Cache aufgelöst werden kann. Für Diagnosezwecke steht das Dienstprogramm ARP zur Verfügung. Dienstprogramm Um die aktuelle ARP-Tabelle einsehen zu können, starten Sie ARP auf ARP der Kommandozeile mit der Option -a: Arp a Umfassend wird das Tool ab Seite 878 beschrieben.
Internet Control Message Protocol (ICMP) ICMP dient zum Transport von Fehler- und Diagnosemeldungen im Fehler- und DiagIP-Netzwerk. Versucht ein Rechner, auf einen Port zuzugreifen, der nosemeldungen nicht belegt ist, so wird die Fehlermeldung »Port unreachable« per ICMP zurückgeschickt. Auch Routing-Informationen werden über dieses Protokoll weitergeleitet. IP nutzt ICMP, um Fehler an TCP zu melden. ICMP-Nachrichten selbst werden als IP-Pakete verpackt. Feld
Inhalt / Mögliche Werte
TYPE
Typ der Nachricht:
1. DESTINATION UNREACHABLE
Ziel nicht erreichbar
2. TIME EXCEEDED
Zeitüberschreitung
3. PARAMETER PROBLEM
Parameterproblem
4. SOURCE QUENCH
Ein Datagramm konnte nicht verarbeitet werden, beispielsweise wegen eines überfüllten Empfangspuffers in einem Router.
5. REDIRECT
Es gibt eine direktere Route als die ausgewählte.
6. ECHO
Sendet das Datagramm zurück (wird von PING verwendet).
7. TIMESTAMP
Austausch von Zeitinformationen
8. INFORMATION
Zur Erkundung des Netzwerks
Tabelle 13.7: Aufbau des ICMPDatenpakets
772 ___________________________________________________ 13 Netzwerkgrundlagen Feld
Inhalt / Mögliche Werte
CODE
Ein dienstspezifischer Code
CHECKSUM
Eine Prüfsumme für das ICMP-Paket
DATA
Dienstspezifische Daten mit variabler Länge
ICMP eignet sich damit für die Fehlersuche und Diagnose bei Netzwerkproblemen. Der Befehl PING benutzt beispielsweise ICMP, um eine E CHO-Anfrage an einen Host zu generieren und dann auf die entsprechende ICMP ECHO-Antwort zu warten.
Transmission Control Protocol (TCP) Verbindungsorientiert mit Fehlerkorrektur
Tabelle 13.8: Aufbau eines TCPPakets
Dieses Protokoll ist das meistbenutzte der Schicht 3 (Transport) der Internet-Protokollfamilie. Es arbeitet verbindungsorientiert und ist in der Lage, eine Fehlerkorrektur durchzuführen. Eine Verbindung wird dabei über Ports zwischen Sender und Empfänger hergestellt (siehe Abschnitt 13.2.5 Port- und Protokollnummern ab Seite 781). Damit ist ein gleichzeitiges Senden und Empfangen, eine so genannte vollduplexe Verbindung, möglich. Feld
Länge in Bits
Beschreibung
SOURCE PORT
16
TCP-Quellport
DEST PORT
16
TCP-Zielport
SEQUENZ NR.
32
Sequenznummer
ACKN. NR.
32
Bestätigungsnummer
DATA OFFSET
4
Anzahl der 32-Bit Wörter im TCP-Vorspann
RESERVED
6
Reserviert
FLAGS
6
6 Flags:
FLAGS (Fortsetzung)
URG
Dringende Übertragung
ACK
Bestätigung (ACKN. NR. ist gültig)
PSH
Push. Daten werden sofort an die höhere Schicht weitergegeben.
RST
Verbindung wird zurückgesetzt
SYN
Sync-Flag. Dient zusammen mit ACK zum Aufbau der TCP-Verbindung.
FIN
Finale-Flag. Beendet die Verbindung.
13.2 TCP/IP näher betrachtet ______________________________________________ 773 Feld
Länge in Bits
Beschreibung
WINDOW
16
Dient der Flusssteuerung.
CHECKSUM
16
Prüfsumme
URGENT PTR
16
Ist gültig, wenn das URG-Flag gesetzt ist und zeigt auf die Folgenummer des letzten Bytes des Datenstroms.
OPTIONS
max. 40 Optionaler Teil
PADDING
Füllzeichen, um auf volle 32-Bit zu kommen
DATA
Daten
Für den Aufbau einer TCP-Verbindung spielen das ACK- und das Aufbau einer TCPSYN-Flag eine entscheidende Rolle. So ist beim ersten TCP-Paket das Verbindung ACK-Flag stets auf 0 gesetzt. Mit einem Handshake über drei Datenpakete wird die Verbindung aufgebaut. Abbildung 13.10: Aufbau einer TCPVerbindung
Zum Beenden der Verbindung werden das RST- oder das FIN-Flag benutzt. Ein gesetztes RST zeigt einen Verbindungsfehler an, während über FIN (wird sowohl vom Empfänger als auch vom Sender im jeweils letzten Paket gesetzt) ein normaler Verbindungsabbau durchgeführt wird. Über die Sequenz- und Bestätigungsnummern wird dafür gesorgt, dass alle Datenpakete in der richtigen Reihenfolge beim Empfänger zusammengesetzt und doppelt versandte Pakete ignoriert werden können. Beide Hosts generieren unabhängig voneinander eine eigenständige Sequenznummer, die sie sich beim Aufbau der Verbindung übermitteln (wenn SYN gesetzt ist, siehe Abbildung 13.10). Danach werden die Sequenznummern jeweils erhöht (um die Anzahl der Datenbytes im Paket). Damit wird sichergestellt, dass die Pakete beim Empfänger in der richtigen Reihenfolge wieder zusammengesetzt werden können. Für die Sicherstellung eines ordnungsgemäßen Datentransfers ist allein die Kontrolle der richtigen Reihenfolge der Pakete nicht ausreichend. Über die Prüfsumme kann daher ermittelt werden, ob das Datenpaket selbst korrekt übertragen worden ist. Die Prüfsumme wird
Beenden der TCPVerbindung
Kontrolle der Paketreihenfolge
Prüfsumme
774 ___________________________________________________ 13 Netzwerkgrundlagen aus der Summe der 16-Bit-Wörter des TCP-Pakets berechnet, wobei bestimmte IP-Headerinformationen mit einbezogen werden.
User Datagram Protocol (UDP) User Datagram Protocol
Verbindungsloses Protokoll
DNS-Abfragen über UDP
Tabelle 13.9: Aufbau eines UDPPakets
Das Protokoll UDP arbeitet, anders als TCP, nicht verbindungsorientiert (»verbindungslos«) und besitzt keine Kontrollmöglichkeit, um die Reihenfolge von UDP-Paketen beziehungsweise die Vollständigkeit eines UDP-Datenstroms zu sichern. Allerdings ist eine einfache Fehlerprüfung der einzelnen Pakete über eine Prüfsumme möglich. Damit eignet sich UDP hervorragend für Anwendungen, die eine direkte Verbindung zwischen Sender und Empfänger nicht benötigen. Der Overhead, der beim Auf- und Abbau der Verbindung wie bei TCP entsteht, entfällt und eine hohe Performance wird erreichbar. Die wird beispielsweise bei Streaming-Video-Anwendungen benötigt. Die Priorität ist dabei so gesetzt, dass es vor allem darauf ankommt, dass der Empfänger überhaupt ein fortlaufendes Bild erhält. Gehen vereinzelt Daten verloren, wird es vielleicht Bildstörungen geben. Der Informationsinhalt bleibt damit aber trotzdem erhalten. Ein anderes Beispiel stellen Nameserver-Abfragen dar. Diese werden ebenfalls über UDP abgewickelt. Bei der Vielzahl der üblicherweise notwendigen Abfragen über kleine Datenpakete wird damit eine optimale Performance erreicht. Kommt von einem Nameserver keine Antwort, wird einfach der nächste Server kontaktiert. Theoretisch können DNS-Serverdienste auch über TCP abgewickelt werden. Allerdings hängt dies von der jeweiligen Implementierung ab. Feld
UDP-Anwendungen
Beschreibung
SOURCE PORT
16
UDP-Quellport
DEST PORT
16
UDP-Zielport
LENGTH
16
Länge des UDP-Pakets in Bytes (Header plus Daten)
CHECKSUM
16
Prüfsummenfeld
DATA Prüfsumme
Länge in Bits
Daten
UDP hat wie beschrieben keine Möglichkeiten zur Flusskontrolle. Allerdings kann über die UDP-Prüfsumme ermittelt werden, ob das Datenpaket selbst korrekt übertragen worden ist. Die Prüfsumme wird aus den Werten des UDP-Pakets unter Einbeziehung bestimmter IP-Headerinformationen berechnet. Unter anderem wird bei folgenden Anwendungen das Protokoll UDP verwendet: DNS (Domain Name System; siehe Abschnitt 13.4 IP-Namensauflösung ab Seite 787)
13.2 TCP/IP näher betrachtet ______________________________________________ 775 NFS (Network File System; nur unter Unix bedeutsam) RIP (Routing Information Protocol; dazu finden Sie Informationen in unserem Buch Windows 2000 im Netzwerkeinsatz) SNMP (Simple Network Management Protocol) Dieses Protokoll kommt vor allem bei »intelligenten« Netzwerkgeräten zum Einsatz, die darüber Auskunft zu ihrem Status geben können. Syslog (Protokollierung) TFTP (Trivial File Transfer Protocol; siehe Abschnitt File Transfer Protocol (FTP) ab Seite 775) Zu beachten ist, dass UDP kein sicheres Protokoll ist. Aufgrund der Unsicheres nicht vorhandenen Flusskontrolle können in einem Datenstrom leicht Protokoll UDP-Pakete gefälscht oder gefälschte UDP-Pakete eingeschmuggelt werden. Auch lassen sich wirksame Denial of Service-Attacken gegen Hosts fahren, indem diese mit UDP-Paketen überflutet werden.
File Transfer Protocol (FTP) Nach HTTP ist FTP eines der wichtigsten Internet-Protokolle. Mit FTP haben Sie Zugriff auf Teile des Dateisystems eines Servers. FTP wurde in der RFC 959 definiert und stammt von den Vorläufern TFTP (Trivial File Transfer Protocol, RFC 1350) und SFTP (Simple File Transfer Protocol, RFC 913) ab. TFTP ist kaum noch gebräuchlich, da es sich auf UDP stützt und nicht sicher ist (siehe Abschnitt User Datagram Protocol (UDP) ab Seite 774). In der Praxis kommen diese Protokolle noch bei bestimmten Bootstrap-Protokollen zum Einsatz, die zum Laden von Betriebssystemen über das Netzwerk (Remote Boot) verwendet werden. Weiterführende Informationen, wie Sie einen FTP-Server unter Windows Vista einrichten und administrieren, finden Sie in Abschnitt 16.3.8 FTP-Dienste anbieten ab Seite 1061. FTP kennt eine Vielzahl von Kommandos. Einige grafische FTPClients zeigen diese an, wenn die Kommunikation abläuft. Es ist durchaus gebräuchlich, FTP-Kommandos direkt an der Konsole einzugeben. Auch FTP ist verbindungslos und jedes Kommando umfasst nur eine Zeile. Tabelle 13.10 zeigt einen Überblick über alle einsetzbaren Kommandos. Kommando
Parameter
ABOR
Beschreibung Transfer abbrechen
ACCT
Zugangskennung
ALLO
Platz auf dem Server beantragen
APPE
Datei an vorhandene anhängen
CDUP CWD
Eine Verzeichnisebene höher
Verzeichnis wechseln
RFC 959 RFC 1350 RFC 913
Administration ab Seite 1061
Tabelle 13.10: FTP-Kommandos
776 ___________________________________________________ 13 Netzwerkgrundlagen Kommando
Parameter
DELE
Datei löschen
HELP
Hilfe anfordern
LIST
Liste im Verzeichnis anzeigen
MKD
Verzeichnis erstellen
MODE
<modus>
Datentransfer-Modus festlegen
NLST
Einfache Dateiliste
NOOP PASS
Verbindung prüfen
PASV PORT
Kennwort des Nutzers Passiver Datentransfer-Modus
<port>
Adresse und Port festlegen
PWD
Aktuelles Verzeichnis abfragen
QUIT
Verbindung beenden
REIN
Verbindung neu initialisieren
REST
Abgebrochenen Transfer neu starten
RETR
Datei von FTP-Server holen
RMD
Verzeichnis löschen
RNFR
Datei umbenennen (siehe RNTO)
RNTO
Neuer Name der Datei
STAT
Verbindungsstatus abfragen
STOR
Datei ablegen
STOU STRU
Datei mit eindeutigem Namen ablegen <struktur>
SYST
Authentifizierung
Beschreibung
Dateistruktur festlegen (Datei, Datensatz oder Seite) Betriebssystem des FTP-Servers
TYPE
Transfer-Typ (ACSII, EBCDIC,...)
USER
Nutzername zur Authentifizierung
Eine Authentifizierung ist auf mehreren Wegen möglich. Sicher kennen Sie selbst FTP-Server, die Name und Kennwort verlangen, während andere den anonymen Zugriff erlauben. Für die Anmeldung an einem geschützten Server sind die Kommandos USER, PASS und optional ACCT zuständig. Die Übertragung der Kennwörter erfolgt generell unverschlüsselt.
13.2 TCP/IP näher betrachtet ______________________________________________ 777 Die unverschlüsselte Übertragung von Kennwörtern bei FTP stellt ein erhebliches Sicherheitsrisiko dar. FTP-Server sollten deshalb nur für nicht besonders schützenswerte Informationen, beispielsweise öffentlich zugängliche Datenbestände, eingesetzt werden. Für öffentlich zugängliche Daten wird sogar meist ein anonymer FTP- Anonymous-FTP Zugang eingerichtet, der ohne weitere Authentifizierung genutzt werden kann. Dabei ist nur eine bestimmte Konvention für Name und Kennwort einzuhalten, die heute auf fast allen FTP-Serversystemen auf die gleiche Art und Weise implementiert ist. Mit dem folgenden Befehl wird der Wunsch nach einer anonymen Verbindung mitgeteilt: USER anonymous Das Wort »anonymous« muss exakt in dieser Form, mit Kleinbuchstaben, geschrieben werden. Beachten Sie auch, dass alle Kommandos mit Großbuchstaben geschrieben werden müssen. Viele FTP-Clients setzen dies allerdings intern um, sodass der Eindruck entsteht, man könne auch mit Kleinbuchstaben arbeiten. Die anonyme Anmeldung verlangt ebenfalls ein Kennwort. Mit folgendem Befehl senden Sie als Kennwort die eigene E-Mail-Adresse: PASS
[email protected] Ob die Adresse korrekt ist oder nicht, spielt keine Rolle. Es ergeben sich keine Konsequenzen daraus. Der Server schaltet nun die für anonyme Besucher zulässigen Ressourcen frei. Normalerweise werden nur bestimmte Verzeichnisse zum Download freigegeben und grundsätzlich keine Schreibrechte erteilt. Hasardeure mögen dies anders handhaben. FTP benutzt einen Kanal für die Authentifizierung und Steuerung. Datenverbindung Dieser Kanal arbeitet normalerweise auf Port 21. Die Übertragung der Daten findet dann auf einem weiteren Datenkanal statt. Der Sinn ist in der Verbindung zweier FTP-Server zu suchen. Wenn Sie einen Datenabgleich zwischen zwei Servern herstellen, muss ein Server den anderen anrufen. Lauschen aber beide auf Port 21, können entweder nur Daten oder nur Kommandos ausgetauscht werden. Durch den zweiten Port bleibt auch während einer langen Datenübertragung der Austausch von Kommandos möglich. Ein wichtiger Parameter ist die Übertragung des Transfer-Typs. Damit Transfer-Typen wird das Datenformat festgelegt, in dem die Übertragung der Daten erfolgt. Tabelle 13.11 zeigt die Typen im Detail. Kürzel
Option
A
N|T|I
ASCII, Non-Print, TelNet, Carriage Control
E
N|T|I
EBCDIC, Non-Print, TelNet, Carriage Control
I L
Beschreibung
binär, 8-Bit n
binär, n Bit
Tabelle 13.11: Datentransfer-Typen für FTP
778 ___________________________________________________ 13 Netzwerkgrundlagen
Datenstruktur
Transfer-Modus
Passiver Modus
FTP-Statuscodes
Zwischen dem Transfer-Typ und der Option muss ein Leerzeichen stehen. Für den normalen Einsatz genügt das Umschalten zwischen A und I. Wenn Sie alle Dateien mit I übertragen, gibt es am wenigsten Probleme. Die Option A überträgt bei den meisten Servern nur 7-Bit-ASCII, sodass Binärdateien völlig verstümmelt werden. Dazu gehören aber ebenso Textdateien aus einer Textverarbeitung wie Word, die für ihre Steuerzeichen den gesamten Zeichensatz verwenden. Standardmäßig steht der Transfer-Typ bei vielen FTP-Servern nach der Etablierung einer neuen Verbindung allerdings auf A. Die Datenstruktur ist ein weiteres Merkmal, das vor einer Übertragung eingestellt werden kann. Diese Optionen sind verwendbar: F: Datei (File) R: Datensatz (Record) P: Seite (Page) R und P sind allerdings nur selten implementiert, beispielsweise bei FTP-fähigen Datenbanken. Die Einstellung erfolgt mit STRU Standardmäßig ist in aller Regel die Option F voreingestellt. Weiter verbreitet ist dagegen die Angabe des Transfer-Modus mit dem Kommando MODE. Auch hier sind drei Optionen möglich: S. Stream-Mode für kontinuierliche Übertragung B. Block-Mode für die Zerlegung in Blöcke mit eigenen Headern C. Compress-Mode für die Komprimierung von Daten (RLE) Die Standardeinstellung lautet S und wird folgendermaßen eingestellt: MODE S Normalerweise liegt die Kontrolle des Verbindungsaufbaus beim Server. Wenn ein FTP-Client eine Verbindung aufbaut, werden nur die IP-Adresse und Port-Nummer übertragen. Der FTP-Server speichert diese Werte, beendet die anfordernde Verbindung und baut dann seinerseits eine neue auf. Das funktioniert, solange der Weg zwischen Server und Client in beiden Richtungen frei ist. Oft sitzen die Clients jedoch hinter einem Gateway oder einer Firewall. Dann erreicht der Server den Client mit der übergegebenen Adresse nicht mehr. Um dieses Problem zu umgehen, gibt es den passiven Modus. Mit dem Kommando PASV teilt der Client mit, dass der Server passiv kommunizieren soll. Der Server sendet nun seinerseits IP-Adresse und Portnummer für die Kommunikation und der Client baut die Verbindung in der gewünschten Form auf. Auch FTP verwendet einen Statuscode zur Beantwortung von Anfragen. Wie bei HTTP und SMTP genügt es oft, nur die erste Ziffer auszuwerten, um Fehlerzustände oder normal verlaufende Operationen zu erkennen.
13.2 TCP/IP näher betrachtet ______________________________________________ 779 Code
Bedeutung
1xx
Neutrale Antwort; unaufgeforderte Meldung
2xx
Positive Antwort; Kommando erfolgreich verarbeitet
3xx
Positive Antwort mit der Bitte um weitere Informationen
4xx
Fehler. Das Kommando kann zeitweilig nicht beantwortet werden, Wiederholung möglich.
5xx
Fehler. Wiederholung zwecklos, Kommando falsch oder Server nicht verfügbar
Die mit 1xx beginnenden Statuscodes gibt es nur bei FTP. Sie sind besonders schwierig zu verarbeiten, denn die Absendung durch den Server kann zu jeder Zeit erfolgen, also während der Datenübertragung oder zwischen anderen Kommandos und Meldungen. Sie ersetzen jedoch nicht die normalen Antworten. Jedes Kommando wird garantiert mit mindestens einem 2xx 5xx-Kommando beantwortet. Folgende Kommandos können von 1xx-Statuscodes begleitet werden: APPE, LIST, NLST, REIN, RETR, STOR, STOU Der folgende Abschnitt zeigt den Ablauf einer typischen Kommunikation zwischen Client und Server mit dem Protokoll FTP: Client: (Verbindungsaufbau mit FTP-Client) Server: 220-Service ready Server: (optional Informationen zur Authentifizierung) Server: 220-Service ready Client: USER anonymous Server: 331 guest loggin ok, send e-mail as password Client: PASS
[email protected] Server: 250 guest login ok, access restrictions apply Client: CWD ftp/download/ Server: 250 CWD command successful Client: PWD Server: 257 "ftp/download/" is current directory Client: TYPE I Server: 200 TYPE set to I Client: PASV Server: 227 Entering Passive Mode (62,208,3,4,4,23) Client: RETR servicepack5.exe Server: 150 Opening Data Connection Server: (sendet Daten) Server: 226 Transfer complete Client: QUIT Server: 221 Goodbye Das Beispiel zeigt eine Authentifizierung als anonymer Nutzer, einen Verzeichniswechsel und einen Download einer Datei. Zur Übertragung (im Binärformat) wird außerdem der passive Modus verwendet. Das PORT-Kommando und die Antwort auf PASV enthalten die zu verwendende IP-Adresse und den Datenport. Wie in Listing 13.1 zu
Tabelle 13.12: FTP-Statuscodes
Ablauf der Kommunikation
Listing 13.1: Typischer Ablauf einer FTP-Verbindung
IP-Adresse erkennen
780 ___________________________________________________ 13 Netzwerkgrundlagen sehen ist, erfolgt die Angabe als kommaseparierte Liste. Das Format der Liste hat folgenden Aufbau: IP1, IP2, IP3, IP4, PORT1, PORT2 Sie kennen den Aufbau einer IP-Adresse nach folgendem Schema: IP1.IP2.IP3.IP4:PORT1,PORT2 Jede Zahl umfasst ein Byte. Da Portnummern 16-Bit breit sind, müssen dafür zwei Byte angegeben werden. Die Adresse 1 024 würde also als 4,0 geschrieben werden. Zur Umrechnung multiplizieren Sie einfach das höherwertige Byte mit 256. Im Internet herrscht ein zunehmender Mangel an IP-Adressen (siehe Umgang mit IPv6Adressen Abschnitt IP-Adressversionen ab Seite 765). Deshalb wurde bereits vor einigen Jahren ein neues Adresssystem entworfen. Offensichtlich ist RFC 1639 aber ein Teil des Mangels politisch bedingt und so konnte sich IPv6 nicht so schnell wie erhofft durchsetzen. Dennoch sind die Protokolle auf die Umstellung vorbereitet. Da FTP unmittelbar mit IP-Adressen umgeht, ist eine Erweiterung erforderlich. Neu sind die Kommandos LPTR (Long Port) und LPSV (Long Passive). In der RFC 1639 ist die Syntax beschrieben. Wiederaufnahme der FTP wird häufig eingesetzt, um große Datenmengen zu übertragen. Übertragung Dabei kann es leicht zu Leitungsstörungen kommen. Bei direkten Verbindungen zwischen FTP-Servern oder beim Einsatz von ISDN ist die Störanfälligkeit verhältnismäßig gering. Häufiger werden jedoch Nutzer per Modem auf Server zugreifen. Wenn eine 1 MByte große Datei nach 980 000 Byte abreißt, ist dies ausgesprochen ärgerlich. Das Standardverfahren der Datenübertragung, Stream, ist also nur bedingt geeignet. Es ist allerdings die schnellste Form der Übertragung. Damit stellen Sie das Block-Verfahren ein: Block-Verfahren MODE B Dabei zerlegt der Server die Datei in Blöcke, versieht jeden Block mit einem eigenen Header und sendet sie einzeln an den Client. Reißt die Verbindung ab, kann der Client die schon empfangenen Blöcke speichern und die nach der erneuten Verbindungsaufnahme eintreffenden Blöcke richtig zuordnen. Allerdings unterstützen nicht alle FTP-Server die erweiterten Transfermodi B (Block) und C (Compressed). Die Anforderung der übrigen Blöcke erfolgt mit dem Kommando REST. FTP ist ein sehr altes Protokoll. Die Ausgaben der Kommandos LIST Probleme mit FTP und NLST sind nicht ausreichend standardisiert. Eine Angabe zur Übertragung der Dateilänge gibt es nicht. Intelligente Clients speichern die Angaben des LIST-Kommandos und geben den Wert dann bei einem nachfolgenden GET an. Ob die Datei tatsächlich im Augenblick der Übertragung diese Größe hat, wissen sie nicht. Dateien und Verzeichnisse können kaum unterschieden werden. Praktisch bleibt der Versuch, sichere Angaben über die Größe der nächsten zu ladenden Datei zu machen, ein Wagnis. Alternativen zu FTP im alltäglichen Internet-Einsatz gibt es derzeit nicht. Die Nachteile werden zwar von anderen Entwicklungen vermieden, ausreichende Verbreitung fand indes keines der möglicher-
13.2 TCP/IP näher betrachtet ______________________________________________ 781 weise zu diesem Zweck einsetzbaren Protokolle wie LDAP, NDS oder WebNFS.
13.2.5 Port- und Protokollnummern Für die eindeutige Identifizierung der Protokolle und Ports bei der RFC 1700 Netzwerkkommunikation über IP, TCP und UDP gibt es die so genannten Port- und Protokollnummern. Vor der Explosion der Protokolle (es gibt inzwischen Hunderte solcher Kombinationen aus Protokollen und Ports), wurden diese in der RFC 1700 geführt. Da RFCs keine Versionsnummer besitzen und bei jeder Änderung durch eine neue ersetzt werden, würde dies zu einer Inflation von RFCs führen. Die für die Nummernvergabe zuständige Organisation IANA verwaltet deshalb die Nummern heute direkt auf ihrer Website: www.iana.org
Ports Damit ein Rechner gleichzeitig mehrere Verbindungen (Multiplexing) Multiplexing bearbeiten kann, müssen diese unterschieden werden. Dazu bedient sich das TCP der Ports. Jeder Anwendung, die das TCP benutzen will, wird ein Port zugeordnet. Es gibt 65 535 verschiedene Ports, fortlaufend nummeriert. Dabei gelten folgende Grundsätze: Ein Paar aus IP-Adresse und Port wird Socket genannt. Eine Verbindung zwischen zwei Rechnern ist wiederum eindeutig durch zwei Sockets definiert. Multiplexing. Ein Rechner kann mehrere TCP-Verbindungen gleichzeitig bearbeiten. Dafür werden verschiedene Ports definiert. Eine Portbezeichnung wird normalerweise hinter einem Doppelpunkt an die IP-Adresse oder den DNS-Namen gehängt, beispielsweise wie folgt: 192.168.0.101:80. Das Port-Konzept lässt sich in etwa mit einer Telefonnummer verglei- Ports chen: Der Netzwerkteil einer Internet-Adresse entspricht der Vorwahl, der Host-Teil der eigentlichen Telefonnummer und der Port schließlich einer Nebenstellennummer. Dabei wird eine TCP-Verbindung generell eindeutig durch die beteiligten Sockets definiert (Sender und Empfänger). Es kann keine zwei identischen Socket-Paare zur gleichen Zeit geben. Der Sender bestimmt eine Portnummer per Zufallsgenerator. Damit ist es beispielsweise möglich, dass von einem Rechner zwei Telnet-Verbindungen zu dem gleichen Zielrechner existieren. In einem solchen Fall unterscheiden sich dann jedoch die einzelnen Portnummern des Client-Rechners. Beim Verbindungsaufbau leitet die Anwendungsschicht das Datenpaket mit der Internet-Adresse des Servers und dem Port 21 an die Transportschicht weiter. Da TCP stromorientiert sendet, verläuft die Übertragung der Bytes in der gleichen Reihenfolge vom Client zum Server und vermittelt der Anwendungsschicht das Bild eines kontinuierlichen Datenstroms.
782 ___________________________________________________ 13 Netzwerkgrundlagen Auf den meisten Systemen sind die Ports über 1 024 für jede Anwendung offen, während die Ports 1 1 024 nur Systemprozessen (oder Anwendungen, die über entsprechende Privilegien verfügen) zur Verfügung stehen. Die folgende Tabelle zeigt die wichtigsten Ports, die unter Windows Vista meist zum Einsatz kommen. Tabelle 13.13: Einige wichtige Portnummern
Socket
Dienst
Port
Erklärung
ftp-data
20
File Transfer [Default Data]
ftp
21
File Transfer [Control]
telnet
23
Telnet
Smtp
25
Simple Mail Transfer
domain
53
Domain Name Server
Finger
79
Finger
www-http
80
World Wide Web HTTP
pop3
110
Post Office Protocol Version 3
uucp-path
117
UUCP Path Service
nntp
119
Network News Transfer Protocol
Ntp
123
Network Time Protocol
netbios-ns
137
NETBIOS Name Service
netbios-dgm
138
NETBIOS Datagram Service
netbios-ssn
139
NETBIOS Session Service
imap2
143
Interim Mail Access Protocol v2
Irc
194
Internet Relay Chat Protocol
Ipx
213
IPX
imap3
220
Interactive Mail Access Protocol v3
Uucp
540
uucpd
Socket ist ein im Zusammenhang mit TCP/IP häufig verwendeter Begriff, der die Kombination aus Internet-Adresse und Portnummer
13.2 TCP/IP näher betrachtet ______________________________________________ 783 bezeichnet. Innerhalb der Transportschicht werden bestimmte Ports zur Adressierung verwendet. Sowohl UDP als auch TCP verwenden Port-Adressen, um Daten an das betreffende Programm (Protokoll) der Anwendungsschicht zu senden, wobei beide teilweise unterschiedliche Dienste für die gleiche Portnummer vermitteln.
Protokollnummern Im Feld HEADER des IP-Datenpakets (siehe Tabelle 13.2 auf Seite 762) finden Sie die Nummer des nächst höheren Protokolls, an das die Daten weitergeleitet werden sollen. Diese Nummern sind für alle Protokolle der Internet-Protokollfamilie definiert und befinden sich unter Windows Vista in der folgenden Datei: %Systemroot%\system32\drivers\etc\Protocol Das folgende Listing zeigt als Beispiel eine Datei PROTOCOL: # Copyright (c) 1993-2006 Microsoft Corp. Listing 13.2: Inhalt der Datei # PROTOCOL # This file contains the Internet protocols as defined by various # RFCs. See http://www.iana.org/assignments/protocol-numbers # # Format: # # <protocol name> [aliases...] [#] ip icmp tocol ggp tcp egp pup udp hmp xns-idp rdp ipv6 ipv6-route ipv6-frag esp ah ipv6-icmp ipv6-nonxt ipv6-opts rvd
0 1
IP ICMP
# Internet protocol # Internet control message pro-
3 6 8 12 17 20 22 27 41 43 44 50 51 58 59 60 66
GGP TCP EGP PUP UDP HMP XNS-IDP RDP IPv6 IPv6-Route IPv6-Frag ESP AH IPv6-ICMP IPv6-NoNxt IPv6-Opts RVD
# # # # # # # # # # # # # # # # #
Gateway-gateway protocol Transmission control protocol Exterior gateway protocol PARC universal packet protocol User datagram protocol Host monitoring protocol Xerox NS IDP "reliable datagram" protocol Internet protocol IPv6 Routing header for IPv6 Fragment header for IPv6 Encapsulating security payload Authentication header ICMP for IPv6 No next header for IPv6 Destination options for IPv6 MIT remote virtual disk
784 ___________________________________________________ 13 Netzwerkgrundlagen Diese Datei ist eine normale ASCII-Textdatei und kann mit dem Editor geöffnet werden. Den Editor finden Sie im Startmenü unter START | ALLE PROGRAMME | ZUBEHÖR.
13.3 IP-Adressvergabe im lokalen Netzwerk Administrationsaufwand senken
Verschiedene Verfahren
APIPA und DHCP
Bei der Verwendung der TCP/IP-Protokollfamilie im Netzwerk benötigt jedes angeschlossene Gerät eine eindeutige IP-Nummer. Bei kleinen Netzwerken mit einer Handvoll PCs können Sie diese Nummern noch manuell eintragen und verwalten. Kommen aber Netzwerkdrucker und andere, vielleicht mobile Netzwerkgeräte wie Notebooks hinzu, ist eine automatische IP-Adressvergabe vorzuziehen. Es gibt heute eine Reihe von Verfahren, Netzwerkclients automatisch mit IP-Nummern zu versorgen. Beim Hochfahren eines Clients verfügt er noch nicht über eine IP-Nummer. Er muss sich diese von einer bestimmten Instanz im Netzwerk abholen. Diese Instanz kontrolliert auch, aus welchem Adressbereich die IP-Nummer kommt und ob die einmal an einen Client vergebene Adresse für diesen eine bestimmte Zeit reserviert bleiben soll. Windows Vista unterstützt die automatische IP-Adressvergabe in zweierlei Hinsicht: Als Client kann Windows Vista automatisch die IP-Adresse von einem DHCP-Server anfordern (siehe Abschnitt 13.3.2 IP-Adressvergabe mit DHCP ab Seite 787). Steht kein DHCP-Server zur Verfügung, können sich Windowsbasierte Systeme trotzdem auf eine einheitliche automatische Adressvergabe einigen. Die zugrunde liegende Technologie wird bei Microsoft APIPA genannt und ist Inhalt des nachfolgenden Abschnitts.
13.3.1 APIPA Entwickelt für kleine Netze
Verbinden Sie mehrere Windows Vista Systeme über ein Netzwerk miteinander, können Sie das Protokoll TCP/IP mit automatischer Adressvergabe benutzen, auch wenn Sie keinen DHCP-Server zur Verfügung haben. Jeder der Windows Vista-Computer benutzt dann einen eigenen Mechanismus, sich selbst IP-Adressen zuzuweisen: APIPA. Diese Abkürzung steht für Automatic Private IP Adressing und wurde von Microsoft für die einfache Nutzung von TCP/IP in kleinen Netzwerkumgebungen in Windows implementiert.
Überblick Historie
Die von Microsoft als APIPA bezeichnete Technologie basiert auf mehreren Entwürfen für die Verwendung von bestimmten Adressbereichen für die automatische Konfiguration von Netzwerken. Bekann-
13.3 IP-Adressvergabe im lokalen Netzwerk _________________________________ 785 ter wurde APIPA erst durch den Einsatz in Windows 2000. Dennoch ist es ebenfalls im DHCP-Client von Windows 98 und MacOs ab Version 8.5 enthalten. Ebenso sind einige Lösungen für Linux verfügbar. Der verwendete Adressbereich 169.254/16 ist von der IANA als »LinkLocal«-Bereich reserviert und in der RFC 3330 definiert. Router sollen Pakete mit einer Zieladresse innerhalb dieses Netzwerks nicht routen. Auf der anderen Seite sollen Clients, die sich selbst eine Adresse aus diesem Bereich zuweisen, selbstständig prüfen, ob die Adresse bereits verwendet wird und dann eine andere wählen. Aufgrund des Routing-Verbotes können APIPA-Netzwerke nicht in Subnetze gesplittet werden jeder Client muss jeden anderen direkt ansprechen können. Diese Vorgehensweise erscheint primitiv, ist aber beabsichtigt. Die Verwendung ist nicht primär auf die Vernetzung großer lokaler Netzwerke ausgerichtet, sondern auf die einfache Integration von netzwerkfähigen Kleingeräten wie USB-Hubs, Firewire-Geräte oder ähnliche Produkte, die sich nach der Verbindung mit dem Netzwerk selbst eine IP-Nummer vergeben, um über IP erreichbar zu sein, sodass eine transparente Verwendung möglich wird. Es ist wichtig, dass solche Geräte so einfach wie möglich konstruiert werden können. Dazu gehört der Verzicht auf Konfigurationen, die normale Computer-Anwender kaum beherrschen. APIPA ist die Antwort auf diese Forderung. Wenn derartige Geräte von außerhalb des Netzwerks gesteuert werden sollen, sind Router notwendig, die auf der einen Seite das öffentliche Netzwerk bedienen, auf der anderen dagegen den lokalen Linkbereich. Ein Host, der über mehr als eine Netzwerkkarte verfügt, sollte deshalb APIPA immer nur auf einer Schnittstelle aktivieren. Zukünftige Anwendungen könnten Heimnetzwerke sein, die neben dem Homecomputer, der als Router zum Internet fungiert, auch die Heizung steuern, den Kühlschrank überwachen und die Einbruchsmeldeanlage integrieren. Verständlich ist, dass niemand erst eine IP-Konfiguration abwickeln will, ebenso wie den meisten Anwendern nicht ernsthaft die Einrichtung eines DHCPServers zugemutet werden kann. Bei der Wahl der Adresse sollte der Client den tatsächlichen Bereich von 169.254.1.0 bis 169.254.254.255 verwenden. Die ersten und die letzten 256 Adressen sind für spätere Sonderfunktionen reserviert. Diese Funktionen sind bislang nicht definiert. Daraus ergeben sich genau 65 024 Adressen, die ein derartiges Netzwerk umfassen kann. Für ein straff vernetztes Haus mag dies ausreichend erscheinen. Typischerweise wird davon ausgegangen, dass Router diese lokal verwendeten Adressbereiche bei Netzwerkadressübersetzung (NAT) übertragen können, den lokalen Bereich 169.254/16 jedoch nicht. Die Erreichbarkeit derartiger Geräte von außen ist nur dann gegeben, wenn eine Applikation dies erledigt, idealerweise in Verbindung mit zusätzlichen Sicherheitsmaßnahmen. Dies ist jedoch eine »freiwillige« Aktion der Router, die gegebenenfalls vom Administrator konfiguriert werden muss. In Anbetracht des Draft-Status entsprechender Dokumente dürfte die Umsetzung noch einige Zeit auf sich warten lassen.
Adressbereich Linklocal
Verantwortung des Clients
786 ___________________________________________________ 13 Netzwerkgrundlagen Vorgang der IP-Adresszuweisung Verwendung ohne DHCP-Server
Netzwerkmaske 255.255.0.0
Nachrüstung DHCP
APIPA wird unter Windows Vista immer dann aktiv, wenn die Netzwerkkonfiguration auf einen automatischen Bezug der IP-Adresse über DHCP eingestellt ist und kein entsprechender DHCP-Server gefunden werden kann (siehe nächster Abschnitt). Die betroffene Arbeitsstation nimmt sich per Zufallsgenerator eine Adresse aus dem genannten speziellen Adressraum und prüft dann mittels PING, ob die Adresse noch frei ist. Ist das der Fall, weist sie sich die Adresse selbst zu, andernfalls wird die Adresse inkrementiert und erneut geprüft, bis eine freie Adresse gefunden wird. Für APIPA steht ein Klasse-B-Netz zur Verfügung, von dem wie bereits erwähnt 65 024 Adressen genutzt werden können. Als Netzwerkmaske kommt im jedem Fall die Klasse-B-Maske 255.255.0.0 zum Einsatz (siehe Abschnitt Subnetze und Netzwerkklassen ab Seite 766). Kommt in einem solchen Netzwerk später ein DHCP-Server hinzu, wird dieser automatisch durch die Clients verwendet. An der IPAdresskonfiguration der Clients brauchen Sie dazu nichts zu verändern. Sie können diese auf »automatisch« konfiguriert belassen. APIPA eignet sich lediglich in kleinen Netzwerkumgebungen mit wenigen Clients für die IP-Adressvergabe. Neben der reinen IP-Adresse und der Standard-Subnetzmaske können keine weiteren Angaben zugeteilt werden wie etwa die Adressen von Standard-Gateway oder DNS-Server. Für größere Umgebungen, insbesondere bei Verwendung mehrerer Subnetze, sollten Sie immer andere Verfahren wie DHCP zum Einsatz bringen. Wenn Sie für den Internet-Zugang Ihres kleineren ArbeitsgruppenNetzwerks einen Hardware-Internet-Router einsetzen, können Sie DHCP ohne einen dedizierten DHCP-Server einsetzen. Die meisten dieser Geräte bringen nämlich einen eigenen DHCP-Serverdienst mit, der allerdings in der Regel noch eingerichtet werden muss. Weiterführende Informationen finden Sie dazu normalerweise in der GeräteDokumentation.
APIPA deaktivieren Anleitung ab Seite 877
Normalerweisen wird APIPA wie oben beschrieben verwendet. Allerdings kann das zu Problemen oder zumindest zu Irritationen führen. Fällt ein DHCP-Server aus, kann dies möglicherweise eine Zeit lang unbemerkt bleiben. Die Computer eines Netzwerksegments können dann mit Hilfe von APIPA weiterhin miteinander kommunizieren. Auf Seite 877 erfahren Sie, wie Sie bei Bedarf APIPA explizit deaktivieren können.
13.4 IP-Namensauflösung _________________________________________________ 787
13.3.2 IP-Adressvergabe mit DHCP In professionellen Netzwerkumgebungen kommt heute in der Regel die automatische IP-Adressvergabe über das Dynamic Host Configuration Protocol (DHCP) zum Einsatz. Dabei fungieren eine oder mehrere DHCP-Server als zentrale Adressverwaltungsinstanzen. Das kann beispielsweise ein Windows 2000/2003-Serversystem sein. Denkbar sind aber auch Implementationen auf anderen Betriebssystem-Plattformen (beispielsweise Unix-Derivate, Linux, Novell). DHCP ist eine Weiterentwicklung des BOOTP (Bootstrap Protocol) und RFC 2131 und 2132 verlangt entsprechend eingerichtete Clients und Server. Microsoft war führend an der Entwicklung von DHCP beteiligt. DHCP ist von der IETF in RFC 2131 und RFC 2132 spezifiziert. Über DHCP-Clientfunktionalität verfügen heute alle aktuellen Micro- DHCP-Clients soft-Betriebssysteme sowie zunehmend Systeme anderer Hersteller. Um ein Windows Vista-System als DHCP-Client einzurichten, brauchen Sie nur für das Protokoll TCP/IP den IP-Adressbezug als »automatisch« zu konfigurieren. Ein Microsoft Windows 2000/2003-DHCP-Server kann die Anfragen BOOTP-Clients von BOOTP-Clients beantworten. Diese Clients finden sich beispielsweise bei integrierten oder externen Druckservern professioneller Netzwerkdrucksysteme. Ausführliche Informationen zum DHCP-Protokoll und zur Einrichtung eines DHCP-Servers finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz sowie Windows Server 2003.
13.4 IP-Namensauflösung Für den Betrieb des Internets ist die Namensauflösung der IP-Adressen eine grundlegende Funktionalität. Hier wird dies durch DNSServer (auch Nameserver genannt) erledigt. In der täglichen Praxis werden Anwender kaum mit den Vorgängen in Berührung kommen, die sich dabei intern abspielen. Die IP-Namensauflösung spielt aber durchaus eine Rolle in lokalen Netzwerken. Lesen Sie in den folgenden Abschnitten einiges zu den DNS-Grundlagen sowie eine Beschreibung, wie Sie auch ohne DNS in einem kleinen lokalen Netzwerk eine IP-Namensauflösung realisieren können.
13.4.1 Einführung in das DNS Das Domain Name System (DNS) sorgt im Internet für eine Auflösung DNS im Internet der klaren und verständlichen Namen wie www.microsoft.com in die jeweils richtigen IP-Adressen, mit denen diese Hosts dann letztlich erreichbar sind. Ändert sich eine IP-Adresse eines Hosts, braucht das den normalen Benutzer nicht zu kümmern. Er muss sich nach wie vor lediglich den Namen www.microsoft.com merken.
788 ___________________________________________________ 13 Netzwerkgrundlagen DNS-Server
Redundanz
DNS-Client
DNS-Client unter Windows
DNS im Intranet
Die Aufgabe der Zuordnung der Namen zu den jeweils richtigen IPAdressen nehmen DNS-Server wahr. Diese befinden sich bei jedem Internet Service Provider (ISP). Dabei können natürlich bei einem Nameserver eines ISPs nicht alle IP-Nummern und Namen des gesamten Internets geführt werden. Dies würde einen ungeheuren Administrationsaufwand verursachen, da täglich neue Einträge hinzukommen und Änderungen an bestehenden durchzuführen sind. Vielmehr sorgt die Verbindung der DNS-Server weltweit untereinander dafür, dass Anfragen nach Namensauflösungen, die ein Server nicht beantworten kann, an den nächsten weitergeleitet werden. Dabei sind die DNSServer hierarchisch miteinander verbunden, sodass die Anfragen in kürzestmöglicher Zeit beantwortet werden können. Bei einem ISP wird generell aus Sicherheitsgründen nicht nur ein DNS-Server betrieben. Das DNS hat eine Schlüsselfunktion zum richtigen Funktionieren des Internets. Somit wird mit einem DNS-Server mindestens ein weiterer Server betrieben, der genau die gleichen Daten verwaltet und bei Ausfall oder Überlastung des ersten sofort einspringen kann. Dieser sollte dabei örtlich getrennt aufgestellt sowie am besten in einem anderen Subnetz eingebunden sein. Die Anfrage an einen DNS-Server führt der DNS-Client des jeweiligen PCs durch. Dieser muss nur die richtigen IP-Adressen der für ihn zuständigen DNS-Server wissen. Der als Resolver bezeichnete Teil der DNS-Clientsoftware stellt die Anfragen an den DNS-Server, um die IP-Adressen zu den gewünschten Namen zu erhalten. Einmal erfolgreich beantwortete Anfragen werden aus Gründen einer besseren Performance und der Minimierung der Netzlast lokal für eine gewisse Zeit in einem Cache abgelegt. Die notwendige DNS-Clientsoftware ist unter Windows Vista automatisch verfügbar, wenn das Netzwerkprotokoll TCP/IP installiert ist. Sie brauchen dafür keine weitere manuelle Einrichtung vorzunehmen. Es kann allerdings notwendig sein, dass Sie die IP-Adressen eines oder mehrerer DNS-Server in Ihre IP-Konfiguration eintragen müssen, wenn diese Daten nicht automatisch übertragen werden. DNS besitzt aber nicht allein im Internet Bedeutung. Auch im lokalen Netzwerk (Intranet) macht die Verwendung von DNS Sinn, wenn mit dem Netzwerkprotokoll TCP/IP gearbeitet wird. Der Verwaltungsaufwand kann minimiert werden, da Änderungen an den IP-Adressen für den Benutzer transparent durchgeführt werden können. Hinzu kommt, dass im DNS weitere Informationen, beispielsweise über den Typ von Geräten, gespeichert werden. Der Verzeichnisdienst Active Directory baut auf DNS auf und ist dafür zwingende Voraussetzung. Zum Aufbau und zur Administration eines DNS-Servers mit einem Windows-Serversystem finden Sie weitere Informationen in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003.
13.4 IP-Namensauflösung _________________________________________________ 789 Einige Begriffe rund ums DNS Um die Arbeitsweise und Struktur des DNS zu verstehen, ist die Kenntnis einiger Begriffe notwendig: Fully Qualified Domain Name FQDN Die Bildung von Namen, wie beispielsweise comzept-gmbh.de, erfolgt nach bestimmten Regeln. Dabei wird der eigentliche Name der Domäne, hier comzept-gmbh, mit dem Namen der übergeordneten Domäne, hier de, verbunden. Zwischen diese Teile wird ein Punkt gesetzt. Domain Jeder Knoten innerhalb der DNS-Struktur mit allen darunter befindlichen Knoten wird als Domain bezeichnet. Wenn beispielsweise die virtuellen Server »chat.buch.de« und »news.buch.de« verwaltet werden, lautet die übergeordnete Domain »buch.de«.
Begriffe und Funktionsweise FQDN
Domain
Abbildung 13.11: Prinzipieller Aufbau der Domain-Struktur im Internet
Root Ausgangspunkt aller Domains ist die so genannte Root, oft mit dem ».« bezeichnet. Top-Level-Domain Unterhalb der Root befinden sich die TLDs (Top-Level-Domains), wie beispielsweise de, com, org usw. Second-Level-Domain Wiederum unterhalb der Top-Level-Domains finden sich die SLDs (Second-Level-Domains), wie beispielsweise microsoft, comzept, usw. Inhaber einer SLD können darunter beliebig viele weitere Domain- oder Hostnamen verwalten, wie beispielsweise beratung.comzept.de oder windows.schulung.comzept.de. Zone Die Speicherung der Namensinformationen geschieht in einer so genannten Zone. Diese umfasst alle Informationen zu einer oder mehreren zusammenhängenden Domains und dient als Verwaltungsinstrument.
Root
TLD
SLD
Zone
790 ___________________________________________________ 13 Netzwerkgrundlagen Name- oder DNSServer
Forwarder
Root-Nameserver
in-addr.arpa
Nameserver Der Nameserver oder DNS-Server speichert Informationen über eine oder mehrere Domains. Seine Aufgabe ist die Auflösung der Namen, das heißt die Lieferung der richtigen IP-Adresse für eine Namensanfrage. Forwarder Kann ein Nameserver eine Anfrage nicht beantworten, muss er über Informationen verfügen, welche die Weiterleitung der Anfrage an einen übergeordneten Nameserver erlauben. Die Kette endet spätestens bei den Root-Nameservern. Root-Nameserver Den Root-Nameservern, Stammserver genannt, kommt eine besondere Bedeutung zu. Diese führen die Informationen zu den Nameservern, welche die Top-Level-Domains verwalten. in-addr.arpa Normalerweise wird ein Nameserver eingesetzt, um zu einem Domainnamen eine IP-Adresse zu liefern. In bestimmten Fällen kann der umgekehrte Weg notwendig sein. Das Verfahren dazu wird mit »in-addr.arpa« bezeichnet.
13.4.2 Namensauflösung über Hosts-Dateien
Speicherort
Abbildung 13.12: Datei HOSTS
Die IP-Namensauflösung kann auch ohne einen DNS-Server vorgenommen werden. Dazu dient eine lokal abgelegte Textdatei namens HOSTS, in welcher die IP-Adressen und Hostnamen eingetragen werden. Unter Windows Vista liegt diese Datei in folgendem Verzeichnis: %Systemroot%\System32\drivers\etc Klar ist, dass hierbei der Verwaltungsaufwand mit einer höheren Anzahl von Clients stark zunimmt. Änderungen an der Datei HOSTS müssen dann jeweils bei allen Systemen vorgenommen werden oder Sie benutzen Methoden, servergespeicherte HOSTS-Dateien in die lokalen Dateien einzubinden.
13.4 IP-Namensauflösung _________________________________________________ 791 Die in dieser Datei zu verwendende Syntax ist denkbar einfach. Öffnen Sie HOSTS mit einem normalen Texteditor. Die IP-Adresse wird gefolgt von einem Tabulator und dem Hostnamen (FQDN; siehe Seite 789) eingegeben. Dahinter können Sie noch die Kurzform des Hostnamens angeben. Beachten Sie, dass die IP 127.0.0.1 den Host selbst kennzeichnet und nicht gelöscht werden darf.
13.4.3 Namensauflösung über WINS WINS (Windows Internet Name Service) ist ein von Microsoft implementierter Dienst zur Namensauflösung in NetBIOS-Netzwerken. Bei WINS wird entweder über WINS-Server oder die LMHOSTS-Datei aufgelöst. Die Einsatzmöglichkeiten sind vielfältig. Sie können in Ihrem lokalen Netz TCP/IP als Standardprotokoll einsetzen und dennoch Anwender mit den bequemen NetBIOS-Namen arbeiten lassen. Oft ist es einfacher, einen Druckserver mit \\printsrv anzusprechen als mit 192.168.17.83. Allerdings ist dabei anzumerken, dass WINS ein überholter Mechanismus für die Namensauflösung ist. Mit Aufnahme eines Clients in eine Active-Directory-Umgebung spielt DNS eine maßgebliche Rolle. Außerdem gilt WINS nur für die Auflösung von Windows (NetBIOS)-Namen zu IP-Adressen. Größere Netze sind in der Regel sehr heterogen. Unix-Server und Netzwerkdrucker können mit WINS nichts anfangen. DNS ist hier der gemeinsame Weg, für alle eine Namensauflösung bereitzustellen. Dieser Abschnitt beschreibt schwerpunktmäßig die Nutzung der Datei LMHOSTS LMHOSTS für die Auflösung, da im kleinen lokalen Netz nicht unbedingt ein WINS-Server zur Verfügung steht. Die Datei wird in folgendem Verzeichnis auf jeder betreffenden Windows Vista-Arbeitsstation abgelegt: %Systemroot%\system32\drivers\Etc Der Aufbau ist sehr einfach. Sie können die Datei beispielsweise mit dem Editor erstellen: # Copyright (c) 1993-1999 Microsoft Corp. # 192.168.0.10 printsrv_______ #PRE Dabei bezeichnet die erste Spalte die IP-Adresse, die zweite den WINS-Namen mit genau 15 Zeichen Länge und die dritte einen oder mehrere optionale Schalter. Die Schalter werden in der nachfolgenden Tabelle beschrieben.
\0xHH
Tabelle 13.14: Schalter der Schreibweise für nicht druckbare Zeichen. HH ist LMHOSTS-Datei der Hexadezimalcode des Zeichens.
#BEGIN_ALTERNATE
Beginn einer Gruppe #INCLUDE-Anweisungen
#END_ALTERNATE
Ende einer Gruppe #INCLUDE-Anweisungen
Schalter
Beschreibung
792 ___________________________________________________ 13 Netzwerkgrundlagen
Beispiel
Schalter
Beschreibung
#DOM:<domäne>
IP-Adresse ist ein Domänencontroller <domäne>.
#INCLUDE
Importiert eine LMHOSTS-Datei von einem anderen Server.
#MH
Schalter für die Zuordnung mehrerer (bis zu 25) Adressen zu einem Namen
#PRE
Bestimmt, dass der Eintrag im Cache gehalten wird.
#SG
Definition eines Gruppenmitglieds. Gruppen können maximal 25 Mitglieder haben. Sie werden durch \0x20 als sechzehntes Byte des Namens definiert.
Das folgende Beispiel finden Sie in der Beispieldatei LMHOSTS.SAM. Die aktive Datei LMHOSTS hat jedoch keine Dateierweiterung: 192.168.0.10 server #PRE #DOM:technik # DC 192.168.0.112 "lptpool \0x14" # Server 192.168.0.4 email #PRE # Mailsrv BEGIN_ALTERNATE INCLUDE \\lokal\public\lmhosts INCLUDE \\maestro\public\lmhosts END_ALTERNATE Wenn das #-Zeichen keinen Schalter einleitet, beispielsweise am Zeilenanfang, wirkt es als Beginn eines Kommentars. Namen, die Leerzeichen enthalten, müssen in Anführungszeichen gesetzt werden. Der WINS-Server steht unter Windows Vista nicht zur Verfügung. Sie müssen dafür ein Produkt der Windows 2000/2003- oder NT-ServerFamilie einsetzen.
13.5 Next Generation TCP/IP-Stack im Überblick Für Windows Vista und den Windows Server Longhorn hat Microsoft den TCP/IP-Stapel neu implementiert. Die Versionen von Windows XP und Server 2003 stammen im Wesentlichen noch aus dem Anfang der neunziger Jahre und entsprechen nicht mehr den heutigen Anforderungen. Demgegenüber hat TCP/IP der »nächsten Generation« folgende neue Eigenschaften: Dual-IP-Layer-Architektur für IPv6 Die Implementierung von IPv6 unter Windows XP und Windows Server 2003 ist eine Dual-Stack-Architektur. Das bedeutet, das für beide Protokolle eine eigene Transportschicht (TCP und UDP) und eine eigene Sicherungsschicht existiert. Mit der Datei TCPIP.SYS und der Datei TCPIP6.SYS sind also zwei verschiedene Treiber vorhanden, die getrennt geändert werden.
13.5 Next Generation TCP/IP-Stack im Überblick _____________________________ 793 Im Gegensatz dazu ist die Architektur bei Windows Vista, die den Next Generation TCP/IP-Stack unterstützt, eine Dual-Layer-Architektur. Die IP Implementierungen von Version 4 und Version 6 teilen sich eine gemeinsame Transport- und Sicherungsschicht. IPv4 und IPv6 sind standardmäßig aktiviert. Für eine IPv6-Unterstützung brauchen bei Vista somit keine weiteren Komponenten installiert zu werden. Kernel-Mode-Netzwerkprogammierung Für Programmierer interessant ist die neue Programmierschnittstelle. Der Winsock Kernel (WSK) wird das von Windows XP und Windows Server 2003 bekannte Transport Driver Interface (TDI) ablösen. TDI wird von Windows Vista aber noch unterstützt. Routing-Compartments Der Next Generation TCP/IP-Stack unterstützt so genannte Routing-Compartments. Ein Routing-Compartment (oder auch Depot genannt) kombiniert Schnittstellen und Anmeldesitzungen, die dann eine eigene IP-Routingtabelle haben. Damit wird nicht gewünschter Datenverkehr zwischen Terminal-Server, VPNSchnittstellen und Multi-User-Konfigurationen verhindert. So lassen sich mehrere Compartments für einen Computer einrichten, die alle voneinander isoliert sind. Jede Schnittstelle kann nur zu einem einzigen Compartment gehören. Wird eine VPN-Verbindung über das Internet mit dem TCP/IP-Stack von Windows XP aufgebaut, während sich der Rechner gleichzeitig in einem Firmennetz befindet, ist es möglich, dass Netzwerkverkehr aus dem Internet über die VPN-Verbindung in das Firmen-Intranet weitergeleitet wird. Die Routing-Compartments im Next Generation TCP/IPStack, wie sie in Windows Vista implementiert sind, isolieren die Internetkonnektivität mithilfe separater Routingtabellen von der Verbindung mit dem Firmennetzwerk. Starkes Hostmodell für IP Der Host wird für bestimmte Netzwerkangriffe verwundbar. Trifft ein Paket bei einem Host ein, muss das IP-Protokoll entscheiden, ob das Paket für den lokalen Host bestimmt ist. Dazu untersucht IP, ob die Zieladresse des Pakets mit der Adresse einer lokalen Schnittstelle übereinstimmt. Es gibt unterschiedliche Modelle, was die Auswertung der IP-Adresse angeht. Schwache Modelle nehmen jedes Paket an, solange die Zieladresse stimmt egal, auf welcher Schnittstelle das Paket ankommt. Starke Modelle akzeptieren Pakete an den lokalen Computer nur dann, wenn die Adresse, an die das Paket gesendet wurde, mit der Adresse der Schnittstelle, über die das Paket empfangen wurde, übereinstimmt. Windows XP und Windows Server 2003 nutzen in ihren Implementationen das schwache Hostmodell, was bei ihnen eine bessere Netzwerkkonnektivität zur Folge hat. Der Next Generation TCP/IP-Stack von Windows Vista und Windows Server Longhorn unterstützt hingegen standardmäßig das
794 ___________________________________________________ 13 Netzwerkgrundlagen
Microsoft- IPv6Websites
starke Modell, lässt sich aber auch für das schwache Modell konfigurieren. Das ist dann nötig, wenn auf ein Mehr an Sicherheit zu Gunsten von besserer Konnektivität verzichtet werden muss. Neue Schnittstellen für Sicherheits- und Paketfilterung Ein neues Framework, das Windows Filtering Platform (WFP) genannt wird, ersetzt mehrere separate Schnittstellen, die noch vom Windows XP-TCP/IP-Stack benutzt werden. WFP stellt Filterungsmöglichkeiten für alle Schichten des TCP/IP-Protokollstacks zur Verfügung. Die Integration von WFP ist besser. Damit lassen sich leichter Treiber, Dienste und Anwendungen entwickeln. Protokollstack-Auslagerung Der Next Generation TCP/IP-Stack kann die Verarbeitung von TCP-Verkehr an NDIS-Miniport-Treiber (Network Driver Interface Specification) und Netzwerkadapter auslagern. Sehr ausgelastete Server und Netzwerke mit hoher Bandbreite erfahren dadurch eine Leistungsverbesserung. Neue Unterstützung für skalierbare oder Multiprozessor-Systeme RSS (Receive-Side Scaling) kann die Netzwerklast über mehrere Prozessoren verteilen. Die Architektur von NDIS 5.1 und seinen Vorgängern beschränkte die Protokollverarbeitung aus historischen Gründen auf einen einzelnen Prozessor. Diese Beschränkung kann dazu führen, dass große Mengen an Netzwerkverkehr auf einem Mehrprozessorsystem nicht ausreichend verarbeitet werden können. Neukonfiguration ohne Neustart des Computers Ein neues Verfahren zur Speicherung der Konfiguration wird vom Next-Generation TCP/IP-Stack benutzt, um eine dynamischere Steuerung zu ermöglichen. Der Rechner muss nach einer Änderung der Konfiguration nicht neu gestartet werden. Außerdem erkennt der TCP/IP-Stack automatisch die Netzwerkumgebung und passt die TCP-Einstellungen entsprechend an. Durch die Autokonfiguration reduziert sich die Notwendigkeit einer manuellen Konfiguration. Microsoft bietet Zusatzprogramme zu IPv6, die mit Vista eingesetzt werden können, auf den folgenden Websites an: www.microsoft.com/technet/itsolutions/network/ipv6/default.mspx http://msdn.microsoft.com/downloads/sdks/platform/tpipv6/start.asp
13.6 Reliable Multicast-Protokoll Windows Vista unterstützt neben seinem Standardprotokoll TCP/IP (in Version 4 und 6) standardmäßig ein weiteres Netzwerkprotokoll: das Reliable Multicast-Protokoll. Es wird benutzt, um zuverlässige Multicasts zu versenden (siehe Abschnitt IP-Broadcast ab Seite 764). Normalerweise wird für Multicasting UDP benutzt. Da UDP aber verbindungslos agiert, kann der Empfang von Paketen nicht bestätigt
13.7 Grundlagen zu WLAN-Funknetzwerken _________________________________ 795 werden. Es gibt verschiedene Ansätze, eine Zuverlässigkeit für Multicast zu erreichen. Einer davon ist Pragmatic General Multicast (PGM). PGM ist ein Multicastprotokoll vom Typ »Router Assist«, das in RFC 3208 beschrieben ist. Es benutzt für die Kommunikation weder TCP noch UDP und erwartet neben einem installierten Reliable MulticastProtokoll auch PGM-fähige Anwendungen wie Microsoft Message Queuing (MSMQ) oder Automated Deployment Services (ADS). Die Installation des Protokolls ist auf Seite 860 erklärt.
13.7 Grundlagen zu WLAN-Funknetzwerken Die Verwendung der Funknetzwerktechnologie erscheint gerade im Hinblick auf kleinere Netzwerke verlockend sparen Sie sich doch damit den Verkabelungsaufwand. Funknetzwerke werden auch mit der Abkürzung WLAN (Wireless LAN) bezeichnet. In den nachfolgenden Abschnitten wird diese Technik vorgestellt. In Abschnitt 14.6 WLAN-Funknetzwerke administrieren ab Seite 901 finden Sie weiterführende Informationen zur Installation und Einrichtung.
13.7.1 WLAN-Standards Heute erhältliche preiswerte WLAN-Technik basiert in aller Regel auf IEEE 802.11b dem Standard IEEE 802.11b. Dieser ist aus IEEE 802.11 abgeleitet worden, dem ersten vorgestellten WLAN-Standard des IEEE (Institute of Electrical and Electronics Engineers, Inc.; www.ieee.org). Als Zugriffsverfahren kommt wie bei Ethernet CSMA/CD zum Einsatz (siehe Abschnitt Zugriffsverfahren CSMA/CD ab Seite 744). Viele Produkte nach dem 802.11b-Standard schmücken sich auch mit der Abkürzung Wi-Fi (Wireless Fidelity). Diese Bezeichnung dürfen die Hersteller dann ihren Produkten mitgeben, wenn sie IEEE 802.11bkompatibel nach den Richtlinien der WECA (Wireless Ethernet Compatibility Alliance) sind. Weitere Informationen erhalten Sie auf dieser Website: www.wirelessethernet.org Zur Absicherung des Funkverkehrs vor dem Abhören und Eindringen WEP Unbefugter wurde für 802.11 das Verfahren WEP (Wired Equivalent Privacy) entwickelt. Allerdings weist dies einige fundamentale Schwächen auf und kann heute prinzipiell recht einfach geknackt werden. Weitere Hinweise finden Sie dazu in Abschnitt Sicherheitsaspekte bei WLANs ab Seite 798. Kaum ein Industriestandard ist heute so vielen Änderungen unterworfen wie der für die populäre Funknetzwerktechnik. Die nachfolgende Tabelle zeigt einige technische Parameter der drei heute am weitesten verbreiteten 802.11-Standards.
796 ___________________________________________________ 13 Netzwerkgrundlagen Tabelle 13.15: IEEE 802.11-Standards im Vergleich
802.11a
802.11i
Aussicht: 802.11.n
802.1X
Parameter
802.11
802.11b
802.11g
Übertragungsraten (in MBit/s)
1, 2
1, 2, 5.5, 11
bis zu 54
Frequenzband
2.4 GHz
2.4 GHz
2.4 GHz
Bei der von den Herstellern angegebenen Geschwindigkeit für ihre WLAN-Produkte sollten Sie beachten, dass dies nur Brutto-Angaben für die maximal erreichbaren Datentransferraten sind. Anders als bei kabelgebundenem 100 MBit-Ethernet, wo meist mehr als 60% effektive Transferrate übrig bleiben, sind dies bei Funknetzen oft deutlich weniger als 50 Prozent. Hinzu kommt noch ein Verlust an Leistung in Abhängigkeit von der gewählten Verschlüsselungsstärke. Größere Schlüssel verringern die erreichbare Geschwindigkeit mehr als kleinere. Darüber hinaus verringern Wände oder Decken zwischen Basisstationen und Clients die Transferrate weiter, abhängig vom eingesetzten Baumaterial. Mit 802.11a gibt es noch einen weiteren Standard, der jedoch vorwiegend in WLAN-Access Hubs zum Einsatz kommt und eine DrahtlosImplementierung von ATM (Asynchronous Transfer Mode) darstellt. Er arbeitet im 5-6 GHz-Band und erlaubt Geschwindigkeiten bis zu 54 MBit/s. Mit 802.11i steht der nächste größere Schritt in einen neuen Standard bevor. Von der Wi-Fi-Allianz vorangetrieben, zeichnet sich 802.11i vor allem durch eine deutlich verbesserte Absicherung aus. So wurde WPA (Wi-Fi Protected Access) entwickelt, in welchem die Schwächen von WEP ausgemerzt sind. In Abschnitt Höhere Sicherheit mit WPA ab Seite 801 finden Sie dazu weitere Informationen. Ein neuer Standard befindet sich in der Entwicklungsphase. Er soll Brutto-Transferraten von 540 MBit/s ermöglichen und arbeitet im Frequenzband von 2,4 bis 2,485 GHz. Von Microsoft favorisiert wird eine Absicherung von drahtlosen Netzwerken nach dem 802.1X-Standard. Genau genommen handelt es sich hierbei um einen grundlegenden IEEE-Standard, der die sichere Authentifizierung an einem Funknetzwerk beinhaltet. Optional können weitere Komponenten integriert werden, die eine Absicherung des Datenverkehrs beinhalten. 802.1X wurde ursprünglich für kabelgebundene Netzwerke entwickelt. Aufgrund der besonderen Sicherheitsbedürfnisse bei drahtlosen Netzwerken ist seine Anwendung hierfür besonders prädestiniert. Zur Implementierung wird jedoch ein zentraler Authentifizierungsserver benötigt. Gängig ist die Einbindung eines RADIUS-Servers (Remote Authentication Dial-In User Service), der beispielsweise mit den IAS (Internet Authentication Services) auf einem Windows Server 2003-System realisiert werden kann. In unserem Buch Windows Server 2003 finden Sie zu diesem Thema weiterführende Informationen.
13.7 Grundlagen zu WLAN-Funknetzwerken _________________________________ 797
13.7.2 WLAN-Betriebsarten Für WLAN-Funknetzwerke gibt es zwei grundlegend verschiedene Betriebsarten. Der Unterschied liegt dabei darin, ob Computer direkt miteinander kommunizieren oder alles über einen oder mehrere zentrale Verteiler läuft, die Basisstation oder Access Point (AP) genannt werden. Abbildung 13.13: Funknetzwerke mit und ohne Basisstation
Adhoc-WLAN ohne Basisstation In der Adhoc-Modus genannten Betriebsart verfügen alle angeschlosse- Adhoc-Modus nen Computer über einen WLAN-Funknetz-Adapter und tauschen Daten direkt miteinander aus. Die einzelnen Stationen sollten dabei höchstens 20 m voneinander entfernt stehen. Dies ist die maximale Entfernung, die viele Hersteller für einen optimalen Empfang angeben und die eher unter- als überschritten werden sollte. Wollen Sie nur wenige Computer über das Funknetzwerk miteinander Funktionen von verbinden, können Sie auf eine Basisstation verzichten. Diese Funktio- Vista nutzen nen lassen sich mit den Windows Vista-Bordmitteln realisieren: Verbindung zum Ethernet-LAN Windows Vista kann über die integrierte Netzwerkbrücken-Funktion ein Funknetzwerk mit einem Ethernet-Netzwerk verbinden (siehe auch Abschnitt 13.1.4 Verbinden von Netzwerken ab Seite 751). Gemeinsame Internetverbindung Sie können einen Internetzugang mit allen anderen Stationen im Netzwerk teilen. Weiterführende Informationen finden Sie dazu in Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988. Ein Nachteil gegenüber einer dedizierten Basisstation bleibt damit allerdings bestehen: Der betreffende Computer, der diese Funktionen im Netzwerk bereitstellt, muss immer eingeschaltet sein. Nur dann kommen die anderen Benutzer ins Internet oder können Daten zwischen den Netzwerken austauschen.
798 ___________________________________________________ 13 Netzwerkgrundlagen Strukturiertes WLAN mit Basisstation Infrastruktur-Modus
In der mit Infrastruktur-Modus bezeichneten Betriebsart übernimmt ein zentraler Verteiler, die Basisstation, die Rolle eines Verstärkers im Netzwerk. Neben dem Mehrnutzen, den eine moderne Basisstation im lokalen Netzwerk bieten kann (Internetzugang, Printserver etc.), ist die höhere Reichweite des gesamten Funknetzes hervorzuheben. In der Mitte platziert kann die Basisstation zwei PCs zuverlässig miteinander verbinden, die sonst zu weit auseinander stehen würden.
Bezeichnung des Funknetzes ESSID/SSID
SSID »ANY«
Ein Funknetzwerk, ob im Adhoc- oder im Infrastruktur-Modus betrieben, weist einen eindeutigen Bezeichner auf, über den es von allen Stationen erkannt werden kann. Dieser wird ESSID (Extended Service Set Identifier) beziehungsweise SSID (Service Set Identifier) genannt. Bei Systemen, die ohne Basisstation direkt miteinander kommunizieren sollen, stellen Sie dieselbe ESSID in den erweiterten Einstellungen zum WLAN-Adapter ein. Arbeitet Ihr Netzwerk im Infrastruktur-Modus, legen Sie dieselbe ESSID bei der Basisstation sowie den WLANAdaptern der Arbeitsplatzrechner fest. Wollen Sie mehr als eine Basisstation im Netzwerk betreiben, um beispielsweise Reichweiten-Begrenzungen zu umgehen, tragen Sie diese ESSID bei allen Basisstationen einheitlich ein. Geben Sie an einer WLAN-Basisstation als SSID »ANY« an, können alle WLAN-Clients mit ihr Kontakt aufnehmen. Zu empfehlen ist das aber nicht.
13.7.3 Sicherheitsaspekte bei WLANs Da die Daten bei einem WLAN-Netzwerk naturgemäß nicht über Kabel, sondern per Funkwellen übertragen werden, ist hier der Aufwand zum Mithören verständlicherweise sehr gering. Es reicht, sich mit einem Notebook und einem Funkadapter in der Nähe des betreffenden Gebäudes aufzuhalten. Insofern sollten Sie der Verschlüsselung des Datenverkehrs besondere Aufmerksamkeit zuteil werden lassen, denn es gibt Zeitgenossen, die ihre Freizeit mit »WarDriving« verbringen. »WarDriver« suchen systematisch nach offenen WLAN-Netzen.
Absicherung mit WEP Verschlüsselung mit WEP...
Für 802.11-Netze wird bislang meist die Verschlüsselungsmethode WEP (Wired Equivalent Privacy) verwendet. Standardmäßig arbeitet diese mit einem 40 Bit-Schlüssel und ist als nicht besonders sicher einzustufen. Die meisten Produkte bieten heute aber bereits WEP128
13.7 Grundlagen zu WLAN-Funknetzwerken _________________________________ 799 an, welches effektiv mit einer 104 Bit Schlüsselstärke6 arbeitet. Hinzu kommen herstellereigene Erweiterungen mit noch größeren Schlüsseln. Zu beachten ist dann allerdings, dass mit solchen Basisstationen nicht mehr alle Netzwerkadapter zusammenarbeiten können. Im schlimmsten Fall sind Sie so auf die Geräte eines einzigen Herstellers angewiesen wenn Sie auf die besonderen Funktionen wie überlange WEP-Schlüssel nicht verzichten wollen. Generell gilt: Aufgrund eines unvollkommenen Designs kann der ...ist by design nicht WEP-Schlüssel von einem Angreifer mit gängigen Hacker-Tools nach sicher! verhältnismäßig kurzer Zeit ermittelt werden. Dazu reicht es aus, den Datenstrom zwischen den Clients beziehungsweise den Clients und der Basisstation zu belauschen. Spezielle Software (wie Airsnort oder WEPCrack) kann dann Schwächen des Verfahrens ausnutzen. Durch die Analyse von bis zu 10 Mio Schlüsselpaketen wird über statistische Auswertungen der WEP-Schlüssel schließlich ermittelt und der unbefugte Zugang ins fremde WLAN ist frei. Abbildung 13.14: Aktivierung der WEP-Verschlüsselung für eine Basisstation von Linksys; hier mit 64 Bit
Obwohl WEP Schwächen aufweist, sollten Sie, wenn keine anderen Verfahren durch die Hardware unterstützt werden, die maximal mögliche Absicherung darüber aktivieren. Das ist immer noch besser als gar keine Absicherung! Die WEP-Verschlüsselung können Sie sowohl für WLAN-Adapter im Hersteller-AnleiAdhoc-Modus als auch für die Basisstation beim Infrastruktur-Modus tungen beachten aktivieren. Beachten Sie dabei die Hinweise in den jeweiligen Handbüchern zu den Geräten.
6
Meist wird von einer Schlüsselstärke von 128 Bit gesprochen. Allerdings ist das nicht korrekt. Zum 104 Bit-Schlüssel werden dabei einfach die 24 Bit für den Initialisierungsvektor hinzugerechnet.
800 ___________________________________________________ 13 Netzwerkgrundlagen Tipps zu WEP
Weitere Möglichkeiten
Zur maximalen Absicherung »trotz« einer vielleicht notwenigen Beschränkung auf WEP sollen die folgenden Tipps helfen: Zusätzliche herstellerspezifische Sicherheitsfunktionen nutzen Je nach Hersteller bieten die WLAN-Lösungen noch unterschiedliche zusätzliche Sicherheitsfunktionen, die Sie nach Möglichkeit nutzen sollten. Das kann beispielsweise den Einsatz von 256 BitSchlüsseln umfassen oder das Aktivieren einer alternativen Verschlüsselungsmethode (3DES statt RC4). Sie müssen allerdings beachten, dass Sie damit in aller Regel auf die Verwendung einer einheitlichen Hardware angewiesen sind. Adapter anderer Hersteller werden auf eine derart abgesicherte Basisstation meist nicht zugreifen können. SSID verstecken Viele Basisstationen bieten eine Option, mit der sich die SSIDBroadcast-Funktion ausschalten lässt. Damit wird sie unsichtbar. Clients können nur dann Kontakt aufnehmen, wenn sie die SSID genau kennen. Allerdings ist dies nur begrenzt sicher, da verschiedene Tools (wie beispielsweise Kismet) die SSID aus dem Belauschen von Datenpaketen ermitteln können. Zugang mit MAC-Adresslisten einschränken Eine weitere Möglichkeit ist die Einrichtung einer Zugriffskontrollliste über die MAC-Adressen der Clients auf der Basisstation. Es werden nur die Netzwerkadressen der Computer eingetragen, die zum Zugriff auf das Funknetz berechtigt sind. Diese Hürde ist für Freizeithacker schon wesentlich schwerer zu nehmen, allerdings gibt es Möglichkeiten, MAC-Adressen in Datenpaketen zu fälschen. Hinzu kommt, dass verschiedene Netzwerkadapter eine freie Eingabe der MAC-Adresse erlauben. WEP-Schlüssel regelmäßig ändern Was in Unternehmensnetzen mit zentralen Authentifizierungsund Schlüsselservern normale Praxis ist, muss in einem kleinen Büro- oder Heimnetzwerk mit WEP der Administrator übernehmen. WEP-Schlüssel sollten regelmäßig erneuert werden. Hersteller-Updates einspielen Insbesondere beim Einsatz von WLAN-Technik sollte der Spruch »Never change an running system« nicht gelten! Fast alle Hersteller entwickeln die Firmware ihrer Produkte stetig weiter und stellen diese zum Download zur Verfügung. Sie sollten dies regelmäßig überprüfen und nutzen, um Ihre Technik auf dem aktuellen Stand zu halten. Nicht selten werden mit Updates die Sicherheitsfunktionen verbessert oder um ganz neue Optionen erweitert. Es gibt über die Absicherung eines Funknetzwerks mit WEP hinaus weitere Möglichkeiten, den Netzwerktransfer abzusichern: Der Netzwerkverkehr lässt sich über ein VPN (Virtual Privat Network) via IPSec wirksam absichern. In Abschnitt 13.10.2 Sichere
13.7 Grundlagen zu WLAN-Funknetzwerken _________________________________ 801 Netzwerkübertragung mit IPSec ab Seite 836 finden Sie dazu weitere Informationen. Dominieren im Intranet Anwendungen, die über einen Webserver laufen, kann der Netzwerkverkehr an dieser Stelle wirksam über SSL (Secure Socket Layer) abgesichert werden. Eine Einführung in den Webserver, der in Windows Vista integriert ist, bietet der Abschnitt 16 Internet Informationsdienste ab Seite 1037. Umfassender wird das Thema aber in unseren Büchern Internet Information Server 5 und Windows Server 2003 behandelt. Zur praktischen Einrichtung lesen Sie den Abschnitt WEP-Verschlüsse- WEP-Einrichtung ab Seite 902 lung an der Basisstation konfigurieren ab Seite 902.
Höhere Sicherheit mit WPA erreichen WPA (Wi-Fi Protected Access) ist eigentlich erst Bestandteil des neuen Standards 802.11i. Da dieser aber erst gegen Ende 2004 den Einzug in entsprechende Produkte fand, wurde die erste WPA-Version herausgelöst und konnte so in bereits bestehende Hardware integriert werden. WPA 2 bietet eine noch höhere Sicherheit, ist aber auf neuer, für 802.11i entwickelter Hardware zu finden. Für die Verschlüsselung ist bei WPA das Verfahren AES vorgesehen. AES steht für Advanced Encryption Standard, ein leistungsfähiges symmetrisches Verfahren, welches mit 128, 192 oder 256 Bit arbeiten kann. Es löst den DES-Algorithmus ab, der mit 56 Bit vergleichsweise schwach ist. In der Implementierung ist AES jedoch sehr aufwändig und verlangt eine entsprechend ausgelegte Hardware. In einigen Basisstationen und Netzwerkadaptern ist eine AES-Unterstützung bereits integriert worden. Für den reibungslosen Übergang von WEP zu WPA gibt es das TKIP (Temporal Key Integrity Protocol), welches alternativ zu AES zum Einsatz kommt. TKIP ist nicht so aufwändig wie AES, da es sich eigentlich nur um eine erweiterte WEP-Funktionalität handelt. So wird die Integrität der Paket-Header, anders als bei WEP, ebenfalls gesichert und eine deutlich höhere Sicherheit gewährleistet. Für die Integritätssicherung der Datenpakete kommt ein Verfahren zum Einsatz, welches Michael genannt wird. Das Ausspionieren des Schlüssels über ein Belauschen von Datenpaketen oder das Weiterleiten abgefangener und manipulierter Daten ist so nicht mehr möglich. WPA ist in zwei Formen implementierbar, die nachfolgend beschrieben werden. Mit Authentifizierung Für eine maximale Absicherung sollte eine Benutzerauthentifizierung aufgebaut werden. Empfohlen wird von der Wi-Fi-Allianz dazu die Verwendung des 802.1X-Standards (siehe Seite 796). Für das Authentifizierungsverfahren kommt EAP (Extensible Authentication Protocol) zum Einsatz (siehe auch Seite 841), wobei unterschiedliche EAP-Implementierungen genutzt werden können.
WPA und WPA 2
AES
TKIP
Implementierung Authentifizierung
802 ___________________________________________________ 13 Netzwerkgrundlagen
Pre Shared Key
WPA-PSK-Einrichtung ab Seite 903
Damit die Authentifizierung der einzelnen Benutzer erreicht werden kann, muss zusätzlich zur WLAN-Hardware ein Authentifizierungsserver zur Verfügung stehen. Der Benutzer muss sich gegenüber diesem Server über ein digitales Zertifikat ausweisen, bevor er Zugriff auf das Netzwerk erhält. Nach erfolgreichem Abschluss dieses Vorgangs sendet der Server seinerseits den Master-Key (Schlüssel) sowohl an die Basisstation als auch an den Clientcomputer. Nach einem mehrstufigen Überprüfungsverfahren zwischen Client und Basisstation kann dann die eigentliche Kommunikation beginnen. Eine geeignete Infrastruktur mit Authentifizierungsserver können Sie mit einem Windows Server 2003-System errichten. In unserem Buch Windows Server 2003 (ab Auflage 2) wird dies vertieft und praktisch gezeigt. Ohne Authentifizierung In kleineren Netzwerkumgebungen kann WPA auch ohne Authentifizierung betrieben werden. Diese Betriebsart ist meist mit der Abkürzung WPA-PSK versehen, wobei PSK für Pre Shared Key steht. Das weist auch auf das Verfahren hin: Sie verteilen als Administrator ähnlich zum WEP-Verfahren einen vordefinierten Master-Key an alle Teilnehmer im WLAN. Dieser Schlüssel muss zwischen 8 und 63 Zeichen lang sein. Es sind alle ASCII-Zeichen einschließlich Leerzeichen zulässig. Zur praktischen Einrichtung der WLAN-Verschlüsselung via WPAPSK finden Sie in Abschnitt WPA-PSK-Verschlüsselung an der Basisstation konfigurieren ab Seite 903 weitere Informationen.
13.8 Grundlagen zu Bluetooth
Administration ab Seite 867
Windows Vista bietet eine integrierte Bluetooth-Unterstützung. Viele Bluetooth-Geräte können Sie damit in den wichtigsten Grundfunktionen betreiben, ohne zusätzliche Treiber oder Software installieren zu müssen. Nachfolgend werden einige Grundlagen zu dieser Technik behandelt. Zur Einrichtung und Administration finden Sie Informationen in Abschnitt 14.2 Bluetooth-Geräte einbinden ab Seite 867.
13.8.1 Überblick Praxis: 60 bis 90 KByte/s
Bluetooth ist wie WLAN eine Funktechnologie und arbeitet ebenfalls im 2.4 GHz-Bereich. Die maximale Datenrate erreicht allerdings nur maximal 2 MBit/s. In der Praxis bleiben davon zwischen 60 und 90 KByte/s übrig. Für eine Vernetzung zwischen Computern oder zum Übertragen größerer Druckjobs ist es damit kaum geeignet. Hier bietet WLAN bereits in der heute einfachsten Form als 802.11b mit 11 MBit/s deutlich mehr.
13.8 Grundlagen zu Bluetooth _____________________________________________ 803 Der Haupteinsatzzweck von Bluetooth ist so auf die kabellose Übertragung von kleinen Datenmengen abgestimmt. Vorrangig geht es um die Anbindung von (langsamen) Peripheriegeräten an den Computer. Neben Tastaturen und Mäusen sind das beispielsweise analoge Modems, ISDN- und DSL-Router, PDAs, Handys oder Head-Sets. Insofern ist Bluetooth keine Alternative zu WLAN, sondern kann diese Technologie gut ergänzen.
Standardisierung Umfassende Informationen zu Bluetooth, seiner Entstehungsgeschich- Bluetooth SIG te und zu weiteren Normen und Standards finden Sie auf der Website der Bluetooth SIG (Special Interest Group): http://german.bluetooth.com/ Technische Daten sind vor allem auf dieser Website zu finden: https://www.bluetooth.org/
Bluetooth-Versionen Derzeit ist die Bluetooth-Version 2.0 aktuell. Die meisten erhältlichen Geräte entsprechen jedoch noch den Versionen 1.1 und 1.2. Geräte und Software unterschiedlicher Hersteller nach dem ersten Standard 1.0/1.0b hatten in der Vergangenheit immer wieder Probleme, miteinander korrekt kommunizieren zu können. Jeder, der sich frühzeitig mit ersten Bluetooth-Geräten auseinandergesetzt hat, wird dies bestätigen. Technik gemäß der noch aktuellen Fassung 1.1/1.2 hingegen gilt als ausgereift und bereitet nur noch selten Probleme. Schwerer wiegt, dass viele Hersteller nicht die letzte Software-Release ihren Geräten beilegen. Heute wird zu fast 100% die Widcomm-Lösung genutzt (www.widcomm.com). Aufgrund der bestehenden Lizenzabkommen bietet Widcomm jedoch Endkunden keinerlei Service oder Download-Möglichkeiten. Die erste Anlaufadresse zum Beziehen der aktuellen Software-Release ist daher immer die Website des jeweiligen Herstellers. Bei älterer Bluetooth-Hardware kann es jedoch passieren, dass der Hersteller keine aktuelle Widcomm-Lösung mehr anbietet. Eine Lösung kann dann darin bestehen, Software für andere Geräte, die den gleichen Chipsatz benutzen, zu verwenden. Meist müssen jedoch Installationsdateien angepasst werden. Im Internet finden Sie bei Bedarf zu diesem Thema eventuell Hilfe in einem der zahlreichen Foren. Die ersten Geräte der im Jahr 2003 verabschiedeten Fassung 1.2 sind seit geraumer Zeit im Handel. Version 1.2 ist voll abwärtskompatibel zu 1.1 und bietet die folgenden Verbesserungen: Anonymity Mode: Die Hardware-Adresse eines Gerätes kann damit versteckt (maskiert) werden. Das bietet einen zusätzlichen Schutz gegen Hacker, die bislang diese Adresse aus dem Datenverkehr extrahieren können. Dieser Modus war schon in der Version 1.1 möglich, wurde allerdings hier nicht implementiert.
Version 1.1
Probleme: meist Ursache in der Software
Version 1.2
804 ___________________________________________________ 13 Netzwerkgrundlagen AFH (Adaptive Frequency Hopping): Mit dieser Funktion wird die Störsicherheit gegenüber Funkwellen-Interferezen erhöht. So kann das Zusammenwirken verschiedener WLAN- und Bluetooth-Geräte, die im 2.4 GHz-Band arbeiten, deutlich verbessert werden. Erhöhung der Übertragungsqualität: Durch optimierte Fehlererkennungsverfahren soll die Übertragungsqualität für die Sprachübertragung (durch Enhanced Voice Processing) sowie für die Vernetzung (durch Enhanced Quality of Service) deutlich verbessert werden. Ein Hauptnachteil für viele Anwendungen blieb jedoch die relativ Version 2.0 und Enhanced Data Rate geringe Datenrate. Für die kabellose Übertragung von Dateien zwischen Digitalkamera und PC oder für Druckjobs reichte die bisherige Geschwindigkeit kaum aus. Um hier neue Einsatzfelder zu erschließen, entwickelte die SIG gemeinsam mit den Herstellern neue Verfahren zur Steigerung der Datenrate. Unter der Bezeichnung EDR (Enhanced Data Rate) erlangte Ende 2004 eine neue Technologie die Marktreife. In der Bluetooth Version 2.0 wurde dies dann als Standard verankert und erlaubt heute Datenraten mit bis zu 2.1 MBit/s. Die Kompatibilität mit bisherigen Geräten bleibt dabei voll erhalten. Basierend auf Ultrabreitband als physikalische Übertragungsart und Aussicht: Bluetooth 3.0 WiMedia MAC als Protokollschicht, sind zur Zeit bis zu 480 MBit/s geplant.
Bluetooth-Klassen Für die Sende- und Empfangsleistung von Bluetooth-Geräten sind drei Klassen definiert. Geräte der Klasse 1 haben eine theoretische Reichweite von bis zu 100 Metern, die der Klasse 2 hingegen maximal 40 Meter. In der nachfolgenden Tabelle werden die drei Klassen mit ihren Reichweiten und Sendeleistungen gegenübergestellt. Tabelle 13.16: Parameter Bluetooth-Klassen im Reichweite max. Vergleich
Sendeleistung
Klasse 1
Klasse 2
Klasse 3
100 m
40 m
10 m
100 mW
2,5 mW
1 mW
Ob zwei Geräte kompatibel zueinander sind, hängt allerdings nicht von der Klassen-Zuordnung, sondern von den Profilen ab.
13.8.2 Bluetooth-Profile Jedes Bluetooth-Gerät ist von seinem Hersteller mit einem bestimmten Set an Profilen ausgestattet. Welche das jeweils sind, ist meist der Verpackung oder der Dokumentation zum Gerät zu entnehmen.
13.8 Grundlagen zu Bluetooth _____________________________________________ 805 Voraussetzungen für den Kommunikationsaufbau Damit zwei Geräte miteinander kommunizieren können, müssen zwei Voraussetzungen erfüllt sein: 1. Beide Geräte unterstützen dasselbe Profil. 2. Das Rollenverhalten beider Geräte zu dem Profil muss zueinander passen. So bedingen viele Profile, dass ein Gerät als Server (auch Master genannt) und das andere als Client (Slave) arbeitet. Bluetooth-Geräte teilen ihre unterstützten Profile beim Verbindungs- Profildaten ausaufbau selbstständig mit. Dazu muss diese Funktion bei vielen Gerä- tauschen ten allerdings erst explizit aktiviert werden. Bei Windows-PDAs wird dies beispielsweise mit einer Option ANDERE GERÄTE KÖNNEN MICH ERKENNEN eingeschaltet.
Überblick über die wichtigsten Profile Die Liste der Profile wird ständig erweitert. Die derzeit wichtigsten werden nachfolgend aufgeführt. A2DP (Advanced Audio Distribution) Dient der Musik- und Sprachübertragung, beispielsweise über CDPlayer oder Headsets. Ein Gerät ist die A2DP-SRC (Quelle), das andere die A2DP-SNK (Senke = Client). AVRCP (Audio Video Remote Control) Implementiert Fernbedienungsfunktionen für Audio- und Videogeräte. Ein Gerät arbeitet als AVRCP-TG (Ziel), das andere als AVRCP-CT (Controller). BIP (Basic Imaging) Dient der Übertragung von Bildern zwischen Geräten. BPP (Basic Printing) Dient für Implementierung einfacher Druckfunktionen zwischen BPP-SenderDev und BPP-Printer. CIP (Common ISDN Access) Ermöglicht die Kommunikation über ISDN via CAPI-Schnittstelle für die Verbindung zwischen ISDN-GW (Gateway) und ISDN-DT (Data Terminal = Client). CTP (Cordless Telephony) Ermöglicht schnurloses Telefonieren über normale Mobilfunktelefone (Handy) und geeignete Basisstationen (CTP-GW). Das Handy muss CTP-Term (Terminal) unterstützen. DUN (Dial-up Networking) Dient dem Aufbau von Wählverbindungen ins Internet über geeignete Geräte wie Modems oder Handys. FAXP Dient der Faxübertragung über Geräte wie Modems, PDAs oder Handys.
A2DP
AVRCP
BIP BPP
CIP
CTP
DUN
FAXP
806 ___________________________________________________ 13 Netzwerkgrundlagen FTP
GAP
GAVDP
GOEP
HCRP
HSP
HFP
HID
INTP
LAP
OPP
PAN
FTP (File Transfer) Profil zur Dateiübertragung zwischen Geräten, etwa PC-Handy oder PDA-PC (nicht zu verwechseln mit FTP = File Transfer Protocol als Teil der Internetprotokolle) GAP (Generic Access Profile) Dies ist ein allgemeines Profil zur Zugriffsregelung, welches in jedem Bluetooth-Gerät enthalten ist. GAVDP (Generic Audio Video Distribution) Profil zum Audio- und Videostreaming. Wird beispielsweise für den Betrieb von entsprechenden MP3-Playern benötigt. GOEP (Generic Object Exchange) Allgemeines Profil zum Datenaustausch, auf dem andere Profile aufsetzen: FTP, OPP, SP. Basiert selbst auf OBEX (Object Exchange Protocol) und SPP. HCRP (Hardcopy Cable Replacement) Allgemeines Profil für das Drucken, bei dem ein Gerät als HCRPServer (der Drucker) und das andere als HCRP-Client arbeitet. BIP und BPP sind spezielle Druckprofile und oft besser geeignet. HSP (Headset) Dient der Ausgabe von Audio-Inhalten auf Headsets. Das Headset muss dazu HSP-HS, die Gegenstelle HSP-AG (Audio Gateway) unterstützen. HSP setzt auf SPP auf. HFP (Hands Free) Profil für Telefonie im Auto. Die Freisprecheinrichtung ist dabei die HF-Unit, das Mobilfunkgerät das HF-AG (Audio Gateway). HID (Human Interface Device) Profil für Eingabegeräte wie Maus und Tastaturen (HID-Clients), die am PC (HID-Unit) betrieben werden INTP (Intercom) Dient zum Aufbau einer Sprechfunkverbindung, etwa zwischen zwei Handys, und basiert auf dem Protokoll TCS (Telephony Control Service). LAP (LAN Access) Diente ursprünglich zur Verbindung mit lokalen Netzwerken, ist in der Version 1.2 aber nicht mehr enthalten. Es wurde durch PAN abgelöst. OPP (Object Push) Dient dem Austausch von Adressen und Terminen und verwendet dazu GOEP. PAN (Personal Area Network) Grundlegendes Profil zum Aufbau eines Netzwerks zwischen Bluetooth-Geräten (siehe auch nachfolgender Abschnitt)
13.8 Grundlagen zu Bluetooth _____________________________________________ 807 SAP (SIM Access) Dient zum Auslesen von SIM Karten. HF-Units können damit auf die im HF-AG abgelegten Informationen zugreifen. SDAP (Service Discovery Application) Dient zum Auffinden von Geräten und dem Ermitteln der angebotenen Dienste, wobei das SDP (Service Discovery Protocol) zum Einsatz kommt. SPP (Serial Port) Dient zum Aufbau einer seriellen Verbindung zwischen Geräten. Viele andere Profile basieren auf SPP. SYNCH(Synchronisation) Dient dem Datenabgleich, wobei es auf GOEP aufsetzt.
SAP
SDAP
SPP
SYNCH
Bluetooth-PANs Besonders interessant kann ein Bluetooth-PAN (Personal Area Network) sein, welches auch als PicoNet bezeichnet wird. Bis zu acht aktive Geräte lassen sich so zu einem kleinen Netzwerk zusammenschließen. Als Protokoll kommt TCP/IP zum Einsatz. Ein Gerät arbeitet dabei als Master, auch als PAN-AP (Access Point) bezeichnet, und richtet das PAN ein. Die anderen Geräte, die PAN-User, müssen das PANClientprofil unterstützen und binden sich in das Netzwerk ein. Theoretisch können bis zu 255 Bluetooth-Geräte in ein PAN eingebunden werden. Acht Geräte dürfen allerdings nur gleichzeitig aktiv sein. Die restlichen Clients verbleiben dann im so genannten geparkten Modus (Parked Mode).
PicoNet: bis zu acht aktive Geräte
Parked Mode: bis zu 255 Geräte
13.8.3 Bluetooth-Funktionen in Windows Vista Windows Vista bietet eine integrierte Bluetooth-Unterstützung. Dank Praxis ab hilfreicher Assistenten soll damit der Umgang mit Bluetooth-Geräten Seite 867 vereinfacht werden. In Abschnitt 14.2.1 Nutzung der Windows VistaFunktionen ab Seite 867 wird gezeigt, wie das praktisch aussehen kann.
Unterstützte Funktionen Die folgenden Funktionen können mit den Bordmitteln realisiert werden: Verbinden von Geräten mit dem Computer (Pairing) Nutzen von Bluetooth-Tastaturen und Mäusen sowie anderen drahtlosen Eingabegeräten, die auf dieser Technologie basieren Datentransfer zwischen Bluetooth-Gerät und Computer Ausdrucken auf Bluetooth-Druckern Nutzung von Bluetooth-Mobiltelefonen zur Einwahl ins Internet
808 ___________________________________________________ 13 Netzwerkgrundlagen Zur Nutzung weitergehender Funktionen wie die Synchronisation zwischen PDA und Outlook wird zusätzliche Software benötigt.
Implementierte Bluetooth-Profile Für die genannten Funktionen sind die folgenden Bluetooth-Profile implementiert worden: HID HCRP OPP SPP PAN DUN Eine genauere Beschreibung finden Sie zu diesen Profilen in Abschnitt Überblick über die wichtigsten Profile ab Seite 805.
13.8.4 Sicherheitsaspekte bei Bluetooth Bluetooth ist eine Funktechnologie und kann damit prinzipiell, wie auch WLAN, vom Benutzer unbemerkt angegriffen werden. Dennoch sind die Risiken in der Praxis als nicht besonders hoch einzustufen. Aufgrund der geringen Reichweite muss der Angreifer zudem recht nah an das Opfer herankommen. Damit sind eigentlich nur belebte Orte potentiell gefährlich.
Voraussetzungen zum Datenaustausch
Pairing
Bevor zwei Geräte über Bluetooth Daten austauschen können, müssen diese Voraussetzungen erfüllt sein: 1. Die Geräte müssen die erforderlichen Profile mitbringen, also die gewünschten Dienste in der richtigen Art und Weise anbieten. 2. Die meisten Dienste sind vor einem unautorisierten Zugriff geschützt. Über ein so genanntes Pairing müssen die Geräte zunächst gegenseitig bekannt gemacht werden. Beim Pairing wird ein gemeinsamer PIN auf beiden Geräten eingegeben. Über diesen PIN erfolgt dann auch die Verschlüsselung des Datenverkehrs. Hier liegt ein Sicherheitsrisiko versteckt. Wird als PIN die oft verwendete Ziffernfolge »1234« genutzt, lässt sich die betreffende Verbindung theoretisch »hacken«. Allerdings ist das Risiko in der Praxis vergleichsweise gering. Beim Pairing muss der PIN auf beiden Geräten gleichzeitig eingerichtet werden. Ein Mobiltelefon zur stillschweigenden Mitarbeit zu überreden, um darüber einen Zugang ins Internet auf Kosten eines anderen zu erlangen, ist so kaum möglich.
13.9 Active Directory______________________________________________________ 809 Bluejacking Eine andere Modeerscheinung, die seit der massenhaften Verbreitung Bluetooth-fähiger Mobiltelefone und PDAs zu verzeichnen ist, wird als Bluejacking bezeichnet. Dahinter steckt nichts anderes als das anonyme Versenden von Kontakten an solche Geräte. Die meisten Geräte erlauben in den Grundeinstellungen die Annahme von anonymen vCards. Unbedarfte Zeitgenossen können dadurch vielleicht aus der Fassung gebracht werden sehr zum Vergnügen der Bluejacker, die ihre Angriffe mit Vorliebe in belebten Umgebungen wie Bahnhöfen, im Bus oder in der U- und S-Bahn starten. Ein ernsthaftes Sicherheitsrisiko ergibt sich daraus in der Regel nicht abgesehen von der Belästigung durch nicht erwünschten vCard-Spam.
Generelle Sicherheitshinweise Dennoch sollen an dieser Stelle einige Sicherheitshinweise folgen, wie Sie sich vor dem Bluejacking oder anderen Bluetooth-Angriffen schützen können: 1. Schalten Sie Bluetooth an Ihrem Computer, dem PDA oder im Mobiltelefon nur dann ein, wenn Sie es tatsächlich benötigen. Das hilft übrigens auch Energie zu sparen. 2. Konfigurieren Sie Ihr Gerät so, dass es standardmäßig durch andere Geräte via Bluetooth nicht zu erkennen ist. Diese Funktion wird nur zum Pairen benötigt. Ist das erfolgt, kommunizieren die gepairten Geräte, ohne sich sonst im Netzwerk zeigen zu müssen. 3. Verwenden Sie generell komplexere PINs mit mehr als vier Stellen. Beachten Sie, dass bei Bluetooth-Headsets teilweise einfache PINs vorgegeben sind, die Sie nicht verändern können.
13.9 Active Directory Windows Vista und Windows XP Professional sind die bevorzugten Client-Betriebssysteme für den Einsatz in Unternehmensnetzwerken. Für diese Umgebungen hat Microsoft mit seinem Verzeichnisdienst Active Directory serverseitig die entsprechende Lösung. In den nachfolgenden Abschnitten finden Sie dazu einige Grundlagen-Informationen als Einführung in dieses Thema. Umfassend wird Active Directory in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 erläutert.
13.9.1 Einführung Der Verzeichnisdienst Active Directory stellte eine umfassende Neuerung in der Microsoft-Netzwerkwelt dar, als er erstmals mit der Windows 2000 Server-Familie eingeführt wurde. Dabei ersetzte er das alte NT-Domänenmodell. Zu diesem wird allerdings weitgehende Kompa-
810 ___________________________________________________ 13 Netzwerkgrundlagen tibilität gewahrt, sodass Sie in einem solchen Netzwerk nach wie vor Clients einsetzen können, die keine direkte Active DirectoryUnterstützung mitbringen. Allerdings kann der neue Verzeichnisdienst wesentlich mehr und eignet sich insbesondere für komplexere Netzwerkstrukturen, die damit deutlich besser realisiert und über leistungsfähige Tools einfacher administriert werden können.
Bedeutung von Verzeichnisdiensten
Hierarchische Struktur
Flexibel anpassbar
Skalierbarkeit und Performance
Maximale Verfügbarkeit
Verzeichnisdienste kommen heute überall dort zum Einsatz, wo es um die effiziente und sichere Verwaltung komplexer Netzwerkstrukturen geht. Eine wichtige Anforderung ist hierbei die zentrale Administration aller Benutzerkonten und Ressourcen auch für Netzwerke, die sich im Bedarfsfall über viele Standorte und sogar Ländergrenzen ausdehnen können. Ein Verzeichnisdienst bietet mit einer hierarchisch aufgebauten Struktur die Voraussetzungen, um komplexe Daten gut abbilden zu können. In dieser Struktur werden alle Ressourcen gespeichert, beispielsweise Benutzerkonten, Adressinformationen, Freigaben und Drucker, aber auch Dateien oder Anwendungsprogramme. Der Verzeichnisdienst stellt darüber hinaus verschiedene Möglichkeiten zur Verfügung, die den Zugriff auf die Ressourcen erlauben, sowie effiziente Suchfunktionen, damit Benutzer Informationen im Verzeichnis finden können. Die Struktur der Informationsspeicherung im Verzeichnisdienst ist nicht starr, sondern kann bei Bedarf leicht angepasst werden. Schließlich ist bei der Einrichtung oft nicht abzusehen, welche Arten von Informationen morgen im Netzwerk benötigt und verwaltet werden sollen. Trotzdem befreit es den Administrator nicht davon, sich Gedanken zur Struktur vor der Installation zu machen. Die Anpassungsfähigkeit beschränkt sich dabei nicht nur auf die Art der Information, sondern auch auf deren Menge. Schließlich sollte die logische Netzwerkstruktur mit dem Wachsen eines Unternehmens Schritt halten können. Dazu gehören Mechanismen zur redundanten Speicherung der Verzeichnisdatenbank auf mehreren Servern sowie ausgereifte Replikationsmechanismen, die vor allem bei großen Strukturen an Bedeutung gewinnen. Die Replikation erlaubt die koordinierte Verteilung der Daten zwischen beteiligten Servern. Nicht zuletzt ist für den normalen Benutzer vor allem eine schnelle Antwortzeit des Gesamtsystems von Bedeutung. Durch einen so genannten globalen Katalog wird im Active Directory dazu eine zentrale, hocheffiziente Datenbank bereitgestellt, in welcher die wichtigsten Informationen, auf die am häufigsten zugegriffen wird, gehalten werden. Eine redundante Speicherung der Verzeichnisinformationen dient neben der Skalierbarkeit auch der Sicherstellung einer maximalen Verfügbarkeit. In einem Unternehmensnetzwerk, egal welcher Größe, ist ein Ausfall der zentralen Informationsbasis immer fatal und führt im schlimmsten Fall zur Lähmung der Geschäftstätigkeit.
13.9 Active Directory______________________________________________________ 811 Die Informationsfülle im Verzeichnis muss effizient verwaltet werden können. Neben den dazu angebotenen Werkzeugen des Herstellers im Active Directory sind das die auf der Microsoft Managementkonsole basierenden Tools wird dies vor allem durch eine durchdachte Strukturierung des Verzeichnisses erreicht. Der Benutzer muss sich nun beispielsweise nur noch zentral am Verzeichnis anmelden und kann dann alle Ressourcen und Daten nutzen sowie Informationen finden, für die er die entsprechenden Zugriffsrechte hat. Ebenso einfach lassen sich Administrationsfunktionen innerhalb des Verzeichnisses delegieren. Aufgrund der hierarchischen Struktur kann beispielsweise für eine untergeordnete Organisationseinheit ein Administrator bestimmt werden, der nur das Recht hat, für die hier verwalteten Benutzer die Kennwörter zurückzusetzen oder die betreffenden Drucker zu verwalten. Ein Verzeichnisdienst allein bietet zwar schon vielfältige Möglichkeiten für die Strukturierung und Verwaltung eines komplexen Netzwerks, richtig »komplett« wird eine vernetzte Kommunikation jedoch erst mit weiteren Anwendungen. E-Mail ist eine Anwendung, ohne die ein modernes Unternehmen heute nicht mehr auskommt. Im Verzeichnis selbst können zwar E-Mail-Adressen gespeichert werden, für eine darauf aufbauende Kommunikations-Infrastruktur werden aber weitere Dienste benötigt. Diese kann eine mit dem Verzeichnisdienst kompatible Anwendung liefern. Für das Active Directory bietet Microsoft mit dem Exchange Server eine entsprechende Lösung. Die Einbindung in den Verzeichnisdienst geschieht nahtlos, sodass beispielsweise mit dem Neueinrichten eines Benutzers auch automatisch das durch Exchange verwaltete E-Mail-Konto angelegt wird. Exchange Server 2003 und die neue Version Exchange Server 2007 setzen ein funktionierendes Active Directory voraus. Hohe Sicherheit Durch eine richtige Einrichtung des Verzeichnisdienstes, einschließlich der Integration geeigneter Anwendungen, kann auch eine höhere Sicherheit realisiert werden. Gibt es keine redundante Speicherung von Zugangsinformationen bei verschiedenen Anwendungen und Serversystemen, muss durch den Administrator der Entzug oder die Korrektur von Zugriffsrechten schnell und komfortabel an nur einer Stelle vorgenommen werden. Die Gefahr, dass Sicherheitslücken entstehen, weil ein Teilsystem vergessen worden ist, kann damit vermieden werden.
Grundlegende Standards Active Directory basiert, wie andere moderne Verzeichnisdienste, auf bestimmten Standards. In der täglichen Arbeit ist dies nur am Rande von Bedeutung. Trotzdem sollten Sie sich mit den elementarsten Grundlagen auseinandersetzen. Die nachfolgende Darstellung wurde in diesem Sinne stark vereinfacht.
Effiziente Verwaltung
Geeignete Anwendungen
812 ___________________________________________________ 13 Netzwerkgrundlagen X.500
X.500-Grundelemente Objektklassen
Attribute
Verzeichnisdienste haben eine lange Geschichte. Die Ursprünge gehen bis ins Jahr 1986 zurück. Damals wurde von der CCITT (Comite Consultatif International Telegraphique et Telephonique), der ISO (International Standard Organization) und der ECMA (European Computer Manufactures Association) ein gemeinsames Directory-Forum gegründet. Die erste Version wurde im Oktober 1988 unter dem Namen X.500 vom CCITT veröffentlicht, in der ISO als 9594 benannt. X.500 ist nur ein Teil einer ganzen Serie von Standards, von denen X.509 (Authentifizierung) und X.525 (Replikation) größere Bedeutung erlangt haben. Der Einfachheit halber wird nachfolgend nicht zwischen den Standards unterschieden und nur von X.500 gesprochen. Allerdings ist eine vollständige Umsetzung eines Verzeichnisdienstes nach X.500 sehr aufwändig und meist auch nicht notwendig. Microsoft hat für das Active Directory nur eine teilweise Implementierung vorgenommen. Nachfolgend finden Sie eine kurze Einführung in den X.500-Standard, dem folgende elementare Eigenschaften zugrunde liegen: Lokale Administration Jede Teilorganisation kann ein eigenes Verzeichnis führen. Verteilte Datenbank Werden Anfragen vom lokalen Verzeichnis nicht beantwortet, erfolgt automatisch eine Weiterleitung an eine andere Instanz. Replikation Zwischen den Datenbanken finden Datenaustauschprozesse statt. Erweiterbarkeit Verschiedene Informationen sind speicherbar, ohne dass der Standard diese endgültig begrenzt. Standardisierung Alle Teile des Verzeichnissystems unterliegen klaren Standards. X.500 ist ein OSI-Verzeichnisdienst. OSI (Open Systems Interconnection) definiert komplexe Systeme aus Hard- und Software durch Schichtenmodelle. Auch X.500 kann deshalb in Schichten betrachtet werden. Eine wichtige Schicht enthält das Informationsmodell, das von zentraler Bedeutung ist und nachfolgend näher betrachtet wird. Es enthält Informationen über die Einträge im Verzeichnis. In der allgemeinen OSI-Struktur steht X.500 selbst auf der Ebene »Application Layer«. Sämtliche Bestandteile eines Verzeichnisses werden in Form von Einträgen zusammengefasst. Dabei wird jedem Eintrag eine bestimmte Objektklasse zugeordnet. Die Klasse beschreibt die Art des Objekts, beispielsweise ein Land, eine Person oder ein Computer. Die Zuordnung zu Objektklassen legt bestimmte Attribute fest, die für einen Eintrag zutreffen können. Ein Attribut besteht aus dem Attributtyp wie »Telefonnummer« und einem oder mehreren Attributwerten, beispielsweise mehrere Telefonnummern, die für das Objekt zutreffen, wenn es sich um eine Person handelt. Im X.500-Standard ist eine Vielzahl von Objektklassen und Attributtypen als so genanntes Schema festgelegt. Lokale Ergänzungen die Schemaerweiterungen können jederzeit vorgenommen werden. Die
13.9 Active Directory______________________________________________________ 813 Werte eines Attributs können die Administratoren im Rahmen der erlaubten Syntax frei wählen. Alle Einträge im Verzeichnis sind in einer baumartigen Hierarchie angeordnet, dem Directory Information Tree (DIT; siehe weiter unten im Text). Unterhalb der Wurzel, »root« genannt, sind Ländercodes (DE für Deutschland, US für USA usw.) verzeichnet. Die Organisationen dieser Länder, Universitäten, Forschungseinrichtungen, Firmen usw., befinden sich auf der nächsten Hierarchieebene. Diese gliedern sich unter Umständen weiter in Abteilungen. Darunter befinden sich dann Personen oder sonstige Einträge. Die Struktur des DIT, das heißt die Regeln, nach denen der Baum aufgebaut wird, sind ebenfalls im Verzeichnisschema spezifiziert. Dabei ist diese Struktur nicht starr, sondern erlaubt Variationen in einem definierten Rahmen. Jeder Eintrag im Directory wird durch einen global eindeutigen Namen, den Distinguished Name (DN) benannt. Dieser DN ist hierarchisch aufgebaut und besteht aus einer geordneten Sequenz von relativen Namenskomponenten, den Relative Distinguished Names (RDN). Ein RDN setzt sich immer aus einem Attributtyp und einem Attributwert zusammen. Der DN ist im Prinzip eine Folge von RDN, die durch die Position des Eintrags in der Hierarchie des Verzeichnisses bestimmt werden. Auch der Verzeichnisdienst selbst ist insgesamt hierarchisch aufgebaut, das heißt, jede Datenbank kann Anfragen, die sie nicht beantworten kann, weiterleiten. Die Informationen werden an verschiedenen Orten so gespeichert, dass sie mit den Informationen an den anderen Orten zusammengeführt werden können. Dadurch kann die Information an dem Ort aufbereitet und gepflegt werden, an dem sie entsteht und wo sie meist auch am häufigsten benötigt wird. Die Informationen können daher sehr aktuell gehalten werden. Die hierarchische Struktur wird als Directory Information Tree (DIT) bezeichnet. Sämtliche Informationen des DIT sind Eintragungen über Objekte, die durch ihre Namen in der Datenbank identifiziert werden. Jedem Objekt wird dabei genau ein Name zugeordnet. Dabei bildet jeweils ein Knoten in der Struktur einen Eintrag. Die Datenbank wird auch als Directory Information Base (DIB) bezeichnet. Der Aufbau der DIB ist ebenfalls baumartig. Dies hat neben dem schnelleren Zugriff den Vorteil, dass der Aufbau besser natürlichen Strukturen angepasst werden kann. Grundsätzlich gibt es in der DIB zwei unterschiedliche Typen: Objekteinträge und Aliaseinträge. Ein Objekteintrag kann von mehreren Aliasen erwähnt werden, wodurch die Verknüpfung zusätzlicher Namen mit einem Objekt möglich wird. In einem X.500-Verzeichnis lässt sich jede beliebige Information speichern. Standardmäßig werden im X.500-Verzeichnis Personen und Organisationen beschrieben. Für eine einheitliche Darstellung sind die Grundelemente in der Norm festgelegt worden. Personennamen beispielsweise bestehen aus dem so genannten given name (Vorname), den initials (Abkürzung der weiteren Vornamen), dem surname (Nachname) und unter Umständen auch noch dem generation identifier, um
Struktur
Distinguished Name
Hierarchischer Aufbau
DIT und DIB
814 ___________________________________________________ 13 Netzwerkgrundlagen
X.500 DAP
damit eventuelle Namensgleichheiten aufzulösen. So wie eine Person eine oder gegebenenfalls mehrere weltweit eindeutige postalische Adressen hat, unter der sie erreichbar ist, kann sie auch mehrere X.500-Adressen besitzen. Die Interaktion zwischen den verteilten Verzeichnisdatenbanken und den Clients, die Anfragen absenden, läuft über ein ebenfalls standardisiertes Protokoll. Das erste derartige Protokoll war das Directory Access Protocol (DAP). Zu den Aufgaben des Protokolls gehören der Verbindungsauf- und abbau oder das Auslösen einer Abfrage beziehungsweise einer Suche. Neben DAP gab es weitere Protokolle, die spezielle Teilaufgaben erfüllten.
Abbildung 13.15: Directory Information Tree unter Active Directory
LDAP im Active Directory
DAP und die Unterprotokolle sind sehr aufwändig und entsprechend schwer zu implementieren. Unter anderem wird der gesamte Protokollstapel im ISO/OSI-Modell bedient, was meist nicht zwingend notwendig wäre. Vor diesem Hintergrund entstand LDAP (Lightweight Directory Access Protocol), ein einfacheres Protokoll zum Zugriff auf Verzeichnisdienste, das weite Verbreitung gefunden hat. LDAP setzt direkt auf TCP/IP auf und verwendet Zeichenketten zur Kommunikation, ähnlich wie es HTTP und SMTP auch tun. Es vereinfacht die Zeichencodierung und damit die Internationalisierung. Deshalb hat es sich als Standard weitgehend etabliert. Es basiert auf denselben Modellen wie X.500, realisiert aber nur eine Untermenge dessen. Die vorstehend gemachten vereinfachten Aussagen zu X.500 treffen auf LDAP unverändert zu. LDAP kommt als Basisprotokoll im Active Directory zum Einsatz, das sowohl in der älteren Version LDAPv2 (RFC 1777 vom März 1995) als auch als LDAPv3 (RFC 2251 vom Dezember 1997) unterstützt wird.
13.9 Active Directory______________________________________________________ 815 Protokolle und Schnittstellen des Active Directory Active Directory basiert auf verschiedenen Protokollen und Schnittstellen. Dabei muss unterschieden werden, wie der Zugriff erfolgen soll. Protokolle erlauben Clients die Kommunikation mit dem Verzeichnis. Active Directory unterstützt: LDAP Das Kernprotokoll MAPI RPC (Mail Application Programming Interface Remote Procedure Call) Zugriff über Mailclients RRPC (Replication Remote Procedure Call) Zur Replikation SMTP (Simple Mail Transfer Protocol) Erlaubt den Datenaustausch über Mailserver. Schnittstellen dienen dem programmatischen Zugriff, sind also eher für Entwickler von Interesse. Dazu gehören beim Active Directory: LDAP C API Eine auf LDAP basierende API für die Programmiersprache C ADSI Active Directory Services Interface, eine Schnittstelle, über die per Scripting Host (WSH), Active Server Pages (ASP) oder Visual C++ zugegriffen werden kann. Realisiert wurde es als COMObjekt. Innerhalb des .NET-Frameworks existiert derzeit nur ein Wrapper darauf. ADSI besitzt einen LDAP-Provider. Dadurch ist der Zugriff auf die LDAP-Strukturen möglich. Im Umkehrschluss bedeutet dies, dass mit ADSI auch andere LDAP-kompatible Dienste angesprochen werden können. MAPI - Mail Application Programming Interface, eine Schnittstelle für Mail-Clients LDAP taucht also zweimal auf: Einmal als Basis für den inneren Aufbau des Verzeichnisdienstes und damit des programmtechnischen Zugriffs darauf und zum anderen als Protokoll für die Kommunikation mit dem Dienst. Genauer betrachtet ist es sogar für vier Felder verantwortlich: Die Funktionen eines Verzeichnisdienstes Was ist verfügbar? Die Implementierung Wie wird es verfügbar gemacht? Die Schnittstelle Wie kann es programmiert werden? Das Protokoll Wie greifen Clients darauf zu? Active Directory verwendet als Kommunikationsprotokoll zwischen LDAP als Protokoll Clients und Server ausschließlich LDAP. Die anderen oben erwähnten Protokolle dienen der Server-Server-Kommunikation, beispielsweise bei der Replikation. In Windows 2000 Server und Windows Server 2003 sind das Protokoll DAP und dessen Unterprotokolle nicht implementiert. Für die Replikation kommt nicht LDAP zum Einsatz, denn es handelt sich hier um eine Server-Server-Verbindung. Innerhalb eines Standortes wird RPC über IP verwendet, zwischen den Standardorten wenn die Daten über Internetverbindungen gesendet werden meist SMTP.
816 ___________________________________________________ 13 Netzwerkgrundlagen
LDAP als Modell
LDAP im Netzwerk
Zusätzlich sei noch auf Kerberos hingewiesen, das als Protokoll der Sicherung der Anmeldung und Authentifizierung von Clients dient. Weitere Informationen finden Sie dazu in Abschnitt 13.10.1 Sichere Authentifizierung ab Seite 828. Um LDAP auf der Implementierungsseite fassbarer zu machen, wurden verschiedene Modelle entwickelt. Eines umfasst vier Aufgaben: Information Hier wird die Struktur der Information beschrieben, im Active Directory also das Schema der Einträge. Das Informationsmodell wurde weitgehend von X.500 übernommen deshalb die Einführung am Anfang des Kapitels. Begriffe wie Objekt, Eintrag und Attribut sind hier definiert. Benennung Hier geht es um die Organisation der Einträge, Hierarchien, Referenzen und letztlich Namen. Beschrieben wird, wie ein DN und ein RDN aufgebaut sind. Funktion Hier geht es um die Authentifizierung, Verbindungsauf- und abbau, Such- und Vergleichsfunktionen und die Funktionen zur Aktualisierung der Einträge: Hinzufügen, Löschen und Ändern. Sicherheit Auch Verzeichnisdienste sind sicherheitsrelevante Dienste. Dieser Teil beschreibt, wie die Informationen geschützt werden. Definiert werden die Art der Authentifizierung, die Integration der ACLs (Access Control Lists) und Signierung sowie Schutz durch Verschlüsselung via Kerberos. Als Netzwerkprotokoll arbeitet LDAP unter denselben Bedingungen wie andere Protokolle auch, die auf TCP/IP aufsetzen. So werden zum Erreichen des entsprechenden Dienstes Portnummern vergeben. Der Standarddienst ist über Port 389 erreichbar. Port 636 dient der mit SSL verschlüsselten Kommunikation. Der globale Katalog im Active Directory wird über Port 3268 angesprochen, verschlüsselt über 3269. Die Kommunikation kann synchron oder asynchron stattfinden. Bei der synchronen Kommunikation wird der Kanal erst wieder freigegeben, wenn die Anfrage bearbeitet und alle Ergebnisse zurückgegeben wurden.
13.9.2 Aufbau des Active Directory Ein Active Directory lässt sich nur mit einem Windows 2000/2003Serversystem implementieren. Die Vista-Editionen Business, Enterprise und Ultimate bringen die Clientsoftware für die Integration in eine Domäne mit. Die Windows Home-Versionen Basic und Premium verfügen dagegen nur über einen einfachen Client zum Anmelden an einem Microsoft Windows-Netzwerk und können in das Verzeichnis nicht integriert werden.
13.9 Active Directory______________________________________________________ 817 In diesem Abschnitt geht es zunächst um die wesentlichen Bestandteile des Active Directory, welche serverseitig implementiert sind.
Komponenten des Active Directory Aus den folgenden Komponenten ist das Active Directory aufgebaut: Verzeichnis Im Verzeichnis, auch Verzeichnisdatenbank oder Directory Information Tree (DIT) genannt, sind alle Objekte (Verzeichnisinformationen) abgelegt. Dabei ist diese Datenbank so konzipiert, dass sie auch verteilt im Netzwerk gehalten werden und bei Bedarf bis zu mehrere Millionen Objekte verwalten kann. Schema Das Schema bestimmt die Eigenschaften (Attribute) und grundlegenden Objektstrukturen, welche im Verzeichnis gespeichert werden können. Objekte können Benutzer, aber auch Gruppen oder andere Organisationseinheiten sein. Attribute sind beispielsweise die E-Mail-Adresse oder die Telefonnummer eines Benutzers. Replikationsdienst Bei einer höheren Menge an zu verwaltenden Objekten macht es Sinn, die Verzeichnisdatenbank ganz oder teilweise auf mehrere Server zu verteilen. Damit wird durch Redundanz eine höhere Ausfallsicherheit erreicht sowie das Antwortverhalten verbessert. Ein Benutzer wird so beispielsweise bei der Anmeldung durch einen Server authentifiziert, der sich physisch in der Nähe befindet. Trotzdem kann der Datenbestand in der Verzeichnisdatenbank auch in einem großen Netzwerk, welches sich über Datenfernverbindungen erstrecken kann, konsistent gehalten werden. Fällt ein Server aus, führt das nicht unweigerlich zum Stillstand des Systems, sondern die Authentifizierungen erfolgen einfach beim nächsten Server. Globaler Katalog Der globale Katalog stellt einen Index über die wichtigsten Informationen zu den Objekten im Active Directory dar. Damit wird eine komfortable und leistungsfähige Suchfunktion realisiert. Sicherheitskonzepte Für die Regelung der Zugriffsrechte auf die Objekte im Active Directory gibt es integrierte Sicherheitskonzepte. Diese beginnen mit der korrekten und sicheren Authentifizierung und reichen bis zur Zuordnung der Rechte für einzelne Objekte und den sicheren Informationsaustausch im Active Directory.
Verzeichnis
Schema
Replikation
Globaler Katalog
Sicherheit
Verzeichnis Bei dieser Datenbank, auch Verzeichnisdatenbank oder Directory In- DIT formation Tree (DIT) genannt, handelt es sich um eine spezielle Form einer relationalen Datenbank. In dieser werden ausschließlich Ver-
818 ___________________________________________________ 13 Netzwerkgrundlagen
Grundlage ist X.500
zeichnisinformationen gehalten. Sie ist so ausgelegt, dass auch eine sehr hohe Anzahl an Objekten gespeichert werden kann. Das Antwortverhalten (Performance) bleibt dabei trotzdem sehr gut eine gute Planung und technische Umsetzung vorausgesetzt. Die Grundlage des Verzeichnisses im Active Directory bildet das Datenmodell des X.500-Standards (siehe Abschnitt Grundlegende Standards ab Seite 811). Dieser beschreibt den grundsätzlichen Aufbau von Verzeichnisdiensten und wurde bereits 1988 verabschiedet. Microsoft orientierte sich bei der Entwicklung des Active Directory an diesem Standard, setzte ihn aber nicht vollständig um und implementierte teilweise eigene, proprietäre Erweiterungen. Begründet wird dies damit, dass eine reine X.500-Umsetzung eines Verzeichnisdienstes zu komplex und damit nicht marktfähig geworden wäre.
Schema Flexibel erweiterbar
Das Verzeichnisschema beschreibt genau, wie Objekte und deren Eigenschaften im Verzeichnis gespeichert werden können. Das flexible Schema im Active Directory ermöglicht es im Bedarfsfall, existierenden Objekten weitere Eigenschaften hinzuzufügen oder gar zusätzliche Objekttypen zu definieren. Dadurch eröffnen sich neue Möglichkeiten, denn eine Anwendung wie Microsoft Exchange (beispielsweise Exchange 2003) braucht somit keine eigene Benutzerdatenbank mehr. Im optimalen Fall findet eine Erweiterung des Verzeichnisschemas um entsprechende Objekte für die gewünschte Anwendung statt.
Replikationsdienst Verfügbarkeit und Performance
Um eine hohe Verfügbarkeit und Performance auch bei einem umfangreichen Active Directory zu gewährleisten, können Teile desselben oder das gesamte Verzeichnis auf mehrere Server repliziert werden. Die Anmeldung und der Zugriff eines Benutzers können so am nächsten physischen Server erfolgen. Damit wird ein schnelles Antwortverhalten des Netzwerks garantiert. Fällt hingegen ein Server aus, kommt es nicht zwangsläufig zum Stillstand im Netzwerk. Der nächste verfügbare Server stellt die reibungslose Authentifizierung und den Zugriff der Benutzer sicher.
Globaler Katalog Suchdienst
Ein Verzeichnisdienst sollte generell über Suchfunktionen verfügen, mit deren Hilfe sich Informationen wie in gewöhnlichen Telefon- oder Adressbüchern finden lassen. Als Suchbegriffe dienen dabei üblicherweise bestimmte Attribute von Objekten wie zum Beispiel Namen oder E-Mail-Adressen. Um diesen Anforderungen gerecht zu werden, beinhaltet das Active Directory einen globalen Katalog (Global Catalog), welchen man auch als übergreifenden Index bezeichnen kann.
13.9 Active Directory______________________________________________________ 819
13.9.3 Strukturierung des Active Directory Mit Active Directory lässt sich die tatsächliche Organisationsstruktur eines Unternehmens abbilden. Dazu werden die wesentlichen Ressourcen im Unternehmen erfasst. Das können Benutzer, Dateien, Drucker oder auch Richtlinien für die Verwaltung derartiger Objekte sein. Die Objekte können dabei hierarchisch strukturiert und zu organisatorischen Einheiten zusammengefasst werden wie im realen Leben. So lassen sich Unternehmensstrukturen wie Arbeitsgruppen, Abteilungen oder ganze Bereiche erfassen.
Die Elemente der logischen Struktur In diesem Abschnitt werden die logischen Strukturen vorgestellt, mit denen Sie ein Active Directory aufbauen können. Wichtig sind dabei die folgenden Elemente: Domäne (domain) Organisatorische Einheit (Organizational Unit OU) Objekte (objects) Domänenstruktur (tree) Gesamtstruktur (forest) Diese werden häufig in der Fachliteratur nur mit den englischen Bezeichnungen verwendet, sodass es von Vorteil ist, wenn Sie diese kennen. Die deutschen Begriffe erscheinen uns jedoch zutreffender und weniger blumig.
Abbildung der physischen Struktur Daneben gibt es noch eine physische Struktur, die weitgehend den Gegebenheiten der Infrastruktur folgt. Diese umfasst folgende Elemente: Domänencontroller (domain controller) Globaler Katalog (global catalog) Standorte (sites) Eine genaue Darstellung und planerische Aspekte finden Sie in unse- Andere Quellen für ren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server den Praktiker 2003.
Gesamtstruktur eines Active Directory Eine Gesamtstruktur (engl. Original: Forest) entsteht, wenn mehrere Kein einheitlicher Domänenstrukturen (Trees; siehe vorhergehender Abschnitt) zusam- Namensraum mengefasst werden.
820 ___________________________________________________ 13 Netzwerkgrundlagen Abbildung 13.16: Beispiel für eine Gesamtstruktur
Gründe für eine Gesamtstruktur
Der wesentliche Unterschied zu einer abgeschlossenen Domänenstruktur besteht bei der Gesamtstruktur darin, dass hier kein einheitlicher Namensraum verwendet werden muss. So können Domänenstrukturen mit verschiedenen Namensräumen integriert werden. Die Domänen Comzept.de, Beratung.de und Schulung.de sind hier zu einer administrativen Einheit zusammengefasst worden. Daraus wird schon der wichtigste Grund erkennbar, der für die Bildung einer Gesamtstruktur spricht: Die strikte Trennung von organisatorischen Einheiten innerhalb des Verzeichnisses.
Domänenstruktur Für eine stärkere Gliederung eines Active Directory können mehrere Domänen zu einer Domänenstruktur (engl. Original Tree) zusammengefasst werden. Eine Domänenstruktur stellt dabei grundsätzlich eine hierarchische Struktur von Domänen dar, die alle einen einheitlichen Namenskontext bilden. In Abbildung 13.17 sehen Sie das Beispiel einer Domänenstruktur für die Domäne COMZEPT-GMBH.DE. Abbildung 13.17: Beispiel eines Domänenbaums
13.9 Active Directory______________________________________________________ 821 Mit der Installation der ersten Domäne wird automatisch die Wurzel einer neuen Domänenstruktur generiert, an der sich hierarchisch gestaffelt weitere Domänen anbinden lassen.
Domäne Auch im Active Directory bildet die Domäne die Basis für die Bildung von Organisationsstrukturen. Eine Domäne im Active Directory dient der logischen Gruppierung zusammengehöriger Objekte. Die Anzahl der speicherbaren Objekte ist dabei kaum praktisch beschränkt. Eine Domäne kann, wie ein Container, weitere Organisationseinheiten in sich aufnehmen, die wiederum Objekte enthalten können. Alle Objekte einer Domäne sind über einen einheitlichen Namenskon- Namenskontext text, der durch den Domänennamen definiert wird, ansprechbar. Der Benutzer KRAUSE in der Domäne COMZEPT-GMBH.DE wird beispielsweise über
[email protected] angesprochen, entsprechend die Arbeitsstation VistaPC01 mit
[email protected]. Abbildung 13.18: Prinzipaufbau einer Domäne
Die Domänengrenze gilt auch als Sicherheitsgrenze. Innerhalb der Domänengrenze = Domäne werden die Zugriffsrechte gesteuert. Jede Domäne kann ei- Sicherheitsgrenze nen eigenen Domänenadministrator haben, der in anderen Domänen keine Rechte besitzt.
Organisatorische Einheit Die organisatorische Einheit ist ein wesentliches Gestaltungsmittel für den Aufbau eines Active Directory. Das dahinter liegende Konzept ist das Erfolgsrezept beim Aufbau eines Active Directory. Organisationseinheiten sind das wesentliche Strukturierungselement. Sie sind ausschließlich einfache Container, die wiederum andere Objekte oder auch weitere Organisationseinheiten enthalten können. Durch dieses Element wird der Namensraum der Domäne statt der flachen Darstel-
822 ___________________________________________________ 13 Netzwerkgrundlagen
Charakteristik der Organisationseinheiten
Hierarchische Struktur
Objekte
Containerobjekte
Blattobjekte
lung in eine Hierarchie verwandelt. Das ist besonders wichtig, wenn Tausende Objekte verwaltet werden müssen. Statt endloser Listen erfolgt der Zugriff über eine Baumstruktur, so wie Sie es vom Windows Explorer kennen. Die Struktur der Hierarchie kann sehr vielfältig gestaltet werden, sodass Sie beispielsweise die Organisation eines Unternehmens abbilden können. So oder ähnlich wird die Fähigkeit von Active Directory oft angepriesen. In der Praxis ist es leider nicht so einfach, eine intelligente Struktur zu entwerfen. In diesem Abschnitt erfahren Sie mehr zu den Möglichkeiten und Varianten der Strukturierung des Verzeichnisses mit Organisationseinheiten. Organisationseinheiten haben eine ganz bestimmte Charakteristik, die Sie kennen sollten: Organisationseinheiten sind Bestandteil einer Domäne. Sie sind immer Container-Objekte, enthalten also andere Organisationseinheiten oder Objekte. Sie erzeugen die hierarchische Struktur der Domäne. Sie können sehr einfach erzeugt, verschoben, verändert oder gelöscht werden. Aufgrund der hierarchischen Natur können sie ein nahezu vollständiges Abbild der Organisation Ihres Geschäfts darstellen. Die Möglichkeit, mit Organisationseinheiten eine Struktur zu entwerfen, verringert die Notwendigkeit, Domänen zur Gliederung einzurichten. Wie am Anfang bereits erwähnt, sollten Sie mit möglichst wenigen im Idealfall nur einer Domäne arbeiten. Organisationseinheiten sind der Schlüssel zu einem einfach zu administrierenden und zugleich leistungsfähigen Verzeichnisdienst. Das Verzeichnis dient grundsätzlich zur Speicherung von Objekten. Diese Objekte können verschiedene Merkmale und Eigenschaften haben, welche durch das Schema (siehe auch Abschnitt Schema ab Seite 818) im Active Directory bestimmt werden. Ein wichtiges Unterscheidungsmerkmal von Objekten stellt die Fähigkeit dar, weitere Objekte in sich aufzunehmen. Ein grundlegendes Containerobjekt in einem Active Directory ist die Domäne selbst. In dieser können wieder andere Objekte, auch andere Containerobjekte, angelegt werden. Ein weiteres Containerobjekt ist beispielsweise die organisatorische Einheit (siehe auch Seite 821). Andere Objekte, wie beispielsweise Benutzer oder Drucker, können keine weiteren Objekte enthalten. Diese Objekte werden auch Blattobjekte genannt. Sie werden aber, wie generell alle Objekte im Active Directory, durch spezifische Eigenschaften (die Attribute) gekennzeichnet. Attribute eines Benutzers sind beispielsweise dessen Name oder die E-Mail-Adresse.
13.9 Active Directory______________________________________________________ 823 Zuweisen von Gruppenrichtlinien Eines der umfangreichsten und leistungsfähigsten Konzepte sind die Gruppenrichtlinien (siehe auch Abschnitt 5.6 Gruppenrichtlinien ab Seite 303). Sie bestimmen die Gestaltung des Arbeitsplatzes der Benutzer in Abhängigkeit von deren Aufgaben und dem Computer, an dem sie gerade arbeiten. Zu den Einstellungen gehören: Sicherheitsoptionen Zuweisen von Skripts Gestaltung des Desktops Verfügbarmachen bestimmter Anwendungsprogramme Steuerung der Softwarerichtlinien, beispielsweise Funktionen des Windows Explorers oder des Internet Explorers Einige sehr grundlegende Richtlinien können nur auf der Ebene einer Domäne eingestellt werden. Diese Einstellungen gelten dann für alle Objekte dieser Domäne. Dazu gehören: Kennworteigenschaften Verriegelung des Kontos bei Anmeldefehlern Verschlüsselung der Anmeldung (Kerberos) Wiederherstellung von Dateien des verschlüsselnden Dateisystems (EFS) IP-Sicherheit Öffentliche Schlüssel (Zertifikate) Zertifikate für vertrauenswürdige Instanzen Gruppenrichtlinien sind kein Instrument, um Zugriffsrechte zu kontrollieren. Sie können Zugriffsrechte nur einem so genannten Sicherheitsprinzipal von Windows 2000/XP zuweisen, also Benutzern, Computern und Gruppen, nicht jedoch Organisationseinheiten. Das einzige Organisationsinstrument für Zugriffsrechte sind also Gruppen (siehe nachfolgender Abschnitt). Beachten Sie dies bei der Planung der Organisationseinheiten.
13.9.4 Benutzer und Gruppen im Active Directory Nach der Festlegung der Struktur des Active Directory und der Organisationseinheiten wird das Verzeichnis mit den eigentlichen Objekten gefüllt: Benutzer, Gruppen, Computer, Drucker usw. Dabei nehmen Benutzer und Gruppen eine herausragende Sonderstellung ein. Die Verwaltung der Benutzer erfolgt im Active Directory anders als mit einem allein stehenden Windows Vista.
Benutzer- und Gruppenmanagement Benutzer und Gruppen sind auch aus historischer Sicht das primäre Verwaltungskriterium. Mit Active Directory kommen weitere Verwaltungsinstanzen hinzu, wie es in den vorhergehenden Abschnitten
Gruppenrichtlinien dienen der Kontrolle der Benutzerumgebung
Gruppenrichtlinien auf Domänenebene
824 ___________________________________________________ 13 Netzwerkgrundlagen bereits diskutiert wurde. Benutzer und Gruppen bleiben aber, vor allem wegen der vielen spezifischen Eigenschaften, die am intensivsten zu administrierenden Objekte. Dieser Abschnitt führt in das Benutzer- und Gruppenmanagement ein und berücksichtigt dabei die Beziehungen zum Active Directory. Um Benutzer einzurichten und damit zu einem funktionierenden Strategien Netzwerk zu gelangen, gehen Sie in folgenden Schritten vor: Planung der Benutzerkonten und des Gruppenmanagements Hier geht es um die Benutzerkonten. Obwohl zwei Organisationsmöglichkeiten bestehen, Gruppen und Organisationseinheiten, beziehen sie sich dennoch auf ein gemeinsames Element: Benutzer. Hier steht die Frage der Synchronisation an. Planung der Strategie der Gruppenrichtlinien Die Systemrichtlinien in Windows Vista sind in Form der Gruppenrichtlinien ein äußerst leistungsfähiges Werkzeug. Computern mit Windows Vista kann ein explizites Rechtesystem zugewiesen werden, ebenso wie jedem Element in der Struktur des Active Directory. Planung der physischen Struktur der Site, Domänen und Pfade Gruppenrichtlinien können der Site und der Domäne zugewiesen werden. Dadurch haben Sie eine einfache globale Kontrolle der Zugriffs- und Ausführungsrechte, auch wenn sich die physische Struktur der Organisationseinheiten ändert. Planung der Delegation der Administration In großen Unternehmen werden Sie die Aufgaben vielleicht auf mehrere Administratoren verteilen wollen. In kleineren Unternehmen kann in der Urlaubszeit eine Delegierung einiger Aufgaben sinnvoll sein. Dies erfolgt ebenfalls auf Ebene der Organisationseinheiten. Testaufgaben Nicht zu vergessen sind Tests der Einstellungen, damit Benutzer nicht »vergessene« Sicherheitslöcher finden oder Aufgaben nicht ausführen können. Alle Aufgaben und deren Lösung werden nachfolgend ausführlich beschrieben. Das Windows-Sicherheitskonzept für Benutzer basiert auf dem KonUmgang mit Benutzerkonten zept der Benutzerkonten. Jeder Benutzer wird eindeutig identifiziert, um ihm Zugriff auf bestimmte Ressourcen zu geben. Wer auch immer das Netzwerk oder eine Arbeitsstation mit Windows Vista nutzen möchte, benötigt ein Benutzerkonto. Das führt dazu, dass interne Prozesse über Konten verfügen. Diese können jedoch überwiegend nicht administriert werden. Aus Sicht des Benutzers ist dieses Konzept sehr einfach. Der BenutBenutzersicht: Name und Kennwort zername ist für ihn ein fassbarer Begriff, mit dem er täglichen Umgang hat. Aus Sicht des Administrators ist es kritischer. Ein laxer Umgang
13.9 Active Directory______________________________________________________ 825 mit den Benutzerkonten kann zu erheblichen Sicherheitsmängeln führen. Die Verwaltung der Benutzerkonten ist aus zweierlei Sicht bedeutend: Hier wird das Sicherheitsniveau implementiert, das für das Netzwerk wichtig ist. Cleverer Umgang mit den Benutzerkonten kann den administrativen Aufwand signifikant reduzieren. Gruppen sind auch in einer Windows 2000/2003-Serverumgebung der Umgang mit zweite große Komplex in der Benutzerverwaltung. Die Verwendung Gruppen von Organisationseinheiten dient nur der Vereinfachung der Verwaltung und Zuweisung von Richtlinien. Intern bilden Gruppen das primäre Verwaltungsinstrument. Wer sich begierig auf Active Directory stürzt, wird von dieser Aussage vielleicht befremdet sein. Das Gruppenkonzept stützt sich natürlich nicht auf X.500. Es ist quasi neben Active Directory gestellt, was aufgrund der unterschiedlichen Anforderungen sinnvoll ist. Verzeichnisdienste sind vordergründig auf die Informationsweitergabe, globale Authentifizierung und Verteilung von Richtlinien ausgelegt. Die Regelung des Zugriffs auf dezentrale Ressourcen hat damit nur am Rande zu tun. Hier setzt das Sicherheitskonzept von Windows 2000/XP/Vista mit den Access Control Lists (ACL) ein, deren Zuordnung wahlweise Benutzer- oder Gruppenorientiert erfolgen kann.
Elemente der Systemsicherheit Benutzer- und Gruppeninformationen werden in einer zentralen Datenbank gespeichert dem Active Directory. Jedes Element, Benutzer und Gruppen, wird durch den Security Identifier (SID) identifiziert. Wenn ein neues Benutzerkonto angelegt wird, erzeugt Windows eine Security Identifier so genannte SID. Diese Nummer besteht aus zwei Teilen. Der erste bezeichnet die Domäne, der zweite das Element. Dieser zweite Teil wird Relative Security Identifier (RID) genannt. Eine SID wird niemals mehrfach verwendet. Jedes Konto wird deshalb eine eindeutige SID tragen, auch wenn es gelöscht und mit identischem Namen erneut angelegt wird. Alle internen Prozesse in Windows nutzen deshalb immer die SID, niemals den Namen. SIDs identifizieren auch Gruppen und Computer und alle anderen sicherheitsrelevanten Elemente. Jedes Objekt hat eine eindeutige Beschreibung, den Security Descriptor Security Descriptor (SD). Dort werden die Zugriffsrechte des Objekts in Form von Sicherheitsattributen beschrieben. Der SD enthält: Die SID des Eigentümers dieses Objekts. Der Eigentümer darf die Zugriffsrechte auf sein Objekt verändern. Die Liste spezifischer Zugriffsrechte (ACL, Access Control List). Diese Liste beschreibt Benutzerkonten und Gruppen, die explizite
826 ___________________________________________________ 13 Netzwerkgrundlagen Zugriffsrechte erhalten haben oder denen Rechte explizit entzogen wurden. Auch diese Zuordnung darf der Eigentümer ändern. Die System-ACL. Hier werden Systemmeldungen kontrolliert, beispielsweise die Zugriffsüberwachung. Diese Einstellungen kann nur der Systemadministrator ändern. Die ACL spielt also für die Zugriffssicherheit eine herausragende Rolle. Sie wird nachfolgend näher betrachtet.
Die Access Control List ACL und ACE
ACL-Editor
Die Access Control List (ACL) besteht aus einer Liste mit Access Control Entries (ACE). Diese Einträge geben oder entziehen bestimmten Benutzerkonten oder Gruppen Rechte und Zugriffsgenehmigungen. Die Unterscheidung zwischen Zugriff und Ausführung wird folgendermaßen definiert: Rechte regeln die Möglichkeit, Aufgaben auszuführen, beispielsweise die Änderung der Systemzeit. Genehmigungen regeln den Zugriff auf Ressourcen, beispielsweise das Lesen von Verzeichnissen. Ein ACE besteht also immer aus der SID, für die der Eintrag angelegt wird, und den Kontrollinformationen. Es gibt drei Typen von ACEs: ACCESSALLOWED Dieses ACE erlaubt einen Zugriff. ACCESSDENIED Hiermit wird der Zugriff entzogen. SYSTEMAUDIT Dieses ACE überwacht das Objekt. ACCESSALLOWED und ACCESSDENIED können sich widersprechen. In diesem Fall »gewinnt« ACCESSDENIED. SYSTEMAUDIT wird im Wesentlichen zur Überwachung des Objekts verwendet, steuert also, welche Ereignisse zu Einträgen in die Protokolldateien führen. Jeder Eintrag enthält eine so genannte Zugriffsmaske. Damit werden alle zulässigen Aktionen für das Objekt definiert. Vergleichbar ist dies mit einer Liste, aus dem der Administrator Genehmigungen auswählen und wieder abwählen kann. Dies wird bei der Zugriffserteilung zu Dateien und Ordnern im Explorer auch so angezeigt. Die Zugriffserteilung kann dabei NTFS vorausgesetzt sehr differenziert erfolgen. Davon wird man sicher nicht oft Gebrauch machen, Abbildung 13.19 zeigt aber die Möglichkeiten. Die Registerkarte SICHERHEIT wird oft auch als ACL-Editor bezeichnet. Sie ist in nahezu allen sicherheitsorientierten Dialogfeldern in unterschiedlicher Ausprägung anzutreffen. Die Verwaltung jeder einzelnen Datei wird kaum das Ziel des Administrators sein können. Mit den Zugriffsrechten lässt sich hier aber eine übersichtliche Struktur einbringen.
13.9 Active Directory______________________________________________________ 827 Abbildung 13.19: Ermittlung der Zugriffsrechte eines lokalen Benutzers
Zugriffsrechte können auf folgenden Stufen definiert werden: Für das Objekt als Ganzes, dass heißt, für alle Attribute Zu einer Gruppe von Attributen, die durch Eigenschaften des Objekts definiert werden Zu individuellen Attributen des Objekts Insgesamt kennen Objekte 16 verschiedene Zugriffstypen. Abbildung 13.19 zeigt einige davon. Nicht alle Zugriffstypen stehen für alle Objekte zur Verfügung. Die spezifische Zugriffsmaske definiert, welche Zugriffstypen tatsächlich angeboten werden. So würde man bei einem Ordner Rechte wie »Lesen« oder »Ausführen« definieren, für die Druckerwarteschlange dagegen »Bearbeiten und Drucken in der Druckerwarteschlange«. Die Zugriffstypen sind also objektabhängig. Intern muss Windows Vista ständig Zugriffsrechte mit den ACEs vergleichen. Dazu wird ein Zugriffstoken (Access Token) angelegt. Dieses Token beschreibt die Rechte, die ein Benutzerkonto hat. Enthalten sind folgende Informationen: Die SID Die SIDs aller Gruppen, zu denen das Benutzerkonto gehört Die Privilegien dieses Benutzerkontos Das Token wird vom WinLogon-Dienst angelegt, wenn sich der Benutzer am Netzwerk beziehungsweise Server anmeldet. Bei jedem Zugriff wird dann das Zugriffstoken mit der ACL des Objekts verglichen, auf das der Benutzer zugreift. Erscheinen eine oder mehrere der SIDs auch in der ACL, wird der Zugriff auf die Ressourcen im definierten Umfang gewährt.
Stufen der Zugriffsrechte
16 Zugriffstypen standardmäßig verfügbar
Zugriffstoken
828 ___________________________________________________ 13 Netzwerkgrundlagen Gruppen und Mitgliedschaft
Benutzerkonten
Kontakte
Gruppen sind ein Instrument zur Vereinfachung der Verwaltung. Wenn Sie Zugriffsrechte einstellen und dies mehrere Benutzer betrifft, eignen sich Gruppen zu Vereinfachung. Gruppen sind kein Organisationsinstrument im Active Directory, verlieren jedoch wegen der engen Verflechtung von lokalen Sicherheitsdatenbanken und Active Directory nicht ihre Bedeutung. Gruppen werden in Windows durch einen Namen repräsentiert. Generell handelt es sich um einen Weg, die Zugriffsrechte mehrerer Benutzer auf bestimmte Ressourcen einfach zu administrieren. Active Directory verfügt über mehrere vordefinierte Gruppen, eigene können hinzugefügt werden. Aufgrund der Domänenstruktur gibt es verschiedene Gruppen, die entweder lokal oder global sichtbar sind. Ein Benutzerkonto kann Mitglied mehrerer Gruppen sein. Seine Rechte entsprechen der Summe der Rechte aller Mitgliedschaften. Bei sich widersprechenden Einstellungen gewinnt das restriktivste Recht. Neben Benutzern können auch Kontakte Mitglieder von Gruppen sein. Dies ist nur sinnvoll, wenn es sich um Verteiler- oder Sicherheitsgruppen handelt. Kontakte können keine sicherheitsrelevanten Attribute haben. Sie können aber E-Mail an Kontakte versenden oder Benutzern das Einsehen der Kontaktdaten erlauben. Wenn Kontakte Sicherheitsgruppen zugeordnet werden, erben diese nicht die Sicherheitseinstellungen der Gruppe.
13.10 Sicherheit im Netzwerk In Bezug auf die Netzwerksicherheit ist Windows Vista sehr gut ausgestattet. Sowohl der Anmeldevorgang als auch die Übertragungswege können mit allen heute technisch realisierbaren Mitteln geschützt werden. Der Administrator muss die Möglichkeiten natürlich kennen und richtig einsetzen, damit sie wirksam werden können.
13.10.1 Sichere Authentifizierung Erkennung der Identität
Mit Authentifizierung wird der Prozess bezeichnet, der zur Ermittlung der Identität eines Objekts abläuft. Wenn sich ein Benutzer an einem Windows Vista-System anmeldet, gibt er über eine Dialogbox seine Anmeldeinformationen ein. Ein spezielles Subsystem des Betriebssystems überprüft dann, ob die Anmeldeinformationen gültig sind und der Benutzer über diese eindeutig identifiziert werden kann.
Anmeldevorgänge Bevor es jedoch zur Authentifizierung kommt, lohnt ein Blick auf den Anmeldevorgang. Dieser tritt vor allem in den folgenden Arten auf:
13.10 Sicherheit im Netzwerk ______________________________________________ 829 Interaktive Anmeldung Der interaktive Anmeldevorgang betrifft sowohl die Anmeldung »physisch« am Computer selbst als auch die über Terminaldienste oder den Remote Desktop (siehe auch Abschnitt 14.8 RemoteZugriffsmöglichkeiten ab Seite 928). Ebenso wird darüber die Anmeldung an einer Domäne im Active Directory durchgeführt. Netzwerkanmeldung Die Netzwerkanmeldung kommt immer dann zu Einsatz, wenn Sie von Ihrem Windows Vista-System Kontakt zu einem anderen Windows-Computer aufnehmen, um auf dessen Ressourcen, wie freigegebene Ordner und Dateien, zuzugreifen. Anders als die Bezeichnung vielleicht vermuten lässt, ist mit Netzwerkanmeldung nicht die Anmeldung an einer Domäne im Active Directory gemeint. Dies ist ein interaktiver Anmeldevorgang (siehe oben). Dienstanmeldung Dienste spielen eine große Rolle in Windows Vista und brauchen für ihre Ausführung ein Anmeldekonto. Standardmäßig laufen viele Systemdienste unter dem Konto L OKALES SYSTEMKONTO und haben damit uneingeschränkten Zugriff auf die betreffenden Systemkomponenten. Manche Dienste werden über das Konto LOKALER DIENST gestartet. Hinzu kommt für bestimmte Netzwerkdienste das Anmeldekonto NETZWERKDIENST. Dienste können aber auch unter Benutzerkonten laufen und unterliegen dann den Zugriffsbeschränkungen, die für diese eingerichtet worden sind. Weitere Informationen zu Diensten finden Sie in Abschnitt 9.5 Windows Vista-Dienste ab Seite 463.
Komponenten der interaktiven Anmeldung Beim interaktiven Anmeldevorgang kommen verschiedene Systemkomponenten ins Spiel: Credential Provider Credential Provider Windows Vista unterstützt weiterhin standardmäßig Kennwörter statt MSGINA und Smart Cards. Das starre Modell des bisherigen GINA-Moduls (Graphical Identification and Authentication), das in Form einer DLL (MSGINA.DLL) implementiert war, machte es jedoch nicht möglich, flexible Authentifizierungsverfahren zu unterstützen. Für Programmierer war es ausgesprochen schwierig, eine Erweiterung oder einen Ersatz für die MSGINA.DLL zu entwickeln. Viele Kunden aus dem Unternehmensbereich forderten indes eine Authentifizierung, die sich aus mehreren Faktoren zusammensetzt. So sollen sich für eine gesicherte Anmeldung biometrische Verfahren mit Smartcards oder Kennwörtern koppeln lassen. An die Stelle des GINA-Moduls sind die so genannten Credential Provider getreten, die eine korrekte Anmeldung bescheinigen. Programmierer können eigene Credential Provider für Vista entwerfen. Codebei-
830 ___________________________________________________ 13 Netzwerkgrundlagen
Winlogon
LSA
SAM
spiele (Samples) stehen auf Microsofts Downloadcenter-Seite im Internet bereit. www.microsoft.com/downloads/details.aspx?FamilyID= 1287ec56-77b4-48c4-8b58-35b7295d6c2c&DisplayLang=en Weiterhin steht den Entwicklern jetzt ein API-Modell zur einfachen Integration von Smartcards zur Verfügung. Microsoft liefert auch Tools zur Bereitstellung und Verwaltung von Smart Cards. Windows Vista ermöglicht also die Implementierung von eigenen Authentifizierungsmöglichkeiten durch externe Entwickler. Winlogon Dieser Prozess, der speziell abgesichert ist, fragt die Anmeldeinformationen über das Logon-Userinterface (LogonUI) ab und leitet diese an die LSA weiter. LSA (Local Security Authority) Anhand der Anmeldeinformationen ermittelt die LSA, ob die Anmeldung lokal am System oder an einer Domäne erfolgen soll. Dementsprechend erfolgt dann die Auswahl der entsprechenden Dienste und Protokolle. SAM (Security Accounts Manager) Diese Komponente ist für die Verwaltung der Daten für die Benutzer- und Gruppenkonten verantwortlich. Bei der lokalen Anmeldung werden die Anmeldedaten mit der lokal gespeicherten SAMDatenbank abgeglichen. Bei der Anmeldung an einer Domäne ist dies die SAM-Datenbank auf dem Domänencontroller (bei Windows NT 4) oder die Verzeichnisdatenbank (Active Directory).
Authentifizierungsprotokolle
NTLM
Tabelle 13.17: Unterstützte Versionen des NTLMProtokolls
Die LSA übergibt die erhaltenen Anmeldedaten nicht direkt an die entsprechenden Dienste zur Authentifizierung, sondern an das SSPI (Security Support Provider Interface). Dieses kommuniziert seinerseits wiederum über eines der Authentifizierungsprotokolle mit den entsprechenden Komponenten auf der Gegenseite: NTLM Dies ist das Standardprotokoll der Authentifizierung unter Windows NT und wird weiterhin von Windows 2000, XP und Vista unterstützt. In der nachfolgenden Tabelle finden Sie eine Übersicht über die drei unterstützten Versionen dieses Protokolls unter WindowsVista: Version
Sicherheitsstufe
LM (Lan Manager)
Niedrig
NTLM 1
Mittel
Umgebung/Clients Windows for Workgroups Windows 9x/Me Windows NT4 Domäne (bis Service Pack 3)
13.10 Sicherheit im Netzwerk ______________________________________________ 831 NTLM 2
Mittel bis Hoch
Windows NT4 Domäne (ab Service Pack 4) Windows 2000/XP/Vista (Lokal und Peer-to-PeerVernetzung) Windows 9x/Me (mit Active Directory-Client)
Unter Windows Vista wird das NTLM-Protokoll über den NTLMTreiber MSV1_0.DLL bereitgestellt. Es kommt im Prinzip immer dann zum Einsatz, wenn der Computer nicht in eine Active Directory-Domäne eingebunden ist, sondern lokal arbeitet oder Mitglied einer Arbeitsgruppe oder einer Windows NT4-Domäne ist. Im nachfolgenden Abschnitt ab Seite 832 wird der NTLM-Authentifizierungsprozess für die lokale Anmeldung und die Anmeldung an einer NT4-Domäne detailliert vorgestellt. Kerberos Kerberos Dieses Protokoll wurde als Standard-Authentifizierungsprotokoll mit Windows 2000 erstmals eingeführt. Es kommt immer dann zum Einsatz, wenn ein Windows-System (2000, XP oder Vista) Mitglied einer Active Directory-Domäne ist und sich bei einem Domänencontroller anmeldet. Vernetzen Sie hingegen Windows Vista-Arbeitsstationen in einem Peer-to-Peer-Netzwerk miteinander (siehe auch Abschnitt 13.1.1 Peer-to-Peer oder Domäne? ab Seite 741), erfolgt die Authentifizierung nur über NTLM. Derzeit ist in Windows Vista Kerberos in der Version 5 implemen- Kerberos V5 tiert. Kerberos wurde am MIT (Massachusetts Institute of Technology) entwickelt. Es ist in der RFC 1510 definiert: www.ietf.org/rfc/rfc1510.txt RFC 1510 Eine etwas anschaulichere Darstellungen finden Sie auf der »Kerberos Homepage des MIT«: web.mit.edu/kerberos/www/index.html Der Einsatz erfolgt, damit Kennwörter nicht offen über das Netzwerk übertragen werden. Normalerweise ist dies notwendig, denn vor der ersten Authentifizierung können sich Sender und Empfänger noch nicht auf ein gemeinsames Verschlüsselungsverfahren und die passenden Schlüssel verständigt haben. Kerberos verwendet zum einen ein Verschlüsselungsverfahren für Schlüssel, zum anderen so genannte Zeittickets, die den Ablauf der Übertragung kontrollieren. Microsoft hat den Kerberos-Standard weiterentwickelt, sodass nun auch Zertifikate mit öffentlichen Schlüsseln eingesetzt werden können. Diese Schlüssel können nur mit einem entsprechenden Zertifikatserver erstellt werden. Sowohl in die Produkte der Windows 2000 Server- als auch in die der Windows Server 2003-Familie ist ein solcher Zertifikatserver integriert. Vorteil ist der mögliche Verzicht auf die Beschaffung von Zertifikaten von
832 ___________________________________________________ 13 Netzwerkgrundlagen einem öffentlichen Herausgeber, der in der Regel Geld für diese Dienstleistung verlangt. In Abschnitt Kerberos-Authentifizierung näher betrachtet ab Seite 833 wird dieser Anmeldeprozess etwas genauer unter die Lupe genommen.
NTLM-Authentifizierung näher betrachtet SAS
Die NTLM-Authentifizierung läuft folgendermaßen ab: 1. Der Benutzer drückt die Tastenkombination Strg+Alt+Entf (siehe Seite 134, wie Sie das erzwingen können). Mit dieser Tastenkombination, auch mit SAS (Secure Attention Sequence) abgekürzt, wird eine höhere Sicherheit erreicht, da hiermit das System in einen definierten »Anfangszustand« versetzt wird. 2. Der Winlogon-Prozess ruft daraufhin das Logon-UI-Modul auf. Dieses stellt die Benutzerschnittstelle zur Eingabe der Anmeldeinformationen bereit. Der Benutzer gibt seine Anmeldeinformationen ein und kann dabei bestimmen, ob die Anmeldung lokal am System oder an einer Domäne erfolgen soll. 3. Das Logon-UI-Modul übergibt die Anmeldeinformationen über die Credential Provider Interfaces (Schnittstellen) an die Credential Provider. Die geprüften Informationen werden an das LogonUI und dann an Winlogon zurückgegeben. 4. Winlogon übergibt die Anmeldeinformationen an die LSA (Local Security Authority). Diese wiederum übergibt diese Informationen an das SSPI (Security Support Provider Interface). 5. Über das SSPI werden die Anmeldeinformationen zunächst immer an den KSSP (Kerberos Security Support Provider) weitergeleitet. Dieser prüft über das KDC (Key Distribution Center), ob das Ziel-Anmeldesystem eine Active Directory-Domäne oder der lokale Computer ist. Wird eine Anmeldung im Verzeichnis erkannt, erfolgt die Fortführung des Kerberos-Authentifizierungsprozesses. 6. Wird die Anmeldung an einem lokalen System oder einer NT4-Domäne festgestellt, erfolgt eine erneute Initiierung des Anmeldeprozesses. Über Winlogon und LSA werden die Anmeldeinformationen erneut an das SSPI übergeben. Diesmal kommt das NTLMProtokoll zum Einsatz (über den NTLM-Treiber MSV1_0). 7. Bei einer lokalen Anmeldung werden dann die Anmeldeinformationen mit der lokalen SAM-Datenbank abgeglichen. Erfolgt die Anmeldung bei einer Windows NT4-Domäne, werden die Anmeldeinformationen über den Anmeldedienst mit der SAM-Datenbank auf dem entsprechenden Domänencontroller abgestimmt. Kann der Benutzer erfolgreich authentifiziert werden, werden die in der Datenbank gespeicherten SIDs (Security Identifier; siehe auch Abschnitt 5.3.2 Benutzer ab Seite 271) für den betreffenden Benutzer ermittelt und über das NTLM-Protokoll an die LSA übergeben. Neben der SID für das Benutzerkonto sind das auch die SIDs der
13.10 Sicherheit im Netzwerk ______________________________________________ 833 Gruppen, denen der Benutzer angehört (siehe auch Abschnitt 5.3.3 Gruppen ab Seite 276). 8. Die LSA erstellt aus den SIDs schließlich ein Zugriffstoken für den Benutzer und sendet es an Winlogon. Dieses Zugriffstoken wird generell mit jeder Anmeldung neu erstellt und enthält neben den genannten SIDs weitere Informationen, die vor allem die Zugriffsrechte für den Benutzer beeinflussen. So sind hier beispielsweise auch die Standard-ACLs (Access Control Lists) enthalten, die auf alle vom Benutzer erstellten Objekte (Dateien, Ordner etc.) angewendet werden, wenn nicht andere Zugriffsrechte wirksam sind. 9. Winlogon startet abschließend unter Verwendung des Zugriffstokens die Sitzung mit der Umgebung des Benutzers.
Kerberos-Authentifizierung näher betrachtet Die Bezeichnung Kerberos stellt eine schöne bildhafte Beschreibung dieses »trockenen« technischen Protokolls dar: Mit Kerberos (oder Zerberus) wird in der klassischen griechischen Mythologie der dreiköpfige Hund benannt, der den Eingang zum Hades, der Unterwelt, bewacht. Damit wird das Grundprinzip des Protokolls reflektiert, an dem drei Parteien beteiligt sind: Client, Server und ein vertrauenswürdiger Dritter. Letzterer ist hierbei das KDC (Key Distribution Center), welches im Active Directory verankert ist. Das KDC kennt alle Sicherheitsprinzipale der Domäne und kann deshalb sichere Schlüssel für alle beteiligten Partner ausstellen. Mit Kerberos wird die Kommunikation zwischen Server und Client für die Authentifizierung stark reduziert. Genau genommen läuft hierfür ein einmaliger Vorgang ab, der auch mit Single Sign-On bezeichnet wird. Dabei wird sowohl die Authentizität von Client zu Server als auch umgekehrt, Server gegenüber Client, sichergestellt. Das ist bei NTLM nicht der Fall hier erfolgt nur eine Authentifizierung des Clients gegenüber dem Server, die Authentizität des Servers wird einfach angenommen. In der nachfolgenden Auflistung finden Sie die Kerberos-Authentifizierung am Beispiel der Nutzeranmeldung an einer Active DirectoryDomäne näher erläutert. Grundsätzlich treffen die dabei beschriebenen Vorgänge auch auf andere Authentifizierungsvorgänge zu, beispielsweise bei der gegenseitigen Authentifizierung von Domänencontrollern im Active Directory, die Vertrauensstellungen aufbauen. 1. Der Benutzer drückt die Tastenkombination Strg+Alt+Entf, die SAS (Secure Attention Sequence; siehe auch Seite 832). 2. Der Winlogon-Prozess ruft das LogonUI-Modul auf, welches die Benutzerschnittstelle zur Eingabe der Anmeldeinformationen bereitstellt. 3. Das LogonUI lässt über Schnittstellen die Anmeldeinformation von den Credential Providern überprüfen und gibt das Ergebnis der Überprüfung an den Winlogon-Prozess zurück.
Single Sign-On und Gegenseitigkeit
Prozedur Schritt für Schritt
834 ___________________________________________________ 13 Netzwerkgrundlagen 4. Nach Erhalt der überprüften Anmeldeinformationen übergibt Winlogon diese an die LSA (Local Security Authority), welche sie wiederum an das SSPI (Security Support Provider Interface) weiterleitet. 5. Über das SSPI werden die Anmeldeinformationen an den KSSP (Kerberos Security Support Provider) weitergeleitet. 6. Das SSPI stellt aus den Anmeldeinformationen und einem Zeitstempel ein Paket zusammen. Der Zeitstempel wird wiederum mit dem geheimen Schlüssel des Benutzers verschlüsselt. Dieses Paket wird an das KDC (Key Distribution Center), geleitet. Das KDC befindet sich auf einem Active Directory-Domänencontroller. Kerberos basiert auf der Überlegung, dass zwei Stellen sich gern gegenseitig vertrauen möchten und dazu über einen geheimen Schlüssel verfügen. Da der Übertragungsweg zwischen diesen Stellen aber nicht sicher ist, können sie nicht einfach den Schlüssel austauschen. Die beiden Partner verwenden daher einen kryptografischen symmetrischen Schlüssel, der sowohl ver- als auch entschlüsseln kann und den nur sie beide kennen. Mit diesem Schlüssel wird eine zur Identifikation geeignete Information (der Zeitstempel im Paket mit den Benutzer-Anmeldedaten) verschlüsselt und vom Partner wieder entschlüsselt. Durch den kryptografischen Schlüssel wird lediglich die Echtheit der Verschlüsselung überprüft, weder die Information selbst noch der Schlüssel werden dem Empfänger bekannt gegeben. Der Empfänger kann nur feststellen, dass der Partner über ein zu seinem Schlüssel passendes Exemplar verfügt. Horcht ein Hacker an der Leitung und empfängt das verschlüsselte Paket, verfügt er nicht über das Pendant des anderen Teilnehmers. Er kann vielleicht mit viel Aufwand dieses Paket entschlüsseln, erfährt aber nur die sinnlose Information, die zu Prüfzwecken verschlüsselt wurde. Dieser erste Schritt ist also nur eine Echtheitsbestätigung. Der Vorgang kann in beiden Richtungen ablaufen, sodass sich sowohl der Server als auch der Client gegenseitig der Echtheit versichern Über die Verschlüsselung des Zeitstempels wird übrigens sichergestellt, dass das Paket nicht einfach abgefangen und woanders bearbeitet werden kann. Der Ablauf muss damit zwangsweise immer zeitnah sein. Der Standardwert beträgt fünf Minuten und kann in den Sicherheitsrichtlinien vom Administrator geändert werden. Damit wird auch eine Wiederverwendung der Pakete verhindert. Sie verfallen also nach einer definierten, relativ kurzen Zeitspanne. 7. Das KDC erstellt zwei Kopien eines Sitzungsschlüssels. Beide werden an den Client gesendet. Die Kopie für den Server wird mit den Daten des Clients in einem Sitzungsticket verpackt. Dazu kommt der Sitzungsschlüssel. Alles zusammen wird mit dem neuen geheimen Schlüssel verschlüsselt. Der Client empfängt dieses Paket und extrahiert das Ticket und die Kopie des Schlüssels. Der Schlüssel wird im Speicher gehalten, nicht auf der Festplatte ein Diebstahl des Clientcomputers ist also zwecklos. Wenn der Client nun mit dem Server kommunizieren will, sendet er das originale
13.10 Sicherheit im Netzwerk ______________________________________________ 835 Ticket zurück, dessen Inhalt er weder entschlüsseln noch verändern kann. Außerdem verschlüsselt er seine Anmeldedaten, also das Kennwort, mit dem übertragenen Sitzungsschlüssel. Damit wird er vom Server authentifiziert. Das Kennwort ging also niemals unverschlüsselt über die Leitung. Der KDC kann das Ticket entschlüsseln, weil er über den Originalschlüssel verfügt. Damit kann er überprüfen, ob das Ticket von ihm selbst stammt. So sind Angriffe durch gefälschte KDC ausgeschlossen (die überdies auch einen gültigen Domänencontroller simulieren müssten). Der Client wiederum muss über Benutzername (mit Kennwort) verfügen, der auch in der Domäne bekannt sein muss. Diese Daten sind aber zu keinem Zeitpunkt unverschlüsselt übertragen worden, sodass ein Abhören der Leitung zwecklos ist. Selbst ein Diebstahl des Clientcomputers ist sinnlos, weil dort keine relevanten Daten gespeichert sind. In der Praxis ist das Sitzungsticket auch für folgende Authentifizierungen gültig, sodass der KDC nicht ständig Anfragen bearbeiten muss. Die Laufzeit der Tickets ist aber begrenzt. Der Standardwert beträgt zehn Stunden. Dieser Wert kann in den Sicherheitsrichtlinien eingestellt werden. Damit wird üblicherweise ein Arbeitstag abgedeckt. Das Sitzungsticket wird früh beim Anmelden ausgestellt und bleibt dann den ganzen Tag gültig. Schlüssel und Ticket werden stets ausschließlich im Hauptspeicher gehalten, einem reservierten Bereich, der auch mit Kerberos-Ticketcache oder Cache für Anmeldeinformationen bezeichnet wird. Dieser Bereich wird niemals auf die Festplatte ausgelagert, sodass die Daten mit Herunterfahren des Computers verloren gehen. Damit kann auch mit einem Diebstahl des Computers niemand in den Besitz der geheimen Schlüssel oder der Tickets gelangen. Bei der erstmaligen Anmeldung eines Clients und nur dann wird ein Langzeitschlüssel erstellt. Dieser Prozess geht mit der Herausgabe des Sitzungstickets einher. Der KDC gibt dabei ein spezielles Ticket an sich selbst heraus, »Ticket erteilendes Ticket« genannt (Ticket Granting Ticket - TGT). Der Langzeitschlüssel für diesen ersten Vorgang basiert auf einer Hashfunktion, die das eingegebene Benutzerkennwort als Startwert benutzt. Hashfunktionen verschlüsseln nur in einer Richtung, sind also nach heutigen Kenntnissen nicht dechiffrierbar. Eine typische Hashfunktion ist MD5. Der aus dem Kennwort abgeleitete Schlüssel wird verwendet, um das erste Sitzungsticket zu entschlüsseln. Das ist möglich, weil der Server auch über die Kennwortinformationen verfügt und, dieselbe Hashfunktion vorausgesetzt, gleichartige Schlüssel erstellt. Kerberos läuft für den Benutzer völlig transparent ab. Verwendet werden bei jeder Authentifizierung das TGT mit dem Langzeitschlüssel (der an das Kennwort gebunden ist), der aktuelle Sitzungsschlüssel (der täglich wechselt) und die Echtheitsbestätigung des Clients.
Zeitbegrenzung des Sitzungstickets
Ticketcache
Langzeittickets
Anwendung
836 ___________________________________________________ 13 Netzwerkgrundlagen
13.10.2 Sichere Netzwerkübertragung mit IPSec Eine sichere Anmeldung, beispielsweise über das Kerberos-Protokoll, bedeutet nicht, dass der Netzwerkdatenverkehr selbst gesichert ist. Das Standardprotokoll IP (siehe auch Abschnitt Internet Protocol (IP) ab Seite 761) bietet standardmäßig keine Möglichkeiten für eine geschützte Übertragung. Mit geeigneter Soft- und Hardware können Hacker problemlos IP-Pakete abfangen und deren Inhalt auslesen oder sogar verfälscht weitergeben.
Anwendungsbereiche für die Netzwerkverschlüsselung LAN
Der Netzwerkverkehr ist in diesen Anwendungsbereichen gefährdet: Intranet In den meisten Firmennetzwerken laufen die Datenströme ungeschützt über die Kabel. In sicherheitskritischen Bereichen ist es aber durchaus einer Überlegung wert (und ist in der Praxis teilweise schon Realität), den Transport der Daten im Intranet wirksam zu schützen. Allerdings macht das sicherlich nur dann Sinn, wenn das gesamte Sicherheitskonzept keine Schwächen aufweist. So werden Datendiebe auch bei den folgenden Quellen fündig: - Schlecht gesicherte Firmen-Räumlichkeiten: Wenn brisante Daten ausgedruckt herumliegen oder in frei zugänglichen Aktenordnern abgeheftet sind, braucht sich niemand die Arbeit zu machen, erst Computer zu knacken. - In Verbindung mit dem ersten Punkt: Unzureichende Kennwort-Richtlinien beziehungsweise deren laxe Handhabung in der Praxis, die zu leicht dechiffrierbaren Mitarbeiter-Kennwörtern führen (Denken Sie an die Vornamen der Kinder!). - In einfachen Büroräumen abgestellte Serversysteme (oder Notebooks!), die so bei einem Diebstahl leichte Beute sind oder die damit einen einfachen physischen Zugang ermöglichen (siehe auch Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572). - Wenn auch Ihre Netzwerkkabel über eine IPSec-Implementierung keine Daten an potentielle Lauscher mehr abgeben denken Sie an die Abstrahlung von Bildschirmen, die mit etwas technischem Geschick und handelsüblicher Gerätschaft aus dem Elektronik-Laden über einige Entfernungen aufgefangen werden können. Diese kleine Aufstellung erhebt keinen Anspruch auf Vollständigkeit, soll aber auf die grundsätzliche Problematik hinweisen. Es reicht also nicht aus, nur die Authentifizierung und die Netzwerkübertragung sicher zu gestalten, wenn andere Sicherheitslücken bleiben.
13.10 Sicherheit im Netzwerk ______________________________________________ 837 Internet-Verbindungen Internet (SSL) In der Praxis deutlich mehr Relevanz, vor allem auch für den privaten Nutzer, hat die Absicherung der Verbindung ins Internet. Hier gibt es mit SSL (Secure Socket Layer) bereits eine heute weit verbreitete und sichere Lösung. Als Voraussetzung für den Einsatz von SSL müssen allerdings die betreffenden Anwendungen das Protokoll unterstützen. Das sind beispielsweise der Webserver sowie der Browser auf der Seite des Clients. Eine generelle Absicherung beliebiger IP-Netzwerkverbindungen ist damit nicht oder nur mit entsprechendem Aufwand möglich. Detaillierte Informationen zu SSL finden Sie in unserem Buch Internet Information Server 5. WAN-Verbindungen und VPNs WAN und VPN Wollen Sie zwei Computer (oder Netzwerke) über eine Datenfernverbindung miteinander koppeln, können Sie das heute über zwei grundlegende Techniken erledigen: - Direkte Datenfernübertragung (DFÜ) Sie benutzen dazu ein Modem oder ein ISDN-Adapter und wählen sich mit einem System (DFÜ-Client) beim anderen (DFÜ-Server) ein. In Abschnitt 14.7.1 Direkte Einwahl ab Seite 908 wird beschrieben, wie Sie dies mit zwei Windows VistaSystemen implementieren können. - VPN (Virtuelles Privates Netzwerk) Während bei einer klassischen DFÜ-Verbindung immer die vollen Verbindungskosten, abhängig von der Entfernung, anfallen, wird bei der Einrichtung eines VPNs eine bereits bestehende Infrastruktur genutzt. In den meisten Fällen ist dies das Internet. Haben zwei Computersysteme eine Verbindung ins Internet eröffnet, können Sie prinzipiell auch miteinander in Kontakt treten. Beide verfügen dazu über eine öffentliche und damit auch prinzipiell weltweit erreichbare IP-Adresse. Weitere Informationen zur Einrichtung finden Sie in Abschnitt 14.7.2 VPN-Verbindung ab Seite 918. Bei einer klassischen DFÜ-Verbindung können auch proprietäre Sicherheitsrisiken Netzwerkprotokolle (wie beispielsweise IPX/SPX, NetBEUI oder Appletalk) zum Einsatz kommen. Diese sind zwar nicht unbedingt sicherer als TCP/IP, bei Hackern aber bei weitem nicht so geläufig und damit wesentlich weniger kriminellen Abhörversuchen ausgesetzt. Anders sieht das bei der Implementierung eines VPNs aus: Hier ist üblicherweise die Verwendung von IP Pflicht und damit auch das Risiko, abgehört zu werden, größer.
IPSec im Detail Mit IPSec (IP Security) steht eine Protokolltechnik bereit, die generell die Verbindung zwischen zwei Computersystemen über IP absichern kann. Dabei spielt die Art dieser Verbindung, ob im lokalen Netzwerk,
838 ___________________________________________________ 13 Netzwerkgrundlagen
RFCs 1825 1829
IPSec und PPTP
Authentifizierung
Zwei Betriebsmodi: - Tunnelmodus
per DFÜ oder VPN, keine Rolle. Wichtig ist nur, dass beide Seiten IPSec »verstehen«. Das beginnt damit, dass sie sich über eine Authentifizierungsmethode einigen müssen. Damit wird deutlich, dass IPSec nicht allein auf den reinen Netzwerktransport der Datenpakete beschränkt ist, sondern ein Paket von Protokollen umfasst, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb der Verbindung zuständig sind. IPSec ist in den RFCs 1825 1829 spezifiziert. Der häufigste Anwendungsbereich von IPSec ist die Verschlüsselung des Datenverkehrs im VPN. Dabei kommt es im Zusammenhang mit dem L2TP (Layer 2 Tunneling Protocol) zum Einsatz. Dieses Protokoll löst zunehmend PPTP (Point-to-Point Tunneling Protocol) ab, das bisher unter Windows NT verfügbar war. L2TP verfügt im Gegensatz zu PPTP über keine integrierte Verschlüsselungstechnologie, sodass hier der Einsatz von IPSec eine geeignete Lösung darstellt. IPSec arbeitet mit einer symmetrischen Verschlüsselungstechnik. Das bedeutet, dass beide IPSec-Clients über den gleichen Schlüssel verfügen. Dieser Schlüssel kann mit diesen Methoden vor dem eigentlichen Verbindungsaufbau auf beide Clients verteilt werden: Manuell Dies ist die einfachste Methode. Sie installieren auf beiden Systemen den gleichen Schlüssel in Form einer ASCII-Zeichenfolge. Von Nachteil ist allerdings der manuelle Aufwand, da Sie den Schlüssel auf einem sicheren Weg (eben nicht unverschlüsselt über eine EMail) auf beide Systeme bringen müssen. Kerberos Die IPSec-Implementierung unter Windows Vista unterstützt Kerberos als Authentifizierungsmethode. Diese können Sie allerdings nur dann benutzen, wenn beide Clients im selben Active Directory integriert sind. X.509-Zertifikate Über eine PKI (Public Key Infrastructure) können Sie öffentliche Schlüssel einsetzen. Dies macht dann Sinn, wenn Sie die Verbindung mit Systemen herstellen wollen, die nicht über Kerberos verfügen. Dazu benötigen Sie eine vertrauenswürdige Zertifizierungsstelle. Diese können Sie über ein Windows 2000/2003-Serversystem selbst einrichten oder Sie nutzen Zertifikate kommerzieller Anbieter. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Im Tunnelmodus (siehe Abbildung 13.20) wird das komplette IP-Paket verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, dass es IP-Pakete annimmt, sie in IPSec-Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, welches das
13.10 Sicherheit im Netzwerk ______________________________________________ 839 ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muss. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen. Der IPSec-Kopf wird hinter dem IP-Kopf eingefügt. Er kann zwei Komponenten enthalten, die einzeln, unabhängig voneinander oder zusammen eingesetzt werden können: den Authentifizierungskopf (Authentification Header, AH) und den Encapsulating Security Payload (ESP). Der AH sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-Kopfes. Er bietet jedoch keinen Schutz der Vertraulichkeit. Der AH benutzt eine kryptographische Hashfunktion (keyed-hash function) und keine digitale Signatur, da diese Technik zu langsam ist und den Datendurchsatz im VPN stark reduzieren würde. Der ESP schützt die Vertraulichkeit, die Integrität und Authentizität von Datagrammen. Er schließt aber die statischen Felder des IPHeaders bei einer Integritätsprüfung nicht ein. Abbildung 13.20: Aufbau von IPSecPaketen im Tunnelmodus
Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu - Transportmodus transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt. Abbildung 13.21: Aufbau von IPSecPaketen im Transportmodus
840 ___________________________________________________ 13 Netzwerkgrundlagen
Verschlüsselungsverfahren
Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Demgegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Außerdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die IP-Header nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so dass man nur feststellen kann, welche Stationen wie viele Daten austauschen, aber nicht welche Daten. IPSec verwendet das Diffie-Hellman Schlüsselaustauschverfahren zur Identitätsprüfung. Die benutzten kryptographischen Hashfunktionen sind unter anderem HMAC, MD 5 und SHA. Als Verschlüsselungsalgorithmen dienen zum Beispiel DES, AES und IDEA, Blowfish und RC4. Alle diese Verfahren näher zu erläutern, würde leider den Rahmen des vorliegenden Buches sprengen. Interessierten Lesern sei dazu dieses Fachbuch zu empfehlen: Simon Singh: Geheime Botschaften, Carl Hanser Verlag, 2000
Grundsätzliche Implementierung Die Verwendung von IPSec unter Windows Vista wird mit Hilfe von Sicherheitsrichtlinien aktiviert. Ist das System in ein Active Directory integriert, können Sie Sicherheitsrichtlinien auf den folgenden Ebenen definieren: Domäne Standort Organisationseinheit Lokaler Computer Die Implementierung von IPSec wird bei Windows Vista und Windows Server Longhorn Authenticated Internet Protocol (AuthIP) genannt und stellt eine Erweiterung des Internet Key Exchange (IKE)-Protokolls dar. AuthIP vereinfacht die IPSec Policy Konfiguration. So war bisher die Konfiguration von Firewall und IPSec-Einstellungen getrennt vorzunehmen. Bei Windows XP konnte es vorkommen, dass die Windows Firewall den Datenverkehr erlaubt und IPSec blockiert (oder auch anders herum). Die neue Firewall (siehe Abschnitt 13.10.5 Windows-Firewall ab Seite 843) wird mithilfe eines Snap-Ins zur authentifizierenden Firewall, die die Sicherheitseinstellungen zentral verwaltet. In Abschnitt IPSec zwischen zwei lokalen PCs einsetzen ab Seite 923 finden Sie weiterführende Informationen zu den dazu notwendigen Administrationsschritten bei Systemen, die nicht in eine Active Directory-Domäne integriert sind. Umfassender wird das Thema in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 behandelt.
13.10 Sicherheit im Netzwerk ______________________________________________ 841
13.10.3 Mehr zur Absicherung von WAN-Verbindungen Neben Kerberos und IPSec unterstützt Windows Vista weitere Sicherheitsstandards zur Absicherung von WAN-Verbindungen. Ein Windows Vista-System kann schließlich sowohl als DFÜ-Server als auch als DFÜ-Client eingesetzt werden.
Kennwortauthentifizierung Für die Authentifizierung des Benutzers durch den Anmeldevorgang können Sie die folgenden Sicherheitsprotokolle einsetzen: PAP (Password Authentication Protocol) Kennwörter werden im Textformat und unverschlüsselt übertragen. Das ist einfach und schnell, aber nicht sicher. PAP wird oft verwendet, wenn die Gegenstelle nicht bekannt ist und ein sicheres Protokoll nicht ausgehandelt werden kann. CHAP (Challenge Handshake Authentication Protocol) Dieses Protokoll nutzt eine sichere Übertragung der Kennwörter. Verwendet wird der Hash-Algorithmus MD 5 (Message Digest 5). MD 5 ist ein Datentransformationsalgorithmus, der nur in einer Richtung arbeitet, also nicht wieder entschlüsselt werden kann. Beide Seiten transformieren das Kennwort mit MD 5 und vergleichen es dann. Wird das Kennwort abgefangen, ist es wertlos, weil nur der transformierte Code über den Übertragungsweg geht. MS-CHAP (Microsoft-spezifische Version von CHAP) Dies ist eine spezielle Implementierung von CHAP, die über dieselben Eigenschaften verfügt, dem Nutzer aber den Komfort einer LAN-basierten Anmeldung innerhalb einer reinen MicrosoftUmgebung erlaubt. Aktuell in Windows Vista ist die Version 2. EAP (Extensible Authentication Protocol) EAP ist eine Erweiterung von PPP (Point-to-Point Protocol). EAP bietet zusätzliche Sicherheitsfunktionen innerhalb von PPP. Die Definition erfolgt in RFC 2284. Eine Erweiterung ist TLS (Transport Layer Security), definiert in der RFC 2716. PPP selbst stellt nur die Verbindung her, besitzt also keinen Authentifizierungsmechanismus, wie sie in dieser Auflistung beschrieben werden.
Verschlüsselung Ist das Kennwort erfolgreich ausgetauscht, beginnt die Datenübertragung. Auch hier gilt; Je länger die Verbindung, um so unsicherer der Weg. Eine Verschlüsselung der Übertragung ist immer zu empfehlen.
Rückruf Der Rückruf ist eine ebenso einfache wie wirkungsvolle Sicherheitsmaßnahme. Bei der Verwendung einer direkten Verbindung zu einem
PAP
CHAP
MS-CHAP
EAP
842 ___________________________________________________ 13 Netzwerkgrundlagen
Rückruf einrichten ab Seite 908
entfernten Computer, beispielsweise per Telefon, kann der Rückruf feindliche Zugriffe massiv erschweren. Der entfernte Computer, der sich mit einem Server verbinden möchte, meldet sich dort an und bittet um Rückruf. Der Server trennt sofort die Verbindung und baut nun seinerseits die Verbindung auf basierend auf der bei ihm hinterlegten Nummerninformation. Ein Anruf von einem nicht zuvor autorisierten Telefonanschluss ist daher zwecklos. Informationen zur Einrichtung des Rückrufs finden Sie in Abschnitt 14.7.1 Direkte Einwahl ab Seite 908.
13.10.4 Netzwerkzugriffsschutz In Windows Vista ist ein neues Sicherheitsfeature integriert, das den Zugriff externer Clients auf Ihr Netzwerk verhindert, wenn ein bestimmtes Maß an Sicherheitsupdates (siehe Abschnitt 2.10 Windows Update ab Seite 93), Virenscannerupdates oder anderen zwingenden Vorgaben nicht erfüllt wird. Der Netzwerkzugriffsschutz (Network Access Protection NAP) kann Ihr Netzwerk nicht nur vor mangelhaft geschützten LAN-Clients schützen, sondern auch vor RAS-Clients (siehe Abschnitt 14.7.1 Direkte Einwahl auf Seite 908). Vista benutzt für die Übertragung der Statusinformationen des Clients einen so genannten Agenten. Die Annahme der Informationen wird von einem Dienst vorgenommen, der auf einem Windows Server »Longhorn« läuft. Dieser überprüft, ob der Client Zugriff auf das private (Firmen-) Netzwerk bekommt oder nicht. Vielen Administratoren sind Mitarbeiter im Außendienst »ein Dorn im Auge«, weil sie selten Kontakt zum Firmennetzwerk aufnehmen. Dadurch war es bisher fast unmöglich ein einheitliches Sicherheitsniveau für alle Netzwerk-Clients zu erreichen. Der Netzwerkzugriffsschutz erhöht die Sicherheit, denn er sorgt dafür, dass externe Clients mit Windowsupdates und aktuellen Virussignaturen versorgt werden, bevor sie eine Verbindung zum privaten Netzwerk aufbauen. Gerade mobile PCs und Remotecomputer sind oft dafür verantwortlich, dass Viren und Würmer in Firmennetze eingeschleust werden. Die Durchsetzung der Sicherheitsanforderungen kann mit dem Netzwerkzugriffsschutz auf folgende Weise erfolgen: Sie können den Computern, die die Sicherheitsanforderungen nicht erfüllen, den Zugang zum Netzwerk gänzlich verbieten. Sie können weiterhin dafür sorgen, dass der Anwender eine Chance bekommt sein System Ihrem Sicherheitsstandard anzupassen. Dazu stellen Sie Anweisungen bereit, mit denen Aktualisierungen durchgeführt werden können. Da nicht für alle Bereiche eine solche Interaktion wünschenswert ist, können Sie die Aktualisierungen auch automatisch durchführen. Ein beschränkter Netzwerkzugriff kann ebenfalls eingerichtet werden. So kann der Zugriff auf einen WSUS-Server (siehe Erweiterte Optionen für Administratoren ab Seite 97) gewährt, die Verbindung
13.10 Sicherheit im Netzwerk ______________________________________________ 843 zu einem Produktionsserver aber unterbunden werden. Für die NAP-Clientverwaltung gibt es ein Snap-in für die MMC (siehe Abschnitt 4.2 Die Microsoft Managementkonsole ab Seite 193). Die Hilfe des Snap-Ins und die Windows-Hilfe geben Auskunft über die Konfiguration.
13.10.5 Windows-Firewall Der Datenaustausch zwischen Internet und einem lokalen Computer oder einem Büronetzwerk ist zunehmend gefährdet. Durch Festverbindungen und Flatrates sind Ports auf lokalen Rechnern mit entsprechender Software wie Portscannern leicht zu orten. Auch dynamische IP-Adressen bieten keinen Schutz davor, dass inzwischen ganze Netzwerke gescannt werden. Es ist beobachtet worden, dass bereits nach wenigen Minuten Online-Zeit erste Scannerzugriffe erfolgten. Erkennt der Angreifer dann offene Ports, die Systemdienste anbieten, kann er darüber versuchen, Zugriff auf das System zu erlangen. Um das Internet dennoch nutzen zu können, ist der Einsatz einer Firewall Pflicht. Derartige Programme sperren bestimmte IP-Adressen und Ports oder wenden andere Mechanismen an, um den Verkehr der Datenpakete zwischen Ihrem Computer oder einem ganzen Netzwerk und dem Internet zu kontrollieren. In den folgenden Abschnitten finden Sie einige Hintergrundinforma- Administration ab tionen zu diesem Thema. Hinweise zur Einrichtung der integrierten Seite 969 Firewall finden Sie in Abschnitt 15.2.6 Einsatz der integrierten WindowsFirewall ab Seite 969.
Bedeutung der Firewall Einem normalen Internet-Benutzer, der sich unregelmäßig über eine Wählverbindung in das Internet einschaltet, mag das Risiko eines Angriffs durch einen Hacker zunächst kaum wahrscheinlich vorkommen. Schließlich bekommt dieser bei jeder erneuten Einwahl eine neue IP-Adresse dynamisch zugeteilt. Das bedeutet, dass ein Angreifer diese Adresse zunächst zuverlässig ermitteln muss, um dann einen Einbruchsversuch (oder ähnliches) starten zu können. Die Realität zeigt allerdings ein anderes Bild. Kein Hacker, der solche Ziele verfolgt, macht sich unnötig viel Arbeit mit der Ermittlung von IP-Adressen seiner potentiellen Opfer. Hier helfen automatisierte Routinen, die entsprechende Programme oder Skripte7 bieten können. Es gibt im Internet Berichte über Messungen, dass Portscans bereits nach 20 Minuten Online-Zeit festgestellt werden. Die IP-Kreise, die Provider verwenden, sind Angreifern inzwischen hinlänglich bekannt. Mit schnellen Computern sind sie in der Lage, permanent den gesamten Bereich zu erreichen. Wird eine IP-Adresse als aktiv erkannt der
7
Daher stammt übrigens auch der Begriff »Skript-Kiddies«.
Jeder Computer ist gefährdet
Automatisierte Scans
844 ___________________________________________________ 13 Netzwerkgrundlagen
Längere OnlineZeiten = höheres Risiko
Online-Zeiten beschränken
Benutzer hat sich also eingewählt beginnt ein Portscan, um herauszufinden, welche Dienste aktiv sind. Aus der Kenntnis der Dienste kann auf mögliche Sicherheitslücken geschlossen werden. Auf diese wird dann sehr schnell ein Angriff gestartet. Wenn Sie über eine Flatrate, vielleicht verbunden mit einem breitbandigen Zugang wie DSL, verfügen, werden Sie wahrscheinlich öfter und länger im Internet surfen. Damit sind Sie prinzipbedingt länger erreichbar und erhöhen damit auch die Wahrscheinlichkeit, entdeckt zu werden. Mit einem schnelleren Zugang können übrigens Portscans ebenfalls schneller ausgeführt werden. Deshalb die Empfehlung: Ob mit oder ohne Firewall beschränken Sie die Zeit, die Sie online sind, immer auf das notwendige Maß. Wenn Sie nicht gerade einen eigenen Mailserver betreiben, der rund um die Uhr erreichbar sein muss, sollten Sie immer offline gehen, sobald Sie alles erledigt haben. Leider sieht die Realität so aus, dass es eine Menge Leute gibt, die nichts Besseres zu tun zu haben scheinen, als andere Internet-Nutzer beziehungsweise deren Computer zu »jagen«. Die Feststellung der willkürlichen automatisierten Portscans zeigt, dass dies keine direkten, persönlichen Angriffe sind, sondern einfach irgendwelche Computer gesucht werden. Meist werden offene Computer verwendet, um dort so genannte Trojaner zu installieren. Diese schaden oft nicht dem befallenen Computer selbst, sondern führen auf Anweisung einer »höhern Instanz« Denial-of-Service-Attacken auf das eigentliche Opfer aus. Stark abgesicherte Systeme lassen sich praktisch nur noch stören, indem extrem viele Anfragen, möglichst noch mit fehlerhaften Paketen, gestartet werden. Letztlich bleibt dem betroffenen Betreiber keine andere Wahl, als seine Server vorübergehend vom Netz zu nehmen. Die Verteilung der Angriffsfront auf unwissende Anwender, weltweit und über viele Einwahlknoten gestreut, macht eine Abwehr unmöglich.
Arbeitsweise der Firewall Aktive Paketfilterung
Protokollabhängige Untersuchung
Die integrierte Firewallfunktion in Windows Vista arbeitet mit einer so genannten aktiven Paketfilterung, in der englischen Fachliteratur auch mit Stateful Firewall bezeichnet. Dabei werden die Pakete mit ihren Adressinformationen im gesamten Zusammenhang zur auslösenden Sitzung betrachtet. Alle ausgehenden Pakete werden in einer Statustabelle protokolliert. Einkommende Datenpakete werden dann auf ihre Gültigkeit untersucht. Wird erkannt, dass es zu dem eintreffenden Paket eine passende Ausgangs-Kommunikation gibt, darf das Paket passieren. Dabei wird auch unterschieden, ob das verwendete Protokoll verbindungsorientiert arbeitet (wie TCP) oder nicht (wie UDP). Bei einem verbindungsorientierten Protokoll wird der gesamte Sitzungsstatus protokolliert und auf seine Gültigkeit überprüft. Bei TCP umfasst dies beispielsweise die Flags und Sequenznummern der Pakete (siehe auch Abschnitt Transmission Control Protocol (TCP) ab Seite 772). Bei einem
13.10 Sicherheit im Netzwerk ______________________________________________ 845 UDP-Datenstrom hingegen erfolgt lediglich eine Untersuchung, ob die eintreffenden Daten bezüglich ihrer IP-Adressen und Port-Nummern gültig sind (siehe auch User Datagram Protocol (UDP) ab Seite 774). Die Firewall arbeitet nach den folgenden Regeln: Firewall-Regeln Versucht ein Programm von sich aus eine Verbindung ins Internet herzustellen, erfolgt eine Rückfrage an den Benutzer, ob er dies zulassen möchte. Die erste Firewall-Version für Windows XP hatte damit Probleme. Da konnten alle Programme, damit auch ein vielleicht eingeschleppter Trojaner, ungestört eine Verbindung nach »draußen« initiieren. Nach einer Überarbeitung der Firewall muss jetzt eine Sicherheitsrückfrage positiv beantwortet werden. Wird ein Paket über ein zugelassenes Programm gesendet, für das es keinen laufenden Sitzungsstatus in der Statustabelle gibt, wird ein neuer Eintrag in dieser Tabelle erzeugt. Das Paket kann passieren. Wird ein Paket empfangen, für das es keinen laufenden Sitzungsstatus in der Statustabelle gibt, wird es abgewiesen. Wird ein Paket empfangen, für das es einen laufenden Sitzungsstatus in der Statustabelle gibt, und wird seine Gültigkeit innerhalb dieser Sitzung erkannt, kann es passieren. Nutzen Sie das Internet häufig und nutzen Sie von dort geladene Software auf Ihrem PC, sollten Sie dennoch stets eine aktuelle Antiviren- beziehungsweise Antitrojaner-/Backdoor-Software zusätzlich betreiben. Scanner beginnen ihre Arbeit meist mit dem einfachen Echo-Test: Der Einfache Scans Kontaktaufnahme mit dem Programm PING. Ursprünglich diente erschweren dieses Programm dem Test von Verbindungen vor der Aufnahme des Kontakts mit dem eigentlichen Arbeitsprotokoll. Als Protokoll wird ICMP (Internet Control Message Protocol) eingesetzt. Scanner erkennen aus einem erfolgreichen Echo die Existenz eines Computers und vertiefen die Analyse nur dort, wo es Erfolg verspricht. Die Firewall blockt ICMP-Pakete zuverlässig ab. Geräte, die Netzwerkfunktionen überwachen, werden den Rechner zwar als »tot« ansehen, einfache Angriffsversuche laufen aber erst einmal ins Leere. Das Unterdrücken eines ICMP-Response verhindert allerdings nicht, dass ein Hacker nicht doch auf das Vorhandensein des Computers schließen kann. Dazu gibt es verschiedene alternative Möglichkeiten. Insofern stellt dies nur eine einfache Absicherung dar.
Dienste im Internet anbieten Wollen Sie auf Ihrem Windows Vista-PC Dienste anbieten, bei denen die Verbindung von außen initiiert wird, beispielsweise bei einem Web- oder FTP-Server, müssen Sie diese in der Firewall explizit freischalten.
846 ___________________________________________________ 13 Netzwerkgrundlagen Wenn Sie professionell Dienste im Internet anbieten wollen, reicht die mit der integrierten Firewall gebotene Sicherheitsstufe nicht aus. Sie sollten dann eine entsprechende professionelle Firewall- und Sicherheitslösung zum Einsatz bringen. Weitere Informationen zur Freischaltung von Diensten finden Sie in Abschnitt Ausnahmen definieren ab Seite 972.
Überwachungsfunktionen Die Firewall in Windows Vista bietet eine einfache ProtokollierungsFunktion. Diese ist standardmäßig allerdings deaktiviert. Durch Auswertung der Protokolle lässt sich der Datenverkehr nachträglich analysieren. Dies ist zwar aufwändig, kann aber bei Verdacht die Ursache für unerwarteten Datenverkehr offen legen. In Abschnitt Auswertung der Protokolldatei ab Seite 977 finden Sie dazu weiterführende Informationen.
Ein lokales Netzwerk mit der Firewall absichern Wenn Sie Ihr lokales Netzwerk über eine Gemeinsame Internetverbindung mit dem Internet verbunden haben, sollten Sie die FirewallFunktion auf dem als Server/Router fungierenden Computer aktivieren. Damit wird der gesamte eingehende Datenstrom für alle Clients im Netzwerk kontrolliert.
Erweiterungen der Firewall in der Vista-Version
Regelwerk für Verkehr von innen und außen
Neues Snap-In für die Konfiguration
Gegenüber der Version in Windows XP (mit SP 2) hat die integrierte Firewall von Windows Vista einige Verbesserungen aufzuweisen. Im Ergebnis dieser Überarbeitung ist die Firewall sicherer und besser konfigurierbar geworden. Filterung für eingehenden und ausgehenden Datenverkehr Die neue Firewall unterstützt die Dateninspektion für eingehenden genauso wie für ausgehenden Verkehr. Sie arbeitet also bidirektional. Die Firewall weist standardmäßig folgendes Verhalten auf: - Blockiert jeglichen Datenverkehr von außen, solange er nicht ausdrücklich erwünscht und durch konfigurierte Regeln erlaubt ist - Erlaubt sämtlichen Datenverkehr von innen nach außen - es sei denn, eine konfigurierte Regel verhindert das. Ein neues MMC Snap-in für die grafische Konfiguration Die grundsätzlichen Einstellungen für die Firewall können Sie wie gewohnt über das Applet in der Systemsystemsteuerung vornehmen. Die erweiterten Einstellungen erreichen Sie darüber nicht. Dafür starten Sie eine vorbereitete MMC mit dem Snap-in Windows Firewall mit erweiterter Sicherheit. Diese MMC finden Sie in der Systemsteuerung unter VERWALTUNG. Die MMC bietet umfangreiche
13.10 Sicherheit im Netzwerk ______________________________________________ 847 Konfigurationsmöglichkeiten. Sie stellt sich als eine GUI für die lokale Konfiguration dar, funktioniert aber genauso wie die Gruppenrichtlinien-basierte Konfiguration in einer Active DirectoryUmgebung. Netzwerkadministratoren können über dieses Tool entfernte Computer einstellen. Das war mit der SP2-Firewall von Windows XP nicht möglich. Wem die Oberfläche nicht gefällt, der kann die Konfiguration über die Kommandozeile vornehmen. Dazu wurde das Kommando NETSH um den Kontext advfirewall erweitert. Das Kommando NETSH wird ab Seite 884 erläutert. Firewall und IPSec werden gemeinsam verwaltet Die noch unter Windows XP getrennt vorzunehmenden Einstellungen für die Firewall und für IPSec (mehr dazu in Abschnitt 13.10.2 Sichere Netzwerkübertragung mit IPSec ab Seite 836) können jetzt mit derselben GUI und Kommandozeilenbefehlen erreicht werden. Das hat eine erhebliche Vereinfachung der IPSecKonfiguration zur Folge. Regeln können differenzierter erstellt werden Die Erzeugung von Regeln kann basieren auf: - Gruppen und Benutzerkonten im Active Directory - Quell- und Ziel-IP-Adressen - IP-Protokollnummern - TCP- oder UDP-Portbereichen - Art der Schnittstelle - ICMP und ICMPv6 nach Typ und Code - Windows Diensten
Gemeinsame Verwaltung von Firewall und IPSec
Verbessertes Regelwerk
13.10.6 Verteidiger gegen Malware der Windows Defender Malware ist ein Sammelbegriff für schädliche Software. Das müssen Malware nicht immer gleich Viren, Trojaner und Würmer sein. Diese werden von Virenscannern meist zuverlässig erkannt, sofern die Software auf dem neusten Stand gehalten wird.
Spyware und Dialer Spyware wird eine Klasse von Applikationen genannt, die dafür sorgt, Spyware dass Werbefenster im Internet Explorer gezielt auftauchen. Außerdem können sie Systemkonfigurationen ändern, wie das Einstellen einer neuen Startseite für den Internet Explorer. Hauptsächlich kümmert sich Spyware um das Ausspionieren von Benutzerdaten, wie E-MailAdressen. Auch das Surfverhalten des Einzelnen scheint für manche interessant zu sein. Spyware sammelt für diese Zeitgenossen besuchte Internetseiten und versucht, die Eingabe von Suchbegriffen und Kennwörtern herauszufinden. Die gesammelten Daten werden ohne
848 ___________________________________________________ 13 Netzwerkgrundlagen
Dialer
Wissen des Anwenders über dubiose Server an den Versender der Spyware verschickt. Eine andere Form der Malware sind die berühmt-berüchtigten Dialer. Dialer leiten den Zugang zum Internet für Benutzer um, die Wählverbindungen über Modem oder ISDN benutzen. Die neu, ebenfalls ohne das Wissen oder Zutun des Anwenders, installierten Zugänge kosten dem Internetnutzer viel Geld für einen nicht vorhandenen Mehrwert.
Abwehr-Software Es gibt eine Menge Software, die unerwünscht ist, weil sie meist ohne Einwilligung installiert wurde. Einige Programme sind bereits auf dem Markt, die sich dieser Problematik angenommen haben und die nicht gewollte Software entfernen. Die Programme Adware SE von Lavasoft und Spybot search and destroy haben sich hier hervor getan und können von diesen Seiten herunter geladen werden: www.lavasoft.de www.safer-networking.org
Windows Defender Mit Vista liefert Microsoft den Windows Defender, der standardmäßig für mehr Sicherheit sorgt. Der Windows Defender bindet sich in das Windows-Sicherheitscenter ein. Abbildung 13.22: Windows Defender im Sicherheitscenter
Der Windows Defender bedarf normalerweise keiner besonderen Pflege und Aufmerksamkeit. Er überprüft den Computer selbständig
13.10 Sicherheit im Netzwerk ______________________________________________ 849 und lädt, sofern eine Internetverbindung besteht, neue SpywareSignaturen automatisch. Sobald er gestartet ist, überwacht er den Computer in Echtzeit. Sollten einmal Änderungen an den Standards nötig sein, können Sie den Windows Defender direkt aufrufen. Im Hauptfenster gibt er eine Statusmeldung aus. Abbildung 13.23: Windows DefenderHauptfenster
Über den Menüpunkt ÜBERPRÜFUNG können Sie manuell die SCHNELLÜBERPRÜFUNG oder die VOLLSTÄNDIGE ÜBERPRÜFUNG starten. Eine benutzerdefinierte Überprüfung für bestimmte Laufwerke ist ebenfalls möglich. Der Menüpunkt VERLAUF gibt Auskunft über bisher durchgeführte Überprüfungen und deren Ergebnis. EXTRAS öffnet ein Fenster für Einstellungen und Extras. Abbildung 13.24: Windows Defender: Einstellungen und Extras
850 ___________________________________________________ 13 Netzwerkgrundlagen Unter Optionen sind mehrere Parameter für die Überprüfung konfigurierbar. Die neun Sicherheits-Agenten für den Echtzeitschutz können einzeln ein- oder ausgeschaltet werden. Tabelle 13.18: Sicherheits-Agent Echtzeit-Agenten des Automatisch starten Defenders
SpyNet-Community
Bedeutung Untersucht alle Anwendungen, die mit dem Start von Vista geladen werden.
Systemkonfiguration
Überprüft sicherheitsrelevante Einstellungen der Systemkonfiguration
Internet Explorer-Add-Ons
Untersucht Anwendungen, die zusammen mit dem Internet Explorer gestartet werden.
Internet Explorer-Konfiguration
Beobachtet die Sicherheitseinstellungen des Browsers.
Internet Explorer-Download
Überprüft ActiveX-Komponenten und Softwareinstallationen, die vom IE initiiert werden.
Dienste und Treiber
Die Interaktion von Treibern und Diensten mit dem Windowssystem und seinen Anwendungen wird in Echtzeit geprüft.
Anwendungsausführung
Programme werden während des Starts und bei der Ausführung überwacht.
Anwendungsregistrierung
Beobachtet das »Einklinken« der Programme in Dateien und Tools von Vista.
Windows-Add-Ons
Software-Erweiterungen, die sich in Windows Vista integrieren.
Microsoft wirbt für die Teilnahme an ihrer SpyNet-Community, um dem Spyware-Problem entgegenzutreten. Unter EXTRAS | EINSTELLUNGEN finden Sie die Einstellmöglichkeit für Microsoft Spynet, wo Sie sich für eine der Mitgliedschaften entscheiden können. Standardmäßig ist die Mitgliedschaft deaktiviert.
13.10.7 Absicherung drahtloser Netzwerkverbindungen Drahtlose Netzwerkverbindungen sind besonderen Sicherheitsrisiken ausgesetzt, da ein Abhören der Datenpakete hierbei recht einfach möglich ist. Umso wichtiger ist es, solche Verbindungen entsprechend abzusichern. Zu den beiden verbreiteten Funktechnologien WLAN
13.10 Sicherheit im Netzwerk ______________________________________________ 851 und Bluetooth finden Sie weiterführende Informationen in den folgenden Abschnitten: 13.7.3 Sicherheitsaspekte bei WLANs ab Seite 798 14.6 WLAN-Funknetzwerke administrieren ab Seite 901 13.8.4 Sicherheitsaspekte bei Bluetooth ab Seite 808
13.10 Sicherheit im Netzwerk ______________________________________________ 853
14 14Netzwerkadministration Auf die Einrichtung und Administration von lokalen Netzwerken mit Windows Vista in den professionellen Versionen geht dieses Kapitel ein. Einen breiten Raum nimmt dabei die richtige Konfiguration von TCP/IP als Standard-Netzwerkprotokoll ein. Aber auch die richtige Einrichtung eines Peer-to-Peer-Netzwerks oder die Integration in eine Active Directory-Domäne werden behandelt. Im letzten Themenkomplex stehen die WAN- und RemoteFähigkeiten von Windows Vista im Mittelpunkt.
854 _________________________________________________14 Netzwerkadministration
Inhaltsübersicht Kapitel 14 14.1 14.2 14.3 14.4 14.5 14.6 14.7 14.8
Installation von Netzwerkressourcen ........................ 855 Bluetooth-Geräte einbinden ........................................ 867 Konfiguration von TCP/IP-Netzwerken .................. 872 Verbindungen und Netzwerke ................................... 894 Einbindung als Client in Active Directory ................ 898 WLAN-Funknetzwerke administrieren .................... 901 WAN-Verbindungen einrichten ................................. 907 Remote-Zugriffsmöglichkeiten ................................... 928
14.1 Installation von Netzwerkressourcen____________________________________ 855
14.1 Installation von Netzwerkressourcen In den nachfolgenden Abschnitten finden Sie alle erforderlichen Informationen zur Installation und Einrichtung von Netzwerkressourcen unter Windows Vista.
14.1.1
Das Netzwerk- und Freigabecenter
Die zentrale Anlaufstelle für alle Netzwerkangelegenheiten ist das NETZWERK- UND FREIGABECENTER. Öffnen Sie über das Startmenü die Systemsteuerung. In der Kategorieansicht wählen Sie NETZWERKSTATUS UND AUFGABEN in der Sektion NETZWERK UND INTERNET aus. Abbildung 14.1: Zentraler Ort für die Netzwerkeinrichtung ist das Netzwerkund Freigabecenter
Das Hauptfenster präsentiert im oberen Drittel die momentan bestehende Netzwerkstruktur für den Computer. Die Verknüpfung GESAMTÜBERSICHT ANZEIGEN stellt eine detaillierte Ansicht mit einzelnen Netzwerkkomponenten dar. Der Bereich NETZWERK zeigt an, ob es sich um ein privates oder ein öffentliches Netzwerk handelt. Bei der ersten Erkennung eines neuen Netzwerks können Sie selbst entscheiden, an welchem Standort sich das Netzwerk befindet. Über ANPASSEN kann die bei der Einrichtung getroffene Entscheidung revidiert werden. Die Auswahl hat Einfluss darauf, ob Ihr Computer im Netzwerk »sichtbar« ist oder nicht. Es gibt drei Kategorien so genannter Netzwerkadressen zur Auswahl: Private Netzwerke, Firmennetze für Arbeitsplätze und Netzwerke an öffentlichen Orten. Insbesondere an
856 _________________________________________________14 Netzwerkadministration öffentlichen Orten sollten Sie die Netzwerkerkennung ausschalten. Das ist separat immer über den Eintrag im Abschnitt FREIGABE UND ERKENNUNG möglich. In diesem Abschnitt können zentral Freigaben für bestimmte Ressourcen kontrolliert werden, mehr zu Freigaben in Abschnitt 12.11 Freigaben für Ordner einrichten ab Seite 698. Der linke Bereich der AUFGABEN ermöglicht das Verzweigen in weitere Bereiche: COMPUTER UND GERÄTE ANZEIGEN In den vorhergehenden Windows-Versionen als Netzwerkumgebung bekannt, werden die sichtbaren Computer und, das ist für Umsteiger sicherlich gewöhnungsbedürftig, Netzwerkinfrastrukturkomponenten anzeigt. Letztere sind in der Regel für Anwender in einem Firmennetz nicht so interessant, denn die Steuerung der Komponenten obliegt den Administratoren. Abbildung 14.2: Vistas Netzwerkumgebung
Über den Spaltenfilter KATEGORIE können die Netzwerkstrukturkomponenten ausgeblendet werden. Für größere Netzwerke ist es sinnvoll, die Rechnernamen strukturiert anzeigen zu lassen. Die Strukturierung und Filterung lassen sich über den Spaltenfilter NAME vornehmen. Eine Sortierung nach Arbeitsgruppe beziehungsweise Domäne ist ebenfalls möglich. VERBINDUNG MIT EINEM NETZWERK HERSTELLEN Den Einwahldialog für eine WAN-Verbindung erreichen Sie genauso (und kürzer) über START | VERBINDUNG HERSTELLEN. Wie Sie Vista für WAN-Verbindungen einrichten, erfahren Sie in Abschnitt 14.7 WAN-Verbindungen einrichten ab Seite 907. EINE VERBINDUNG ODER NETZWERK EINRICHTEN Ein Assistent hilft bei der Einrichtung von - Internetzugängen über Drahtlos-, Breitband- oder Wählverbindungen, - Drahtlosroutern, - Wählverbindungen, - VPN-Verbindungen.
14.1 Installation von Netzwerkressourcen____________________________________ 857 NETZWERKVERBINDUNGEN VERWALTEN Eingerichtete LAN- und Wählverbindungen können konfiguriert werden. Das Fenster entspricht der von Windows XP bekannten Funktion ALLE VERBINDUNGEN ANZEIGEN (mehr zur Einrichtung von LAN-Verbindungen in den nächsten Abschnitten). Diagnose und Reparatur Die Überprüfung von Netzwerkverbindungen kann einfache Reparaturen selbst durchführen. So kann ein vielleicht versehentlich deaktivierter LAN-Adapter wieder eingeschaltet werden. Abbildung 14.3: Reparatur der Netzwerkverbindung erfolgt nach der Diagnose
14.1.2 LAN-Verbindungen manuell konfigurieren LAN-Verbindungen stehen automatisch für jeden Netzwerkadapter Plug&Play zur Verfügung, den Windows Vista durch Plug&Play erkennt. Diese Adapter werden im Ordner Netzwerkverbindungen angezeigt. Abbildung 14.4: Anzeige, wenn ein Netzwerkadapter erkannt und eingerichtet worden ist
In Abbildung 14.4 sehen Sie den Standardfall, eine eingerichtete LANVerbindung. Zusätzlich werden hier, wenn verfügbar, auch Wählund Drahtlos-Verbindungen, angezeigt.
858 _________________________________________________14 Netzwerkadministration Wurde der Netzwerkadapter eines nagelneuen Mainboards oder eines neuen Computers nicht erkannt, liegt dies meistens an nicht installierten Chipsatz- und LAN-Adaptertreibern des Herstellers. Holen Sie das nach, am besten mit den aktuellen Treibern von der Website des Mainboard-Herstellers, und der Adapter wird mit hoher Wahrscheinlichkeit auftauchen.
Konfiguration der LAN-Verbindung Klicken Sie im Netzwerk- und Freigabecenter im linken Aufgabenbereich auf den Eintrag NETZWERKVERBINDUNGEN VERWALTEN. Das Fenster SYSTEMSTEUERUNG | NETZWERK UND INTERNET | NETZWERKVERBINDUNGEN öffnet sich. Markieren Sie die LAN-Verbindung. Es erscheinen in der Menüleiste diese zusätzlichen Funktionen, wobei gegebenenfalls ein Klick auf den Doppelpfeil in der Menüleiste erforderlich ist, um alle Menüpunkte zu sehen. Abbildung 14.5: Netzwerkverbindungen konfigurieren
NETZWERKGERÄT DEAKTIVIEREN Damit deaktivieren Sie die LAN-Verbindung, ohne dass die Einstellungen gelöscht werden. Im Kontextmenü (siehe unten) heißt diese Option DEAKTIVIEREN. VERBINDUNG UNTERSUCHEN Funktioniert die Netzwerkverbindung nicht oder nicht korrekt, können Sie über diesen Punkt ein »Reset« des Adapters erreichen. Die Einstellungen bleiben dabei erhalten. Allerdings wird bei einer automatischen TCP/IP-Konfiguration versucht, die IP-Adresse vom DHCP-Server neu zu erhalten. Über den Kontextmenüeintrag DIAGNOSE ist diese Funktion ebenfalls zu erreichen. VERBINDUNG UMBENENNEN Damit können Sie das Symbol mit einem anderen Namen als dem standardmäßig vergebenen »LAN-Verbindung« versehen. STATUS DER VERBINDUNG ANZEIGEN Zeigt an, in welchem Zustand sich der Adapter befindet. Im Kontextmenü (siehe unten) heißt diese Option STATUS. EINSTELLUNGEN DIESER VERBINDUNG ÄNDERN Erlaubt Zugriff auf die Funktionen und Einstellungen des Adapters und ist damit für die manuelle Konfiguration die wichtigste
14.1 Installation von Netzwerkressourcen____________________________________ 859 Option. Im Kontextmenü (siehe unten) heißt diese Option EIGENSCHAFTEN. Für alle Verbindungen können Sie die Funktionen über deren Kontextmenü erreichen. Hier finden Sie zusätzlich eine Funktion, die in der Menüleiste (siehe oben) nicht erscheint: Mit VERBINDUNGEN ÜBERBRÜCKEN aktivieren Sie die Netzwerkbrücke-Funktion von Windows Vista. Mit deren Hilfe können Sie eine Windows Vista-Arbeitsstation dazu benutzen, verschiedene Netzwerke miteinander zu verbinden. Die weiteren Einrichtungsschritte dazu finden Sie in Abschnitt 14.1.5 Installation einer Netzwerkbrücke ab Seite 864. Auf der Eigenschaftsseite können Sie auf die treiberspezifische Konfi- Eigenschaften guration des Adapters zugreifen und Clients, Dienste und Protokolle installieren und modifizieren. Abbildung 14.6: Eigenschaften-Dialogfenster einer LAN-Verbindung
Der Status gibt an, in welchem Zustand sich der Adapter befindet. Status Dies kann zum einen durch Auswahl der Funktion STATUS aus dem Kontextmenü des Adapters erfolgen, zum anderen durch Klick auf das Symbol selbst. Wenn die Verbindung in der Taskleiste angezeigt wird, kann der Status auch dort im Kontextmenü abgerufen werden.
860 _________________________________________________14 Netzwerkadministration Abbildung 14.7: Status einer LANVerbindung
WAN-Adapter, die eine permanente Verbindung ins Internet herstellen, beispielsweise Frame Relay, ATM oder DSL, werden ebenfalls als »LAN-Verbindungen« betrachtet.
14.1.3 Weitere Komponenten einer LAN-Verbindung Über das Eigenschaften-Fenster (siehe Abbildung 14.6 auf Seite 859) können Sie auf weitere wichtige Komponenten zugreifen oder diese installieren.
Protokolle Die verwendbaren Netzwerkprotokolle können jeder Verbindung separat zugeordnet werden. Gehen Sie folgendermaßen vor, um ein neues Netzwerkprotokoll zu installieren: 1. Öffnen Sie das Eigenschaften-Fenster zur betreffenden Netzwerkverbindung. 2. Klicken Sie auf die Schaltfläche INSTALLIEREN, danach auf PROTOKOLL und dann HINZUFÜGEN . 3. Wählen Sie das Protokoll aus. Es wird nur ein weiteres Protokoll, das Reliable Multicast Protocol, mitgeliefert. Sollten Sie spezielle Protokolle benötigen, fragen Sie diese beim Hersteller der Komponenten ab, die das spezielle Protokoll erwartet. NWLink IPX/SPX als NetBIOS-kompatibles Transportprotokoll wird nicht mehr mitgeliefert. Novell setzt seit Jahren ebenfalls auf TCP/IP. Einige Protokolle können anschließend konfiguriert werden. Auf das besonders wichtige TCP/IP wird in 14.3 Konfiguration von TCP/IPNetzwerken ab Seite 872 detailliert eingegangen.
14.1 Installation von Netzwerkressourcen____________________________________ 861 Abbildung 14.8: Verfügbare Protokolle
Clients Clients sind Funktionen, die Windows zur Verfügung stehen, um sich selbst mit anderen Computern im Netzwerk zu verbinden. Standardmäßig wird der CLIENT FÜR MICROSOFT-N ETZWERKE installiert. Weitere Clients installieren Sie nach demselben Muster wie die zusätzlichen Protokolle. Andere Clients müssen gesondert beschafft werden, denn im Lieferumfang von Vista sind keine weiteren Clients enthalten.
Dienste Dienste stehen der Netzwerkverbindung zur Verfügung und werden über den Dienstmanager kontrolliert. Um einen Dienst zu installieren, gehen Sie folgendermaßen vor: 1. Öffnen Sie das Eigenschaften-Fenster zur betreffenden Netzwerkverbindung. 2. Klicken Sie auf die Schaltfläche INSTALLIEREN, danach auf DIENST und dann HINZUFÜGEN. 3. Sie müssen auch hier auf Datenträger Ihres Lieferanten zurückgreifen. Standardmäßig sind zwei Dienste bereits vorhanden: QOS-PAKETPLANER Der QoS-(Quality of Service)-Paketplaner bestimmt die Reihenfolge der Auslieferung von Paketen in der Paketwarteschlange. DATEI- UND DRUCKERFREIGABE FÜR MICROSOFT-NETZWERKE Die Erstellung von Freigaben auf Datei- und Druckerebene funktioniert nur, wenn dieser Dienst installiert und aktiviert ist. Sie finden mehr Informationen zum Freigeben von - Dateien in Abschnitt 12.11 Freigaben für Ordner einrichten ab Seite 698, - Druckern in Abschnitt 6.4.3 Drucker freigeben und Client-Treiber einrichten ab Seite 349.
862 _________________________________________________14 Netzwerkadministration
14.1.4 Netzwerkhardware Voraussetzung für jede Netzwerkverbindung ist entsprechende Hardware. Solange es sich um moderne Hardware handelt und diese korrekt durch das System erkannt wurde, brauchen Sie normalerweise nicht manuell einzugreifen. Für bestimmte Adapter kann dies dennoch notwendig werden.
Netzwerkhardware installieren Manuelle Treiberinstallation
Wie bereits in Abschnitt 14.1.2 LAN-Verbindungen manuell konfigurieren ab Seite 857 erwähnt, werden Netzwerkadapter durch das Betriebssystem selbst erkannt und installiert. Nur für Adapter, für die Windows keine eigenen Treiber hat, müssen Sie manuell eine Installation vornehmen. Das betrifft insbesondere solche Adapter: Adapter auf neuen Mainboards Für die korrekte Treiberinstallation sind meist zunächst die Chipsatztreiber des Boardherstellers zu installieren. Hinzu kommen danach noch die spezifischen Adaptertreiber. Die genaue Vorgehensweise entnehmen Sie dazu der Dokumentation zum Board. WLAN-Adapter Die werden in aller Regel mit spezifischen Treibern ausgestattet, die oft vor dem Einsetzen des Adapters installiert werden müssen. In beiden Fällen halten Sie sich genau an die Anleitungen der Hersteller. Der manuelle Weg über den Hardware-Assistenten von Windows Vista ist nicht immer der richtige.
Netzwerkhardware konfigurieren Die Konfigurationsmöglichkeiten zur Hardware finden Sie ebenfalls im Eigenschaften-Fenster zur Netzwerkverbindung, welche den betreffenden Adapter nutzt. Klicken Sie dazu auf die Schaltfläche KONFIGURIEREN. Einige Standardfunktionen stehen fast immer zur Verfügung: ALLGEMEIN Hier können Sie die Hilfeseiten zur Problembehandlung erreichen und das Gerät deaktivieren beziehungsweise wieder aktivieren. ERWEITERTE EINSTELLUNGEN Diese Einstellungen sind jeweils gerätespezifisch. An dieser Stelle finden Sie beispielsweise meist die Einstellmöglichkeit für die Datentransferrate beziehungsweise den Medientyp. Das ist in vielen Netzwerken von entscheidender Bedeutung. Langsame Netzwerkverbindungen gehen oft auf falsch eingestellte Übertragungsmodi zurück. Stehen beide beteiligten Schnittstellen (PC und Aktive Komponente) auf Autonegotiation (in Abbildung 14.9 Automatische Ermittlung genannt) zur Aushandlung der Übertragungsge-
14.1 Installation von Netzwerkressourcen____________________________________ 863 schwindigkeit, kann es bei inkompatiblen Modellen eine Weile dauern, bis sie sich einig sind. Besser ist es dann, beide Schnittstellen auf die höchste gemeinsame Geschwindigkeit fest einzustellen. Abbildung 14.9: Erweiterte Einstellungen; hier für die Vorgabe des Medientyps
TREIBER Hier wählen Sie alternative Treiber aus oder installieren den vorhandenen erneut. Sie können über AKTUALISIEREN an dieser Stelle auch neue Treiber installieren. Abbildung 14.10: Energieoptionen eines modernen Netzwerkadapters
864 _________________________________________________14 Netzwerkadministration DETAILS Auf dieser Registerkarte lassen sich alle Einzelheiten zur Netzwerkkarte und zu den Treibern abrufen. ENERGIEVERWALTUNG Für ACPI- oder Atm-kompatible Geräte können Sie hier festlegen, ob das Gerät den Standby-Zustand beenden darf und ob es sich auf Wunsch abschalten lässt.
14.1.5 Installation einer Netzwerkbrücke
Grundlagen ab Seite 751
Windows Vista bringt eine einfach einzurichtende Möglichkeit mit, Netzwerke miteinander zu verbinden. So können Sie beispielsweise über Ihren Computer zwei physikalisch getrennte Netzwerke zu einer logischen Einheit verschmelzen. Die dabei zugrunde liegende Technologie ist die einer Netzwerkbrücke (auch mit Bridge bezeichnet). Zu den Grundlagen finden Sie weiterführende Informationen in Abschnitt 13.1.4 Verbinden von Netzwerken ab Seite 751.
Voraussetzungen
Unabhängig vom Netzwerkprotokoll und vom Medientyp
Um eine Netzwerkbrücke einrichten zu können, müssen die folgenden Voraussetzungen gegeben sein: Ihr Windows Vista-System verfügt über mindestens zwei Netzwerkadapter. Über keinen der Netzwerkadapter, der zur Brücke hinzugefügt werden soll, läuft eine Gemeinsam genutzte Internetverbindung (siehe auch Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988). Sie verfügen über Administratorrechte. Die Netzwerkadapter müssen natürlich ordnungsgemäß eingebunden sein und funktionieren. Für die Brückenfunktion ist es übrigens nicht wichtig, dass Ihr System selbst mit den jeweiligen Netzwerken und den dort verwendeten Netzwerkprotokollen kommunizieren kann. So können Sie zwei Netzwerke verbinden, die unterschiedliche Topologien haben (10 Mbit-Bus und 100 Mbit-Stern).
Aktivieren der Netzwerkbrücke Standardmäßig ist die Netzwerkbrücke nicht aktiv. Die Aktivierung ist allerdings sehr einfach zu bewerkstelligen. Gehen Sie folgendermaßen vor: 1. Öffnen Sie das Netzwerk- und Freigabecenter und klicken Sie auf NETZWERKVERBINDUNGEN VERWALTEN.
14.1 Installation von Netzwerkressourcen____________________________________ 865 2. Markieren Sie alle betreffenden Adapter mit der Maus und wählen Sie dann im Kontextmenü zu den gemeinsam markierten Objekten den Punkt ZU BRÜCKE HINZUFÜGEN. Abbildung 14.11: Aktivieren der Netzwerkbrücke zwischen zwei Adaptern
3. Nach der Aktivierung der Netzwerkbrücke, die normalerweise nicht lange dauert und durch ein entsprechendes Informationsfenster angezeigt wird, ist die Netzwerkbrücke sofort aktiv. Sie erkennen dies am neuen Symbol NETZWERKBRÜCKE. Zur Kontrolle der Einstellungen oder Rekonfiguration der Netzwerk- Konfigurieren der brücke markieren Sie das Symbol NETZWERKBRÜCKE und wählen aus Brücke dem Kontextmenü EIGENSCHAFTEN. Abbildung 14.12: Eigenschaften der Netzwerkbrücke bearbeiten
Sie können hier einzelne Adapter, wenn mehr als zwei verbunden sind, aus der Brücke entfernen. Darüber hinaus haben Sie über die
866 _________________________________________________14 Netzwerkadministration Schaltfläche KONFIGURIEREN direkten Zugriff auf die Optionen zu den Netzwerkadaptern.
Deaktivieren der Netzwerkbrücke Zum Deaktivieren der Netzwerkbrücke reicht es aus, dass Sie aus dem Kontextmenü zum Symbol NETZWERKBRÜCKE im Fenster Netzwerkverbindungen den Punkt VON DER BRÜCKE ENTFERNEN wählen.
Beenden der Netzwerkbrücke Sie entfernen die eingerichtete Netzwerkbrücke wieder, indem Sie aus dem Kontextmenü dazu den Punkt LÖSCHEN wählen.
14.1.6 Weitere Netzwerkkomponenten Neben den Diensten können auch weitere Netzwerkkomponenten installiert werden, die dann allgemein im System zur Verfügung stehen und nicht mehr einer konkreten Verbindung zugeordnet werden. Sie finden diese Option in der Systemsteuerung unter PROGRAMME. Der Eintrag WINDOWS-F UNKTIONEN EIN- ODER AUSSCHALTEN öffnet den Dialog Windows-Funktionen. Abbildung 14.13: Installation optionaler Netzwerkkomponenten
Zur Installation stehen über 20 Kategorien zur Auswahl, die jeweils weitere Komponenten enthalten. Hervorzuheben sind insbesondere diese: EINFACHE TCP/IP-DIENSTE DRUCKDIENSTE Druckdienste für Unix (LPD- und LPR-Support; siehe auch Abschnitt Drucker über LPR ansteuern ab Seite 359)
14.2 Bluetooth-Geräte einbinden ___________________________________________ 867 Für den Betrieb in einem kleineren TCP/IP-Netzwerk genügt es, die einfachen TCP/IP-Dienste zu installieren. Dies umfasst auch die auf Kommandozeilenebene ausführbaren Dienstprogramme, die in Abschnitt 14.3.4 Kommandozeilen-Tools für TCP/IP ab Seite 877 beschrieben werden.
14.2 Bluetooth-Geräte einbinden In den nachfolgenden Abschnitten wird gezeigt, wie Sie Bluetooth-Geräte in Windows Vista einbinden und nutzen können. Hier können nur die grundlegenden Funktionen besprochen. Für viele Einsatzbereiche sind diese aber wahrscheinlich nicht ausreichend. Die Hersteller von Bluetooth-Geräten liefern oft die so genannte Widcomm-Software mit, die nicht separat vertrieben wird. Die Firma Widcomm wurde im Jahre 2004 an die Firma Broadcom verkauft. Unterstützung für den Widcomm-Stack kann also von der Website dieses Unternehmens erwartet werden. Zu den Bluetooth-Grundlagen finden Sie in Abschnitt 13.8 Grundlagen Grundlagen ab Seite 802 zu Bluetooth ab Seite 802 weiterführende Informationen.
14.2.1 Nutzung der Windows Vista-Funktionen Vista bietet einige neue Bluetooth-Funktionen, mit denen eine Reihe von grundlegenden Aufgaben ohne zusätzliche Software erledigt werden kann. In Abschnitt 13.8.3 Bluetooth-Funktionen in Windows ab Seite 807 werden diese vorgestellt.
Installation eines Bluetooth-Adapters Die Installation eines Bluetooth-Adapters ist damit unkompliziert und schnell erledigt. An dieser Stelle wird vorausgesetzt, dass noch keine Hersteller-eigene Software installiert worden ist. Nach dem Einstecken, meist sind diese Geräte als USB-Sticks ausgeführt, wird die neue Hardware automatisch erkannt und eingerichtet. Notebooks mit eingebautem Bluetooth-Adapter lassen sich über Tasten-Kombinationen aktivieren.
Grundlegende Einstellungen Nach erfolgreicher Installation finden Sie ein neues Symbol im Infobereich der Taskleiste vor. Über dessen Kontextmenü erreichen Sie über den Punkt BLUETOOTH-EINSTELLUNGEN ÖFFNEN das Fenster BluetoothGeräte.
868 _________________________________________________14 Netzwerkadministration Abbildung 14.14: Grundlegende Optionen für Bluetooth einstellen
Sichtbarkeit
Zugriff von außen
Das Fenster lässt sich übrigens ebenfalls über das Applet BluetoothGeräte in der Systemsteuerung (klassische Ansicht) öffnen. Hinter der Registerkarte OPTIONEN verbergen sich einige grundlegende Einstellmöglichkeiten. SUCHE AKTIVIEREN: Damit schalten Sie die Sichtbarkeit Ihres Computers als Bluetooth-Gerät im Netzwerk ein. Andere Geräte können den Computer auffinden und Kontakt aufnehmen, um beispielsweise das Pairing einzuleiten. Bereich VERBINDUNGEN: Hier legen Sie fest, ob andere Geräte überhaupt in Verbindung mit dem PC treten können und ob dies angezeigt werden soll. Ist die erste Option deaktiviert, wird verhindert, dass andere Geräte Bluetooth-Serverdienste auf diesem PC nutzen können. Wollen Sie ohnehin nur die Dienste auf anderen Geräten vom PC aus nutzen, können Sie diese Option deaktivieren. Das ist beispielsweise dann angeraten, wenn Sie ein Mobiltelefon für den Internetzugang einsetzen wollen und ansonsten keine weiteren Bluetooth-Funktionen benötigen.
Geräte hinzufügen (Pairing) Ein neues Gerät können Sie direkt über das Fenster Bluetooth-Geräte mit dem PC verbinden. Klicken Sie dazu in der Registerkarte GERÄTE auf die Schaltfläche HINZUFÜGEN. Es startet ein entsprechender Assistent, der Sie durch die weiteren Schritte führt. Wählen Sie zunächst das betreffende Gerät aus.
14.2 Bluetooth-Geräte einbinden ___________________________________________ 869 Abbildung 14.15: Auswählen des Gerätes, das hinzugefügt werden soll
Im folgenden Fenster bestimmen Sie den PIN (Hauptschlüssel), der zum Pairing und zur Datenverschlüsselung benötigt wird. Windows Vista bietet mit der ersten Option die automatische Erzeugung an. Manche Geräte wie beispielsweise Headsets verlangen die Eingabe eines ganz bestimmten Schlüssel (PINs). Nutzen Sie dann die zweite Option HAUPTSCHLÜSSEL AUS DER DOKUMENTATION VERWENDEN. Darüber hinaus kann es notwendig sein, das Gerät manuell in den Pairing-Modus zu versetzen, beispielsweise durch das Drücken bestimmter Tasten. Abbildung 14.16: Auswahl eines PINs (Hauptschlüssels) für das Pairing
870 _________________________________________________14 Netzwerkadministration Nach dem Klick auf WEITER wird die Verbindung zum Gerät aufgenommen. Am Gerät wird dann eine Eingabemaske angezeigt, in der Sie den PIN eingeben müssen. Abbildung 14.17: Anzeige der eingerichteten Geräte
Geräte-Dienste anzeigen
Abbildung 14.18: Dienste, die ein Gerät anbietet
Konnte das Pairing erfolgreich abgeschlossen werden, erscheint das Gerät mit einem entsprechenden Eintrag in der Registerkarte GERÄTE. Wenn Sie einen Geräteeintrag markieren, können Sie über die Schaltfläche EIGENSCHAFTEN weitere Informationen abrufen. Die vom Gerät angebotenen Dienste werden aufgelistet und können bei Bedarf deaktiviert werden.
14.2 Bluetooth-Geräte einbinden ___________________________________________ 871 Bei vielen Diensten, beispielsweise dem Einwählnetzwerk (DUN) zum Virtuelle COM-Ports Verbinden mit dem Internet über ein Mobiltelefon, finden Sie die Angabe eines virtuellen COM-Ports. Durch diesen Port wird die Kommunikation über diesen Dienst abgewickelt.
Mobiltelefon für den Internetzugang nutzen Gegenüber Infrarot bietet Bluetooth den entscheidenden Vorteil, dass ein Mobiltelefon zur Verbindung mit dem Internet nicht mehr genau ausgerichtet am Computer (meist wird das ein Notebook sein) liegen muss. Es kann dazu sogar in der Tasche oder am Gürtel bleiben. Nach dem Pairing mit dem Handy wird automatisch ein entsprechen- Modem einrichten der Modemeintrag erzeugt. Öffnen Sie in der Systemsteuerung (klassische Ansicht) das Applet Telefon- und Modemoptionen, wenn Sie das nachprüfen möchten. Abbildung 14.19: Automatisch erzeugtes Modem am virtuellen COM-Port für das BluetoothHandy
Auch wenn das Handy in dieser Liste nicht über seinen Namen zu erkennen ist, finden Sie den richtigen Eintrag über den jeweils zugewiesenen virtuellen COM-Port. Dieser muss mit dem übereinstimmen, der in der Dienstliste zum betreffenden Handy (siehe Abbildung 14.18) angezeigt wird. Weitere Konfigurationsarbeiten sind bei Bluetooth-Handys, die als Modems genutzt werden, in der Regel nicht notwendig. Gehen Sie so vor, um eine neue Netzwerkverbindung für die Einwahl Netzwerkverbindung anlegen ins Internet anzulegen: 1. Ermitteln Sie die Einwahlnummer, über die sich das Handy mit dem Internet verbinden soll. Beachten Sie, dass es gegebenenfalls unterschiedliche Nummern für die WAP-Einwahl und die ins »normale« Internet geben kann. Die korrekte Nummer erhalten Sie über Ihren Mobilfunkanbieter.
872 _________________________________________________14 Netzwerkadministration Benutzername und Kennwort sind meist nicht notwendig, da die Abrechnung allein über die Mobilfunkrechnung zu Ihrer Telefonnummer erfolgt. 2. Legen Sie eine neue Netzwerkverbindung an, wie es in Abschnitt 15.2.2 Verbindung über ISDN oder Analog-Modem ab Seite 959 gezeigt wird.
Dateien austauschen Zum einfachen Austausch von Dateien gibt es im Bluetooth-Menü in der Taskleiste zwei entsprechende Punkte. Wählen Sie die gewünschte Funktion aus. Wollen Sie eine Datei an einen PDA oder auf ein Handy senden, erscheint ein Dialogfenster, in welchem Sie das Gerät und die Datei auswählen. Das Pairing mit einem bislang ungepairten Gerät kann von diesem Fenster aus nachgeholt werden. Zum Empfangen schaltet Windows in einen anderen Modus um. Das Gerät auf der Gegenseite muss dann den Kopiervorgang starten.
14.3 Konfiguration von TCP/IP-Netzwerken Grundlagen ab Seite 739
TCP/IP ist heute das führende Protokoll für lokale und globale Netzwerke. Dieser Abschnitt zeigt, wie TCP/IP in Windows Vista konfiguriert wird. Die theoretischen Grundlagen finden Sie in Abschnitt 13.2 TCP/IP näher betrachtet ab Seite 753.
14.3.1 Einführung
IP-Adressvergabe
Die konkrete Konfiguration eines TCP/IP-Netzwerks hängt natürlich von den Szenarien ab, die Sie für Ihr lokales Netz entworfen haben. Am Anfang sind folgende Fragen zu beantworten: Feste oder dynamisch vergebene IP-Adressen? Von der generellen Einrichtung des Netzwerkes durch den Administrator hängt diese Frage ab. Bequem ist eine dynamische Adressvergabe, dass heißt, der Client lässt seine IP-Adresskonfiguration »leer« und braucht sich keine Gedanken darüber zu machen. In vielen Unternehmen mit einer gewachsenen IT-Infrastruktur werden aber auch feste IP-Adressen durch den Administrator verwaltet und den einzelnen Clients verbindlich zugeteilt. Im nachfolgenden Abschnitt wird gezeigt, wie Sie feste IP-Adressen eingeben können. Windows Vista bietet weiterhin die Möglichkeit, eine alternative IP-Adresskonfiguration anzugeben. Damit ist die Mischung aus fester und dynamischer Konfiguration möglich. Lesen Sie in Abschnitt Alternative Konfiguration ab Seite 876, wie Sie diese Kombination einrichten und nutzen können.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 873 Öffentliche oder private IP-Adressen? Wenn Sie ein lokales Netzwerk neu einrichten, müssen Sie sich IP-Adresstyp Gedanken über den zu verwendenden IP-Adressbereich machen. Für lokale Netze kommen dabei reservierte private IP-Adressen in Frage, die nicht im Internet genutzt werden. Sie könnten natürlich auch öffentliche IP-Adressen im eigenen Netzwerk einsetzen. Allerdings ist dies nicht sehr professionell und verursacht spätestens dann Probleme, wenn Sie einen Netzwerkzugang zum Internet einrichten wollen. Weitere Informationen finden Sie dazu in Abschnitt Private Netzwerkadressen ab Seite 768. Wie erfolgt der Zugang des Netzes zum Internet? Bei der Einrichtung eines Internet-Zugangs für ein lokales Netz- Internet-Zugang werk mit Windows-Clients haben Sie zwei Möglichkeiten: Sie können einen dedizierten Internet-Router verwenden. Dann können Sie die IP-Konfiguration in der Regel so gestalten, wie Sie es für richtig halten. Sie können feste IP-Adressen vergeben oder, sofern der Router das unterstützt, eine DHCP-Adressvergabe durch diesen an die Clients einstellen. Für ein kleines Netzwerk können Sie einen Computer auswählen, der sich ins Internet einwählen kann und diese Verbindung den übrigen Clients zur Verfügung stellt. Mit dieser Gemeinsamen Internetverbindung, die standardmäßig mit Windows Vista geboten wird, funktioniert der Stellvertreter als Software-Router. Allerdings gibt es dann Restriktionen bei der IP-Adressvergabe zu beachten. Weitergehende Informationen finden Sie dazu in Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988.
14.3.2 Konfiguration mit festen IP-Adressen Feste IP-Adressen sind vor allem im kleinen Netz willkommen, wo es wenig Änderungen gibt und komplizierte Funktionen wie DHCPServer nicht verfügbar sind. Sie können ein Netzwerk aus Windows-Arbeitsstationen auch ohne einen DHCP-Server komfortabel mit einer automatischen Adressvergabe nutzen. Weitere Informationen finden Sie dazu im nächsten Abschnitt. Gehen Sie wie folgt vor, um feste IP-Adressen einzugeben: 1. Öffnen Sie das Fenster SYSTEMSTEUERUNG | NETZWERK UND INTERNET | NETZWERKVERBINDUNGEN, wie in Abbildung 14.5 auf Seite 858 zu sehen, und markieren Sie die LAN-Verbindung, für die Sie die TCP/IP-Protokolleinstellungen ändern wollen. 2. Öffnen Sie das Eigenschaften-Fenster über den entsprechenden Punkt des Kontextmenüs. Markieren Sie hier INTERNETPROTOKOLL VERSION 4 (TCP/IPV4) und klicken Sie auf EIGENSCHAFTEN. 3. Die folgenden Felder müssen Sie dann mindestens ausfüllen: - IP-ADRESSE: Geben Sie hier die IP-Adresse des Computers ein.
874 _________________________________________________14 Netzwerkadministration - SUBNETZMASKE: Geben Sie die Subnetzmaske ein (siehe auch Abschnitt Subnetze und Netzwerkklassen ab Seite 766). Abbildung 14.20: Feste IP-Adressen einstellen
Kein Neustart
Alle anderen Felder können Sie frei lassen, es sei denn, Sie brauchen Zugriff auf einen Router (Standardgateway) oder einen DNSServer. Beide Einträge werden übrigens auf Ihre eigene IP-Adresse (beziehungsweise die Loopback-Adresse 127.0.0.1) gesetzt, wenn Sie die Felder frei lassen. 4. Schließen Sie das Dialogfenster. Die Einstellungen werden sofort aktiviert. Ein Neustart ist nicht notwendig.
14.3.3 Konfiguration mit dynamischen IP-Adressen
DHCP
APIPA
Für die automatische IP-Adressvergabe im lokalen Netzwerk kann zwischen den folgenden Verfahren unterschieden werden. Sie setzen einen DHCP-Server ein. Vor allem in Firmen-Netzwerken werden DHCP-Server eingesetzt, die umfassend konfiguriert werden können und die Clients gezielt mit IP-Adressen versorgen. DHCP-Serverfunktionen können aber auch Internet-Router erfüllen, wie sie heute häufig zur gemeinsamen Nutzung von ISDN- und DSL-Verbindungen in kleineren Netzwerken eingesetzt werden. Sie lassen die Windows-Arbeitsstationen die IP-Adressen unter sich aufteilen. Setzen Sie in Ihrem Netzwerk eine begrenzte Anzahl von PCs ein, können Sie diese die IP-Adressen automatisch einrichten lassen. Dazu kommt der APIPA genannte Mechanismus zum Einsatz, der in Abschnitt 13.3.1 APIPA ab Seite 784 näher beschrieben wird.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 875 In beiden Fällen müssen Sie das Gleiche bei der Einrichtung der IP- Felder leer lassen Adressen tun: nämlich nichts. Lassen Sie einfach alle Felder leer. Das ist auch die TCP/IP-Standardeinstellung, mit der die WindowsBetriebssysteme seit Windows 98 ausgeliefert werden. Weitergehende Informationen finden Sie in Abschnitt 13.3 IP-Adressvergabe im lokalen Netzwerk ab Seite 784. In den folgenden Abschnitten werden die wichtigsten Einrichtungsvarianten bei der automatischen IP-Adressvergabe im Netzwerk vorgestellt.
Dynamische IP-Adressierung einrichten Gehen Sie so vor, wenn Sie diese Einstellung anpassen wollen: 1. Öffnen Sie das Dialogfenster EIGENSCHAFTEN VON INTERNETPROTOKOLL VERSION 4 (TCP/IPV4) wie im vorhergehenden Abschnitt 14.3.2 beschrieben. Abbildung 14.21: Automatische IPAdressvergabe für APIPA und DHCP einstellen
2. Auch wenn Sie eine automatische IP-Adressvergabe im Netzwerk DNS-Serveradresse nutzen wollen, können Sie die IP-Adresse des DNS-Servers manuell eingeben. Das macht immer dann Sinn, wenn vom DHCP-Server die DNS-Serveradressen nicht übergeben werden oder Sie APIPA einsetzen. In letzterem Fall wird die Adresse eines DNSServers, den Sie im Netzwerk einsetzen, garantiert an die Clients übermittelt. Setzen Sie einen Hardware-Internet-Router ein, der über DHCP die Clients mit IP-Adressen versorgt, brauchen Sie die DNS-Serveradresse in der Regel nicht manuell einzugeben. Diese sollte durch den Router mit dessen eigener Adresse belegt werden. Für die Namensauflösung beim Internetzugriff wird er dann, eine richtige Einrichtung vorausgesetzt, die DNS-Abfragen der Clients an die
876 _________________________________________________14 Netzwerkadministration DNS-Server weiterleiten, die vom ISP (Internet Service Provider) vorgesehen sind.
Alternative Konfiguration Nur bei automatisch verfügbar
Wenn mit automatischer IP-Adressierung gearbeitet wird, steht eine zusätzliche Registerkarte ALTERNATIVE KONFIGURATION im Dialogfenster Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) zur Verfügung (siehe Abbildung 14.21). Hier können Sie eine feste Adresse eintragen, die statt einer nicht zugewiesenen automatischen Adresse verwendet wird.
Abbildung 14.22: Alternative IP-Konfiguration
Einsatzszenario
Ablauf
Der Einsatz einer solchen alternativen Konfiguration ist beispielsweise denkbar, wenn Sie mit einem Notebook zwischen dem FirmenNetzwerk und dem kleinen Heimnetz pendeln müssen. In der Firma erfolgt die IP-Adresszuteilung über einen DHCP-Server. Zu Hause angekommen, arbeiten Sie vielleicht in Ihrem privaten Netzwerk mit festen IP-Adressen. Diese Konfiguration können Sie mit einer einmaligen Einstellung erreichen. Der Ablauf beim Ermitteln der IP-Konfiguration ist folgender: 1. Windows prüft, ob eine feste IP-Adresse verwendet wird. Ist das der Fall, wird diese verwendet. 2. Ist die Adressvergabe dynamisch, versucht der DHCP-Client einen DHCP-Server im Netzwerk zu erreichen. Reagiert ein DHCP-Server, wird dessen Konfiguration übernommen und im Rahmen des zugewiesenen Leases verwendet. 3. Reagiert der DHCP-Server nicht innerhalb von 60 Sekunden, wechselt Windows auf die ALTERNATIVE KONFIGURATION. Ist hier
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 877 eine feste IP-Adresse eingetragen, wird diese verwendet. Ist auch hier eine dynamische Adressvergabe vorgesehen, wird nun eine Adresse aus dem APIPA-Adressraum ausgewählt. Wenn Sie hier eine feste IP-Adresse eintragen, wird APIPA deakti- APIPA deaktivieren viert. Ein Eingriff in die Registrierung, wie noch unter Windows 2000, ist damit nicht mehr notwendig.
Konfiguration überprüfen Mit Hilfe des Werkzeugs IPCONFIG können Sie die aktuelle Adressvergabe überprüfen. Wird eine Adresse innerhalb des für APIPA reservierten Raumes angezeigt, ist APIPA aktiv. Eine typische Ausgabe zeigt die nachfolgende Abbildung. Abbildung 14.23: APIPA ist aktiv
Mehr Informationen zu den TCP/IP-Werkzeugen finden Sie in Abschnitt 14.3.4 Kommandozeilen-Tools für TCP/IP ab Seite 877. Bei der automatischen Konfiguration können Sie kein Standardgateway manuell angeben. Das entsprechende Feld wird deaktiviert. Die Eingabe kann von Hand mit dem Werkzeug ROUTE erfolgen, das ab Seite 890 beschrieben wird.
14.3.4 Kommandozeilen-Tools für TCP/IP Unter Windows Vista steht eine Reihe von TCP/IP-Befehlen auf Kommandozeilen-Ebene zur Verfügung. In den folgenden Abschnitten finden Sie daraus eine Auswahl.
Übersicht über die erläuterten Befehle Alle Kommandozeilenbefehle rufen Sie über die Eingabeaufforderung auf (über START | ALLE PROGRAMME | ZUBEHÖR | E INGABEAUFFORDERUNG). Schneller starten Sie diese, wenn Sie über START | AUSFÜHREN (oder in der Suchleiste) das Kommando CMD eingeben. In der folgenden Tabelle finden Sie zum schnelleren Auffinden alle in den folgenden Abschnitten erläuterten Befehle:
878 _________________________________________________14 Netzwerkadministration Tabelle 14.1: Übersicht über die erläuterten TCP/IPBefehle
Befehl
Kurzbeschreibung
Seite
Arp
Anzeige/Änderung der Tabellen mit den physischen MAC- und den dazugehörigen IP-Adressen
878
Finger
Gibt Informationen zu den Nutzern eines Systems zurück.
879
Ftp
Einfacher, nichtgrafischer FTP-Client für den Datenaustausch über das File Transfer Protocol
880
Hostname
Dient der Anzeige des Hostnamens des Computers.
882
Ipconfig
Anzeige und Änderung der IP-Konfiguration
882
Lpq
Liefert Informationen zum Status eines LPDServers.
884
Lpr
Sendet eine Datei zum Druck an einen LPDServer.
884
Netsh
Lässt umfangreiche Konfigurationsarbeiten an den Netzwerkschnittstellen zu.
884
Netstat
Gibt Statusinformationen zur IP-Konfiguration aus.
886
Nslookup
Dient dem Abruf von DNS-Informationen.
887
Ping
Einfaches Programm zur generellen Verbindungskontrolle zwischen Hosts
889
Route
Dient der Manipulierung der IP-Routingtabelle.
890
Tracert
Diagnosewerkzeug für das Routing über das Protokoll ICMP
892
Die Netzwerkbefehle im Detail
Arp
In den folgenden Abschnitten finden Sie wichtige TCP/IP-Befehle mit den Erklärungen zu den verwendbaren Parametern. Arp -a [] [-N [<Schnittstelle>] [-v] Arp -d [<Schnittstelle>] Arp -s <Eth_Adr> [<Schnittstelle>] arp dient zur Anzeige oder Änderung der Übersetzungstabellen, die vom Address Resolution Protocol für die Umsetzung von IP-Adressen in physikalische Ethernet- oder Tokenringadressen verwendet werden.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 879 Parameter
Erklärung
-a
Zeigt anhand einer TCP/IP-Abfrage alle aktuellen ARP-Einträge an. Bei Angabe von IP_Adr werden nur die IP-Adresse und die physische Adresse des betreffenden Computers angezeigt. Der Zusatzparameter bei v zeigt die aktuellen ARP-Einträge im ausführlichen Modus an. Ungültige und Einträge auf der Loopback-Schnittstelle werden ebenso angezeigt.
-N
Tabelle 14.2: arp-Parameter
Gibt eine IP-Adresse an. Zeigt die ARP-Einträge für die mit Schnittstelle angegebene Netzwerkschnittstelle an.
<Schnittstelle> Gibt die IP-Adresse der Schnittstelle an, deren Adressübersetzungstabelle geändert werden muss. Falls nicht angegeben, wird die erste verfügbare Schnittstelle verwendet. -d
Löscht den mit angegebenen Eintrag.
-s
Fügt einen Eintrag zum ARP-Cache hinzu, der die IP-Adresse der physischen Adresse <Eth_Adr> zuordnet. Die physische Adresse wird in der Form sechs hexadezimaler Bytes angegeben, getrennt durch Bindestriche. Die IP-Adresse wird in punktierter Dezimalschreibweise angegeben. Der Eintrag ist permanent, d.h. er wird nach einer Zeitüberschreitung im Cache nicht automatisch gelöscht.
<Eth_Adr>
Gibt eine physische Adresse an.
Finger Finger [-l] []@ [...] finger ist ein unter UNIX verbreiteter Dienst, der den Nutzern eines Systems Informationen zurückgibt. Sie können mit diesem Kommando Computer abfragen, auf denen der finger-Dienst läuft und über entsprechende Daten verfügt.
Parameter -l
Erklärung Zeigt Informationen im langen Listenformat an. Bezeichnet den Benutzer, über den Sie Informationen anzeigen möchten. Ohne Angabe des Parameters Benutzer werden Informationen über alle Benutzer auf dem angegebenen Computer angezeigt. Name des Computers, auf dem der FINGER-Dienst läuft
Tabelle 14.3: Finger-Parameter
880 _________________________________________________14 Netzwerkadministration Ftp
Tabelle 14.4: Ftp-Parameter
Ftp [-v] [-n] [-i] [-d] [-g] [-s:] [-a] [-A] [x:Sendepuffer] [-r:Empfangpuffer] [-b:Asynchronpuffer] [-w:] [] Dieses Programm ist ein einfacher, kommandozeilenbasierter Client für die Datenübertragung mit dem File Transfer Protocol. Es steht unter Windows Vista mit dem Internet Explorer auch ein grafischer FTPClient zur Verfügung. Darüber hinaus gibt es im Internet viele Entwickler, die eigene grafische FTP-Programme entwickelt haben und zum Teil als Shareware oder kostenlos als Freeware vertreiben. In Abschnitt 16.3.8 FTP-Dienste anbieten ab Seite 1061 werden die Installation und Einrichtung eines Windows Vista-Systems als FTPServer erläutert. Parameter
Erklärung
-v
Unterdrückt die Anzeige der Rückmeldungen des Remoteservers.
-n
Unterdrückt die automatische Anmeldung beim Verbindungsaufbau.
-i
Schaltet bei der Übertragung mehrerer Dateien die interaktiven Eingabeaufforderungen ab.
-d
Aktiviert die Fehlersuche. Es werden alle FTP-Befehle angezeigt, die zwischen Client und Server ausgetauscht werden.
-g
Deaktiviert den Globbingmodus, der die Verwendung von Platzhalterzeichen (* und ?) in lokalen Datei- und Pfadnamen ermöglicht.
-s:
Gibt eine Textdatei an, die FTP-Befehle enthält. Die Befehle werden beim Start von ftp automatisch ausgeführt. Dieser Parameter darf keine Leerzeichen enthalten. Verwenden Sie diesen Schalter anstelle der Umleitung (>).
-a
Verwendet eine beliebige lokale Schnittstelle für die Bildung einer Datenverbindung.
-A
Meldet den ftp-Client als anonymous an. Viele FTP-Server erlauben die anonyme Anmeldung.
-x:Sendepuffer
Standardmäßig ist der Sendepuffer (SO_SNDBUF) 8192 Bytes groß. Mit x kann der Puffer vergrößert werden.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 881 Parameter
Erklärung
-r:Empfangpuffer
Standardmäßig ist der Empfangspuffer (SO_RCVBUF) 8192 Bytes groß. Mit r kann der Puffer vergrößert werden.
-b:Asynchronpuffer
Überschreibt den Asynchronpuffer von 3.
-w:
Überschreibt die Standardgröße (64 KiloByte) des Übertragungspuffers.
Gibt den Computernamen oder die IPAdresse des Remotecomputers an, zu dem eine Verbindung hergestellt werden soll (muss als letzter Parameter angegeben werden).
Standard-
Nach dem Start können Sie sich mit einem FTP-Server verbinden und Dateien vom und zum Server übertragen. Befehl
Erklärung
ascii
Stellt den Dateiübertragungsmodus auf ASCII ein. Diese Einstellung sollten Sie nur verwenden, wenn wirklich 7-Bit-ASCII-Dateien übertragen werden.
binary
Stellt den Dateiübertragungsmodus auf Binär ein. Diese Einstellung sollten Sie standardmäßig verwenden.
bye
Beendet die FTP-Sitzung.
cd
Wechselt das aktuelle Verzeichnis auf dem entfernten Computer.
close
Schließt die Verbindung.
delete
Löscht Dateien auf dem entfernten Computer.
dir
Zeigt eine Liste von Dateien im aktuellen Verzeichnis des entfernten Computers an. Das Verzeichnis kann auch angegeben werden.
get
Kopiert eine Datei vom entfernten Computer in das aktuelle Verzeichnis des lokalen Computers.
lcd
Wechselt das aktuelle Verzeichnis auf dem lokalen Computer. Datenübertragungen finden immer zwischen den mit cd und lcd eingestellten Verzeichnissen statt.
mkdir, rmdir, rename
Erzeugt, löscht oder benennt ein Verzeichnis auf dem entfernten Computer um.
Tabelle 14.5: Ftp-Befehle
882 _________________________________________________14 Netzwerkadministration Befehl
Erklärung
open
Öffnet eine Verbindung zu einem entfernten Computer. Ist der FTP-Server geschützt, werden Name und Kennwort abgefragt.
put
Kopiert eine Datei vom lokalen Computer zum entfernten Computer.
pwd
Zeigt an, welches das aktuelle Verzeichnis ist.
mget
Kopiert mehrere Dateien (Angabe von Platzhaltern möglich) vom entfernten Computer in das aktuelle Verzeichnis des lokalen Computers.
mput
Kopiert mehrere Dateien (Angabe von Platzhaltern möglich) zum entfernten Computer.
Eine vollständige Liste der Befehle erhalten Sie, wenn am Prompt das Fragezeichen eingegeben wird: Ftp>? Abbildung 14.24: Befehlshilfe für das ftp-Programm
Hostname
Ipconfig
Eine kurze Beschreibung eines Befehls erhalten Sie, wenn Sie Folgendes eingeben: Ftp>? Hostname Dieser Befehl zeigt den Namen des Computers an. Es gibt keine Parameter. Der Einsatz dürfte in Stapeldateien zu finden sein. Ipconfig [/all | /allcompartments | /release [] | /release6 [] | /renew [] | /renew6 [] | /flushdns | /registerdns | displaydns | /showclassid [] | /setclassid [][Klassen-ID]] Dieser Befehl zeigt die aktuelle IP-Adresskonfiguration des Computers an. Sie können so auch herausbekommen, welche Adresse ein DHCP-Server aus dem Adresspool zugewiesen hat.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 883 Parameter
Erklärung
/all
Erstellt eine vollständige Anzeige. Ohne diesen Schalter zeigt IPCONFIG nur die IP-Adresse, die Subnetzmaske und den Standardgateway für jeden Netzwerkadapter an.
/allcompartments
Zeigt Informationen für alle Depots an. Depots sind auf Seite 793 näher erläutert.
/release []
Gibt die aktuelle IPv4-Adresse frei. Dieser Parameter deaktiviert TCP/IP auf dem lokalen System und ist nur auf DHCP-Clients verfügbar. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.
/release6 [] Gibt die aktuelle IPv6-Adresse frei. Dieser Parameter deaktiviert TCP/IP auf dem lokalen System und ist nur auf DHCP-Clients verfügbar. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden. /renew []
Aktualisiert die IPv4-Adresse und die damit verbundenen DHCP-Konfigurations-Parameter. Dieser Parameter ist nur auf Systemen verfügbar, auf denen der DHCP-Clientdienst ausgeführt wird. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.
/renew6 []
Aktualisiert die IPv6-Adresse und die damit verbundenen DHCP-Konfigurations-Parameter. Dieser Parameter ist nur auf Systemen verfügbar, auf denen der DHCP-Clientdienst ausgeführt wird. Geben Sie als Netzwerkadapternamen den Namen ein, der angezeigt wird, wenn Sie IPCONFIG ohne Parameter verwenden.
/flushdns
Der lokale DNS-Auflösungscache (Resolver) wird geleert.
/registerdns
Alle DHCP-Leases werden aktualisiert und auf dem DNS-Server neu registriert.
Tabelle 14.6: Ipconfig-Parameter
884 _________________________________________________14 Netzwerkadministration
Lpq
Tabelle 14.7: Lpq-Parameter
Lpr
Tabelle 14.8: Lpr-Parameter
Netsh
- interaktiv
Parameter
Erklärung
/displaydns
Der lokale DNS-Auflösungscache (Resolver) wird angezeigt.
/showclassid
Zeigt alle DHCP-Klassen-IDs an, die für diesen Adapter zugelassen sind.
/setclassid
Setzt eine Klassen-ID für den angegebenen Adapter. Wird keine ID angegeben, wird die Klassen-ID gelöscht.
Lpq S<Server> -P [-l] Dieser Befehl zeigt den Status von Druckwarteschlangen auf Servern an, auf denen ein LPD-Server ausgeführt wird. Für die Einrichtung eines LPD-Servers auf einem Windows Vista-System finden Sie weitergehende Informationen in Abschnitt Drucker über LPR ansteuern ab Seite 359. Parameter
Erklärung
-S<Server>
Angabe des Namens oder der IP-Adresse des Servers
-P
Name der Druckwarteschlange auf dem Server
-l
Ausgabe eines ausführlichen Statusberichts
Lpr S<Server> -P [-Ol] Dieser Befehl sendet eine Datei an eine Druckwarteschlange auf einem LPD-Server. Parameter
Erklärung
-S<Server>
Angabe des Namens oder der IP-Adresse des Servers
-P
Name der Druckwarteschlange auf dem Server
-C
Klassifikation des Auftrags für die Verwendung auf der Trennseite
-J
Auftragsname für das Drucken auf der Trennseite
-o l
Aktiviert die binäre Übertragung einer Druckdatei (Standard: Text).
Dieses Programm kann sowohl interaktiv als auch in Skripten eingesetzt werden. Zur interaktiven Arbeitsweise rufen Sie es einfach auf. Es startet dann ein eigener Prompt, über den Sie weitere Befehle eingeben können. Netsh
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 885 Eine Liste der verfügbaren Befehle erhalten Sie, wenn Sie am Prompt das Fragezeichen ? eingeben. Dabei ist von verschiedenen Kontexten die Rede, zwischen denen Sie sich bewegen können. Im Kontext interface können Sie beispielsweise die IP-Adresseinstellungen für jeden Netzwerkadapter bearbeiten. In den Kontexten firewall und advfirewall finden Sie die Konfigurationsmöglichkeiten für die integrierte Windows-Firewall. Die nachfolgende Tabelle bietet einen Überblick über die wichtigsten Kontexte und Befehle. Befehl Bridge Firewall
Tabelle 14.9: Wichtige Kontexte Öffnet den Kontext zur Konfiguration der Netzwerk- und Befehle im interaktiven Modus von brückenfunktion. Netsh Öffnet den Kontext für die Konfiguration der internen Windows-Firewall.
Erklärung
Interface
Öffnet den Kontext zum Bearbeiten der Netzwerkkonfiguration für jeden Adapter.
Ras
Öffnet den Kontext zum Konfigurieren der RAS-Einstellungen (Remote Access Services).
Routing
Öffnet den Kontext zum Konfigurieren der RoutingEinstellungen.
Winhttp
Öffnet den Kontext zum Konfigurieren der WinhttpEinstellungen, z.B. Proxy-Einstellungen.
Wlan
Öffnet den Kontext zum Konfigurieren der WLANEinstellungen
..
Eine Ebene zurück
Abort
Verwirft alle Änderungen, die im interaktiven Modus vorgenommen wurden.
Commit
Überträgt Änderungen, die im interaktiven Modus vorgenommen wurden.
?, help
Zeigt einen kontextbezogenen Hilfetext an.
Bye, exit
Beendet das Programm.
Um das Programm in Skripten oder als kompakte Befehlssequenz auf der Kommandozeile einsetzen zu können, verfügt es zusätzlich über eine Befehlszeilensyntax. Netsh [a ] - Befehlszeile Für setzen Sie einfach den ein, für dessen Bereich Sie Änderungen an der Konfiguration vornehmen wollen. Die Verwendung einer Alias-Datei wird weiter unten erklärt.
886 _________________________________________________14 Netzwerkadministration
...IP-Konfiguration einsehen
...DHCP einschalten
...statische IP-Konfiguration
...DNS statisch
...DNS per DHCP
...Alias-Dateien
Netstat
Tabelle 14.10: Netstat-Parameter
Für die in der Praxis am häufigsten verwendete Änderung an der IPKonfiguration erhalten Sie eine Hilfestellung, indem Sie Folgendes eingeben: Netsh interface ip set /? Wollen Sie die IP-Konfiguration aller Adapter des Computers einsehen, nutzen Sie diesen Befehl: Netsh interface ip show config Um eine Schnittstelle mit dem Namen LAN-Verbindung auf die automatische IP-Adressvergabe umzustellen, geben Sie Folgendes ein: Netsh interface ip set address LAN-Verbindung dhcp Wollen Sie hingegen eine statische Adresse vergeben, können Sie diese Syntax verwenden: Netsh interface ip set address LAN-Verbindung static 192.168.100.16 255.255.255.0 192.168.100.254 1 Neben der IP-Adresse und der Subnetzmaske können Sie mit diesem Befehl gleich noch das Standard-Gateway (hier: 192.168.100.254) und die Schnittstellenmetrik (hier: 1) mit angeben. Wollen Sie den DNS-Server fest eintragen, geben Sie ein: Netsh interface ip set dns "LAN-Verbindung" static 192.168.100.254 Soll der DNS-Servereintrag hingegen vom DHCP-Server geliefert werden, verwenden Sie diese Befehlssyntax: Netsh interface ip set dns "LAN-Verbindung" dhcp Mit dieser Befehlssyntax setzen Sie die Firewall auf die Standardkonfiguration zurü: Netsh firewall reset Für eine noch einfachere Automatisierung können Sie NETSH-Befehle in Alias-Dateien zusammenfassen. Hier ist ein Beispiel für so eine Datei, mit der eine statische IP-Adressierung eingeschaltet wird: interface ip set address "LAN-Verbindung" static 192.168.100.16 255.255.255.0 192.168.100.254 1 Diese binden Sie einfach über den Parameter a in den Aufruf von NETSH ein: Netsh a setip.txt Zu weiteren Parametern und Befehlen von NETSH finden Sie umfassende Informationen in der Online-Hilfe. Netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p] [-r] [] [-s] [-t] [-v] Dieses Werkzeug zeigt Protokolldaten an, die zur Fehlersuche verwendet werden können. Parameter
Erklärung
-a
Zeigt alle Verbindungen und abhörenden Anschlüsse an. Serververbindungen werden normalerweise nicht angezeigt.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 887 Parameter
Erklärung
-b
Zeigt die ausführbare Datei an, die beim Aufbau einer Verbindung beteiligt ist.
-e
Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombiniert werden.
-f
Für Remoteadressen wird der FQDN, der vollqualifizierte Domänename, angezeigt
-n
Zeigt Adressen und Anschlussnummern in numerischer Form an (es wird nicht versucht, die entsprechenden Namen abzufragen).
-o
Gibt die übergeordnete Prozeßkennung für eine Verbindung an.
-p
Zeigt die Verbindungen für das mit Protokoll angegebene Protokoll an. Mögliche Werte für Protokoll sind TCP oder UDP. Wird diese Option zusammen mit der Option -s zur protokollweisen Statistikanzeige verwendet, kann für Protokoll tcp, udp, icmp oder ip angegeben werden.
-r
Zeigt den Inhalt der Routingtabelle an.
-s
Zeigt die Statistik, getrennt nach Protokollen, an.
-t
Zeigt den aktuellen Abladungsstatus der Verbindung an.
-v
Kombiniert mit der Option b wird die Reihenfolge der Komponenten angezeigt, die beim Erstellen der Verbindung beteiligt sind.
Zeigt die gewählte Statistik nach der mit Intervall angegebenen Anzahl der Sekunden erneut an. Drücken Sie Strg-C zum Beenden der Intervallanzeige. Ohne Angabe dieser Option gibt NETSTAT die aktuellen Konfigurationsinformationen nur einmal aus.
Nslookup Nslookup [-Option ...] [ | - [<Server>]] Dieses Diagnosehilfsprogramm zeigt Informationen von DNS-Namensservern an und verfügt über zwei Modi: Nicht interaktiver Modus Wenn Sie nur ein einzelnes Datenelement suchen, verwenden Sie den nicht interaktiven Modus. Geben Sie als erstes Argument den Namen oder die IP-Adresse des Computers ein, der gesucht werden soll. Geben Sie als zweites Argument den Namen oder die IPAdresse eines DNS-Namensservers ein. Wenn Sie das zweite Ar-
888 _________________________________________________14 Netzwerkadministration gument nicht angeben, wird der Standard-DNS-Namensserver verwendet. Interaktiver Modus Wenn Sie mehrere Datenelemente suchen, verwenden Sie den interaktiven Modus. Geben Sie einen Bindestrich () als erstes Argument und den Namen oder die IP-Adresse eines DNS-Namensservers als zweites Argument ein. Wenn Sie beide Argumente weglassen, wird der Standard-DNS-Namensserver verwendet. Abbildung 14.25: Typische NslookupAbfrage
Tabelle 14.11: Nslookup-Parameter
Parameter
Erklärung
-Option
Gibt ein oder mehrerer Nslookup-Befehl als eine Befehlszeilenoption an. Jede Option besteht aus einem Bindestrich (-), gefolgt von dem Befehlsnamen. In einigen Fällen folgen noch ein Gleichheitszeichen und ein Wert. Um etwa den Standardabfragetyp auf Hostinformation und den anfänglichen Wert für die Zeitüberschreitung auf 10 Sekunden zu setzen, geben Sie Folgendes ein: Nslookup -querytype=hinfo -timeout=10 Die Länge der Befehlszeile beträgt maximal 255 Zeichen.
Sucht nach Informationen über den Computer , wobei der aktuelle Standardserver oder aber der Server <Server> verwendet werden. Ist eine IP-Adresse und der Abfragetyp A oder PTR, wird der Name des Computers zurückgegeben. Ist der zu suchende Host ein Name ohne nachfolgenden Punkt, wird der Standard-DNSDomänenname an den Namen angefügt. (Dieses Verhalten hängt vom Zustand der set-Optionen ab: domains, srchlist, defname beziehungsweise search) Um nach einem Computer zu suchen, der sich nicht in der aktuellen Domäne befindet, fügen Sie an den Namen einen Punkt an. Wenn Sie an Stelle von Computer einen Bindestrich (-) eingeben, wechselt die Befehlseingabe in den interaktiven Modus.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 889 Parameter
Erklärung
<Server>
Legt diesen Server als zu verwendenden DNS-Namensserver fest. Wenn Sie Server nicht angeben, wird der Standard-DNS-Namensserver verwendet.
Ping Ping [-t] [-a] [-n ] [-l ] [-f] [-i ] [-v ] [-r ] [-s ] [[-j ] | [-k ]] [-w ] [-R] [-S ] [-4] [-6] Der Befehl PING überprüft die Netzwerkverbindung zu einem oder mehreren entfernten Computern. Wenn Sie TCP/IP installiert haben, können Sie die Verbindung am schnellsten mit PING prüfen. Jeder Computer im Netzwerk muss jeden anderen »anpingen« können.
Parameter
Erklärung
-t
Sendet fortlaufend Ping-Signale an den angegebenen Computer.
-a
Wertet Adressen zu Computernamen aus.
-n
Sendet die mit Anzahl angegebene Anzahl an ECHO-Paketen. Der Standardwert ist 4.
-l
Sendet ECHO-Pakete mit der durch Länge festgelegten Datenmenge. Der Standardwert beträgt 32 Byte, der Maximalwert beträgt 65.527 Byte.
-f
Sendet
die
Pakete
mit einem NICHT Das Paket wird dadurch beim Weiterleiten von keinem Gateway fragmentiert. FRAGMENTIEREN-Flag.
-i
Legt für das Feld Gültigkeitsdauer den mit TTL angegebenen Wert fest.
-v
Legt für das Feld Servicetyp den mit TOS angegebenen Wert fest.
-r
Zeichnet die Route des gesendeten Pakets und des zurückkehrenden Pakets im Feld Route auf. Über Anzahl wird die Anzahl der aufzuzeichnenden Hosts angegeben. Es muss mindestens ein Host und es können höchstens neun Hosts aufgezeichnet werden.
-s
Gibt den Zeiteintrag für die durch Anzahl angegebene Anzahl der Abschnitte an.
Tabelle 14.12: Ping-Parameter
890 _________________________________________________14 Netzwerkadministration Parameter
Erklärung
-j
Leitet Pakete entsprechend der durch angegebenen Hostliste weiter. Aufeinander folgende Hosts können durch dazwischen liegende Gateways getrennt sein (Loose Source Routed). Die von IP maximal erlaubte Anzahl ist 9.
-k
Leitet Pakete entsprechend der durch angegebenen Hostliste weiter. Aufeinander folgende Hosts dürfen nicht durch dazwischen liegende Gateways getrennt sein (Strict Source Routed). Die von IP maximal erlaubte Anzahl ist 9.
-w
Gibt für die Zeitüberschreitung ein Intervall in Millisekunden an.
[-R]
Nur für IPv6: Es wird der Routingheader für die Reverse-Route benutzt.
[-S]
Nur für IPv6: Es wird die zu verwendende Quelladresse angegeben.
[-4]
Die Verwendung von IPv4 wird forciert.
[-6]
Die Verwendung von IPv6 wird forciert.
Route
Tabelle 14.13: Route-Parameter
Gibt die Remotehosts an, für die Ping ausgeführt werden soll.
Route [-f] [-p] [4|6] [ [] [mask <maske>] [] [metric ] [if ]] Der Befehl route dient der Konfiguration lokaler Routen für den IPVerkehr. Eine Route legt fest, über welchen Weg im lokalen Netz der IP-Verkehr läuft. Parameter
Erklärung
-f
Löscht alle Gatewayeinträge in den Routingtabellen. Wird dieser Parameter mit einem Befehl verwendet, werden die Tabellen vor der Befehlsausführung gelöscht.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 891 Parameter
Erklärung
-p
Wird dieser Parameter mit dem Befehl add verwendet, bleibt die Route nach dem Neustart des Systems erhalten. Standardmäßig werden zuvor existierende Routen beim Neustart des Systems entfernt. Wird dieser Parameter mit dem Befehl print verwendet, wird eine Liste aller registrierten, gespeicherten Routen angezeigt. Dieser Parameter wird überlesen, wenn er mit anderen Befehlen verwendet wird, die sich immer auf die entsprechenden beständigen Routen auswirken.
-4 oder -6
Die Verwendung von IPv4 oder IPv6 wird forciert.
Gibt einen der folgenden Befehle an: - print - Zeigt eine Route an. - add - Fügt eine Route hinzu. - delete - Löscht eine Route. - change - Ändert eine bestehende Route.
Gibt den Computer an, an den ein Befehl gesendet werden soll.
mask <maske>
Gibt eine Subnetzmaske an, die mit diesem Routeeintrag verbunden wird. Sollte hier nichts eingetragen sein, wird 255.255.255.255 verwendet.
Gibt den Gateway an. Alle symbolischen Namen in Ziel beziehungsweise Gateway werden sowohl in der Netzwerkdatenbankdatei NETWORKS als auch in der Computernamendatenbankdatei HOSTS verwendet. Bei den Befehlen print beziehungsweise delete können Stellvertreterzeichen für Ziel und Gateway verwendet werden und es kann auf die Angabe von Gateway verzichtet werden.
Metric
Ordnet eine ganzzahlige Kostenanzahl (zwischen 1 und 9 999) zu, die zur Berechnung der schnellsten, zuverlässigsten und/oder kostengünstigsten Routen verwendet wird. Mit Kosten ist kein monetärer Begriff gemeint. Bestehen z.B. zwei Routen zu einem Ziel, können Kosten den Routing-Protokollen Hinweise geben welcher Weg zu benutzen ist. So hat eine Breitband-Verbindung niedrigere Kosten als eine Modem-Verbindung, die vielleicht nur als Backup-Leitung dient.
If
Gibt eine bestimmte Schnittstelle an. ist die Schnittstellennummer.
892 _________________________________________________14 Netzwerkadministration Abbildung 14.26: Anzeige der Standardrouten
Tracert
Tracert [-d] [-h ] [-j ] [-w ] [-R] [-S quelladresse] [-4] [-6] Das Programm tracert ist ein Diagnosewerkzeug. Es ermittelt die Route zu einem Ziel, indem es ICMP-Echopakete (Internet Control Message Protocol) mit unterschiedlichen TTL-Werten (Time-To-Live) sendet. Dabei wird von jedem Router auf dem Pfad erwartet, dass er den TTLWert für ein Paket vor dem Weiterleiten um mindestens 1 verkleinert, sodass der TTL-Wert die Anzahl der Abschnitte angibt. Wenn der TTL-Zähler für ein Paket den Wert null erreicht, sendet der Router eine »ICMP-Zeitüberschreitung«-Nachricht zur Quelle zurück. TRACERT ermittelt die Route, indem es das erste Echopaket mit dem TTL-Wert 1 sendet und den TTL-Wert bei jeder folgenden Übertragung um eins erhöht, bis das Ziel antwortet oder der TTL-Höchstwert erreicht ist. Die Route wird durch Prüfen der »ICMP-Zeitüberschreitung«-Nachrichten ermittelt, die von den dazwischen liegenden Routern zurückgesendet werden. Einige Router verwerfen jedoch Pakete mit abgelaufenen TTL-Werten ohne Warnung und sind für TRACERT nicht sichtbar.
14.3 Konfiguration von TCP/IP-Netzwerken __________________________________ 893 Parameter
Erklärung
-d
Gibt an, dass Adressen nicht zu Hostnamen ausgewertet werden sollen. Da bei jedem Knoten eine Nameserverabfrage entfällt, ist diese Variante deutlich schneller.
-h
Gibt an, wie viele Abschnitte bei der Zielsuche höchstens durchlaufen werden sollen. Der Standardwert beträgt 30.
-j
Gibt an, dass die Hostliste im »Loose Source Routing« abgearbeitet wird.
-w
Die durch angegebene Anzahl von Millisekunden wartet auf eine Antwort. Der Standardwert beträgt 1000 ms.
[-R]
Nur für IPv6: Es wird der Routingheader für die Reverse-Route benutzt.
[-S]
Nur für IPv6: Es wird die zu verwendende Quelladresse angegeben.
[-4]
Die Verwendung von IPv4 wird forciert.
[-6]
Die Verwendung von IPv6 wird forciert.
Tabelle 14.14: Tracert-Parameter
Gibt den Remotehost an, zu dem die Route untersucht werden soll. Abbildung 14.27: Typische Ausgabe für das Verfolgen einer Route mit Tracert
Wie Sie es bei eigenen Experimenten mit dem Befehl schnell herausfinden werden, ist der Weg vom Provider zum Server im Internet oft sehr lang.
894 _________________________________________________14 Netzwerkadministration
14.4 Verbindungen und Netzwerke einrichten Mit Windows Vista haben Sie beste Voraussetzungen, ein kleines Netzwerk ohne Server einzurichten und zu betreiben. Sie können dabei alle Einrichtungsschritte manuell vornehmen oder einen speziellen Assistenten bemühen.
14.4.1 Ein Netzwerk mit dem Assistenten einrichten Den Assistenten starten Sie über die Aufgabenleiste im Netzwerk- und Freigabecenter. Wählen Sie den Eintrag EINE VERBINDUNG ODER EIN NETZWERK EINRICHTEN. Die angebotene Auswahl hängt von der installierten Hardware ab. Abbildung 14.28: Verbindungen über Assistenten einrichten
Sie können diese Aufgaben mit Hilfe des Assistenten erledigen: VERBINDUNG MIT DEM INTERNET HERSTELLEN Auf die Einrichtung eines Internet-Zugangs wird in Abschnitt 15.2 Verbindung zum Internet herstellen ab Seite 957 eingegangen. EINEN DRAHTLOSROUTER ODER -ZUGRIFFSPUNKT EINRICHTEN Wie Sie eine Verbindung zwischen Client und Basisstation einrichten, erfahren Sie in Abschnitt Assistenten für die Verbindungsaufnahme benutzen ab Seite 901. MANUELL MIT EINEM DRAHTLOSNETZWERK VERBINDEN In Abschnitt Manuell den Zugriff auf ein WLAN einrichten auf Seite 907 ist die Herstellung einer Verbindung mit dieser Methode beschrieben.
14.4 Verbindungen und Netzwerke einrichten ________________________________ 895 EIN DRAHTLOSES AD-HOC NETZWERK (C OMPUTER-ZU-C OMPUTER) EINRICHTEN
Mit dieser Auswahl wird eine spontane Verbindung zwischen zwei oder mehreren Computern hergestellt. WÄHLVERBINDUNG EINRICHTEN Wie eine Wählverbindung über Modem oder ISDN anzulegen ist, wird in Abschnitt 14.7.1 Direkte Einwahl ab Seite 908 behandelt. VERBINDUNG MIT EINEM ARBEITSPLATZ (ÜBER VPN) HERSTELLEN. In Abschnitt 14.7.2 VPN-Verbindung ab Seite 918 wird die Einwahl über ein Virtual Private Network beschrieben. Für die Verbindung zu anderen Computern in einem LAN (Local Area Network) per Kabel brauchen Sie diesen Assistenten nicht. Sobald Vista eine Netzwerkkarte mit installiertem und geladenem Treiber vorfindet, verbindet es den Computer mit den »Nachbarn« in seiner Umgebung. Für die IP-Adressvergabe werden dabei APIPA oder ein DHCP-Server verwendet.
14.4.2 Peer-to-Peer-Netzwerk einrichten und überprüfen Mit ein wenig Netzwerkerfahrung können versierte Benutzer ihr Netzwerk selbst einrichten. In diesem Abschnitt wird deshalb kurz auf die manuelle Konfiguration der entsprechenden Parameter unter Windows Vista eingegangen. Dies ist weitgehend auch übertragbar auf andere Windows-Systeme.
Anpassen der IP-Adresseinstellungen Zuerst müssen Sie sicherstellen, dass sich alle Computer im Netzwerk verständigen können. Dazu gehört die entsprechende Anpassung der IP-Adresseinstellungen auf allen beteiligten Systemen. Zuvor müssen die folgenden Fragen geklärt sein: Automatische oder manuelle IP-Adressvergabe? Für eine automatische Vergabe der IP-Adressen brauchen Sie die Automatisch entsprechenden Konfigurationsfelder nur leer zu lassen. Der Client bezieht dann seine Adresse entweder über einen DHCP-Server, der beispielsweise auch durch einen separaten Internet-Router bereitgestellt werden kann, oder über APIPA. Wollen Sie manuell IP-Adressen an alle Stationen vergeben, sollten Manuelle Vergabe Sie diese aus dem privaten Adressbereich nehmen. Empfehlenswert ist beispielsweise der Bereich: Adressen:
192.168.100.1 bis 192.168.100.254
Subnetzmaske:
255.255.255.0
Weitere Informationen zu den Grundlagen finden Sie in Abschnitt 13.3 IP-Adressvergabe im lokalen Netzwerk ab Seite 784. In Abschnitt
896 _________________________________________________14 Netzwerkadministration
Separater InternetRouter
Router als DHCPServer
Gemeinsame Internetverbindung
14.3 Konfiguration von TCP/IP-Netzwerken ab Seite 872 wird die Adresseinrichtung näher beschrieben. Anbindung des Netzwerks an das Internet? Haben Sie einen separaten Router für den Internet-Zugang Ihres Netzwerks, müssen Sie für den natürlich ebenfalls die IP-Adresseinstellung vornehmen. Router werden im lokalen Netz in der Regel über eine feste IP-Adresse angesprochen. Für obiges Beispiel könnten Sie ihm die Adresse 192.168.100.254 geben. Der Router wird dann bei allen Client-PCs als Standardgateway sowie als DNS-Server angegeben. Viele Router bieten DHCP-Serverfunktionen. Wenn der Router die Adresse 192.168.100.254 bekommt und diese Funktion unterstützt, können Sie bei ihm beispielsweise einen Bereich 192.168.100.1 bis 192.168.100.20 einrichten, den er via DHCP an die Clients verteilen soll. Haben Sie Clients im Einsatz, die selbst nicht DHCP unterstützen oder aus anderen Gründen eine feste Adresse bekommen müssen, geben Sie diesen einfach eine Adresse außerhalb des DHCP-Verteilungsbereichs. Sie können Ihr Netzwerk über eine Gemeinsame Verbindung mit dem Internet verbinden. Dazu müssen Sie allerdings den entsprechenden Assistenten bemühen. In Abschnitt 15.3.2 Gemeinsame Internetverbindung konfigurieren ab Seite 989 finden Sie dazu weiterführende Informationen.
Abbildung 14.29: Beispiel für eine manuelle IP-Adresseinrichtung mit separatem Router
Testen der Verbindungen
Nach der Einrichtung der IP-Adressierung auf allen Stationen sollten Sie die Verbindungen überprüfen. Dazu eignet sich das Kommando PING, welches Sie über eine Eingabeaufforderung ausführen.
14.4 Verbindungen und Netzwerke einrichten ________________________________ 897 Mit Ping 192.168.100.1 testen Sie, ob eine Verbindung zu dem System mit der angegebenen IP-Adresse überhaupt steht. Mit IPCONFIG können Sie, ebenfalls über die Eingabeaufforderung, kontrollieren, welche IP-Adresseinstellung bei dem betreffenden Computer aktuell aktiv ist: Ipconfig Weitere Informationen zu beiden Kommandos finden Sie unter anderem in Abschnitt 14.3.4 Kommandozeilen-Tools für TCP/IP ab Seite 877. Im Netzwerk- und Freigabecenter können Sie im Hauptfenster über- Status anzeigen lassen prüfen, ob die Verbindung hergestellt werden konnte.
Computernamen und Arbeitsgruppen-Bezeichnung ändern Damit sich die Computer in einem Netzwerk untereinander »sehen« können, gibt es Namen für die Systeme und die Arbeitsgruppen, in denen diese logisch zusammengefasst sind. Für ein kleines Peer-toPeer-Netzwerk empfiehlt sich eine einzige Arbeitsgruppe, die auf jedem System einheitlich eingetragen werden muss. Computernamen müssen eindeutig sein und dürfen in einem Windows-Netzwerk nicht doppelt vergeben werden. Die ArbeitsgruppenBezeichnung hingegen sollte bei allen Stationen gleich sein, es sei denn, Sie wünschen eine Unterteilung in verschiedene logische Einheiten. Der Zugriff auf Computer über Arbeitsgruppen-Grenzen hinweg kann für manche Laien allerdings schwerer nachvollziehbar sein. Abbildung 14.30: Ändern von Computernamen und Arbeitsgruppen-Zugehörigkeit
898 _________________________________________________14 Netzwerkadministration So können Sie den Computernamen und die Arbeitsgruppe ändern: 1. Öffnen Sie das Systemeigenschaften-Dialogfenster über die Tastenkombination WINDOWS-TASTE+PAUSE oder den Punkt EIGENSCHAFTEN des Kontextmenüs zum C OMPUTER-Symbol im Startmenü. 2. Öffnen Sie die ERWEITERTEN SYSTEMEINSTELLUNGEN mit dem Eintrag in die linken Aufgabenleiste. 3. Aktivieren Sie die Registerkarte COMPUTERNAME und klicken Sie dann auf die Schaltfläche ÄNDERN. 4. Tragen Sie hier, wenn erforderlich, einen neuen Namen für Ihr System ein oder geben Sie eine andere Arbeitsgruppe an. Neustart erforderlich Leider ist nach Änderung einer der Namen ein Neustart erforderlich. Ohne diesen werden geänderte Einstellungen nicht aktiv.
14.4.3
Freigabe von Ressourcen im Netzwerk
Für den gemeinsamen Zugriff auf Dateien und Drucker richten Sie Freigaben auf den Computern ein, die diese Ressourcen zur Verfügung stellen. Von den anderen Computern greifen die Benutzer dann auf diese Freigaben zu. Die folgenden Abschnitte bieten detaillierte Informationen dazu: Freigabe von Ordnern zur gemeinsamen Nutzung und Austausch von Dateien: - 12.11 Freigaben für Ordner einrichten ab Seite 698 Freigabe von Druckern im Netzwerk: - 6.4 Drucken im Netzwerk ab Seite 343
14.5 Einbindung als Client in Active Directory
Vistas Home-Editionen ausgeschlossen
Windows Vista eignet sich, wie schon seine Vorgänger Windows XP Professionell und Windows 2000 Professional, hervorragend als Client-Betriebssystem für den Einsatz in einer Active DirectoryDomäne. In den nachfolgenden Abschnitten finden Sie Informationen, wie Sie einen solchen Computer in eine solche Domäne integrieren können. Die Home Editionen von Vista auch die Professionell - bieten keine Möglichkeiten zur Integration in eine Active Directory-Domäne. Einzig die normalen Peer-to-Peer-Funktionalitäten sind hier nutzbar also der Zugriff auf freigegebene Ressourcen. Zugriffe auf das Verzeichnis sowie die Anwendung der hier definierten Sicherheitsrichtlinien sind hingegen nicht möglich.
14.5.1 Computer einer Domäne anschließen Damit Sie einen Computer mit Windows Vista an eine Domäne anschließen können, müssen die folgenden Voraussetzungen erfüllt sein:
14.5 Einbindung als Client in Active Directory ________________________________ 899 Windows Vista ist ordnungsgemäß installiert worden und Sie verfügen über lokale Administratorrechte. Außer dem Administrator müssen keine weiteren lokalen Benutzerkonten eingerichtet sein. Falls schon welche existieren, stört das aber nicht. Sie benötigen während der Einrichtung zusätzlich den Benutzernamen und das Kennwort eines Domänen-Administrators. Nur dieser hat die Berechtigung, Computerkonten in der Domäne einzurichten. Der Computer muss also protokolltechnisch schon über TCP/IP innerhalb der Domäne erreichbar sein. Außerdem ist es notwendig, dass ein DNS-Server der Domäne in den IP-Adresseinstellungen angegeben ist. Anderenfalls schlägt die Einbindung in die Domäne fehl, wenn kein Domänencontroller gefunden werden kann. Weitere Hinweise finden Sie dazu auch in Abschnitt 14.3 Konfiguration von TCP/IP-Netzwerken ab Seite 872. Ausgangspunkt für den Anschluss eines Computers an eine Domäne ist das Dialogfenster Systemeigenschaften. Sie erreichen diesen Dialog, wenn Sie über die Tastenkombination WINDOWS-TASTE+PAUSE die Kategorie SYSTEM der Systemsteuerung aufrufen und anschließend den Menüpunkt ERWEITERTE SYSTEMEINSTELLUNGEN auswählen. Alternativ erhalten Sie dieses Dialogfenster, wenn Sie den Punkt EIGENSCHAFTEN des Kontextmenüs des COMPUTER-Eintrags im Startmenü auswählen. Aktivieren Sie hier die Registerkarte COMPUTERNAME. Den Anschluss an die Domäne können Sie über zwei verschiedene Verfahren vornehmen: Schaltfläche NETZWERK-ID Sie starten einen Assistenten, über den Sie Schritt für Schritt geführt werden und den Computer in eine Arbeitsgruppe oder eine Domäne einbinden können. Schaltfläche ÄNDERN Sie erhalten die Möglichkeit, eine Domäne anzugeben, und können so auf schnelle Art und Weise den Computer in diese einbinden. Es ist kaum ratsam, den Assistenten zu verwenden. Deutlich schneller ist der zweite Weg, welcher nachfolgend beschrieben wird: 1. Geben Sie im ersten Dialogfenster den Computernamen und die Domäne an, in die der Computer eingebunden werden soll. In dieser Domäne wird dann ein Computerkonto angelegt, sodass Sie diesen über die direkte Integration in das Verzeichnis verwalten können. Als Computername wird der zuletzt gültige Name Ihres Systems vorgegeben. Sie können diesen hier ändern, falls beispielsweise die Namenskonvention für die Domäne dies verlangt. 2. Nach dem Klick auf OK wird versucht, mit der angegebenen Domäne Kontakt aufzunehmen. Dabei wird der DNS-Clientdienst bemüht, um einen Domänencontroller zu finden.
Voraussetzungen
Dialogfenster Systemeigenschaften
Weg über Schaltfläche ÄNDERN
900 _________________________________________________14 Netzwerkadministration Dies funktioniert nur, wenn in den IP-Adresseinstellungen Ihres Windows Vista-Systems ein DNS-Server angegeben ist, der für die Domäne zuständig ist. Abbildung 14.31: Angabe von Computernamen und Domäne
Wurde ein Domänencontroller gefunden, erscheint ein weiteres Dialogfenster mit der Aufforderung, Benutzernamen und Kennwort eines Domänen-Administrators anzugeben. Abbildung 14.32: Angabe von Benutzernamen und Kennwort eines DomänenAdministrators
Nach der Angabe dieser Daten wird in der Domäne ein Computerkonto angelegt. Bei erfolgreichem Abschluss erhalten Sie eine entsprechende Meldung. Abbildung 14.33: Erfolgsmeldung nach Eingliederung in die Domäne
14.6 WLAN-Funknetzwerke administrieren___________________________________ 901 3. Für ein Wirksamwerden der Einstellungen müssen Sie abschließend den Computer neu starten.
14.6 WLAN-Funknetzwerke administrieren Windows Vista bietet eine bequeme Einrichtung von DrahtlosNetzwerken (wireless-WLAN) und verfügt bereits standardmäßig über eine sehr gute Unterstützung für WLAN-Funknetzwerke (IEEE 802.11). Einige Informationen zu den Grundlagen finden Sie in Abschnitt 13.7 Grundlagen zu WLAN-Funknetzwerken ab Seite 795. In den nachfolgenden Abschnitten erhalten Sie Hinweise zur praktischen Anwendung der in Windows Vista integrierten Funktionen sowie zum Aufbau eines kleinen WLANs.
14.6.1 Basisstation einrichten Abgesehen vom reinen Adhoc-Netzwerk, bei dem alle Teilnehmer direkt miteinander kommunizieren, wird mindestens eine Basisstation (Access Point) benötigt. Diese sollte zuerst eingerichtet werden. Die wichtigsten Einrichtungsschritte werden nachfolgend erläutert.
Grundlegende Einrichtung Die meisten Basisstationen verfügen über eine Weboberfläche zum Administrieren. Für die Ersteinrichtung müssen Sie den PC in den gleichen IP-Nummernbereich bringen. Passen Sie dazu gegebenenfalls die IP-Adresse des PCs manuell an, wie es in Abschnitt 14.3.2 Konfiguration mit festen IP-Adressen ab Seite 873 beschrieben wird. Lautet die Standard-IP-Adresse der Basisstation beispielsweise 192.168.0.1, dann geben Sie dem PC die Adresse 192.168.0.2. Die korrekte Standard-IP-Adresse entnehmen Sie dem Handbuch zur Basisstation. Bei manchen Geräten ist diese auch direkt auf dem Gerät mit einem Aufkleber aufgebracht, meist zusammen mit dem Administrator-Benutzernamen und Kennwort. Für den Aufruf der Konfigurationsseite geben Sie dann im Browser die IP-Adresse ein: http://192.168.0.1/ Stellen Sie zunächst die SSID für Ihr WLAN ein. Es empfiehlt sich, das SSID Rundsenden der SSID zu deaktivieren, das WLAN zu »verstecken«. Dann können Sie zwar das WLAN nicht mehr über den integrierten Assistenten finden und einrichten, das WLAN kann aber von HobbyHackern auch nicht mehr ohne weiteres »gesehen« werden. Diese Maßnahme ist jedoch kein wirksamer Schutz! Der wird erst durch das Aktivieren einer Verschlüsselungsmethode erreicht.
902 _________________________________________________14 Netzwerkadministration Abbildung 14.34: Einstellen der SSID bei einer Linksys-Basisstation
WEP-Verschlüsselung an der Basisstation konfigurieren Steht nur die WEP-Verschlüsselung zur Verfügung oder muss diese verwendet werden, weil einige Netzwerkadapter in den Clients kein WPA unterstützen, kann die entsprechende Konfigurationsseite an der Basisstation wie in der nachfolgenden Abbildung aussehen. Abbildung 14.35: WEP-Verschlüsselungs-Einstellungen an der Basisstation
Aktivieren Sie WEP in einer Verschlüsselungsstärke von mindestens 128 Bit und nicht, wie in der obigen Abbildung gezeigt, die Standardeinstellung von 64 Bit. Geben Sie dann mindestens einen Schlüssel ein. In vielen Konfigurationsdialogen ist eine Funktion integriert, einen solchen Schlüssel automatisch aus einer eingegebenen Phrase zu generieren. Bei 128 Bit-WEP besteht der Schlüssel immerhin aus 26 HexZiffern (13 zweistellige Hex-Zahlen).
14.6 WLAN-Funknetzwerke administrieren___________________________________ 903 Bei WEP können bis zu vier Schlüssel an der Basisstation eingerichtet Schlüsselindex werden. Über den Schlüsselindex lässt sich festlegen, auf welchen davon sich der am Client eingegebene Schlüssel bezieht.
WPA-PSK-Verschlüsselung an der Basisstation konfigurieren Wie in Abschnitt Höhere Sicherheit mit WPA erreichen ab Seite 801 beschrieben ist eine Absicherung über WPA-PSK oder WPA2-PSK wesentlich sicherer als über WEP. Wählen Sie über den Konfigurationsdialog an der Basisstation die entsprechende Option aus. Abbildung 14.36: WPA-PSK an der Basisstation einstellen
Wählen Sie den Verschlüsselungsalgorithmus aus. Standardmäßig ist Verschlüsselungsbei manchen Basisstationen heute noch TKIP eingestellt. AES sollten algorithmus Sie bevorzugen, wenn die Netzwerkadapter der Clientsysteme dies ebenfalls unterstützen. Geben Sie den Schlüssel an, der zwischen 8 und 63 Zeichen lang sein Schlüssel muss. Den gleichen Schlüssel tragen Sie dann bei allen Clients im Konfigurationsfenster für das WLAN-Netzwerk ein.
Weitere Konfigurationsschritte Abhängig vom konkreten Funktionsumfang der Basisstation sind noch weitere Konfigurationsschritte notwendig beziehungsweise zu empfehlen: MAC-Adressfilter einrichten MAC-Adressfilter Bei einem WLAN, das nur über WEP abgesichert werden kann, sollten Sie eventuell vorhandene MAC-Adressfilter nutzen und einrichten. Tragen Sie dazu die MAC-Adressen der WLAN-Netzwerkadapter in die Liste der erlaubten Clients ein. Clients mit an-
904 _________________________________________________14 Netzwerkadministration
Internetzugang
Firewall
DHCP
deren MAC-Adressen werden dann von der Basisstation abgewiesen. Die MAC-Adresse ermitteln Sie unter Windows Vista, indem Sie an der Eingabeaufforderung dieses Kommando eingeben: Ipconfig /all Internetzugang einrichten Ist ein IDSN- oder DSL-Router integriert, kann darüber das ganze Netzwerk mit dem Internet verbunden werden. Firewall aktivieren Die Funktion eines Internetrouters sollte niemals ohne die Absicherung durch eine leistungsfähige Firewall genutzt werden. Die in den heutigen Routern integrierten Firewall-Lösungen sind in der Regel ausreichend und meist standardmäßig aktiviert. Sie sollten das jedoch stets nachprüfen. DHCP-Serverfunktion einrichten Die meisten Basisstationen und Internetrouter haben eine DHCPServerfunktion integriert, deren Nutzung sich im kleineren lokalen Netzwerk anbietet.
14.6.2 Windows Vista-Clients einrichten Ist die Basisstation eingerichtet, können die weiteren Arbeiten an den Clients vorgenommen werden.
WLAN-Netzwerkadapter installieren Funknetzwerkadapter
Abbildung 14.37: Funknetzadapter wurde erfolgreich installiert, aber noch nicht verbunden
Für eine Reihe von Funknetzwerkadaptern liefert Windows Vista bereits integrierte Treiber mit. Sie erkennen dies daran, dass nach Installation der Adapterkarte (oder Einstecken des PC-Card-Adapters) ein entsprechender Eintrag im Fenster Netzwerkverbindungen erscheint. Ist dies nicht der Fall, installieren Sie den Treiber des Herstellers. Achten Sie allerdings darauf, dass dieser explizit mit Windows Vista kompatibel ist.
14.6 WLAN-Funknetzwerke administrieren___________________________________ 905 Methoden für den Zugriff auf ein Funknetzwerk Funktioniert der Adapter, richten Sie den Zugriff auf das Funknetzwerk ein. Es gibt drei verschiedene Herangehensweisen: Sie benutzen das Fenster Drahtlose Netzwerkverbindung, über das Sie das Funknetzwerk suchen und eine Verbindung dazu herstellen. Das setzt allerdings voraus, dass die SSID des WLANs auf sichtbar gesetzt ist (siehe Seite 901). Sie nehmen die Hilfe eines Assistenten in Anspruch. Dieser führt Sie durch alle relevanten Einrichtungsschritte und hilft auch, die Verbindung zu WLANs mit versteckter SSID herzustellen. Alternativ können Sie den Zugriff auf ein Funknetzwerk manuell einrichten. Dieser Weg ist ebenfalls nicht schwierig und dann angeraten, wenn Sie auf ein WLAN mit unsichtbarer SSID zugreifen wollen. Alle Methoden werden in den nachfolgenden Abschnitten praktisch vorgestellt. Die ersten beiden setzen allerdings voraus, dass Windows Vista die Kontrolle über alle WLAN-Funktionen hat und nicht das Konfigurationsprogramm des Adapterherstellers.
Fenster Verbindung mit einem Netzwerk herstellen Wird von Windows Vista ein WLAN erkannt, erscheint ein Hinweis im Infobereich der Taskleiste. Über einen Klick auf diesen oder dem dazugehörigen Link im Netzwerk- und Freigabecenter öffnet sich das Fenster Verbindung mit einem Netzwerk herstellen. Abbildung 14.38: Zwei Funknetzwerke wurden erkannt
Der Eintrag VERBINDUNG ben Dialog.
HERSTELLEN
im Startmenü führt zu demsel-
906 _________________________________________________14 Netzwerkadministration Hier wird auch angezeigt, ob und mit welcher Methode (WEP oder WPA) das Netzwerk geschützt ist. Zum Verbinden klicken Sie auf die entsprechende Schaltfläche und geben den Netzwerkschlüssel ein, den Sie an der Basisstation eingerichtet haben. Beachten Sie, dass der Netzwerkadapter und die zugehörige Treibersoftware den gleichen Sicherheitsstandard unterstützen müssen. So können Sie beispielsweise auf ein WPA-PSK-abgesichertes WLAN nicht zugreifen, wenn Adapter und Treiber nur WEP kennen.
Assistenten für die Verbindungsaufnahme benutzen Über den Link EINE VERBINDUNG ODER NETZWERK EINRICHTEN in der Aufgabenleiste des Netzwerk- und Freigabecenter starten Sie einen Dialog (Abbildung 14.28). Mit dessen Hilfe können Sie den WLANRouter konfigurieren, die Freigabe von Druckern und Dateien einstellen und die Netzwerkeinstellung für eine spätere Verwendung auf einem anderen Computer speichern. Der Assistent richtet das Netzwerk immer als privates Netzwerk ein. Über die Option DRAHTLOSNETZWERKEINSTELLUNGEN ERSTELLEN UND AUF DEM USB-FLASHLAUFWERK SPEICHERN können Netzwerkeinstellungen auch dann gesichert werden, wenn der WLAN-Router nicht erreichbar ist. Abbildung 14.39: Assistenten für die Verbindungsaufnahme zu einem WLAN einsetzen
Zunächst vergeben Sie in diesem Fall einen Netzwerknamen (SSID). Dann lassen Sie automatisch einen sicheren WPA-Schlüssel erstellen. Diese Passphrase können Sie über einen Link neu generieren lassen. Sofern noch nicht geschehen, können Dateien und Drucker freigegeben werden. Zur Erleichterung kann die Konfiguration abschließend auf einen USB -Memorystick kopiert werden, sodass eine automati-
14.7 WAN-Verbindungen einrichten_________________________________________ 907 sche Einrichtung der Windows-Clients ermöglicht wird. Dazu wird auf dem Stick eine AUTORUN.INF-Datei ausgewertet, über die der Assistent auf dem anderen Client gestartet wird.
Manuell den Zugriff auf ein WLAN einrichten Der manuelle Weg zur Verbindung mit einem WLAN ist kaum schwieriger oder zeitaufwändiger als über den Assistenten. Er erlaubt zudem eine bessere Kontrolle über alle Einstellungen. Öffnen Sie das Dialogfenster EINE VERBINDUNG ODER NETZWERK EINRICHTEN wie in Abschnitt 14.4.1 Ein Netzwerk mit dem Assistenten einrichten ab Seite 894 beschrieben. Wählen Sie aus dem Dialog den Punkt MANUELL MIT EINEM DRAHTLOSNETZWERK VERBINDEN. Abbildung 14.40: Manuelle Einrichtung des WLANs
Geben Sie hier die SSID des WLANs sowie die Verschlüsselungsmethode und den Netzwerkschlüssel, die Passphrase, an. Diese Einstellungen müssen mit denen an der Basisstation übereinstimmen und für das betreffende Netzwerk auf allen Stationen identisch vorgenommen werden. Mit dieser Methode können Sie sich auch mit Basisstatonen verbinden, bei denen das Senden der SSID abgeschaltet ist.
14.7 WAN-Verbindungen einrichten Für den Zugriff aus der Ferne auf Ihren PC bietet Windows Vista in den professionellen Ausgaben einige Funktionen an. In den nachfolgenden Abschnitten finden Sie Informationen, wie Sie eine Netzwerkverbindung, die entfernungsmäßig über eine LAN-Verbindung hi-
908 _________________________________________________14 Netzwerkadministration
DFÜ
VPN
Beschränkt auf maximal eine Verbindung!
Sicherheitsaspekte
nausgeht, zu Ihrem PC einrichten können. So eine Verbindung kann technisch gesehen über diese beiden Wege hergestellt werden: Direkte Datenfernverbindung Über ein Modem oder einen ISDN-Adapter wählen Sie sich in Ihr System direkt ein. Der nachfolgende Abschnitt zeigt alle notwendigen Einrichtungsschritte. VPN über das Internet Die PCs, die miteinander in Verbindung treten wollen, sind zu diesem Zeitpunkt mit dem Internet verbunden und stellen den Kontakt über TCP/IP und zusätzliche Protokolle her. Dieses Thema wird in Abschnitt 14.7.2 VPN-Verbindung ab Seite 918 behandelt. Für beide Verbindungsarten gilt: Windows Vista kann sowohl als Client (initiiert die Verbindung) als auch als Server (nimmt die Verbindung an) auftreten. Allerdings sind die Serverfunktionen auf jeweils eine einzige aktive Verbindung beschränkt. Mehr Möglichkeiten bieten hier die Windows-Serverversionen. Weiterführende Informationen finden Sie in unseren Büchern Windows 2000 im Netzwerkeinsatz sowie Windows Server 2003. Ein großes Thema ist bei entfernten Verbindungen zwischen Computern, die über öffentlich zugängliche Medien gehen, die Sicherheit. Einige Informationen zu grundlegenden Aspekten finden Sie in Abschnitt 13.10.3 Mehr zur Absicherung von WAN-Verbindungen ab Seite 841. In den nachfolgenden Abschnitten sind jeweils praktische Hinweise zur richtigen Konfiguration enthalten.
14.7.1 Direkte Einwahl DFÜ, RAS, Eingehende Verbindung
Beschränkung auf Vista Business und Enterprise
Windows Vista kann sowohl als DFÜ-Client als auch als DFÜ-Server auftreten. Genauer wäre in diesem Zusammenhang der Begriff RASClient und Server (Remote Access Service). Allerdings wird im vorliegenden Buch versucht, die offizielle Microsoft-Terminologie einzuhalten. Clientverbindungen werden so unter der Rubrik WÄHLVERBINDUNGEN geführt, die Server-Funktion unter EINGEHENDE VERBINDUNG. Eine weitere Einschränkung betrifft die nachfolgenden Erläuterungen der konkreten Einrichtungsschritte: Es werden hier nur die Funktionen behandelt, die Sie unter Windows Vista als Client- und als Serversystem vorfinden. Darüber hinaus können Sie dieses System als leistungsfähigen RAS-Client für »richtige« RAS-Server unter Windows 2000 Server oder Windows Server 2003 einsetzen. Weiterführende Informationen bieten dazu unsere Büchern Windows 2000 im Netzwerkeinsatz sowie Windows Server 2003.
Eingehende DFÜ-Verbindungen zulassen Die direkte Einwahl in einen DFÜ-Server unterscheidet sich im Grunde kaum von der Einwahl beim Provider, um eine Internetverbindung
14.7 WAN-Verbindungen einrichten_________________________________________ 909 herzustellen. Zunächst stehen jedoch die Konfigurations-Schritte im Vordergrund, mit denen Sie Ihren PC für den Fernzugriff über eine direkte Einwahl einrichten. Die folgenden technischen Voraussetzungen müssen gegeben sein, Voraussetzungen damit Ihr PC die direkte Einwahl unterstützt: Eine geeignete DFÜ-Hardware ist installiert. Dies können ein Modem oder ein ISDN-Adapter sein. Sie haben ein Benutzerkonto eingerichtet, welchem Sie im Laufe der weiteren Konfigurationsschritte die Einwahl erlauben. Vermeiden Sie, dem voreingestellten Administrator-Konto oder einem anderen Benutzer mit Administrator-Rechten Einwahlrechte zu erteilen. Besser und sicherer kann es sein, wenn Sie ein spezielles Benutzerkonto verwenden, welchem ein besonders schwer zu erratendes kryptisches Kennwort zugeordnet ist. Die EINGEHENDEN VERBINDUNGEN stehen zur Einrichtung bereit, wenn der Dienst ROUTING UND RAS gestartet ist. Standardmäßig ist dieser Dienst deaktiviert! Wie Sie ihn aktivieren und automatisch starten lassen, erfahren Sie in Abschnitt 9.5.1 Dienstesteuerung in Windows Vista ab Seite 463. Abbildung 14.41: Eingehende Verbindungen unter Netzwerkverbindungen
Über das Kontextmenü der EINGEHENDEN VERBINDUNGEN oder den Eintrag EINSTELLUNGEN DIESER VERBINDUNG ÄNDERN lassen sich Einstellungen für den Verbindungsaufbau festlegen. Abbildung 14.42: Modem oder ISDNAdapter für die Einwahl
910 _________________________________________________14 Netzwerkadministration Registerkarte Allgemein
Registerkarte Benutzer
Im nächsten Dialogfenster bestimmen Sie unter der Registerkarte ALLGEMEIN, über welches Gerät die Einwahl erfolgen soll. Sollen auch VPN-Tunnel über diese Einwahl-Verbindung hergestellt werden können, muss das Kontrollkästchen aktiviert werden. Die für die Einwahl berechtigten Benutzer lassen sich unter der Registerkarte BENUTZER festlegen. Es ist ratsam einen speziellen EinwahlBenutzer zu erstellen, diesem können dann getrennt von allen lokalen Benutzern Berechtigungen zugewiesen werden.
Abbildung 14.43: Benutzerbeschränkung für die Eingehenden Verbindungen
Diese Optionen stehen Ihnen auf der Registerkarte BENUTZER zu Verfügung: ALLE BENUTZER MÜSSEN IHRE KENNWÖRTER UND DATEN SICHERN Es werden nur eingehende Verbindungen akzeptiert, bei denen das Kennwort sowie der Netzwerkverkehr verschlüsselt werden (siehe Abschnitt DFÜ-Clientverbindung konfigurieren ab Seite 914). DIREKT ANGESCHLOSSENEN GERÄTEN WIE HANDHELDS IMMER ERLAUBEN, EINE VERBINDUNG OHNE ANGABE EINES KENNWORTS HERZUSTELLEN
Rückruf
Registerkarte Netzwerk
Diese Lockerung der Sicherheitseinstellungen können Sie riskieren, wenn Sie sicherstellen können, dass Sie der einzige Benutzer sind, der Einwahlgeräte direkt am Computer betreibt. Rückruf-Funktion pro Benutzer Über die Schaltfläche EIGENSCHAFTEN zu einem Benutzereintrag können Sie die Einstellungen für die Rückruf-Funktion festlegen (siehe auch Abschnitt Rückruf ab Seite 841). Abschließend legen Sie fest, welche Netzwerksoftware-Komponenten Sie für diese Verbindung zulassen wollen. Eigentlich sollten Sie auf der Registerkarte NETZWERK nur die wirklich benötigten Komponenten aktivieren. Wollen Sie beispielsweise lediglich über ein Terminal-
14.7 WAN-Verbindungen einrichten_________________________________________ 911 programm auf Ihren Computer zugreifen (siehe Abschnitt 14.8.1 Fernbedienung mit Telnet ab Seite 929), bräuchten Sie nur den Punkt INTERNETPROTOKOLL (TCP/IPV4 oder TCP/IPV6) aktiviert zu lassen. Abbildung 14.44: Auswahl der Software-Komponenten
Wenn Sie versuchen, die Komponente DATEI- UND DRUCKERFREIGABE FÜR MICROSOFT-NETZWERKE zu deaktivieren, werden Sie mit der Aufforderung konfrontiert, den Server-Dienst anzuhalten oder zu beenden. Damit wird Ihr PC aber gänzlich der Fähigkeit beraubt, Ressourcen im Netzwerk, ob lokal oder remote, zur Verfügung zu stellen. Eine getrennte Behandlung von eingehenden Verbindungen und dem Zugriff über das lokale Netzwerk gibt es also nicht. Entweder Sie lassen Freigaben generell zu oder nicht. Einziges Steuerungsinstrument ist dann die gezielte Rechtevergabe an die Benutzer, die sich über eine DFÜ-Verbindung am System anmelden dürfen. Nach Abschluss der Einrichtung finden Sie die neue eingehende Ver- Abschluss bindung in Ihrem Ordner NETZWERKVERBINDUNGEN. Mehr als eine einzige DFÜ-Einwahlmöglichkeit wird von Windows Vista nicht unterstützt.
DFÜ-Clientverbindung einrichten Für die Einrichtung einer DFÜ-Clientverbindung gehen Sie ebenfalls Mehrere ausgehenüber den Assistenten vor, der in Abbildung 14.28 auf Seite 894 gezeigt de Verbindungen ist. Im Gegensatz zur Unterstützung einer einzigen eingehenden DFÜ- möglich Verbindung können Sie hier aber mehrere ausgehende Verbindungen erstellen. Gehen Sie zur Erstellung einer neuen DFÜ-Clientverbindung so vor: 1. Wählen Sie im ersten Dialogfenster des Assistenten die Option VERBINDUNG MIT DEM ARBEITSPLATZ HERSTELLEN.
912 _________________________________________________14 Netzwerkadministration 2. Aktivieren Sie dann die Option DIREKT WÄHLEN Abbildung 14.45: Auswahl zwischen DFÜ- und VPNVerbindung
3. Geben Sie das Gerät an, über das die Einwahl erfolgen soll. Voraussetzung ist natürlich auch hier, dass ein entsprechendes Modem oder ein ISDN-Adapter installiert sind. Die Installation von Modems erfolgt über die Telefon- und Modemoptionen in der Systemsteuerung. Ist nur ein Gerät installiert, entfällt dieser Schritt natürlich. Abbildung 14.46: Modem oder ISDNAdapter auswählen
4. Im darauf folgenden Dialogfenster können Sie eine Bezeichnung (Zielname) für diese Verbindung angeben. Tragen Sie außerdem die Rufnummer für die Einwahl durch das DFÜ-Gerät ein.
14.7 WAN-Verbindungen einrichten_________________________________________ 913 Abbildung 14.47: Rufnummer und Zielname für die Einwahl eintragen
Die unteren Kontrollkästchen erlauben das Einstellen weiterer Optionen: EINE SMARTCARD VERWENDEN Haben Sie einen Smartcardreader und die Einwahl in das Firmennetz erfordert die Authentifizierung über eine Smartcard, können Sie diese Option nutzen. ANDEREN B ENUTZERN ERLAUBEN, DIESE VERBINDUNG ZU VERWENDEN
Damit auch Ihre lokalen Mitbenutzer die eingerichtete Wählverbindung nutzen können, muss diese explizit dafür freigegeben werden. JETZT NICHT VERBINDEN, NUR FÜR SPÄTERE VERWENDUNG EINRICHTEN
Die Verbindung wird nach der Einrichtung nicht sofort aufgebaut. Das spart Verbindungskosten, wenn ein Administrator die Einwahl an mehreren Arbeitsplätzen einstellen soll. 5. Für die Anmeldung an dem entfernten System müssen die Zugangsparameter angegeben werden. Abbildung 14.48: Eingabe der Zugangsdaten für die Wählverbindung
914 _________________________________________________14 Netzwerkadministration Mit Bestätigung durch die Schaltfläche ERSTELLEN erscheint sofort das Dialogfenster für den Verbindungsaufbau, sofern es nicht wie unter 4. erwähnt unterbunden wurde.
Eine DFÜ-Verbindung aufbauen Für die Einwahl in einen DFÜ-Server wird in der Regel eine korrekte Authentifizierung benötigt. Dazu können Sie im Einwahl-Dialogfenster einen Benutzernamen und ein Kennwort eingeben. Abbildung 14.49: Dialogfenster für die DFÜ-Einwahl
Weitere Einstellungen
Wollen Sie diese Angaben nicht jedes Mal wiederholen, können Sie über das Kontrollkästchen B ENUTZERNAME UND KENNWORT SPEICHERN FÜR einstellen, dass sie für die eigene Verwendung oder alle Benutzer gespeichert bleiben sollen. Über die Schaltfläche EIGENSCHAFTEN können Sie die weiteren Einstellungen zu dieser Verbindung vornehmen. Dies wird im nachfolgenden Abschnitt näher erläutert.
DFÜ-Clientverbindung konfigurieren
ALLGEMEIN
Mehrere Rufnummern
Das Eigenschaften-Fenster zu einer RAS-Clientverbindung erreichen Sie über das Kontextmenü zu diesem Verbindungseintrag im Fenster SYSTEMSTEUERUNG | NETZWERKVERBINDUNGEN . In der Registerkarte ALLGEMEIN finden Sie vor allem die Einstellmöglichkeiten für die DFÜ-Hardware sowie die zu verwendende Rufnummer. Markieren Sie hier die Geräte, über die die Einwahl erfolgen soll. Mehrere alternative Rufnummern tragen Sie in einem separaten Dialogfenster ein, welches bei einem Klick auf die Schaltfläche ANDERE neben dem Eingabefeld RUFNUMMER erscheint.
14.7 WAN-Verbindungen einrichten_________________________________________ 915 Abbildung 14.50: Allgemeine Einstellungen
In der Registerkarte OPTIONEN sind weitere Einstellungen zur Einwahl OPTIONEN möglich. Interessant ist hier vor allem die Option LEERLAUFZEIT, die helfen kann, eine versehentlich offen gelassene Verbindung automatisch nach einer gewissen Zeitspanne zu beenden. Unter SICHERHEIT können Sie Einstellungen zur Authentifizierung und SICHERHEIT Datenverschlüsselung treffen. Die hier einstellbaren Optionen sind vor allem dann von Bedeutung, wenn Sie Verbindung zu einem »richtigen« RAS-Server aufnehmen. Für die Verbindungsaufnahme zum RAS-Serverdienst eines anderen Windows Vista-PCs (über dessen EINGEHENDE VERBINDUNGEN) sind die Möglichkeiten allerdings beschränkt. In Abbildung 14.51 ist eine Konfiguration dargestellt, bei der die Optionen wie folgt eingestellt sind: IDENTITÄT FOLGENDERMAßEN VERIFIZIEREN Die Standardeinstellung ist UNSICHERES KENNWORT ZULASSEN. Das ist übrigens auch die Einstellung, die für die Einwahl bei den meisten ISPs (Internet Service Provider) erforderlich ist. Wählen Sie hier SICHERES KENNWORT IST ERFORDERLICH, wird die Verbindung abgebrochen, wenn der angerufene Computer nur unverschlüsselte Kennwörter unterstützt. DATENVERSCHLÜSSELUNG IST ERFORDERLICH... Standardmäßig handeln sich zwei über eine DFÜ-Verbindung kontaktierende Windows Vista-PCs immer eine Datenverschlüsselung aus. Damit kann der Netzwerkverkehr nicht ohne weiteres mitgehört werden. Wenn Sie diese Option aktivieren, stellen Sie sicher, dass bei einer Verbindung zu einem beliebigen anderen System auf jeden Fall eine Datenverschlüsselung verwendet werden muss. Unterstützt die Gegenseite dies nicht, kommt die Verbindung nicht zustande.
916 _________________________________________________14 Netzwerkadministration Abbildung 14.51: Mögliche Sicherheitseinstellungen für die Verbindung zweier Windows Vista-Systeme
Einstellungen am DFÜ-Server
AUTOMATISCH EIGENEN WINDOWS-ANMELDENAMEN ... VERWENDEN Diese Option hat nicht direkt etwas mit Sicherheit zu tun, sondern kann die Verbindungsaufnahme etwas bequemer gestalten. Ist auf dem System der Gegenseite ein gleich lautendes Benutzerkonto wie Ihr eigenes auf Ihrem System eingerichtet, kann die Authentifizierung mit eben diesen Daten erfolgen. Die Einstellungen zur Sicherheit, also vor allem die ersten beiden erläuterten Optionen zu Authentifizierung und Netzwerkverschlüsselung, korrespondieren mit den entsprechenden Optionen der Eigenschaften für EINGEHENDE VERBINDUNGEN.
Abbildung 14.52: Clientseitige Netzwerkeinstellungen
Netzwerk-Einstellungen
Alternativ zu den Servereinstellungen können Sie auch clientseitig die Netzwerk-Optionen festlegen. Besonders wichtig ist dabei natürlich die korrekte Einrichtung der IP-Adresse seitens des Clients. Diese hat allerdings nur dann Bedeutung, wenn der Server so konfiguriert wurde, dass eine Client-eigene IP-Adresse zulässig ist. Normalerweise ist dies aber nicht der Fall und Sie können die IP-Adresse auf automatisch belassen.
14.7 WAN-Verbindungen einrichten_________________________________________ 917 Rückruf-Nummer clientseitig einrichten Wie auf Seite 910 beschrieben, können Sie die Rückruf-Funktion am Server pro Benutzer einrichten. Sie können dabei einem Benutzer gestatten, eine eigene Nummer anzugeben. Am Clientsystem legen Sie dann fest, wie diese Nummer übergeben wird. Öffnen Sie dazu das Fenster NETZWERKVERBINDUNGEN über Netzwerkverbindungen im Netzwerk- und Freigabecenter. Die Menüleiste für die erweiterten Optionen erscheint, wenn Sie die Alt-Taste drücken. Abbildung 14.53: Menüleiste für erweiterte Optionen aktivieren
Über den Menüpunkt ERWEITERT wählen Sie BENUTZERDEFINIERTE RAS-EINSTELLUNGEN aus. Abbildung 14.54: Rückruf clientseitig einrichten
918 _________________________________________________14 Netzwerkadministration Auf der Registerkarte haben Sie dann die folgenden Optionen zur Auswahl: KEIN RÜCKRUF Damit wird die Rückruf-Funktion deaktiviert. Ist serverseitig allerdings ein Rückruf fest voreingestellt, kommt keine Verbindung zustande. BEIM WÄHLEN NACHFRAGEN, WENN DER SERVER DIES ANBIETET Das ist die Standardeinstellung. Ist auf dem Server die Option ANRUFER GESTATTEN, DIE NUMMER FÜR DEN RÜCKRUF EINZURICHTEN aktiviert, erscheint beim Anrufer nach der ersten Verbindungsaufnahme ein Dialogfenster, in welchem er eine Nummer für den Rückruf angeben kann. Will dieser in dem Moment keinen Rückruf, bleibt die Verbindung normal weiter bestehen. DIE UNTEN ANGEGEBENEN NUMMERN FÜR DEN RÜCKRUF VERWENDEN Sie können pro Gerät für die Anwahl eine feste Rückrufnummer einrichten. Diese wird dann ohne weitere Rückfrage genutzt, wenn am Server der Rückruf erlaubt ist (siehe vorheriger Punkt).
14.7.2 VPN-Verbindung Mit einem Windows Vista-System können Sie clientseitig den Zugang zu einem VPN einrichten. Darüber hinaus eignet sich das System, um als VPN-Server zu agieren. Gegenüber den ausgebauten Clientfähigkeiten sind allerdings auch hier, wie bei der klassischen DFÜ, die Funktionen sehr beschränkt. So kann der als VPN-Server agierende Computer nur eine einzige Verbindung annehmen. Clientseitig können Sie hingegen mehrere Verbindungen auf einmal zu verschiedenen VPN-Servern eröffnen. KeineBeschränkung Ein leistungsfähiges VPN-Serversystem können Sie mit einem Winauf Serverdows 2000/2003-Serversystem errichten. Weitergehende InformatioSystemen nen finden Sie dazu in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003. In den nachfolgenden Abschnitten beschränken wir uns auf die Funktionen, die Sie mit Windows VistaSystemen allein nutzen können. Maximal eine Verbindung als VPNServer annehmbar
VPN-Serverfunktion einrichten Folgende Voraussetzungen müssen gegeben sein, damit Sie ein kleines VPN zwischen zwei Windows Vista-Systemen errichten können: Aktive Internet- oder Netzwerkverbindung Beide Systeme müssen netzwerktechnisch erreichbar und aktiv sein. Beim üblichen Übertragungsmedium Internet bedeutet das, dass zum Zeitpunkt der Verbindungsaufnahme beide Computer, VPN-Server wie Client, online sein müssen. Ein VPN muss aber nicht zwingend über das Internet laufen. Vielmehr eignet sich jede Netzwerkverbindung, also auch ein LAN.
14.7 WAN-Verbindungen einrichten_________________________________________ 919 Abbildung 14.55: Eigenschaften zum VPN-Server
Erreichbarkeit über DNS oder IP-Adresse Der VPN-Server muss für die Verbindungsaufnahme durch den Client erreichbar sein. Dazu reicht es aus, wenn die IP-Adresse des Servers bekannt ist. Besser ist natürlich eine »richtige« Erreichbarkeit, bei der über einen entsprechenden Domain-Namen und das DNS die IP-Adresse ermittelt werden kann. Für ein Windows Vista-System werden Sie nun sicherlich kaum eine öffentliche IPAdresse beantragen. So bleiben die folgenden Wege zur Ermittlung der IP-Adresse für den Client übrig, um eine Verbindung aufnehmen zu können: - Manuelle Ermittlung der IP-Adresse Sie ermitteln vor der Verbindungsaufnahme die öffentliche IPAdresse am VPN-Server manuell und teilen diese dem Benutzer am Client über ein geeignetes Medium mit (Telefon, E-Mail etc.). Die Adresse können Sie beispielsweise über die Kommandozeile mit Hilfe des Tools IPCONFIG (siehe Seite 882) oder grafisch über das Statusfenster der entsprechenden RAS-Verbindung zum Provider ermitteln. - Web-Service Sie nutzen das Dienstleistungsangebot einer der Firmen, die im Web, zum großen Teil kostenlos, entsprechende Dienste anbieten. Dabei wird Ihr System mit einem Domain-Namen registriert und über ein Software-Tool die jeweilige öffentliche IPAdresse dynamisch beim DNS registriert. Weitere Informationen finden Sie beispielsweise unter der folgenden Adresse: www.dyndns.org Sind diese Voraussetzungen gegeben, richten Sie den RAS-Server ein, wie es ab Seite 908 beschrieben wird. Die in der Abbildung 14.42 auf
IP-Adresse des VPNServers ermitteln
Routing und RAS ausführen
920 _________________________________________________14 Netzwerkadministration Seite 909 gezeigte Checkbox ANDEREN DEN ZUGRIFF AUF DIESEN RECHNER DURCH TUNNELN DES INTERNETS ODER EINES ANDEREN NETZWERKS GESTATTEN muss aktiviert sein. Die einzelnen Optionen unterscheiden sich dabei im Grunde kaum von denen für den DFÜ-Server. Allein das nun aktive Kontrollkästchen in der Rubrik VIRTUELLES PRIVATES NETZWERK zeigt die etwas andere Grundkonfiguration an. Sie können über dieses Kontrollkästchen auch einen bereits eingerichteten DFÜ-Server zu einem VPN-Server erweitern. Beide Funktionen werden parallel unterstützt, wobei grundlegende Einstellungen (zum Netzwerk etc.) nur global für beide Serverfunktionen festgelegt werden können. Jede Funktion kann für sich genommen je eine separate Clientverbindung annehmen.
VPN-Clientfunktion einrichten Die Einrichtung einer VPN-Clientverbindung wird wiederum über den Assistenten gestartet, den Sie über die Aufgabenleiste im Netzwerk- und Freigabecenter aufrufen. Wählen Sie den Eintrag EINE VERBINDUNG ODER EIN NETZWERK EINRICHTEN. Gehen Sie wie folgt vor: 1. Wählen Sie im ersten Dialogfenster des Assistenten die zweite Option VERBINDUNG MIT DEM NETZWERK AM ARBEITSPLATZ HERSTELLEN . 2. Aktivieren Sie dann in dem in der Abbildung 14.45 auf Seite 912 gezeigten Dialog die Option DIE INTERNETVERBINDUNG (VPN) VERWENDEN . 3. Geben Sie der Verbindung einen Namen. Als Internetadresse können Sie den Vollqualifizierten Domänennamen (FQDN), die IPv4- oder die IPv6-Adresse des Zielsystems angeben. Die Bedeutung der Kontrollkästchen ist auf Seite 913 erläutert. Abbildung 14.56: Zielname und Internetadresse für die Verbindung vergeben
14.7 WAN-Verbindungen einrichten_________________________________________ 921 4. Der anschließende Dialog fordert zur Eingabe der Zugangsdaten auf. Mit der Schaltfläche ERSTELLEN wird die VPN-Verbindung erzeugt und kann über das Fenster Netzwerkverbindungen angezeigt werden.
Eine VPN-Verbindung aufbauen Um eine VPN-Verbindung aufzubauen, wählen Sie den Eintrag VERBINDUNG MIT EINEM NETZWERK HERSTELLEN in der Aufgabenleiste des Netzwerk- und Freigabecenters. Alternativ können Sie direkt eine Verbindung aufbauen lassen, wenn Sie im Fenster der Netzwerkverbindungen die VPN-Verbindung markieren und in der Menüleiste VERBINDUNG STARTEN aktivieren. Zur Einwahl in den VPN-Server wird in der Regel eine korrekte Authentifizierung benötigt. Dazu können Sie einen Benutzernamen und ein Kennwort eingeben. Wenn Sie diese Angaben nicht jedes Mal wiederholen wollen, können Sie über das Kontrollkästchen BENUTZERNAME UND KENNWORT SPEICHERN FÜR einstellen, dass sie für die eigene Verwendung oder alle Benutzer gespeichert bleiben sollen. Abbildung 14.57: Dialogfenster für die VPN-Einwahl
Über die Schaltfläche EIGENSCHAFTEN können Sie die weiteren Einstel- Weitere Einstellungen zu dieser Verbindung vornehmen. Dies wird im nachfolgen- lungen den Abschnitt näher erläutert.
VPN-Clientverbindung konfigurieren Lassen Sie sich die Netzwerkverbindungen anzeigen, indem Sie den Eintrag NETZWERKVERBINDUNGEN VERWALTEN aus der Aufgabenleiste des Netzwerk- und Freigabecenters auswählen. Markieren Sie die VPN-Verbindung und wählen im Kontextmenü EIGENSCHAFTEN.
922 _________________________________________________14 Netzwerkadministration Abbildung 14.58: Erste Verbindung für VPN Verbindung einstellen
Allgemeine Einstellungen
Sicherheit
In der Registerkarte ALLGEMEIN können Sie in der Sektion E RSTE VERBINDUNG festlegen, ob zur Herstellung des VPN-Tunnels zuerst eine Wählverbindung initiiert werden soll. Bei der Verwendung eines Routers zum primären Verbindungsaufbau ist das natürlich nicht notwendig. Sie können den Namen oder die IP-Adresse des VPNServers ändern. In der Registerkarte SICHERHEIT sind bei einer neuen VPN-Verbindung standardmäßig wichtige Optionen gesetzt. Diese sollten Sie nur dann ändern, wenn es dafür wichtige Gründe gibt, beispielsweise für die Einwahl in einen speziell eingerichteten VPN-Server.
Abbildung 14.59: Standard-Sicherheitseinstellungen für eine VPN-Verbindung
Netzwerk
Im Bereich NETZWERK können Sie unter anderem den VPN-TYP einstellen. Hier sollten Sie AUTOMATISCH stehen lassen.
14.7 WAN-Verbindungen einrichten_________________________________________ 923 Abbildung 14.60: Netzwerkeinstellungen
Für die Verbindungsaufnahme zu einem VPN-Server versucht der Client damit zunächst die Verbindungsaufnahme mit dem L2TPProtokoll (Layer 2 Tunneling Protocol), welches vor allem bei professionellen VPNs zum Einsatz kommt. Zwischen zwei allein stehenden Windows Vista-Systemen kann hingegen nur das PPTP (Point-to-Point Tunneling Protocol) eingesetzt werden, welches dann nach dem Fehlschlag mit L2TP gewählt wird. Damit ist zwar ein VPN zwischen zwei Windows Vista-Systemen nicht gegenüber professionellen Hackern sicher, aber die gebotenen Sicherheitseinstellungen reichen für den gelegentlichen Einsatz völlig aus. Einige weiterführende Informationen erfahren Sie dazu im folgenden Abschnitt.
IPSec zwischen zwei lokalen PCs einsetzen Wollen Sie ein kleines VPN zwischen zwei Windows Vista-Systemen einsetzen, können Sie durchaus auch die Verschlüsselung mittels IPSec verwenden. Eine Einführung in diese professionelle Absicherung von VPNs finden Sie in Abschnitt 13.10.2 Sichere Netzwerkübertragung mit IPSec ab Seite 836. Die Verwendung von IPsec wird durch Sicherheitsrichtlinien gesteu- Steuerrung über ert. Diese konfigurieren Sie, abhängig von der Art der Netzwerkein- Sicherheitsrichtlinien bindung Ihres Systems, an verschiedenen Stellen: Snap-In IP-SICHERHEITSRICHTLINIENVERWALTUNG Dieses Snap-In verwaltet diese Sicherheitsrichtlinien separat. Um es zu benutzen, erstellen Sie eine eigene Managementkonsole und
924 _________________________________________________14 Netzwerkadministration
IPSec im Active Directory
Beschränkung auf lokalen Einsatz
fügen es hinzu (siehe auch Abschnitt 4.2.3 Benutzerspezifische MMCs erstellen ab Seite 199). Managementkonsole L OKALE SICHERHEITSEINSTELLUNGEN Starten Sie die Managementkonsole SECPOL.MSC. Sie finden die entsprechenden Einstellungen unter IP-SICHERHEITSRICHTLINIEN AUF LOKALER COMPUTER. Managementkonsole G RUPPENRICHTLINIE Das Snap-In IP-SICHERHEITSRICHTLINIENVERWALTUNG ist auch hier eingebunden. Sie finden es unter folgendem Zweig: Computerkonfiguration \Windows-Einstellungen \Sicherheitseinstellungen \IP-Sicherheitsrichtlinien auf Lokaler Computer Mit allen Verfahren richten Sie IPSec für einen lokal arbeitenden Windows Vista-PC ein. Darüber hinaus lässt sich IPSec auch im Active Directory aktivieren. Dort können Sie es in jedem Gruppenrichtlinienobjekt einer Organisationseinheit festlegen. Dabei gilt grundsätzlich, dass die Einstellungen im Active Directory die lokalen Einstellungen auf den Clients überschreiben. Nachfolgend wird gezeigt, wie Sie IPSec lokal aktivieren können. Weiterführende Informationen, insbesondere die Nutzung im Active Directory sowie Diagnoseaufgaben, werden in unseren Büchern Windows 2000 im Netzwerkeinsatz sowie Windows Server 2003 behandelt.
Abbildung 14.61: IPSec konfigurieren mit der MMC SECPOL.MSC
IPSec wird über Sicherheitsrichtlinien konfiguriert. Dabei gilt, dass jeweils nur eine Richtlinie aktiv sein kann. Es sind keine Standardeinstellungen verfügbar. Zum Erzeugen einer Sicherheitsrichtlinie können Sie einen Assistenten nutzen. Starten Sie dazu den Editor für Lokale Sicherheitsrichtlinien durch Eingabe von Secpol.msc in der Suchleiste. Rufen Sie das Kontextmenü des Eintrags IPSICHERHEITSRICHTLINIEN AUF LOKALER COMPUTER auf und wählen Sie den Eintrag IP-SICHERHEITSRICHTLINIE ERSTELLEN
aus. Nach einem Begrüßungsschirm verlangt der Assistent die Eingabe eines Namens für die Richtlinie und (optional) eine Beschreibung.
14.7 WAN-Verbindungen einrichten_________________________________________ 925 Abbildung 14.62: IPSec-Kompatibilität zu Nicht-VistaSystemen
Um eine Kompatibilität zu den Vorgängern von Windows Vista zu gewährleisten, kann die Standardantwortregel aktiviert werden. Ein Markieren der Checkbox bewirkt, dass sich ein nächster Dialog öffnet, der die Methode für die erste Authentifizierung festlegen will. Dieser Schritt wird übersprungen, wenn Sie zwei Vista-Systeme koppeln. Abbildung 14.63: Standardantwortregel für Nicht-VistaSysteme festlegen
Benutzen Sie in Ihrem Unternehmen eine Active Directory Domäne, werden Sie die Standardvorgabe (Kerberos V5-Protokoll) vermutlich übernehmen. Sie bekommen eine Warnmeldung zu sehen, wenn Sie diese Option auswählen und sich Ihr Computer nicht in einer Domäne befindet. Mit dem Speichern der Regel dürfen Sie dennoch fortfahren. Der Assistent wird mit FERTIGSTELLEN beendet. Ein aktiviertes Kontrollkästchen leitet zum Bearbeiten der Richtlinieneigenschaften über.
926 _________________________________________________14 Netzwerkadministration Abbildung 14.64: Richtlinien über Eigenschaftenfenster konfigurieren
Über die Registerkarte ALLGEMEIN lassen sich Änderungen an Namen und Beschreibung der Richtlinie vornehmen. Das Intervall AUF NEUE RICHTLINIEN ÜBERPRÜFEN ALLE kann verändert werden. Sind differenzierte Einstellungen für den Schlüsselaustausch notwendig, können diese über die Schaltfläche EINSTELLUNGEN
vorgenommen werden. Die Registerkarte REGELN führt die eingestellten Sicherheitsregeln der Richtlinie auf. Neue Regeln können über die Befehlsschaltfläche HINZUFÜGEN
eingetragen werden. Dazu wird ein Assistent verwendet, wenn die dazugehörige Checkbox in der rechten unteren Ecke aktiv ist. Abbildung 14.65: IPSec Filterregel einstellen
14.7 WAN-Verbindungen einrichten_________________________________________ 927 Falls diese Checkbox nicht aktiv ist, können die Einstellungen für die neue Regel direkt über fünf Registerkarten definiert werden. Abbildung 14.66: Filterregeln direkt bestimmen
Die Registerkarten für die exakte Definition der Filterregeln sind hier beschrieben: IP-FILTERLISTE Der Filterbereich wird durch Angabe von Quell- und Zieladressen und den betroffenen Protokollen beschränkt. Diese Einrichtung ist auch über einen Assistenten möglich. FILTERAKTION Die Sicherheitsanforderung für eine Datenübertragung wird mit der Filteraktion festgelegt. Wiederum optional können diese Einstellungen über einen Assistenten definiert werden. AUTHENTIFIZIERUNGSMETHODEN Der Dialog (siehe Abbildung 14.63 auf Seite 925) erscheint und ermöglicht das Hinzuziehen anderer Methoden für die Authentifizierung. So können auch Zertifikate benutzt werden. Das Eintragen von Zeichenfolgen für vorinstallierte Schlüssel ist ebenso möglich. TUNNELEINSTELLUNGEN Tunnelendpunkte für IPv4 oder IPv6 können hier definiert werden. VERBINDUNGSTYP Unter der Registerkarte VERBINDUNGSTYP finden Sie die Auswahlmöglichkeit, um die Regel auf LAN, Remotezugriff oder beide einzustellen. Wollen Sie IPSec nur für eine VPN-Verbindung aktivieren, die per Wählverbindung ins Internet zustande kommt, aktivieren Sie REMOTEZUGRIFF. Sind schließlich alle Regeln einer Richtlinie definiert, können die Dia- Aktivieren loge für das Hinzufügen von Regeln und der Richtlinie geschlosssen werden. Die eingerichtete Richtlinie ist noch nicht aktiv! Zum Aktivieren der Sicherheitsrichtlinie wählen Sie aus dem dazugehörigen Kontextmenü den Punkt ZUWEISEN. Erst dann wird sie wirksam und zeigt bei RICHTLINIE ZUGEWIESEN ein Ja an. Haben Sie die Aufgabe, IPSec-Richtlinien auf mehreren Computern Im-/Export ohne Active Directory einzustellen, wird Ihnen die Möglichkeit helfen, die einmal erstellten Richtlinien zu exportieren. Sie können diese an
928 _________________________________________________14 Netzwerkadministration anderen Maschinen wieder bequem importieren und sparen eine Menge Zeit. Die Im- und Exportfunktion finden Sie im Sicherheitsrichtlinieneditor im Kontextmenü von IP-SICHERHEITSRICHTLINIEN AUF LOKALER COMPUTER. Abbildung 14.67: Alle Verwaltungsaufgaben für IPSecRichtlinien
14.8 Remote-Zugriffsmöglichkeiten Der Remote-Zugriff kann auf Basis derselben Technologie dem Terminal Server zwei Aufgaben übernehmen. Zum einen kann ein Benutzer mit seinem eigenen Konto einen Computer fernsteuern, wenn er das Recht zur lokalen Anmeldung besitzt. Der andere Fall ist eine direkte Unterstützung durch einen Experten. Dabei bleibt der Benutzer lokal angemeldet und eine andere Person kann den Bildschirm einsehen oder sogar die Steuerung übernehmen. Beide Steuerungen überlagern sich dann.
Fernzugriffsmöglichkeiten auf einen anderen Computer Wenn Sie Ihren Computer von unterwegs fernbedienen möchten, bieten sich zwei Wege an: Remotedesktop und Telnet. Telnet ist ein sehr altes Protokoll, das in der Unix-Welt weite Verbreitung gefunden hat und textorientiert arbeitet. Dank der umfangreichen Unterstützung von Windows Vista mit Konsolenprogrammen, die im Verhältnis zu Windows XP noch erweitert wurde, kann ein erfahrener Administrator damit sehr viel erreichen. Der Zugriff auf den Desktop mit der gewohnten grafischen Oberfläche ist dagegen mit Remotedesktop möglich. Letzteres setzt allerdings auch eine schnellere Verbindung voraus. Die folgenden beiden Abschnitte zeigen detailliert die Einrichtung und Nutzung der entsprechenden Funktionen.
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 929
14.8.1 Fernbedienung mit Telnet Um einen Computer unter Windows per Telnet fernbedienen zu können, muss der Telnet-Dienst gestartet werden. Anders als einem die Windows-Hilfe Glauben machen will, ist der Telnet-Server nicht nur bei den Windows Servern 2000 und 2003 dabei, sondern auch bei Windows Vista. Die Komponente ist jedoch standardmäßig nicht installiert und das aus gutem Grund. Telnet ist ein veraltetes und unsicheres Verfahren für die Fernbedienung, das Passwörter in Klartext überträgt. Es ist also leicht, Telnet-Sitzungen abzuhören, um so an Admin-Passwörter oder Ähnliches zu kommen. Müssen Sie als Administrator von Ihrem Windows-Arbeitsplatz aus Linux- oder Unix-Rechner warten, sollten Sie darauf drängen, dass mit SSH (Secure Shell) ein alternativer Weg eingerichtet wird. Besonders beliebt aus diesem Sektor ist Open-SSH, ein OpenSource-Projekt, das unter dieser Website zu finden ist: www.openssh.com/de Für den Fall, dass Telnet die einzige Möglichkeit, ist ein entferntes Gerät zu steuern, bringt Windows Vista den Telnet-Client mit. Die Serverkomponente zu installieren sollte normalerweise nicht nötig sein, es sei denn, es ist notwendig, umgekehrt von einem Unix-Server auf einen Vista-PC zuzugreifen. Führen Sie diese Schritte aus, um einen Telnet-Client auf Ihrem Vista-PC zu installieren: 1. Klicken Sie auf START, dann S YSTEMSTEUERUNG. 2. Öffnen sie die Kategorie PROGRAMME UND FUNKTIONEN. 3. Klicken Sie dann auf WINDOWS-FUNKTIONEN EIN- UND AUSSCHALTEN. 4. Im Dialog WINDOWS-FUNKTIONEN aktivieren sie die Checkbox Telnet-Client. 5. Nach Bestätigung auf OK beginnt die Installation. Den Telnet-Server installieren Sie genauso. Damit Vista TelnetVerbindungen aufbauen kann, muss der Dienst Telnet gestartet sein. Die Dienstesteuerung ist auf Seite 463 erklärt.
Der Telnet-Client Der Telnet-Client von Windows Vista stellt unter anderem die folgenden Befehle zur Verfügung: CLOSE
Trennt die aktuelle Verbindung. DISPLAY
Zeigt die aktuellen Befehlsparameter an. OPEN <server> Stellt Verbindung zu <server> her. Die Angabe kann in Form des Computernamens oder einer IP-Adresse erfolgen.
Telnet-Client und Server nicht installiert
SSH-als Alternative
930 _________________________________________________14 Netzwerkadministration QUIT
Beendet Telnet. SET
Legt die folgenden Optionen fest: - NTLM Aktiviert die NTLM-Authentifizierung. - LOCAL_ECHO Diese Option schaltet das lokale Echo ab. - TERM x Legt die Terminalemulation fest; für x können Sie ANSI, VT100, VT52 oder VTNT einsetzen. - CRLF Sendet bei Enter sowohl CR als auch LF. STATUS
Zeigt Statusinformationen an. UNSET
Arbeit mit der Eingabeaufforderung
Direkter Aufruf
Abbildung 14.68: Abfrage von Benutzername und Kennwort
Hebt Optionsfestlegungen auf, die mit set gesetzt wurden, beziehungsweise kehrt deren Bedeutung um (außer TERM). Um eine Verbindung herzustellen, starten Sie das Telnet-Programm. Anschließend sehen Sie den Telnet-Prompt, wo Sie die oben bereits gezeigten Kommandos verwenden können. Geben Sie am Prompt folgendes ein: open <server> Mit open localhost könne Sie testen, ob der Telnet-Serverdienst gestartet ist. Alternativ können Sie auch hinter dem Namen TELNET den Hostnamen und die Portnummer (wenn sie geändert wurde) angeben: c:>telnet <server> port Die nachfolgende Abbildung zeigt die Nutzung des Telnet-Prompts. Nach Öffnen der Verbindung werden Sie nach dem Login-Namen und dem Kennwort gefragt. Hier können Sie jeden unter Windows Vista zulässigen Benutzernamen angeben.
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 931 Danach sind Sie mit dem Host verbunden. Sie können hier so arbeiten, als säßen Sie lokal an der Eingabeaufforderung des Computers, zu dem Sie sich verbunden haben.
14.8.2 Einrichten der Remotedesktop-Funktion Soll ein Computer grafisch fernbedient werden, wird die integrierte Remotedesktop-Funktion eingesetzt. Vor der Verwendung muss sie allerdings aktiviert werden.
Aktivierung der Remotedesktop-Funktion Gehen Sie zum Aktivieren beziehungsweise Deaktivieren der Funktion folgendermaßen vor: 1. Öffnen Sie in der Systemsteuerung (klassische Ansicht) das Applet SYSTEM oder öffnen Sie das Systemeigenschaften-Fenster über die Tastenkombination WINDOWS-TASTE+UNTBR. 2. In der Aufgabenleiste auf der linken Seite rufen Sie die REMOTEEINSTELLUNGEN auf. Abbildung 14.69: Remote Desktop erlauben und Benutzer hinzufügen
3. Öffnen Sie die Registerkarte REMOTE. 4. In der Kategorie REMOTEUNTERSTÜTZUNG aktivieren Sie das Kontrollkästchen Remoteunterstützungsverbindungen mit diesem Computer zulassen. 5. Befindet sich Ihr Computer in einem Netzwerk, das ausschließlich aus Windows Vista-PCs oder Windows Longhorn Server 2007 be-
932 _________________________________________________14 Netzwerkadministration steht, können Sie in der Sektion REMOTEDESKTOP die untere Option mit der höheren Sicherheit auswählen. Sollen auch Windows XPPCs RDP-Sitzungen aufbauen können, empfiehlt sich die mittlere Option. 6. Klicken Sie auf BENUTZER AUSWÄHLEN. 7. Fügen Sie im folgenden Dialog die Benutzer hinzu, die auf den Computer zugreifen dürfen. Der Administrator und alle anderen Mitglieder der Administratorgruppe sind standardmäßig zugriffsberechtigt. Nach dieser Prozedur kann von einem anderen Windows-Computer die Verbindung aufgebaut werden. Die benötigte Öffnung der Windows-Firewall (siehe Abschnitt 13.10.5 Windows-Firewall ab Seite 843) auf Port 3389/TCP wird automatisch durchgeführt.
Einen Computer mit Remotedesktop fernsteuern Um einen Computer fernzusteuern, starten Sie das Clientprogramm über START | ALLE PROGRAMME | ZUBEHÖR | REMOTEDESKTOPVERBINDUNG. Ohne Änderung der Optionen benötigen Sie nur den Namen oder die IP-Adresse des Computers, zu dem Sie sich verbinden möchten. Abbildung 14.70: Remote Desktop verwenden
Wenn die Verbindung fehlschlägt
Abbildung 14.71: Warnung bei einer RDP-Verbindung von Vista zu XP
Sollten Sie trotz Freigabe keine Verbindung erhalten, ist der angerufene Computer eventuell nicht bereit. Remotedesktop kann einen Computer nicht aus dem Standby oder Ruhezustand aufwecken. Außerdem warnt Vista, wenn der Remote-Computer keine Vista-Version ist. Beim Anmelden an einen Windows XP-PC erscheint diese Meldung:
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 933 Eine Verbindung kann auf der so genannten RDP-Sicherheitsebene hergestellt werden. Nach der Verbindung startet das Remote Desktop-Programm. Es nimmt den gesamten Bildschirm ein und ist an der speziellen Kopfleiste erkennbar (in der Mitte der Name beziehungsweise die IPAdresse des fernverbundenen Computers):
Als Erstes wird der Anmeldedialog angezeigt. Sie können die Konten verwenden, die lokal die Berechtigung zum Fernsteuern besitzen. Wurde die Verbindung hergestellt, ist der entfernte Benutzer so ver- Nach der bunden, als wäre er lokal präsent. Es kann also weder dieser noch ein Verbindung anderer Benutzer parallel dazu mit dem Computer arbeiten. Erfolgt eine lokale Anmeldung (während der Fernverbindung wird lokal der Anmeldebildschirm angezeigt), wird der entfernte Benutzer nach einer entsprechenden Warnung getrennt. Umgekehrt wird ein erneutes Verbinden aus der Ferne den lokalen Benutzer abmelden. Abbildung 14.72: Zwangstrennung durch eine lokale Anmeldung
Wenn Sie den Vollbildmodus nutzen, der sich durch die spezielle Bedienung des Kopfleiste (siehe oben) auszeichnet, stehen alle Tasten zur Verfügung, Clients die auch sonst im Windows Vista verwendet werden können. Alt-Tab wechselt also die remote laufenden Programme, nicht die lokalen. Schalten Sie die Darstellung in ein normales Fenster um, damit der lokale Computer bedient werden kann. Dazu ist die Reißzwecke am linken Rand der Kopfzeile auszulösen. Ein Doppelklick auf die Kopfzeile verkleinert die Anzeige dann in ein normales Fenster die Tastaturkontrolle geht damit auf das lokale System über.
Verbindung mit einem Windows-Server Sie können mit Windows Vista auch einen Windows 2000 Server oder Windows Server 2003 fernsteuern. Das ist nicht verwunderlich, denn Remote Desktop ist nur ein neuer Name für eine bekannte Funktion, die Terminal Services. Haben Sie die Dienste installiert und Anmeldungen erlaubt, können Sie sich auch über Windows Vista an einem Windows-Server anmelden.
934 _________________________________________________14 Netzwerkadministration Abbildung 14.73: Remotedesktop-Verbindung mit einem Server
Optionen des Remote Desktop
Optionen
Computername Anmeldename Kennwort Konfigurationsspeicherung
Neben der bereits beschriebenen »Schnellverbindung« können vielfältige Optionen eingerichtet werden, was vor allem sinnvoll ist, wenn Sie mehrere verschiedene Computer fernbedienen. Den Remotedesktop-Client können Sie einrichten, indem Sie beim Start des Programms die Schaltfläche OPTIONEN anklicken. Der erweiterte Dialog präsentiert sechs Registerkarten: ALLGEMEIN Hier werden der Name des fernzusteuernden Computers und optional die Anmeldeinformationen angegeben. Wenn die Verbindung erfolgreich war, speichert Remote Desktop die Computernamen. Speichern Sie das Kennwort nur, wenn kein anderer Ihren Computer verwenden kann. Wenn Sie viele Computer fernsteuern, speichern Sie die Verbindungseinstellungen mit SPEICHERN UNTER. Sie haben dann später Zugriff darauf. Die Konfigurationen haben die Dateierweiterung .RDP. ANZEIGE Hier können Sie die Größe und Farbzahl der lokalen Anzeige einstellen. Die Werte sollten gleich oder größer als die des entfernten Computers sein. Die Option VERBINDUNGSLEISTE BEI VOLLBILD ANZEIGEN erzeugt die bereits am Anfang des Abschnitts gezeigte Kopfleiste. LOKALE RESSOURCEN Entfernte Computer verfügen über Hardware wie Soundkarte, Drucker oder serielle Anschlüsse. Legen Sie hier fest, ob die Geräte statt auf dem entfernten Computer lokal verwendet werden sollen.
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 935 So können Sie den Sound des entfernten Computers lokal hören. Ebenso ist das Verhalten der Tastatur einstellbar. Sogar Smartcards sind unter Vistas RDP nutzbar Besonders interessant ist das Einbinden lokaler Laufwerke in die Remotesitzung. Die Laufwerke des Computers, von dem aus Sie den Remotedesktop-Client aufgerufen haben, werden dann im Arbeitsplatz-Fenster eingeblendet und können zum Datenaustausch genutzt werden. Vorsicht ist geboten, wenn die gleichen Laufwerke »gemappt« werden, aber unterschiedliche Inhalte haben. PROGRAMME Geben Sie hier ein Programm an, das beim Herstellen der Verbindung gestartet werden soll. Benötigen Sie mehrere Programme, muss eine Stapelverarbeitungsdatei eingerichtet werden. ERWEITERT Mit der Auswahl der verwendeten Übertragungsrate werden die Optionen gesetzt. Je mehr Optionen zugelassen werden, desto mehr Leistung und Bandbreite werden benötigt. Lassen Sie auf jeden Fall die Option BITMAPZWISCHENSPEICHERUNG aktiviert, damit statische Bilder nicht erneut übertragen werden.
14.8.3 Einrichten eines Fernzugriffs mit der Windows Remoteunterstützung Ganz anders als der Remotedesktop arbeitet die Remoteunterstützung, auch wenn dabei dieselbe Technologie zum Einsatz kommt. Der Einsatz dient hauptsächlich der Hilfeleistung eines Anwenders, der Probleme mit dem Betriebssystem oder anderer Software hat. Dabei bleiben sowohl der Anwender als auch der Experte ständig mit dem Computer verbunden. Maus und Tastatur können gleichzeitig gesteuert werden. Der Experte kann aber auch nur »zusehen«. Neben einer Chatbox kann zusätzlich eine Audioverbindung eröffnet werden.
Einladen eines Experten Der Zugriff durch einen Experten ist nur möglich, wenn der Anwender eine entsprechende Einladung ausspricht. Diese wird als Textdatei mit einer speziellen Erweiterung per Microsoft Messenger, E-Mail oder auf Diskette beziehungsweise Netzwerk zum Experten gesendet. Die Datei ist mit einem Kennwort geschützt, das auf einem anderen Weg, beispielsweise per Telefon, bekannt gegeben werden muss. Damit ist ausgeschlossen, dass solche Hilferufe in falschen Händen Schaden anrichten. Neben dem Kennwort kann auch die Gültigkeitsdauer begrenzt werden. So verfallen die Anfragen (Einladungen) nach einer bestimmten Zeit, standardmäßig nach sechs Stunden. Der maximal einstellbare Zeitraum kann auf höchstens 99 Tage ausgedehnt werden.
936 _________________________________________________14 Netzwerkadministration Remoteunterstützung freischalten
Eine Einladung aussprechen
Zuerst muss die Remoteunterstützung aktiviert werden. Dies kann nur der Administrator. Starten Sie in der Systemsteuerung das Programm SYSTEM. Auf der Registerkarte REMOTE aktivieren Sie das Kontrollkästchen REMOTEUNTERSTÜTZUNGSVERBINDUNGEN MIT DIESEM COMPUTER ZULASSEN. Über die Schaltfläche ERWEITERT können Sie die Fernsteuerfunktion aktivieren oder deaktivieren. Ist diese Option aktiviert, kann der Experte die Steuerung von Maus und Tastatur übernehmen (was aber in jedem Fall vom Anwender bestätigt werden muss). Um eine Einladung auszusprechen, starten Sie zuerst das Hilfe- und Supportcenter. Auf der Startseite des Centers klicken Sie auf das Symbol in der Menüleiste, das zwei Personen mit einem Fragezeichen zeigt. Sie können die Remoteunterstützung auch direkt aus dem Windows-Startmenü aufrufen. Klicken Sie dazu auf START | ALLE PROGRAMME | WARTUNG | WINDOWS- REMOTEUNTERSTÜTZUNG. Sie gelangen in jedem Fall zum Assistenten der WINDOWSREMOTEUNTERSTÜTZUNG. Klicken Sie auf JEMANDEN UM HILFE BITTEN, DEM SIE VERTRAUEN. Sie können die Einladung per E-Mail versenden oder als Datei speichern. Die Datei können Sie auf üblichen Wegen transportieren: Per E-Mail, FTP, HTTP-Upload, auf CD-ROM, Diskette usw. Entscheiden Sie sich für den Versand per E-Mail, verlangt der Assistent zunächst die Vergabe eines Kennwortes und startet in einem zweiten Schritt das Standard-E-Mail-Programm, beispielsweise Windows Mail.
Abbildung 14.74: Pfad, Dateinamen und Kennwort für die Einladung festlegen
Ist Ihnen das Zwischenspeichern der Datei lieber, weil Sie Probleme mit E-Mail haben oder Sie ihre E-Mails über eine Webseite verschicken, werden Sie zur Wahl des Speicherpfades und des Kennwortes in einem Dialog aufgefordert. Das Kennwort müssen Sie dem Helfer separat zukommen lassen. Es sollte nicht Ihrem Windows-Kennwort
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 937 entsprechen. Die Datei mit der Einladung wird nun gespeichert. Standardmäßig trägt sie den Namen EINLADUNG.MSRCINCIDENT und wird auf dem Desktop abgelegt. Beachten Sie die Hinweise zur Freischaltung der Firewall(s) (Port 3389). Die Remoteunterstützung geht nach dem Fertigstellen der Datei in den Wartemodus über. Das Programm - und Sie - warten darauf, dass der Helfer sich meldet und die Verbindung aufbaut. Abbildung 14.75: Remoteunterstützung in Warteposition
Auf eine Unterstützungsanforderung reagieren Erhalten Sie eine Unterstützungsanforderung, genügt ein Doppelklick auf die Datei. Es startet das Hilfe- und Supportcenter mit einem anderen Layout und lädt die Informationen aus der Datei. Wenn Sie Aufforderung per E-Mail erhalten, genügt ebenso das Ausführen der Einladung. In beiden Fällen wird der folgende Dialog angezeigt: Abbildung 14.76: Remoteunterstützung bieten
Die Verbindung wird hergestellt, wenn das Kennwort erfolgreich eingegeben wurde. Der Benutzer, der die Verbindung angefordert hat, muss den Zugriff noch bestätigen. Danach startet der lokale Unterstützungsclient und der Experte kann den Bildschirm sehen und alle Aktionen des Benutzers verfolgen. Es stehen nun folgende Optionen zur Verfügung: STEUERUNG ANFORDERN Hiermit übernimmt der Experte Maus und Tastatur. Der Anwender verliert dabei jedoch nicht die Kontrolle.
938 _________________________________________________14 Netzwerkadministration AN BILDSCHIRMGRÖßE ANPASSEN Helfer und Hilfesuchender haben möglicherweise unterschiedliche Auflösungen eingestellt. Der Helfer kann sich den Bildschirm entsprechend einrichten. EINSTELLUNGEN Es kann eine Protokollierung eingeschaltet werden. Diese kann als Nachweis dienen, wenn es zu Unstimmigkeiten in der Art der Hilfe zwischen beiden Parteien kommt. CHAT Eine Chat-Sitzung kann helfen, wenn ein telefonischer Kontakt nicht möglich oder erwünscht ist. EINE DATEI SENDEN Hiermit kann eine Datei gesendet werden, beispielsweise ein neuer Treiber oder eine Stapelverarbeitungsdatei. ABRECHEN Hiermit wird die Verbindung beendet. Auf die Möglichkeit der Sound-Unterstützung während einer Remoteunterstützungssitzung wurde bei Vista verzichtet. Dieses Feature scheint bei Windows XP mehr Ärger als Nutzen gebracht zu haben.
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 939
V Internet & Multimedia
14.8 Remote-Zugriffsmöglichkeiten _________________________________________ 941
15 15Vista und das Internet Das Betriebssystem Windows Vista verfügt über viele Funktionen, die direkt oder indirekt mit dem Internet verbunden sind. In diesem Kapitel werden diese Funktionen erläutert sowie die Programme näher vorgestellt, mit denen Sie sich als Benutzer im Internet bewegen. Kernstück ist der direkt integrierte Internet Explorer. Gezeigt wird aber auch, wie Sie die Nutzung einzelner Funktionen kappen und »heimliche« Netzwerkzugriffe verhindern können.
942 __________________________________________________ 15 Vista und das Internet
Inhaltsübersicht Kapitel 15 15.1 15.2 15.3 15.4 15.5 15.6 15.7
Einige Grundlagen........................................................ 943 Verbindung zum Internet herstellen.......................... 957 Lokales Netz an das Internet anschließen ................. 988 Internet Explorer 7 ........................................................ 993 Windows Mail ............................................................. 1011 Windows-Kontakte..................................................... 1031 Windows-Kalender..................................................... 1034
15.1 Einige Grundlagen ___________________________________________________ 943
15.1 Einige Grundlagen Windows Vista bietet eine weit reichende Unterstützung für die Nutzung des Internets. Das geht in vielen Aspekten weit über das einfache Surfen im World Wide Web hinaus. In den nachfolgenden Abschnitten finden Sie Informationen zum grundlegenden Aufbau des Internets, seinen Diensten und zu Sicherheitsaspekten.
15.1.1 Aufbau des Internets Das Internet als Begriff ist keine fassbare Einheit, die in einem Stück zu beschreiben wäre. Wir wollen an dieser Stelle eine kurze Erklärung versuchen, die das Internet und seine grundsätzliche Funktionalität verständlich machen. Das Internet gehört niemandem und wird von niemandem kontrol- Das Internet liert. Als Internet wird die Einheit aller Personen, Firmen, Organisationen verstanden, die sich unter Einhaltung bestimmter Standards und Normen zusammenschließen. Das können auf der einen Seite Informationsanbieter (die Server) sein, auf der anderen Seite gehören auch alle Informationsnutzer (die Surfer) dazu. Alle sind durch Datenleitungen miteinander verbunden. Für den privaten und kleineren gewerblichen Teilnehmer bestehen diese Datenleitungen aus normalen Telefonleitungen, die von Telekommunikationsfirmen gemietet werden. Die Struktur des Internets bilden so genannte Provider (Verteiler), die Knoten bereitstellen, an denen die Datenströme gesammelt und neu verteilt werden. Physisch sind diese Knoten die Punkte, an denen sich die Nutzer mit Modem oder ISDN-Karte einwählen und dann von den Computern (Gateways, Router) des Providers mit den anderen Leitungen des Internets verbunden werden. Provider, die solche Einwählpunkte betreiben, werden auch PoPs8 genannt. Manche Provider haben viele selbstständige PoPs, betreiben selbst aber nur die Hauptleitungen (Teile des Backbone). Man unterscheidet echte Serviceprovider, die solche Leitungen nur mieten und darauf ausschließlich Datendienste betreiben, und so genannte Carrier, die selbst Überlandleitungen verlegen und für alle Dienste Sprache und Daten vermieten. Zwischen allen Städten der Welt existieren Dutzende von privaten oder staatlich kontrollierten Leitungen. Damit können die Daten auf verschiedenen Wegen durch die Welt gelangen. Das Internet ist deshalb nicht unbedingt schnell, aber außerordentlich sicher. Auch ein totaler Schnitt durch alle Leitungen einer Zone würde den Informationsfluss nicht zum Stillstand bringen. Die Daten gehen dann eben längere Wege, aber sie erreichen sicher ihr Ziel. Jeder einzelne Computernutzer kann Bestandteil des Internets werden, indem er einen Server betreibt, den alle anderen Teilnehmer se8
Vom Englischen Point of Presence; Punkt, an dem das Internet präsent ist
944 __________________________________________________ 15 Vista und das Internet
World Wide Web
HTML
HTTP
TELNET
hen können. Die einzige gemeinsame Basis ist die Verwendung bestimmter Standards. Für das Netzwerk ist dies TCP/IP als Protokoll und für die Informationsinhalte sind es HTTP (WorldWideWeb), FTP (Dateitransfer), NNTP (News) und SMTP (E-Mail). So stellt jeder Teilnehmer einen kleinen Teil des Internets dar. Wenn Sie zurzeit einen Server installieren, sind Sie ungefähr ein 50millionstel des Internets, denn fast so viele Server gibt es mittlerweile. Die Statistik-Site von Netcraft berichtete im März 2006 von 77 568 868 Sites, wobei viele davon sicher nur virtuelle Server (beispielsweise im Webspace eines Providers) sind. Mehr dazu unter der folgenden Adresse: news.netcraft.com Sie müssen nicht einmal einen eigenen Server betreiben, denn Sie können auch Speicherplatz bei einem anderen Server für Ihre Seiten mieten. Das nennt man dann Webspace. Diese Lösung ist zwar nicht sonderlich flexibel, aber recht billig. Das WWW ist der Multimedia-Dienst des Internets. Im WWW werden HTML-Dokumente platziert, die aus Text, Bildern, Animationen, Video- und Soundsequenzen etc. bestehen können. Ein großer Vorteil des WWW besteht darin, dass auf andere, weiterführende Dokumente über so genannte Hyperlinks (Verweise) bequem zugegriffen werden kann. Das WWW ist der Dienst des Internets, der eigentlich gemeint ist, wenn Sie in den Medien auf den Begriff Internet stoßen. Das WWW ist zwar nur ein Teilbereich des Internets, jedoch wohl derjenige mit der höchsten Expansionsrate. HTML ist die Beschreibungssprache, mit der die Dokumente codiert werden. Der Name Hypertext Markup Language deutet auf den ursprünglichen Zweck hin: die Einbettung von Verknüpfungen zu weiterführenden Informationen. So ist das WWW weltweit in vielfältiger Weise miteinander verknüpft und verflochten. HTTP Hypertext Transfer Protocol ist das Standardübertragungsprotokoll für HTML-Seiten im Internet. Auf HTTP setzen andere Mechanismen auf, beispielsweise SOAP (Simple Object Access Protocol) für XML (eXtensible Markup Language) oder das unter anderem von FrontPage verwendete WebDAV. Telnet (oder auch Virtual Terminal Protocol, VTP) ist der Dinosaurier des Internets. Mit Telnet können Sie von Ihrem Computer über das Internet auf einen anderen Computer zugreifen. Sie können wenn Sie über die entsprechenden Rechte verfügen mittels Internet auf einem entfernten Rechner arbeiten und die entsprechenden Ressourcen (zum Beispiel Drucker) nutzen, als würden Sie direkt an jenem Rechner sitzen. Für den Einsatz im Web wird Telnet zum Zugriff auf die Serverkonsole eingesetzt. Damit lässt sich von Windows Vista aus auch ein Unix-System steuern wenn Ihr Provider es denn erlaubt.
15.1 Einige Grundlagen ___________________________________________________ 945 Das File Transfer Protocol (FTP) ermöglicht Ihnen den Zugriff auf be- FTP stimmte Dateien innerhalb des Internets. Sie können mit dem FTP einerseits Daten von einem entfernten auf Ihren Computer herunterladen, andererseits von Ihrem Computer Daten auf einen anderen Computer übertragen. Das FTP ist eine Art Datei-Kopiermöglichkeit. FTP-Serveradressen beginnen mit »ftp:«. FTP ist für die Übertragung größerer Datenmengen konzipiert und damit schneller als Übertragung via HTTP. Weitere Informationen finden Sie dazu in Abschnitt 16.3.8 FTP-Dienste anbieten ab Seite 1061. Electronic-Mail (auch E-Mail9) ist die elektronische Post, die von ei- E-Mail nem Computer zu einem anderen, von einem Nutzer zu einem anderen verschickt wird. Wenn Sie einen Internetzugang besitzen, haben Sie in der Regel auch eine oder mehrere E-Mail-Adressen. E-Mail bietet im Gegensatz zur »klassischen Post« gleich mehrere Vorteile: EMail ist wesentlich schneller. In der Regel erhalten Sie eine E-Mail bereits wenige Augenblicke, nachdem sie abgeschickt wurde (vorausgesetzt, Sie schauen auch in Ihr »Postfach«), und zwar egal, von wo aus sie abgeschickt wurde. E-Mail ist der bedeutendste Dienst im Internet. So werden pro Jahr nach Schätzungen mehrere Billionen EMails versendet. Das Chat ist wie E-Mail ein Online-Dienst. Im Gegensatz zur E-Mail, Chat bei der Sie von einem Nutzer Post bekommen und ihm dann im Gegenzug eventuell Post zurücksenden, können Sie beim Chat »live« mit anderen Internetteilnehmern konferieren. Dabei ist es unerheblich, wo sich die Teilnehmer gerade aufhalten, ob sie sich im Nachbarzimmer oder aber tausende Kilometer weit entfernt befinden. Jede Eingabe Ihrer Tastatur wird sofort an Ihren Gesprächspartner übertragen und umgekehrt. So können Sie sich sofort und unmittelbar mit anderen Teilnehmern zu bestimmten Themen austauschen. Der bekannteste offene Dienst dieser Art ist IRC (Internet Relay Chat). Daneben haben sich andere Systeme etabliert, beispielsweise ICQ und MS Messenger. Beide bieten neben der Chatfunktion eine permanente Erreichbarkeit solange der Benutzer online ist. Dieses Prinzip wird deshalb auch als Instant Messaging bezeichnet.
15.1.2 Internetfunktionen in Windows Vista Windows Vista verwendet das Internet auf zwei verschiedenen Wegen. Zum einen sind Programme verfügbar, die verschiedene Dienste abrufen und bedienen können. Zum anderen kann sich Windows über das Internet Updates beschaffen, Sicherheitslücken schließen oder die Uhr synchronisieren. Die Interaktion mit Dienstanbietern ist nur ein erster Schritt, der zwar derzeit kontrovers diskutiert wird, zugleich aber einen guten Ausblick auf die Zukunft darstellt. 9
Laut Duden ist die Schreibweise »E-Mail« die einzig zulässige Variante. Alle anderen Schreibweisen, wie eMail oder auch Email sind unrichtig (Der Duden, Bd. 1, 24. Auflage 2006; Dudenverlag).
946 __________________________________________________ 15 Vista und das Internet Surfen mit dem Internet Explorer Für den Zugriff auf den Dienst WWW nutzen Sie das Programm Internet Explorer (IE). Das klingt trivial wer hat nicht schon mal gesurft und den IE verwendet? Aber in der Praxis zeigt sich, dass die verschiedenen Dienste und deren Umsetzungen oft falsch verstanden werden oder die dahinter liegenden Bedeutungen unbekannt sind. Als fortgeschrittener Benutzer sollten Sie damit aber umgehen können. Sicherheitsprobleme lassen sich besser erkennen und Software effizienter nutzen. Das Bewegen im Internet mit Hilfe eines entsprechenden Programms Browser genannt wird als surfen bezeichnet. Hier hat sich im Laufe der Zeit keine rein deutsche Bezeichnung durchgesetzt. Die Worte sind aus dem englischen »importiert« und werden inzwischen mit deutscher Grammatik verwendet (der Browser, des Browsers usw.).
Chatten mit MS Live Messenger Chat ist eine wichtige Anwendung im Internet. In Windows Vista können Sie auf direktem Wege mit dem Live Messenger am Chat teilnehmen. Daneben gibt es Tausende Chatserver, die auf eigenen Systemen basieren. Meist muss ein Java-Applet heruntergeladen werden. Manchmal ist auch die Installation einer speziellen Software notwendig. Jedes Programm verwendet ein eigenes Protokoll. Das einzig genormte Protokoll IRC basiert auf privat betriebenen Servern, von denen leider in letzter Zeit viele ihren Betrieb eingestellt haben, weil Chat kaum eine Werbeplattform bietet und Benutzer nicht bereit sind, dafür zu bezahlen. Proprietäre Systeme sind dagegen auf spezielle Software angewiesen, die dann die Werbeplattform bereitstellen kann. Andere Anbieter wie AOL nutzen den Chat als Feature für Mitglieder, um attraktiver zu werden. Ähnlich funktioniert auch der Messenger von Microsoft. In Windows XP und anderen WindowsBetriebssystemen war er als Beigabe zur Etablierung einer eigenen Plattform dabei. Mit dem Relaunch der Microsoft Plattform, die sich jetzt live.com nennt, muss der passenden Live Messenger über das Internet bezogen werden.
E-Mail senden und empfangen mit Windows Mail Standardmäßig bietet Windows Vista als E-Mail-Client Windows Mail an. Es tritt die Nachfolge des beliebten Outlook Express 6 an. Besitzer von Microsoft Office-Paketen setzen meist Outlook ein. Outlook ist auf Büroarbeit zugeschnitten und verfügt über Kalenderfunktionen, Planungsoptionen und Aufgabenlisten. Aktuell ist das völlig neu gestaltete Office 2007. Für Unternehmen, die Microsoft Exchange als Collaboration Server einsetzen ist Outlook das optimale Frontend. E-Mail ist der bedeutendste Dient im Internet weitaus häufiger benutzt als das WWW. Eine ausführliche Beschäftigung damit finden Sie im Abschnitt 15.5 Windows Mail ab Seite 1011.
15.1 Einige Grundlagen ___________________________________________________ 947 News abbonieren mit Windows Mail Nachrichtengruppen (Newsgroups) gibt es mittlerweile an die 100 000. Das Netzwerk aus Servern, das dieses System bildet, wird als Usenet bezeichnet. Nicht immer ist das sichtbar, denn einige Server bieten eine Webschnittstelle. Sie lassen den Zugriff auf Nachrichten über eine WWW-Seite zu. Dennoch bleibt im Hintergrund das Usenet Quelle aller Informationen. Das Usenet lebt davon, dass die Teilnehmer selbst Beiträge leisten. Es gibt nur wenige moderierte oder kommerzielle Gruppen. Stattdessen eignet sich das Medium ideal als Informationsaustauschplattform. Im Gegensatz zur E-Mail und darauf aufbauenden Mailinglisten stört die Teilnahme nicht den geschäftlichen oder privaten E-Mail-Verkehr. Eine ausführliche Beschäftigung damit finden Sie im Abschnitt 15.5.2 Usenet-News ab Seite 1022.
15.1.3 Windows Vista und interne Internetdienste Windows Vista bietet nicht nur eine sehr gute Unterstützung der Standarddienste des Internets, sondern verwendet es auch für eigene Funktionen. In der nachfolgenden Tabelle finden Sie eine Übersicht über diese Funktionen mit der Angabe der Seiten, auf denen diese näher erläutert werden: Funktion
Seite
Registrierung und Aktivierung des Betriebssystems
948
Automatische Updates der Betriebssystemsoftware
948
Suchen von aktualisierten oder fehlenden Treibern
948
Neueste Informationen im Hilfe- und Supportcenter
948
Suchen passender Programme zu unbekannten Dateitypen
949
Senden von Fehlerinformationen aus dem Ereignisprotokoll
950
Problemberichterstattung über Fehler in Anwendungen
951
Suche nach Antworten in der Wissensdatenbank
951
Synchronisierung der Zeit via Internet-Zeitserver
952
Tabelle 15.1: Internetfunktionen von Windows Vista
Die ständigen Zugriffe auf das Internet ersparen zwar die lästige Su- Bedenken? che nach Updates, sind aber unter Umständen störend oder unerwünscht. Sicherheitsbedenken müssen Sie dagegen nicht haben. Der Datenstrom vom PC zu den Microsoft-Servern lässt sich mit Netzwerksniffern exakt analysieren. Bislang ist es noch niemandem gelungen, hier irgendwelche persönlichen Informationen zu entdecken. Besitzer von Wählverbindungen werden aber nicht recht glücklich, wenn der Computer selbstständig (kostenpflichtige) Verbindungen herstellt. Dies ist zwar leicht zu unterdrücken, aber trotzdem störend. Stolze Besitzer einer DSL-Flatrate werden von den Angeboten aber
948 __________________________________________________ 15 Vista und das Internet durchaus profitieren und sich ein bisschen wie in der Zukunft fühlen. Wer sich ernsthaft mit Computern und dem Internet auseinander setzt, wird aus ökonomischen Gesichtspunkten sowieso zur DSLFlatrate greifen, sofern die Provider den eigenen Standort damit versorgen können. Es macht also Sinn, sich mit den Funktionen zu beschäftigen, die Windows Vista über das Internet verwendet.
Online-Aktivierung des Betriebssystems
Aktivierung ab Seite 68
Während der Installation wird geprüft, ob eine Verbindung mit dem Internet hergestellt werden kann. Dies setzt selbstverständlich entsprechende Hardware voraus. Wenn Sie DSL mit Router installiert haben, genügt bei den Einstellungen der Netzwerkhardware die IPNummer des Gateways. In den meisten Fällen dürfte jedoch der direkte Anschluss eines Einzelplatzes vorhanden sein. Egal ob DSL, ISDN oder Modem erst nach Einrichtung der Verbindung klappt es auch mit der Online-Aktivierung. Detaillierte Informationen finden Sie in Abschnitt 2.6 Windows VistaProduktaktivierung ab Seite 68.
Automatische Updates der Betriebssystemsoftware
Updates ab Seite 93
Windows Vista kann Updates suchen und dann sofort oder später installieren. Die entsprechende Funktion ist in der Systemsteuerung zu finden. Updates sind in der Regel recht groß einige MByte sind keine Seltenheit. Wenn Sie keine stabile Internetverbindung haben oder nach Zeit abgerechnet wird, ist die Nutzung nicht uneingeschränkt zu empfehlen. Weiterführende Informationen finden Sie zu diesem Thema in Abschnitt 2.10 Windows Update ab Seite 93.
Suchen von aktualisierten oder fehlenden Treibern
Infos zu Treibern ab Seite 455
Wenn Sie eine neue Hardware installieren, werden zuerst die mitgelieferten Treiber installiert. Danach können Sie, wenn entsprechende Treiber vorhanden sind, diese gegen neuere vom Hersteller austauschen. Das Verfahren eignet sich nicht immer, weil viele Anbieter neben den Treibern auch Software mitliefern, die direkt mit den Geräten arbeitet und so nicht aktualisiert wird. In Abschnitt 9.4 Hilfe bei Treiberproblemen ab Seite 455 finden Sie zu diesem Thema weitere Informationen.
Neueste Informationen im Hilfe- und Supportcenter Im Hilfe- und Supportcenter werden auf der Startseite Neuigkeiten angezeigt, wenn eine Verbindung mit dem Internet bestand. Diese Funktion ist nicht sicherheitsrelevant, da keinerlei Daten zu Microsoft
15.1 Einige Grundlagen ___________________________________________________ 949 übertragen werden. Besteht keine Verbindung, wird auch nicht versucht, diese herzustellen. Umfassende Informationen finden Sie in Abschnitt 3.6 Hilfe- und Sup- Windows-Hilfe ab Seite 154 portcenter ab Seite 154.
Suchen passender Programme zu unbekannten Dateitypen Wenn Sie Dateien doppelklicken, wird normalerweise in der Registrierung nach der Verknüpfung dieser Erweiterung mit dem passenden Programm gesucht. Trifft Windows auf eine unbekannte Erweiterung, wird folgender Dialog angezeigt: Abbildung 15.1: Reaktion auf eine unbekannte Dateierweiterung
Wählen Sie die Option WEBDIENST FÜR DIE SUCHE NACH DEM RICHTIGEN PROGRAMM VERWENDEN. Windows öffnet dann den Internet Explorer mit einem speziellen Link auf folgende Adresse: http://shell.windows.com/fileassoc/0407/xml/redir.asp?EXT=<XXX> Dabei wird für <XXX> die gesuchte Dateierweiterung eingesetzt. Wenn Sie jedoch glauben, das passende Programm zu besitzen, wählen Sie die andere Option. Soweit zur Theorie. Leider funktioniert das in der Praxis meist nicht, Praxis-Probleme weil Microsoft bislang keine internationale Version der Seite anbietet. 0407 ist der Windows-Sprachcode für Deutsch und folglich bringt der Link keine sinnvollen Informationen. Bislang lief er sogar ins Leere. Mittlerweile (Stand Dezember 2006) wird die nicht unterstützte Sprachcodierung immerhin erkannt und es erscheint eine Website mit einem Hinweis und einem weiteren Link auf die englische Seite (Sprachcodierung 0409 für Englisch). Wenn Sie diesem Link folgen, erhalten Sie mit etwas Glück weiterführende Hinweise über den gesuchten Dateityp. Die Option der Suche nach dem Dateityp ist unkritisch, weil lediglich eine normale HTTP-Anforderung ins Internet abgesetzt wird. Außerdem können Sie die Option nur explizit mit Hilfe des gezeigten Dialogs auslösen - Windows sucht nicht automatisch nach irgendwelchen Programmen.
950 __________________________________________________ 15 Vista und das Internet Senden von Fehlerinformationen aus dem Ereignisprotokoll Im Ereignisprotokoll finden Sie Fehler, die bei der Ausführung von Windows oder Programmen aufgetreten sind. Dazu wird der Link EREIGNISPROTOKOLLHILFE im Detailfenster erzeugt, der zu weiterführenden Informationen verweist. Abbildung 15.2: Ausschnitt aus der Ereignisanzeige: Link Ereignisprotokollhilfe
Klicken Sie auf den Link, erscheint ein weiterer Dialog, der die zu sendenden Informationen anzeigt. Diese Liste sollten Sie aufmerksam durchlesen, da beim Absturz von Programmen mit kritischen Daten möglicherweise ungewollt Kennwörter o.ä. gesendet werden könnten. Normalerweise sollten dort aber nur interne Informationen über die Ausführung und den Fehler stehen. Abbildung 15.3: Informationen, die bei Fehler an Microsoft gesendet werden
Von allein sendet Vista auch hier keine Infos, außer Sie aktivieren die Checkbox in diesem Dialog. Normalerweise müssen Sie den letzten Dialog immer mit JA bestätigen. Als besonders hilfreich hat sich die Nutzung allerdings bislang nicht erwiesen. Über einen Link bei HILFE in der Aktionsleiste auf der rechten Seite lässt sich die Onlinehilfe des Ereignisprotokolls direkt aufrufen.
15.1 Einige Grundlagen ___________________________________________________ 951 Problemberichterstattung für das System und Anwendungen Stürzt ein Programm oder ein Betriebssystembestandteil ab, so erscheint standardmäßig ein Dialogfenster mit der Rückfrage, ob dieses Ereignis an Microsoft gemeldet werden soll. Vielen Anwendern ist das suspekt, sodass Sie diese Rückfrage meist negativ beantworten. Sie können die Problemberichterstattungs-Funktion von vornherein so konfigurieren, dass generell keine Berichte gesendet werden. Öffnen Sie dazu die Systemsteuerung und wählen Sie die Kategorie PROBLEMBERICHTE UND -LÖSUNGEN. Über den Eintrag EINSTELLUNGEN ÄNDERN in der Aufgabenleiste erreichen Sie einen Eröffnungsdialog. In diesem aktivieren Sie den Link ERWEITERTE E INSTELLUNGEN. Der folgende Dialog lässt die Konfiguration der Problemberichterstattung zu. Abbildung 15.4: Konfigurieren der Problemberichterstattung
Wenn die Funktion erwünscht ist, können Sie über die Schaltflächen Programme anEINSTELLUNG ÄNDERN angeben, zu welchen Anwendungen im Fehler- geben fall Berichte erstellt werden dürfen und welche Benutzer die Berichterstattungseinstellungen ändern dürfen.
Suche nach Antworten in der Wissensdatenbank Wenn Sie im Hilfe- und Supportcenter nach Begriffen suchen, kann die Suche neben der lokalen Datenbank auch die Wissensdatenbank bei Microsoft (Knowledge Base) umfassen. Nachteilig ist, dass das deutsche Windows Vista nur die deutsche Knowledge Base durchsucht. Wenn Sie englisch sprechen, ist das Original wertvoller, weil deutlich umfassender. Wenn die Online-Suche gewünscht wird, schalten Sie diese folgendermaßen ein: 1. Öffnen Sie das HILFE- UND SUPPORTCENTER.
952 __________________________________________________ 15 Vista und das Internet 2. Klappen Sie die Dropdown-Liste durch Anklicken von Optionen in der Menüleiste auf. 3. Wählen Sie den Eintrag EINSTELLUNGEN
aus. 4. In der Sektion SUCHERGEBNISSE aktivieren Sie das Kontrollkästchen WINDOWS-ONLINEHILFE UND SUPPORT BEI DER SUCHE MITEINBEZIEHEN.
Synchronisierung der Zeit via Internet-Zeitserver
NTP: RFC 1305
UDP und Port 123
Domäne: DC als Zeitserver
Alleinstehender PC: Internetzeit
Tabelle 15.2: Öffentliche Zeitserver in Deutschland
Zeitserver bieten über das Protokoll NTP (Network Time Protocol) den Clients die Möglichkeit, die exakte Zeit abzufragen. Windows Vista bietet die entsprechende Clientfunktion sowohl für allein stehende PCs als auch für solche, die in eine Active Directory-Domäne eingebunden sind. NTP ist in RFC 1305 spezifiziert. Derzeit ist die Version 3 (NTPv3) aktuell und offiziell verabschiedet. Die Version 4 bringt eine Reihe von Verbesserungen mit, ist aber noch nicht offiziell. Weiterführende Informationen finden Sie auf der folgenden Website: www.ntp.org Die Standard-Implementierung von NTP sieht die Kommunikation auf Port 123 vor. Als Protokoll kommt UDP zum Einsatz. Das Protokoll wird in Abschnitt User Datagram Protocol (UDP) ab Seite 774 näher vorgestellt. In einer Domäne liefert der Domänencontroller (DC) für die Clients die korrekte Zeit. Eine genaue Zeit aller Clients ist hier besonders wichtig, da sonst die Authentifizierung über Kerberos nicht funktioniert. Weitere Informationen finden Sie dazu in Abschnitt Kerberos-Authentifizierung näher betrachtet ab Seite 833. Sind mehrere Domänencontroller für eine Domäne zuständig, fungiert der DC als Zeitserver, der die FSMO-Serverrolle des PDC-Emulator Masters innehat. Ausführlich wird dieses Thema in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 behandelt. Bei allein stehenden PCs kann die Systemzeit über einen frei zugänglichen Internet-Zeitserver aktualisiert werden. Standardmäßig nimmt Windows Vista einmal wöchentlich die Verbindung zu einem Zeitserver auf, wenn eine Internetverbindung besteht. Eine Einwahlverbindung wird deswegen allerdings nicht initiiert. Zeitserver-Betreiber
Hostnamen
Universität Erlangen-Nürnberg
ntp0.fau.de ntp1.fau.de ntp2.fau.de ntp3.fau.de
TU Berlin
ntps1-0.cs.tu-berlin.de ntps1-1.cs.tu-berlin.de
15.1 Einige Grundlagen ___________________________________________________ 953 Zeitserver-Betreiber
Hostnamen
Physikalisch-Technische Bundes- ptbtime1.ptb.de ptbtime2.ptb.de anstalt Braunschweig Universität Stuttgart
rustime01.rus.uni-stuttgart.de
Die Auswahl des Zeitservers und der manuellen Option sowie der Auswahl des Zeitund Ablauf Abruf des Status der Zeitsynchronisierung können über das Fenster servers der Synchronisation Datum und Uhrzeit erfolgen. Sie erreichen das Fenster durch Auswahl von DATUM/UHRZEIT ÄNDERN im Kontextmenü der Uhr. In der Systemsteuerung (klassische Ansicht) steht auch eine entsprechende Kategorie zur Verfügung. Wählen Sie die Registerkarte INTERNETZEIT. Die Liste der Zeitserver enthält zwei Vorgaben, wobei eine Adresse auf Microsoft-Zeitserver verweist und die andere auf den Zeitdienst der US-Regierungsbehörden. Alternativ können Sie einen anderen Zeitserver auswählen. Abbildung 15.5: Verbindung zu einem Zeitserver einstellen
Die Nutzung eines Zeitservers ist für die Systemsicherheit unkritisch. Allerdings kann es notwendig sein, eine Firewall entsprechend anzupassen (UDP, Port 123). Die integrierte Windows-Firewall lässt solche Abfragen generell durch, bei externen Hard- oder Softwarelösungen kann das aber anders aussehen. Für Geschäftsleute mit internationalen Kontakten stellt Vista über die Registerkarte ZUSÄTZLICHE UHREN ein Feature bereit, das Zeitverschiebungen besser überblicken lässt. Soll kein Internet-Zeitserver verwendet werden, kann der Abgleich Alternativen zum Internet-Zeitserver: auch anders erfolgen. In einem kleinen Netzwerk lässt sich das universelle Dienstprogramm - Net time NET.EXE verwenden:
954 __________________________________________________ 15 Vista und das Internet
- W32tm
- Zeitsender
Net time \\Wks02 /SET /YES In diesem Beispiel wird die Systemzeit des Computers Wks02 abgefragt und für die Zeiteinstellung des eigenen PCs übernommen. Weitere Hinweise zur Nutzung finden Sie dazu in der Online-Hilfe. Ein weiteres Kommandozeilen-Tool ist das Programm W32TM.EXE. Damit kann der Windows-Zeitdienst überwacht und konfiguriert werden. Das Programm wird an dieser Stelle ebenfalls nicht weiter betrachtet. Eine ausführliche Dokumentation finden Sie in der OnlineHilfe. Die selbstständige Abfrage eines Zeitsenders durch den PC kann eine andere Alternative sein. Es gibt auf dem Markt diverse Hardwareerweiterungen, die das Zeitsignal eines Zeitsenders empfangen können. Auf diesem Prinzip basieren alle Funkuhren zu denen übrigens auch fast alle öffentlichen Uhren gehören. Die Zeitsender arbeiten mit dem Signal der Physikalisch-Technischen Bundesanstalt in Braunschweig, die eine Atomuhr betreibt. Der wichtigste Zeitsender für Deutschland ist DCF 77 in Mainflingen.
15.1.4 Sicherheitsprobleme im Internet Dieser Abschnitt beschreibt die am kritischsten diskutierten Merkmale des WWW. Dabei geht es weniger um technische Vorbehalte, sondern um kontrovers diskutierte und leider manchmal missbrauchte Eigenschaften. Etwas Hintergrundwissen erleichtert die objektive Einschätzung der Gefährdung.
Cookies Cookies (deutsch: Kekse) haben einen völlig harmlosen, irreführenden Namen. Sie sind bekannt als Angriffspunkt der Hacker und Spionageinstrument gegen den unwissenden Surfer. Beides ist falsch. Die Ursache für den ganzen, um es vorwegzunehmen, unbegründeten Ärger ist ein Artikel von Jon Udell in der Märzausgabe 1997 der Zeitschrift BYTE, einer der größten amerikanischen Computerfachzeitschriften. Dort wurde berichtet, dass Cookies Informationen auf Geheiß des Servers auf der lokalen Festplatte des Nutzers speichern und natürlich auch lesen können. Daraus wurde geschlussfolgert, dass der Server private Daten vom Computer des Surfers lesen kann. Des Weiteren wurde behauptet, dass andere Server wiederum die Daten lesen können, die schon im Cookie gespeichert sind, wodurch das Auslesen privater Kennwörter möglich sein soll. All das hat zur gnadenlosen Vorverurteilung der Cookies beigetragen und dazu geführt, dass viele Nutzer die Funktion abschalten oder sogar die Cookiedatei regelmäßig löschen. In der Maiausgabe 1997 der BYTE wurde der gesamte Artikel revidiert und richtig gestellt zu spät, wie sich herausstellte. Die sensationslüsterne Presse hatte wieder etwas Negatives am Web entdeckt und wollte sich das Spielobjekt nicht wegnehmen lassen. Der Pro-Cookie-Artikel wurde totgeschwiegen.
15.1 Einige Grundlagen ___________________________________________________ 955 Netscape gilt als Erfinder der Cookies. Die Firma wurde durch ihren Browser Navigator bekannt. Mit den Cookies sollten die Unzulänglichkeiten des HTTP umgangen werden. Cookies sind ein grundsätzlicher Mechanismus, den serverseitige Programme (wie Skripte) nutzen können, um clientseitig Informationen zu speichern und wieder auszulesen. Wenn ein Server Informationen in Form eines HTTP-Objekts an den Client sendet, kann er zusätzlich ein Informationsstück liefern, das der Client speichert. Verbunden mit diesem Stück ist eine Beschreibung der URLs, für die dieses Informationsstück gültig ist. Jede zukünftige Anforderung via HTTP von diesem Client an eine der gespeicherten URLs enthält das gespeicherte Stück Information. Diese Information wird Cookie genannt. Dieser einfache Satz aus der Netscape-Definition sagt auch klar, warum die Angst vor Cookies unbegründet ist. Nicht der Server liest Informationen aus der Cookie-Datei aus, sondern der Client (Browser) sendet diese (und nur diese) Informationen an den URL zurück, von dem sie auch geschrieben wurden. Da der Server dabei passiv agiert, kann er diesen Prozess auch nicht manipulieren theoretisch. Nur indirekt, durch systematisches Sammeln der Rücklieferung, kann eine Spur des Benutzers durch das Web gezeichnet werden. Anonym bleibt er dabei dennoch. Die Anwendung ist vielfältig. Shopprogramme können den Warenkorb, gebührenpflichtige Seiten, die Anzahl der Besuche speichern und personalisierte Seiten erkennen den Nutzer wieder und registrieren die Zeit, wann er zuletzt da war. Ein Cookie wird an den Client gesendet, indem im Kopf der HTTPAntwort ein Set-Cookie-Header eingesetzt wird. Typischerweise wird dieser durch ein CGI-Skript erzeugt. Die folgende Darstellung zeigt, wie ein solches Cookie im HTTP aussieht: Set-Cookie: name=COOKIENAME; expires=COOKIE_VERFALLS_DATUM; path=PFADANGABE; domain=DOMAIN_NAME; secure
JavaScript und VBScript Das sind Skriptsprachen zum Schreiben kleiner Programme, die im Browser ausgeführt werden. Die Befehle sind in die HTML-Seiten eingebettet oder werden von dort als externe Datei aufgerufen. JavaScript hat viele sinnvolle Einsatzmöglichkeiten. Dazu gehören Menüsysteme, Reaktionen auf die Maus, dynamische Veränderungen an Elementen der Seite u.v.m. Mit JavaScript kann man aber auch Fenster öffnen lassen und auf Ereignisse reagieren. Dies lässt sich missbrauchen. Warez10- und Sexsei10
Warez steht allgemein für gehackte, raubkopierte oder geknackte Software. Warez ist grundsätzlich illegal.
Netscapes CookieDefinition Was sind Cookies?
Ist die Angst begründet?
Spezifikation
Syntax des SetCookie-Header
956 __________________________________________________ 15 Vista und das Internet ten machen davon ausgiebig Gebrauch: Wenn ein Browserfenster geschlossen wird, poppt ein neues auf. Dieser Effekt basiert auf JavaScript: Das Ereignis »Schließen« (onclose) wird mit dem Öffnen eines neuen Fensters (window.open) verbunden. Leider ist JavaScript durch den Missbrauch in Misskredit geraten, denn es gibt durchaus sinnvolle Anwendungen dieser Technik. Im Internet Explorer steht neben JavaScript noch als alternative Skriptsprache VBScript zur Verfügung. JavaScript wird außerdem von Microsoft als JScript bezeichnet, eine eigene, aber weitgehend kompatible Implementierung. VBScript wird nur selten verwendet, weil andere Browser dies nicht unterstützen.
Java Mit Java können Programme für die Abarbeitung auf Servern oder für Browser erstellt werden. Auf dem Computer wird dazu eine so genannte Java VM (Java Virtual Machine) benötigt, die diese Programme ausführt. Unter Windows Vista kann die VM nachträglich installiert werden. Von Java gehen normalerweise keine Sicherheitsprobleme aus. Lediglich das Herunterladen der teilweise recht großen Dateien kann bei einer langsamen Internetverbindung störend wirken.
ActiveX ActiveX ist ein Programmiersystem, das Programme mit einer einheitlichen Schnittstelle zur Verfügung stellt, unabhängig von der Programmiersprache, in der sie geschrieben wurden. ActiveX kann im Internet Explorer ausgeführt werden. Es wurde oft verteufelt, weil die Möglichkeiten umfangreicher als bei anderen Systemen sind, womit sich Sicherheitslücken ergeben können und auch schon mehrfach ergeben haben. Generell können solche Programme vom Hersteller mit einem Zertifikat gekoppelt werden, das die Echtheit beweist. Wenn Sie nur die Ausführung von ActiveX-Programmen zulassen, die ihre Echtheit beweisen und deren Anbietern Sie trauen, kann nichts passieren. In den Sicherheitseinstellungen kann festgelegt werden, wie mit unbekanntem ActiveX-Code umgegangen wird. Wenn Sie die Ausführung ganz verbieten, werden einige Seiten nicht funktionieren.
Flash, Shockwave Beide Produkte haben weite Verbreitung gefunden. Vor allem Grafiker sind von den Möglichkeiten begeistert, denn Grafiken werden als kompakte Befehlsfolgen und nicht als riesige Bilder übertragen vielfältige Effekte, Bewegungen und Dynamik inklusive. Die Akzeptanz ist unkritisch.
15.2 Verbindung zum Internet herstellen_____________________________________ 957
15.2 Verbindung zum Internet herstellen Die Konfiguration für das Internet umfasst sowohl die Installation der entsprechenden Hardware Modem oder ISDN-Karte als auch die Einstellung der Verbindungsparameter zu einem Dienstanbieter (Provider).
15.2.1 Hardwareinstallation Zum Verbindungsaufbau ins Internet gibt es mehrere Wege: per Modem oder ISDN-Terminaladapter mit einer internen ISDN-Karte über ein DSL-Modem mittels Mobiltelefon für den mobilen Einsatz über einen im lokalen Netz verfügbaren Router Für die Anbindung eines Netzwerks an das Internet, beispielsweise auch über einen dedizierten Router, finden Sie weiterführende Informationen in Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988. Die erste Voraussetzung ist also immer die Verfügbarkeit entsprechender Hardware. Mit Hardware ist natürlich auch die Frage nach dem passenden Treiber verbunden.
Automatische Installation Windows Vista erkennt die meisten modernen Plug&Play-Geräte Aktuelle Treiber automatisch und verwendet damit die mitgelieferten Treiber. Bei älte- entscheidend ren Geräten sieht es nicht so gut aus. Bedingt eignen sich XP-Treiber. Treiber für Windows 2000 oder Windows NT 4 können nicht verwendet werden. Da einige Hersteller ihre alten Karten nicht pflegen, kann die eine oder andere ISDN-Karte hier nicht mehr eingesetzt werden. Die Vorteile, die Windows Vista auch in Bezug auf die Internetnutzung bietet, sind aber durchaus den Tausch einer Kommunikationskarte für etwas über 50 wert. DSL-Router, teilweise mit WLANAnschluß, gehen für unter 100 über den Ladentisch.
Modem selbst hinzufügen Wenn ein Modem nicht erkannt wird, Sie aber über passende Treiber verfügen oder einen Standardtreiber verwenden können, besteht auch die Möglichkeit, dieses Modem von Hand zu installieren. Neben der Installation über den Gerätemanager bietet sich ein kürzerer Weg an: Wählen Sie in der Systemsteuerung (klassische Ansicht) TELEFON- UND MODEMOPTIONEN.
958 __________________________________________________ 15 Vista und das Internet Abbildung 15.6: Liste der installierten Modems
Hardware-Assistent
Abbildung 15.7: Einstellung der Modemoptionen
In dem folgenden Dialog gehen Sie zur Registerkarte MODEMS und dann auf HINZUFÜGEN. Es startet der Hardware-Assistent. Auf der ersten Seite aktivieren Sie das Kontrollkästchen MODEM AUSWÄHLEN. Dadurch wird die Plug&Play-Funktion unterdrückt. Sie können jetzt aus einer Liste von Modellen eines auswählen oder den vorhandenen Treiber vom Datenträger laden. Mit Hilfe der Schaltfläche EIGENSCHAFTEN können Sie weitere Optionen einstellen. Einige Elemente sind je nach Gerätetyp eventuell nicht aktiviert.
15.2 Verbindung zum Internet herstellen_____________________________________ 959 Verfügbar sind auf der Registerkarte MODEM folgende Optionen: LAUTSTÄRKE Steuert den internen Lautsprecher des Modems. MAXIMALE ÜBERTRAGUNGSRATE Dies ist die »Nettoübertragungsrate«, mit der Daten vom und zum Modem transportiert werden können. Der Wert sollte höher sein als die maximale Übertragungsrate, für die das Modem ausgelegt ist. Außerdem ist darauf zu achten, dass sich die verwendete Schnittstelle (serieller Port) für diese Geschwindigkeit eignet. WÄHLOPTIONEN Hier können Sie das Verhalten zum Freizeichen einstellen, hängt gegebenenfalls von der Arbeitsweise der Nebenstellenanlage ab.
15.2.2 Verbindung über ISDN oder Analog-Modem Die Konfiguration des Computers für den Internetzugang beginnt mit dem allgemeinen Netzwerkinstallations-Assistenten. Die einfachste Konfiguration richtet das Modem nur für die lokale Arbeitsstation ein. Blättern Sie zum Abschnitt 15.3 Lokales Netz an das Internet anschließen ab Seite 988, um mehr darüber zu erfahren, wie ein Modem im Netzwerk gemeinsam verwendet werden kann.
Netzwerk- und Freigabecenter als zentraler Ort tung Öffnen Sie das Fenster Netzwerk- und Freigabecenters über die Kategorie in der Systemsteuerung. Sie können auch erst das Netzwerk (die Netzwerkumgebung) über START | NETZWERK öffnen und dann das Netzwerk- und Freigabecenter aus der Menüleiste auswählen. Starten Sie den Assistenten mit einem Klick auf EINE VERBINDUNG Schritt 1: ODER NETZWERK EINRICHTEN. Auf der ersten Seite (nach dem Startbild- Auswahl des Typs schirm) wählen Sie VERBINDUNG MIT DEM INTERNET HERSTELLEN. Abbildung 15.8: Auswahlliste des Internet-ZugangsAssistenten
960 __________________________________________________ 15 Vista und das Internet Die Einstellungen lassen sich zwar später noch modifizieren, der Assistent erledigt aber die wichtigsten Aufgaben meist so zufrieden stellend, dass es sich lohnt, die ersten Schritte hier ausführen zu lassen. Der Assistent fragt nun den Typ des Kommunikationsgeräts ab. Dabei Schritt 2: Verbindungswerden Modems einschließlich ISDN-Karten von DSL- und Kabelmogerätetyp auswählen dems mit Einwahloption unterschieden. Wählen Sie bei Modem oder ISDN die Option WÄHLVERBINDUNG Das Kommunikationsgerät wird jedoch nur dann abgefragt, wenn eine Schritt 3: Verbindungsgerät Auswahl besteht. Haben Sie nur ein Modem im System, wird dies automatisch konfiguriert. Abbildung 15.9: Auswahl des Modems, wenn mehr als ein Gerät zur Verfügung steht
Schritt 4: Konfiguration der Verbindungsdaten
Nun folgen die Angaben des Diensteanbieters. Bereithalten sollten Sie folgende Daten: Einwählrufnummer Daten des E-Mail-Servers Anmeldename und Kennwort Vergeben Sie nun einen Namen für die Verbindung.
Abbildung 15.10: Die vom Internetdienstanbieter zugeteilten Informationen eingeben
Der Link ES GIBT KEINEN INTERNETDIENSTANBIETER fordert zum Einlegen einer Konfigurations-CD auf, die Sie von Ihrem Internetdienstanbieter (Internet Service Provider ISP) bekommen haben.
15.2 Verbindung zum Internet herstellen_____________________________________ 961 Es ist eine gute Idee, für einen schnellen Test und als Notverbindung einen Call-by-Call-Provider zu verwenden. Sie müssen sich dort nicht anmelden, die Abrechnung der verbrauchten Online-Zeit erfolgt auf der Telefonrechnung. Auf Seite 413 finden Sie weitere Informationen zur Ermittlung von Anbietern und Tarifen. Funktioniert Ihr Modem, können Sie den folgenden Abschnitt überspringen. Eine Verbindung können Sie dennoch erstellen lassen und den Assistenten beenden. Mit der manuellen Konfiguration, beschrieben in Abschnitt Wählverbindung konfigurieren auf Seite 962, können Sie fortfahren, falls zusätzliche Parameter anzugeben sind. Lesen Sie jetzt, wie Sie mit möglichen Problemen umgehen können.
Mögliche Probleme Möglicherweise reagiert Ihr Modem nicht wie erwartet. Wenn Sie ein externes Gerät verwenden, wird dies entweder am USB-Port oder an der seriellen Schnittstelle angeschlossen sein. Mit USB dürfte es kaum Probleme geben. Serielle Ports jedoch sind vielfältig konfigurierbar und nicht immer funktioniert die Standardeinstellung erwartungsgemäß. Im Wesentlichen kommt es darauf an, dass die Portgeschwindigkeit von Modem und Schnittstelle identisch ist. Ein 64-KBit-ISDN-Modem arbeitet mit dieser oder einer geringeren Portgeschwindigkeit. Testen Sie mehrere Werte und finden Sie so die höchste Geschwindigkeit heraus. Abbildung 15.11: Anschlusseinstellung eines seriellen Ports
Wählen Sie in der Systemsteuerung (klassische Ansicht) das Symbol Portgeschwindigkeit SYSTEM. Klicken Sie dort auf GERÄTEMANAGER in der Aufgabenleiste. einstellen In der Liste der im System vorhandenen Geräte öffnen Sie den Zweig ANSCHLÜSSE (COM & LPT). Öffnen Sie die Eigenschaften der Schnittstelle, an der das Modem angeschlossen ist mit einem Doppelklick. Meist ist dies COM1. Wechseln Sie im folgenden Dialog EIGENSCHAFTEN VON KOMMUNIKATIONSANSCHLUSS auf die Registerkarte ANSCHLUSSEINSTELLUNGEN. Tragen Sie bei BIT PRO SEKUNDE den passenden Wert ein.
962 __________________________________________________ 15 Vista und das Internet Modem abfragen
Wenn Sie nicht sicher sind, ob das Modem nun zufrieden stellend funktioniert, sollten Sie es direkt abfragen lassen.
Abbildung 15.12: Reaktion eines Modems auf eine Abfrage
Dazu öffnen Sie in der Systemsteuerung das Symbol TELEFON- UND MODEMOPTIONEN. Wechseln Sie auf die Registerkarte MODEMS und wählen dort das Modem aus. Klicken Sie auf EIGENSCHAFTEN und im folgenden Dialog auf die Registerkarte DIAGNOSE. Mit der Schaltfläche MODEM ABFRAGEN lösen Sie den Prozess aus. Es kommt hier nicht so sehr darauf an, was das Modem antwortet, sondern dass es überhaupt etwas zurückgibt. Die meisten Funktionen werden von einfachen Modems nicht direkt unterstützt, für eine Internetverbindung reichen jedoch die Standardbefehle. Fahren Sie mit der Konfiguration der Internetverbindung erst fort, wenn das Modem einwandfrei arbeitet.
Wählverbindung konfigurieren Nach der Einrichtung der Verbindung, auch wenn sie noch nicht funktionieren sollte, können die Parameter dafür geändert werden. Öffnen Sie dazu das Netzwerk- und Freigabecenter und wählen Sie den Eintrag NETZWERKVERBINDUNGEN VERWALTEN aus. Im Bereich Wählverbindung sehen Sie die Verbindung mit dem von Ihnen vergebenen Namen. Im Kontextmenü rufen Sie den Dialog Eigenschaften von [Name der Wählverbindung] über den Eintrag EIGENSCHAFTEN auf.
Allgemein Die Rufnummer kann geändert werden, falls sie über den Assistenten falsch eingegeben wurde. Stehen mehrere Geräte für die Wählverbindungen zur Wahl, kann über eine entsprechende Markierung die Auswahl getroffen werden, welche Geräte für diese Verbindung be-
15.2 Verbindung zum Internet herstellen_____________________________________ 963 nutzt werden sollen. Eine Mehrfachnennung ist möglich. Ist die Option NUR DAS ERSTE VERFÜGBARE GERÄT WÄHLEN aktiv, bewirkt das einen gewissen Auswahlschutz. So kann die Verbindung über ein Modem hergestellt werden, falls der primäre ISDN-Adapter ausfällt. Abbildung 15.13: Eigenschaften der Wählverbindung
Wählregeln Die Wählregeln werden nur benötigt, wenn zum Wählen besondere Bedingungen zu schaffen sind, beispielsweise die Freischaltung einer Amtsleitung durch eine spezielle Rufnummer oder die Verwendung einer Callingcard. Letzteres ist von Interesse, wenn Sie einen heimischen Provider aus dem Ausland anwählen müssen.
Verbindungsoptionen Die Wahlwiederholoptionen sind sinnvoll, wenn die Verbindung öf- Wahlwiederholters nicht zustande kommt. Das betrifft vor allem Mobilfunkzugänge optionen und ältere Modems, die bei Leitungsstörungen die Verbindung abbauen. Wichtig ist die Leerlaufoption. Wenn Sie bei LEERLAUFZEIT einen Wert Leerlauf auswählen, wird die Verbindung nach dieser Zeit getrennt. Stellen Sie den Wert etwas geringer ein als der Zeittakt des Telefondiensteanbieters. Dann werden seltener Einheiten nur teilweise verbraucht. Generell ist zu empfehlen, hier eine Zeit einzutragen. Wenn Sie die Verbindung mal »vergessen«, entstehen keine ungewöhnlich hohen Kosten. Längere Downloads sind davon nicht betroffen solange Daten übertragen werden, beginnt der Zeitgeber nicht zu zählen.
964 __________________________________________________ 15 Vista und das Internet Abbildung 15.14: Optionen für den Verbindungsaufbau
Weitere Hinweise zu diesen Optionen finden Sie in Abschnitt 15.2.8 Einstellung der Internet-Verbindungsoptionen ab Seite 984.
Sicherheitseinstellungen Auf der Registerkarte SICHERHEIT können Sie die Behandlung des Kennwortes einstellen. Normalerweise gibt diese Option der Provider vor. Üblicherweise werden Kennwörter für Verbindungen im Internet nicht verschlüsselt. Falls Sie besondere Sicherheitsansprüche haben oder Ihr Provider dies verlangt, können Sie hier auch Einstellungen vornehmen. Klicken Sie auf ERWEITERT (B ENUTZERDEFINIERTE E INSTELLUNGEN), dann erreichen Sie über die Schaltfläche EINSTELLUNGEN mehr Optionen, wie sich der Client verhält, wenn der Server eine bestimmte Form der Verschlüsselung nutzt oder ablehnt.
15.2.3 Verbindung über DSL DSL
ADSL
Für die Nutzung einer breitbandigen Internet-Verbindung, beispielsweise über DSL (Digital Subscriber Line), bringt Windows Vista bereits eine gute Unterstützung mit. Im Mittelpunkt steht dabei das dazu eingesetzte Protokoll PPPoE (Point-to-Point Protocol over Ethernet). Im privaten Bereich oder für die Nutzung durch kleinere Firmen ist ADSL die gebräuchlichste DSL-Unterart. Das A steht dabei für Asymmetric und bedeutet, dass Up- und Downstream-Datenrate unterschiedlich sind. Den Angeboten der ISPs von derzeit bis 16 MbitDownstream steht eine Upstream-Rate von wenigen hundert kbit gegenüber.
15.2 Verbindung zum Internet herstellen_____________________________________ 965 DSL-Zugang einrichten Beginnen Sie mit der Einrichtung identisch wie über ein Modem oder einen ISDN-Adapter. Das ist in Abschnitt 15.2.2 auf Seite 959 beschrieben. Im Schritt 2 wählen Sie die Option BREITBAND (PPPOE). Abbildung 15.15: Auswahl für die Einrichtung einer Breitband-Verbindung
Geben Sie Ihre Zugangsinformationen ein. Tragen Sie eine Bezeichnung für die neue Verbindung ein. Abbildung 15.16: Zugangsparameter für die Verbindung eingeben
Geben Sie dann an, ob diese Verbindung nur durch Sie selbst oder auch von allen anderen Benutzern des PCs genutzt werden kann. Damit Sie das oft sehr kryptische Kennwort korrekt eingeben können, aktivieren Sie temporär das Kontrollkästchen ZEICHEN ANZEIGEN. Haben Sie einen DSL-Zugang über T-Online, müssen Sie nicht unbedingt die T-Online-Software installieren, um sich in das Internet einzuwählen. Sie können auch eine Verbindung wie oben beschrieben einrichten. Geben Sie dann als Benutzername die Zugangsdaten in der folgenden Form an (ohne Leerzeichen): Anschlusskennung T-Online-Nr #
[email protected] Als Kennwort tragen Sie das persönliche Kennwort ein, welches Sie mit Ihren T-Online-Unterlagen erhalten haben.
966 __________________________________________________ 15 Vista und das Internet Mögliche Probleme mit DSL im Netzwerk DSL-Modem am Hub/Switch
Alternative: Separater Netzwerkadapter
DSL-Verbindungen werden üblicherweise durch ein DSL-Modem bereitgestellt, die mittels Netzwerkkabel mit einem Ethernet-Adapter im PC verbunden werden. Haben Sie gleichzeitig ein kleines Peer-toPeer-Netzwerk im Einsatz und schließen Sie das DSL-Modem mit an Ihrem Hub an, können Sie abwechselnd (nicht gleichzeitig) den DSLZugang auf verschiedenen Computern nutzen. Das ist eine durchaus übliche Konfiguration in der Praxis, wenn auch nicht besonders durchdacht. Sie hat mehrere Nachteile: Sie müssen an jedem PC separat diese Verbindung einrichten, einschließlich der Zugangsinformationen. In dem Moment, wo ein PC die DSL-Verbindung herstellt, kann natürlich kein anderer PC diese nutzen. Hinzu kommt folgender Effekt: Bei aktivierter Firewall von Windows wird der ganze LANAnschluss mit abgesichert, sodass solange die Verbindung besteht, auf diesen PC von anderen PCs aus nicht mehr zugegriffen werden kann. Genauso kommt es zu Problemen beim Drucken über das Netzwerk, da Statusinformationen vom Druckserver nicht mehr hereingelassen werden. Als Alternative können Sie die Internet-Netzwerkzugangsfunktion ICS einsetzen, welche in Abschnitt 15.3.2 Gemeinsame Internetverbindung konfigurieren ab Seite 989 erläutert wird. Schließen Sie dazu das DSL-Modem über einen separaten Netzwerkadapter an den als Server fungierenden PC an. Die Firewall-Funktion sollten Sie natürlich unbedingt für diese Verbindung aktivieren. Wesentlich eleganter kann das Problem mit den heute in großer Vielzahl erhältlichen Breitbandroutern gelöst werden. Diese gibt es sowohl für das kabelgebundene LAN, wobei meist ein integrierter Switch bis zu vier Computer direkt vernetzen kann, als auch mit integrierter WLAN-Basisstation.
DSL mit einem Breitbandrouter verwenden
Router-Einrichtung
Verwenden Sie so einen Router, dann nehmen Sie folgende Konfigurationsarbeiten bei einem kleinen Peer-to-Peer-Netzwerk vor: 1. Richten Sie den Router ein. In aller Regel wird dieser über ein Webinterface konfiguriert. Die Standard-IP-Adresse sowie das Administratorkennwort entnehmen Sie der Dokumentation zum Gerät. Bei einem Router, der einen Switch für kabelgebundenes LAN beinhaltet, sind diese Schritte durchzuführen: - LAN-Konfiguration, mit Angabe der IP-Adresse und optionaler Einrichtung eines DHCP-Servers, der alle angeschlossenen Client-PCs mit IP-Adressen versorgt. Hier ein KonfigurationsVorschlag: - IP-Adresse Router: 192.168.100.254
15.2 Verbindung zum Internet herstellen_____________________________________ 967 - Subnetzmaske: 255.255.255.0 - DHCP-Bereich: 192.168.100.1 bis 192.168.100.20
- Aktivierung der Firewall. Praktisch alle heute ausgelieferten DSL-Router sind mit einer integrierten Firewall ausgestattet, die Stateful Paket Inspection (SPI) unterstützen. - Internet-Zugangskonfiguration. Geben Sie die Daten zum Benutzernamen und Kennwort ein, die Sie von Ihrem Provider erhalten haben. Zu finden ist dies meist bei den Einstellungen zum PPoE-Protokoll. Geben Sie auch hier eine Leerlaufzeit (meist Idle Time genannt) an, nach der die Verbindung beendet wird. Standardmäßig ist diese in der Regel nicht aktiviert, sodass die Verbindung nicht mehr beendet wird. Ohne Flatrate kann das sehr teuer werden. 2. Richten Sie die Clientcomputer ein. Sie brauchen dann nur die IP-Adressierung auf automatisch umzustellen. Die integrierte Firewall kann dabei deaktiviert werden, da diese Funktion der DSL-Router ausübt. Zur Einrichtung von WLAN-Routern und Clients finden Sie weiterführende Informationen in Abschnitt 14.6 WLAN-Funknetzwerke administrieren ab Seite 901.
15.2.4 Verbindung über ein Mobiltelefon Windows Vista unterstützt eine Reihe von Mobiltelefonen, welche mit einer Modemfunktion ausgestattet sind und über Infrarot, Bluetooth oder USB an den Computer angeschlossen werden können. Damit haben Sie eine interessante Möglichkeit, unterwegs über ein Notebook ins Internet zu kommen. Schließen Sie ein unterstütztes Handy an den Computer an, erfolgt innerhalb weniger Sekunden die Erkennung und Einbindung des Gerätes als Modem. Danach können Sie wie bei einem »normalen« Modem oder ISDN-Gerät über den Assistenten die Wählverbindung herstellen (siehe Abschnitt 15.2.2 Verbindung über ISDN oder AnalogModem ab Seite 959). Die besonderen Aspekte, die bei der Anbindung eines Handys via Bluetooth zu beachten sind, werden unter anderem in Abschnitt 14.2 Bluetooth-Geräte einbinden ab Seite 867 erläutert.
Datenübertragungsmodus manuell anpassen Die Einbindung erfolgt meist schnell und bequem, hat allerdings manchmal einen Haken: Einige Handys werden nur mit der normalen analogen Modem-Emulation angesteuert. Das bedeutet, dass die Daten in diesem Fall mit gemütlichen 9 600 Baud über die Funkstrecke »kriechen«. Aktuelle Handymodelle sowie die Services der Mobilfunkanbieter bieten aber deutlich mehr.
Einbindung des Handys als Modem
Bluetooth ab Seite 867
968 __________________________________________________ 15 Vista und das Internet So können Sie kontrollieren, welcher Datenübertragungsmodus für Ihr Handy eingestellt ist: 1. Öffnen Sie in der Systemsteuerung (klassische Ansicht) das Fenster TELEFON- UND MODEMOPTIONEN . Gehen Sie hier in die Registerkarte MODEMS. 2. Klicken Sie auf das Handy-Modem und dann auf EIGENSCHAFTEN. 3. Öffnen Sie im Eigenschaften-Dialogfenster die Registerkarte ERWEITERT und klicken Sie hier auf STANDARDEINSTELLUNGEN ÄNDERN. 4. Ändern Sie unter Datenprotokoll die Einstellung von Analog RLP auf einen der vom Provider unterstützten Modi (bei GSM beispielsweise einen der V.110-Modi). In der Regel können Sie den schnellsten Modus einstellen. Weitere Informationen finden Sie zumeist bei Ihrem Mobilfunk-Anbieter. Diese Anbieter offerieren zudem oft zusätzliche Dienste sowie Hard- und Softwarelösungen für den mobilen Zugang ins Internet.
15.2.5 Netzwerkprotokolle für die Verbindung Normalerweise werden Sie für eine Internetverbindung nur TCP/IP benötigen. Alle anderen Protokolle sollten aus Sicherheitsgründen deaktiviert werden. Die Einstellungen finden Sie auf der Registerkarte NETZWERK. Verbinden Sie sich mit einem Firmennetzwerk, aktivieren Sie nur das dort benötigte Protokoll. Von den drei PPP-Optionen, die Sie unter der Registerkarte OPTIONEN finden, sollten Sie, wie in der folgenden Abbildung gezeigt, die oberen beiden aktivieren. Abbildung 15.17: PPP-Optionen
IP Version 6 wird bisher von den ISPs kaum angeboten
Die Einstellmöglichkeiten hängen vom Provider ab. Typischerweise handeln Modems aber die bestmögliche Verbindung aus. Für die Interneteinwahl sollten stets der C LIENT FÜR MICROSOFT-NETZWERKE und der Dienst DATEI- UND DRUCKFREIGABE FÜR MICROSOFTNETZWERKE deaktiviert sein. Zum Einstellen der TCP/IP-Optionen aktivieren Sie den Eintrag INTERNETPROTOKOLL VERSION 4 (TCP/IPV4) in der Liste und wählen Sie dann EIGENSCHAFTEN. Typischerweise sind dort keine Einstellungen vorzunehmen, weil die meisten Provider IP-Adressen dynamisch vergeben und dies die Voreinstellung ist. Wenn Ihr Provider Ihnen eine feste IP-Adresse zugeordnet hat, tragen Sie diese und die entsprechenden Adressen für das Gateway und die DNS-Server ein.
15.2 Verbindung zum Internet herstellen_____________________________________ 969 Abbildung 15.18: Angaben zum Einwahlserver
15.2.6 Einsatz der integrierten Windows-Firewall Die integrierte Firewall wurde gegenüber der SP2-Firewall von Windows XP grundlegend überarbeitet und erweitert. In den nachfolgenden Abschnitten wird die Einrichtung dieser neuen Version eingehend vorgestellt. Ausführungen zur theoretischen Bedeutung der Firewall und zu den Hintergründen des Einsatzes finden Sie in Abschnitt 13.10.5 Windows-Firewall ab Seite 843.
Wann wird die Firewall überhaupt benötigt? Die integrierte Firewall brauchen Sie nur dann zu aktivieren, wenn die folgenden Bedingungen zutreffen: Der Computer verfügt über ein Modem (analog oder DSL), einen ISDN-Adapter oder ein anderes Einwahlgerät (wie ein Handy) und stellt darüber eine direkte Internetverbindung her. Es wird keine andere Software-Firewall-Lösung wie beispielsweise Zonealarm, Norton Personal Firewall oder McAfee Desktop Firewall eingesetzt. Ist der Computer hingegen an einen DSL- oder ISDN-Router mit integrierter Firewall via LAN-Verbindung angeschlossen, kann die integrierte Firewall abgeschaltet werden. Ein paralleler Einsatz der integrierten Firewall zu einer bestehenden zentralen Firewall für das Netzwerk ist zwar prinzipiell möglich, allerdings kann es dadurch auch zu Störungen beim Zugriff auf Netzwerkressourcen kommen.
970 __________________________________________________ 15 Vista und das Internet Firewall-Test ab Seite 982
Im Zweifelsfall können Sie bei einer richtigen Absicherung über eine Router-Firewall die integrierte Windows-Firewall bei allen Clients deaktivieren. Weitere Hinweise zur Firewall-Überprüfung finden Sie in Abschnitt 15.2.7 Testen der Firewall ab Seite 982.
Überblick über die Konfigurationswerkzeuge Zur Verwaltung der Firewall gibt es diese verschiedenen Arten von Konfigurationswerkzeugen: Applet in der Systemsteuerung Die Firewall kann zentral über ein Applet in der Systemsteuerung global aktiviert und eingerichtet werden. Die hier getroffenen Festlegungen betreffen alle verfügbaren Netzwerkverbindungen. Es können aber auch die einzelnen Verbindungen individuell eingestellt werden. Snap-In für die Managementkonsole Erweiterte und sehr spezielle Regeln und Merkmale lassen sich nur über das Snap-In Windows-Firewall mit erweiterter Sicherheit einstellen. Neben der Einstellung am lokalen Computer kann auch das Firewallverhalten anderer Computer verwaltet werden. Weitere Hinweise finden Sie dazu in Abschnitt Firewallregeln im Detail ab Seite 978. Gruppenrichtlinien In einem Active Directory-basierten Netzwerk kann die Verwaltung zentral über spezielle Gruppenrichtlinien vorgenommen werden. Die Gruppenrichtlinien für die Windows-Firewall sind in Abschnitt Gruppenrichtlinien für die Windows-Firewall ab Seite 980. Kommandozeilen-Tool NETSH.EXE Auf der Kommandozeilen-Ebene oder zum Einsatz in Stapelverarbeitungsdateien kann dieses Dienstprogramm eingesetzt werden. Ab Seite 884 wird seine Anwendung gezeigt.
Konfiguration über das Systemsteuerungs-Applet Die globalen Einstellungen und die Statusanzeige der Firewall erhalten Sie, wenn Sie das Applet Windows-Firewall in der Systemsteuerung aufrufen. Über das Applet Sicherheitscenter ist ein Zugriff über den Eintrag WINDOWS-FIREWALL in der Aufgabenleiste ebenfalls möglich. Der Eintrag WINDOWS-FIREWALL EIN- ODER AUSSCHALTEN in der Aufgabenleiste und der Link EINSTELLUNGEN ÄNDERN im Hauptfenster führen beide zum Dialog Windows-Firewalleinstellungen (siehe Abbildung 15.20 auf Seite 971).
15.2 Verbindung zum Internet herstellen_____________________________________ 971 Abbildung 15.19: Windows-Firewall Die Übersicht
Auf der Registerkarte ALLGEMEIN schalten Sie die Firewall global ein Allgemeine oder aus. Standardmäßig sind davon alle Netzwerkverbindungen Einstellungen betroffen, also auch LAN-Verbindungen. Weiter unten in diesem Abschnitt wird gezeigt, wie Sie einzelne Netzwerkverbindungen individuell konfigurieren können. Abbildung 15.20: Globale Einrichtung der Windows-Firewall
Über die Option ALLE EINGEHENDEN VERBINDUNGEN BLOCKEN wird die Abgeschottet Firewall in einen besonders sicheren Modus geschaltet. Damit werden alle eventuell eingerichteten Ausnahmen vorübergehend außer Kraft gesetzt. Darüber hinaus wird die Firewall für alle Verbindungen aktiviert, auch für die, die eigentlich ausgenommen wurden (über die Registerkarte ERWEITERT; siehe weiter unten).
972 __________________________________________________ 15 Vista und das Internet
Ausnahmen
Erweiterte Einstellungen
Ist die Firewall für LAN-Verbindungen ins interne Netzwerk ebenfalls aktiv, werden Zugriffe der anderen Netzwerkteilnehmer auf alle Freigaben blockiert, die auf diesem Computer eingerichtet sind. Nur der so abgeschottete PC selbst kann dann noch auf die Freigaben anderer Netzwerkteilnehmer zugreifen. Die Registerkarte AUSNAHMEN dient der Einrichtung von Diensten und Programmen, auf die durch die Firewall hindurch von außen zugegriffen werden muss. Der nachfolgende Abschnitt beschäftigt sich speziell mit diesem Thema. In der Registerkarte E RWEITERT schließlich sind alle Optionen zusammengefasst, die eine individuelle Einstellung pro Verbindung erlauben. Um eine Verbindung vom Schutz durch die Firewall auszunehmen, deaktivieren Sie das Kontrollkästchen in der Liste.
Abbildung 15.21: Erweiterte Einstellungen zur Firewall; hier können einzelne Verbindungen auch ausgenommen werden
Einstellungen zurücksetzen
Über die Schaltfläche WIEDERHERSTELLEN erfolgt ein Zurücksetzen der Firewall in einen definierten Zustand. Ausnahmen, die Sie für das Funktieren bestimmter Anwendungen oder Dienste eingerichtet haben, werden widerrufen.
Ausnahmen definieren Um Dienste von außen zugänglich zu machen, mussten bislang Ports komplett geöffnet werden. Über die neuen Ausnahmen können Sie den Zugriff auf Dienste und Anwendungen nun wesentlich einfacher und sicherer regeln. In der Liste finden sich bereits einige Standarddienste, so beispielsweise die Datei- und Druckerfreigabe. Dieser Dienst muss als Ausnahme aktiviert werden, wenn von anderen Stationen aus auf Freigaben des Computers zugegriffen werden soll.
15.2 Verbindung zum Internet herstellen_____________________________________ 973 Abbildung 15.22: Einstellungen zu einem Dienst bearbeiten; hier die Ports und Bereiche für die Datei- und Druckerfreigabe
Ein Bearbeiten der Ports einzelner Programme ist nur über das SnapIn Windows-Firewall mit erweiterter Sicherheit möglich. Die Beschreibung hierfür finden Sie in dem entsprechenden Abschnitt auf Seite 975. Über die Schaltfläche PROGRAMM HINZUFÜGEN lassen sich Ausnahmen Programm für installierte Programme einfügen. Neben den Windows-eigenen hinzufügen Anwendungen können über die Schaltfläche DURCHSUCHEN weitere Programme definiert werden. Standardmäßig wird der Zugriff aus dem Internet-Bereich eingestellt. Das sollten Sie beachten und bei Bedarf ändern, damit keine Sicherheitslücke entsteht. Abbildung 15.23: Programm zur Ausnahmeliste hinzufügen
974 __________________________________________________ 15 Vista und das Internet Port hinzufügen
Mit PORTS HINZUFÜGEN werden bestimmte TCP- oder UDP-Ports geöffnet. Eine Beschreibung für diese Portöffnungen (Name) muss angegeben werden. Die beiden Dialoge verfügen über die Schaltfläche BEREICH ÄNDERN. Diese sorgt nicht für die Änderung von zu öffnenden Portbereichen, sondern legt fest, aus welchen Netzwerkbereichen die geöffneten Ports ansprechbar sind. Die Auswahl NUR EIGENES NETZWERK (SUBNETZ) bedeutet also, dass die Ports nur für Anfragen aus diesem Netz offen sind, Anfragen aus anderen Netzwerken, beispielsweise über das Internet, werden blockiert.
Abbildung 15.24: Bereich für einen Porteintrag ändern
Benutzerdefiniert Subnetze eintragen
Eigenschaften
Abbildung 15.25: Eigenschaften von Programmen, die über die Firewall verwaltet werden.
Ist Ihr Computer mit mehreren lokalen Netzwerken verbunden, die verschiedenen Subnetzen angehören, können Sie den Zugriff durch die Firewall hindurch dennoch sicherstellen. Aktivieren Sie dann die letzte Option B ENUTZERDEFINIERTE L ISTE und tragen Sie alle Subnetze ein, aus denen Zugriffe erlaubt werden. Sollen beispielsweise Zugriffe aus den Netzwerken 192.168.100/24 und 192.168.101/24 erlaubt werden, geben Sie ein: 192.168.100.0/255.255.255.0, 192.168.101.0/255.255.255.0 Statt der Null an der letzten Stelle, die eigentlich genau anzeigt, dass ein Netzwerk und keine konkrete IP-Adresse gemeint ist, können Sie auch eine beliebige vollständige Adresse angeben. Die Schaltfläche EIGENSCHAFTEN gibt eine Detailbeschreibung des jeweils markierten Programms aus.
15.2 Verbindung zum Internet herstellen_____________________________________ 975 Snap-In für die Managementkonsole Das Snap-In für die Managementkonsole erreichen Sie über die Systemsteuerung. Es existiert eine vorgefertigte Konsole, die sich über START |SYSTEMSTEUERUNG | VERWALTUNG aufrufen lässt und den Namen Windows-Firewall mit erweiterter Sicherheit trägt. Schneller geht der Aufruf über die Suchleiste über dem Start-Symbol. Geben Sie WF.msc ein. Für die Nutzung sind Adminstratorrechte nötig. Sie werden aufgefordert, ein Administratorkennwort einzugeben, wenn Sie als Standardbenutzer arbeiten. Abbildung 15.26: Managementkonsole für erweiterte Sicherheitseinstellungen
Je nachdem in welcher Netzwerkumgebung, genauer gesagt welchem Netzwerkstandort, Sie sich mit Ihrem Computer befinden, bestehen unterschiedliche Sicherheitsanforderungen. Die Windows Firewall trägt dem Rechnung und hält drei verschiedene Profile bereit: ein Domänenprofil, ein Privates Profil und ein Öffentliches Profil. Es gelten die Firewallregeln des jeweils aktiven Profils. Welches Profil aktiv ist, hängt vom Netzwerkstandort ab. Den Netzwerkstandort können Sie sich im Hauptfenster des Netzwerk- und Freigabecenters ansehen und gegebenenfalls anpassen. Das Hauptfenster der Firewallkonsole zeigt die Profile und ihre Einstellungen an. Gut zu erkennen ist auch, welches Profil gerade aktiv ist. Die grundlegenden Profileinstellungen können verändert werden. Für ein Notebook beispielsweise, das meist in der Firmendomäne genutzt wird, kann zuhause (Privates Netzwerk) die Firewall abgeschaltet werden. Den Dialog EIGENSCHAFTEN VON W INDOWS-FIREWALL MIT ERWEITERTER SICHERHEIT
öffnen Sie entweder über das Kontextmenü des markierten Eintrags in der linken Konsolenstruktur (siehe Abbildung 15.26) oder über EIGENSCHAFTEN im rechten Aktionsfeld.
976 __________________________________________________ 15 Vista und das Internet Abbildung 15.27: Eigenschaften der Profile ändern
Für jedes Profil lassen sich so im Bereich STATUS der Firewallstatus (ein/aus) und die grundsätzlichen Direktiven einstellen. Die Windows-Firewall arbeitet bidirektional. Sie untersucht eingehende (empfangene) Pakete, aber auch Pakete, die gesendet werden sollen. Die Direktive für eingehende Verbindungen stellt drei Optionen zur Verfügung: BLOCKEN Diese Standardeinstellung bedeutet, dass der gesamte eingehende Datenverkehr grundsätzlich verhindert wird. Nur erwünschter Datenverkehr, der über Regeln explizit frei geschaltet ist, wird erlaubt. Wenn Ihr Computer direkt, ohne weitere Router mit integrierter Firewall, mit dem Internet verbunden ist, sollten Sie diese Direktive nie ändern. ALLE BLOCKEN Die in Abbildung 15.20 auf Seite 971 gezeigte Checkbox ALLE EINGEHENDEN VERBINDUNGEN BLOCKEN bewirkt das Umstellen genau auf diese Direktive. Das Blockieren gilt aber nur für das gerade aktive Profil. Sind Sie nicht sicher, welches Profil gilt, sollten Sie die Einstellungen lieber in dem Dialog (siehe Abbildung 15.27) für das jeweilige Profil vornehmen. ZULASSEN Diese Direktive bedeutet, dass alles erlaubt ist, was nicht durch explizite Regeln verboten wird. Diese Standardeinstellung für ausgehende Verbindungen lässt alle Anwendungen Daten ins Internet
15.2 Verbindung zum Internet herstellen_____________________________________ 977 senden. Sind bestimmte Programme zu »geschwätzig«, können Sie deren Datenverkehr nach außen unterbinden. Für ausgehende Verbindungen stehen nur die Direktiven B LOCKEN und ZULASSEN zur Auswahl. Damit Sie wissen, welche Programme und Ports blockiert werden, Protokollierung können Sie die Protokollierung des Verkehrs über die Firewall einschalten. Abbildung 15.28: Protokoll aktivieren und Speicherort festlegen
Im Bereich PROTOKOLLIERUNG öffnen Sie über die Schaltfläche ANPASSEN die Einstellmöglichkeiten für das Protokoll. Standardmäßig ist die Protokollierung allerdings abgeschaltet. Wollen Sie einen Überblick erhalten, wie die integrierte Firewall arbeitet, sollten Sie die erste Option VERWORFENE PAKETE PROTOKOLLIEREN aktivieren. Unter PROTOKOLLDATEIOPTIONEN können Sie Speicherort und maximale Größe der Datei einstellen. Der Standardpfad ist im Dialog angegeben: %windir%\system32\logfiles\firewall\pfirewall.log Da alle Einstellungen unabhängig voneinander vorzunehmen sind, können Sie für jedes Profil eine eigene Protokolldatei schreiben lassen. Die Protokolldatei ist, wie alle anderen Netzwerkprotokolle auch, eine Auswertung der Textdatei. Sie besteht aus einem Kopfteil und einer Liste von Ereignis- Protokolldatei sen. Der Kopfteil hat folgenden Aufbau: Feld
Bedeutung
#Version
Version der Firewall
#Software
Typ der Software
#Time
»Local«, wenn die Einträge auf lokaler Zeit basieren
#Fields
Liste der Felder
Tabelle 15.3: Kopf der Protokollierungsdatei
978 __________________________________________________ 15 Vista und das Internet Die Felder können Sie der nachfolgenden Tabelle entnehmen: Tabelle 15.4: Felder der Protokollierungsdatei
Feld
Bedeutung
Date
Datum im Format YY-MM-DD.
Time
Zeit im Format HH:MM:SS (24-Stunden-Format)
Action
Aktion, die überwacht wurde: DROP und INFOEVENTS-LOST
Protocol
Protokoll: TCP, UDP oder ICMP
src-ip
Quell-IP-Adresse
dst-ip
Ziel-IP-Adresse
src-port
Quell-Port-Adresse
dst-port
Ziel-Port-Adresse
size
Paketgröße in Bytes
tcpflags
TCP-Kontrollmarken: Ack Acknowledgment field significant Fin No more data from sender Psh Push Function Rst Reset the connection Syn Synchronize sequence numbers Urg Urgent Pointer field significant
tcpsyn
TCP-Sequence-Number im Paket
tcpack
TCP-Acknowledgement-Number im Paket
tcpwin
Fenstergröße im Paket
icmptype
Nummer des Typfelds bei ICMP
icmpcode
Codefeld des ICMP-Pakets
info
Zusätzliche Informationen
Firewallregeln im Detail Sobald Sie in der Konsolenstruktur (siehe Abbildung 15.26 auf Seite 975) die EINGEHENDEN REGELN markiert haben, zeigen sich alle eingestellten Filterregeln im Hauptfenster. Aktive Regeln sind mit grünen Häkchen versehen. Die Eigenschaften einer einzigen Regel werden durch einen Doppelklick auf diese sichtbar.
15.2 Verbindung zum Internet herstellen_____________________________________ 979 Abbildung 15.29: Eigenschaften einer Filterregel
Die Registerkarten erlauben folgende Informationen und Einstellmöglichkeiten: ALLGEMEIN Im Rahmen ALLGEMEIN sind der Name und die Beschreibung der Regel hinterlegt. Diese können für vordefinierte Regeln nicht geändert werden. Über ein Kontrollkästchen kann die Regel aktiviert und deaktiviert werden. Im Bereich AKTION wird festgelegt, ob es sich um eine Regel zum Zulassen oder Blocken handelt. NUR SICHERE VERBINDUNGEN ZULASSEN stellt Regeln mit Verschlüsselung ein. Die Option ist notwendig, um in der Registerkarte B ENUTZER UND COMPUTER autorisierte Benutzer und Computer benennen zu können. PROGRAMME UND DIENSTE Programme und Dienste, für die diese Regel gilt, sind hier benannt. BENUTZER UND COMPUTER Bei gesicherten Verbindungen können Regeln für bestimmte Benutzer oder Computer definiert werden. PROTOKOLL UND PORTS Welche lokalen und Remoteports von dieser Regel beeinflusst werden, ist unter dieser Registerkarte sichtbar. ICMP-Einstellung für Pings, Traceroute und andere Kontrollprogramme können über eine entsprechende Schaltfläche definiert werden. BEREICH Hier sind IP-Adressbereiche gemeint. Betroffene lokale und entfernte Adressen können genau festgelegt werden.
980 __________________________________________________ 15 Vista und das Internet Erweitert Die Registerkarte ERWEITERT legt fest, für welche Profile eine Regel gilt. Im Bereich SCHNITTSTELLENTYPEN kann eine Unterscheidung nach LAN, Remotezugriff und Drahtlos vorgenommen werden. Die Sektion RANDÜBERQUERUNG ermöglicht die Umgehung von NAT-Routern.
Firewallregeln erstellen Zur Erstellung einer neuen Firewallregel rufen Sie einen Assistent auf, der nacheinander alle benötigten Informationen abfragt. Abbildung 15.30: Regel-Assistent über das Kontextmenü aufrufen
Zum Starten des Assistenten benutzen Sie entweder das Kontextmenü der EINGEHENDEN oder AUSGEHENDEN REGELN oder klicken auf den ersten Eintrag im Aktionsfeld auf der rechten Seite. Abbildung 15.31: Regel-Assistent für eingehende Regel
Die Reihenfolge der einzelnen Schritte hängt vom Regeltyp ab. Nacheinander werden alle relevanten Registerkarten befüllt, die im vorhergehenden Abschnitt Firewallregeln im Detail beschrieben sind.
Gruppenrichtlinien für die Windows-Firewall Zur zentralen Verwaltung in einem Active Directory-basierten Netzwerk gibt es Gruppenrichtlinien für die Windows-Firewall. Die fol-
15.2 Verbindung zum Internet herstellen_____________________________________ 981 gende Vorlagendatei ist verantwortlich für die Auswahl der Richtlinien: C:\Windows\PolicyDefinitions\Windowsfirewall.admx Abbildung 15.32: Eingebundene neue Gruppenrichtlinien für die zentrale Firewall-Verwaltung
Vorgegeben sind Richtlinien, die zwei verschiedenen Profilen zugeordnet werden: DOMÄNENPROFIL Die Einstellungen in diesem Profil werden dann angewandt, wenn der Computer in das Domänen-Netzwerk eingebunden ist, also der Zugriff auf Domänencontroller gewährleistet ist. Da solche Netzwerke normalerweise durch zentrale Firewall-Lösungen zuverlässig abgesichert sind, muss die integrierte Windows-Firewall auf den Clients nicht unbedingt aktiviert sein. Für verschiedene Managementfunktionen könnten die Standardeinstellungen ohnehin Störungen verursachen oder zumindest weitere Anpassungen erfordern. STANDARDPROFIL (auch MOBILES PROFIL genannt) Dieses Profil kommt dann zum Tragen, wenn die Verbindung zu den Domänencontrollern nicht hergestellt werden kann. Das trifft beispielsweise auf Notebooks zu, die teilweise im lokalen Netzwerk und teilweise unterwegs eingesetzt werden. Die Einstellungen in diesem Profil können für die Sicherheit entscheidend sein, da nun diese Computer besser abgesichert werden können, wenn sie außerhalb der eigenen Domäne mit anderen Netzwerken in Berührung kommen. Das kann beispielsweise die Ankopplung an ein WLAN sein. Weitere Hinweise finden Sie in Abschnitt 5.6 Gruppenrichtlinien ab Seite 303. Die umfassende Anwendung in Active Directory-Netzwerken wird in unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 behandelt.
982 __________________________________________________ 15 Vista und das Internet
15.2.7 Online-Test
Testen der Firewall
Unabhängig davon, ob Sie die integrierte Windows-Firewall oder einen dedizierten Hardware-Router einsetzen, empfiehlt sich ein Test, ob die Firewall-Konfiguration korrekt vorgenommen worden ist. Im Internet gibt es dazu seriöse Anlaufadressen, die einen schnellen Online-Test ermöglichen. Wir denken, dass die nachfolgend genannten Dienste zum Testen von Firewalls seriös sind. Trotzdem möchten wir an dieser Stelle ausdrücklich darauf hinweisen, dass wir für deren Nutzung keinerlei Garantie abgeben.
Test über ShieldsUP!! www.grc.com
Eine der bekanntesten und am meisten aufgesuchten Seiten ist die der Firma Gibson Research Corp. Einen simulierten Angriff können Sie direkt über diese Website starten lassen: https://grc.com/x/ne.dll?bh0bkyd2 Nach Bestätigung der einführenden Hinweise über die Schaltfläche PROCEED können Sie verschiedene Tests unter SHIELDSUP!! SERVICES starten. Zu empfehlen sind mindestens die Tests FILE SHARING und COMMON PORTS. Die Tests dauern in der Regel nur wenige Sekunden. Genauso schnell wäre auch ein Angreifer über Schwachstellen eines Systems im Bilde. Die nachfolgende Abbildung zeigt Ergebnisse eines solchen COMMON PORTS-Tests.
Abbildung 15.33: Testergebnis mit aktivierter Firewall
Mit aktivierter Firewall laufen alle Portscans in diesem Test ins »Leere«. Ihr Computer ist so für andere Internet-Teilnehmer unsichtbar.
15.2 Verbindung zum Internet herstellen_____________________________________ 983 Der Test über diese Seite eignet sich auch gut zur Kontrolle der Proto- Protokoll kollierungsfunktionen der Firewall, weil die IP-Adressen, von denen der simulierte Angriff erfolgt, offen gelegt sind. Sie können also gut nachvollziehen, wann die Aktion von Ihnen selbst ausgelöst und welche Wirkung erzielt wurde. Auch wenn der demonstrierte Test scheinbar eine völlige Sicherheit suggeriert eine einhundertprozentige Sicherheit wird es nie geben. Profi-Hacker nutzen zunehmend alternative Methoden, Firewalls zu umgehen oder Schwachstellen in diesen zu finden.
Test über Symantec Einen einfach zu bedienenden kostenlosen Online-Test bietet die Firma Symantec über diese Website an: http://security.symantec.com Wählen Sie nach Bestätigung der Startseite die Option SECURITY SCAN. Neben dem Test der Firewall haben Sie hier sogar die Möglichkeit, Ihr System online auf Viren überprüfen zu lassen. Für eine vollständige Überprüfung muss ein ActiveX-Control geladen ActiveX-Control werden. Standardmäßig wird dies blockiert und im Explorer-Fenster installieren im oberen Bereich angezeigt. Stimmen Sie der Installation zu, fällt der Test dann besonders detailliert aus. So wird sogar auf eine installierte Antivirenlösung das System hin überprüft. Allerdings muss eine aktuelle Antivirensoftware eines anderen Herstellers nicht unbedingt erkannt werden. Abbildung 15.34: Ergebnis des Symantec-Sicherheitstests
Werden Risiken festgestellt, beispielsweise offene Ports oder das Fehlen einer Antivirenlösung, offeriert Symantec auf dieser Website selbstverständlich Abhilfe. Sie können die entsprechenden Produkte gleich online ordern.
984 __________________________________________________ 15 Vista und das Internet
15.2.8
Einstellung der Internet-Verbindungsoptionen
Weitere Einstellungen für die Verbindungsoptionen können Sie vornehmen, indem Sie das Dialogfenster EIGENSCHAFTEN VON INTERNET aufrufen. Dieses finden Sie in der Systemsteuerung (klassische Ansicht), indem Sie auf den Eintrag INTERNETOPTIONEN doppelklicken. Abbildung 15.35: Einstellung der Verbindungsoptionen
In der Registerkarte VERBINDUNGEN können Sie Ihre eingerichteten Zugänge weiter modifizieren. Über die Schaltfläche EINRICHTEN lässt sich von hier aus der Assistent starten, falls Sie einen weiteren Zugang einrichten wollen.
Standard-Verbindung einrichten Wollen Sie einrichten, dass ein bestimmter Zugang automatisch zur Anwahl erscheint, wenn ein Programm wie der Internet Explorer gestartet wird, gehen Sie so vor: 1. Markieren Sie den Eintrag und klicken Sie auf die Schaltfläche ALS STANDARD. 2. Aktivieren Sie die Option IMMER STANDARDVERBINDUNG WÄHLEN.
Einstellungen für Zugang über einen Router oder Proxy Router
Nutzen Sie einen dedizierten Router in Ihrem Netzwerk, aktivieren Sie bei den Verbindungsoptionen den Punkt KEINE VERBINDUNG WÄHLEN (siehe Abbildung 15.35). Darüber hinaus müssen Sie die TCP/IP-
15.2 Verbindung zum Internet herstellen_____________________________________ 985 Protokolleinstellungen richtig vorgenommen haben (siehe Abschnitt 14.3 Konfiguration von TCP/IP-Netzwerken ab Seite 872). Setzen Sie einen Proxy-Server in Ihrem Netzwerk ein, können Sie die Proxy entsprechenden Einstellungen in einem Dialogfenster eintragen, welches über die Schaltfläche EINSTELLUNGEN im Bereich LAN-EINSTELLUNGEN erscheint. Abbildung 15.36: Proxy-Einstellungen vornehmen
Welche konkreten Einstellungen Sie hier vornehmen, hängt in erster Linie vom verwendeten Proxy-Serversystem ab. Für eine automatische Proxy-Konfiguration kreuzen Sie Automatische AUTOMATISCHES KONFIGURATIONSSKRIPT VERWENDEN an und tragen Proxy-Konfiguration unter ADRESSE eine URL ein, unter der ein Konfigurationsskript liegt. Sie können in unseren Bücher Windows 2000 im Netzwerkeinsatz und Windows Server 2003 erfahren, wie Sie ein Konfigurationsskript erstellen und im Netz bereithalten. Konfigurationsskripte enden auf PAC und werden nach der NetscapeSpezifikation für Proxykonfigurationen erstellt. Wenn Sie Netzwerkverbindungen zu verschiedenen Providern konfiguriert haben, können Sie für jeden Zugang eigene Proxys konfigurieren. Markieren Sie dazu die Netzwerkverbindung, zu der Sie Proxys konfigurieren wollen und drücken dann auf EINSTELLUNGEN. Sind die Windows Vista-Systeme in eine Active Directory-Domäne eingebunden, können Sie unter anderem auch die Proxy-Einstellungen über Gruppenrichtlinien zentral setzen (siehe Abschnitt 5.6 Gruppenrichtlinien ab Seite 303).
15.2.9 Entdecken und Ausschalten von Dialern Diverse Websitebetreiber sind auf der Suche nach ahnungslosen An- Vorsicht vor kostenwendern, um ihnen einen Dialer unterzujubeln, über den diese dann loser Software angeblich superschnell im Internet surfen oder schlüpfrige Inhalte in voller Pracht genießen können. Windows Vista macht diesen Machen-
986 __________________________________________________ 15 Vista und das Internet
Wer ist gefährdet?
DSL nicht betroffen
Router kaum gefährdet
Benutzerrechte beachten
schaften das Leben schwer. Trotzdem sollten Sie grundsätzlich allen Angeboten misstrauen, die Ihnen Folgendes versprechen: Kostenlose Zugangssoftware zu irgendwelchen Inhalten Diese Software entpuppt sich in 99,99% aller Fälle als Dialer, der an sich »kostenlos« weitergegeben wird und dann seinerseits zum Aufbau einer Verbindung eine ganz und gar nicht kostenlose 0190Nummer (siehe nachfolgender Abschnitt) anwählt. Kostenlose Anti-Spionagesoftware Auf einer Website wird Ihnen suggeriert, dass Ihr PC bereits mit irgendeiner Spionage- oder Virensoftware befallen sein soll. Dazu werden nicht selten als »Beweise« Ihre öffentliche IP-Adresse oder der Inhalt Ihrer Festplatte im Browser angezeigt. Das sollten Sie natürlich nicht ernst nehmen, denn diese Angaben sind einerseits kein Geheimnis (wie die IP-Adresse) und andererseits werden sie per simpel programmiertem HTML-Frame nur lokal angezeigt und verlassen niemals Ihren PC. Diese Aufstellung ist nur beispielhaft und sicher nicht vollständig. Der Fantasie sind leider keine Grenzen gesetzt, wenn es darum geht, einen Besucher der Site für irgendetwas zu interessieren und ihn dazu zu bringen, die angebotene Software zu laden und auszuführen. Dialer-Software kann generell nur dann Schaden anrichten, wenn ein Gerät für eine Wahlverbindung zur Verfügung steht. Das sind also ISDN-Adapter und analoge Modems. Besitzen Sie einen DSL-Zugang, sind Sie hingegen nicht betroffen. Hier erfolgt die Einwahl nicht über eine spezielle Zugangsnummer, sondern via PPoE-Protokoll und Ihre Benutzerkennung mit Kennwort (siehe auch Abschnitt 15.2.3 Verbindung über DSL ab Seite 964). Aufpassen sollten Sie allerdings, wenn Sie zusätzlich ein Modem oder einen ISDN-Adapter installiert haben, um beispielsweise FAX-Dienste zu nutzen. Verwenden Sie zum Internet-Zugang des lokalen Netzwerks einen ISDN-Router, ist dieser durch die Dialer ebenfalls nicht gefährdet. Sie sollten nur darauf achten, dass der Router, der meist neben der Konfiguration über eine lokale Netzwerkverbindung auch remote verwaltet werden kann, vom Internet aus nicht erreichbar ist (am besten durch Abschalten der Remote-Konfiguration). Mit Windows Vista stehen eigentlich alle Möglichkeiten zur Verfügung, um die Installation von Dialern von vornherein zu verhindern: Nur Administratoren sind berechtigt, Einwählverbindungen ins Internet anzulegen. Das betrifft dann natürlich auch Software, die unter einem geeigneten Benutzerkonto laufen muss. Bisher arbeiteten viele Nutzer gewohnheitsmäßig als Administratoren mit ihrem System. Vista hat hier einen neuen Ansatz. Weitere Informationen finden Sie dazu in Abschnitt 5.3 Erweiterte Benutzerverwaltung ab Seite 270 und im Abschnitt 5.4 Benutzerkontensteuerung ab Seite 281.
15.2 Verbindung zum Internet herstellen_____________________________________ 987 Arten von Nummern und Kosten Unter dem Stichwort Premium Rate Dienste finden Sie auf der Website Premium Rate Dienste (PRD) der Bundesnetzagentur weiterführende Informationen: www.bundesnetzagentur.de Die bisher gebräuchlichen 0190-Vorwahlen sind ein Auslaufmodell: 0900 löst 0190 ab Seit dem 3. Dezember 2001 können 0900-Nummern beantragt werden, welche die 0190-Nummern ablösen. Im (0)190er-(0)900er-Rufnummergesetz sind unter anderem die folgenden Regelungen für die Preisbildung verankert: Es gilt ein Höchstpreis von zwei Euro pro Minute. Die Abrechnung darf maximal im 60-Sekunden-Takt erfolgen. Zeitunabhängig abgerechnete Dienstleistungen dürfen nicht mehr als 30 Euro pro Verbindung kosten. Dienstleistungen zu einem höheren Preis sind grundsätzlich möglich, bedürfen eines besonderen persönlichen, PIN-abgesicherten Legitimationsverfahrens. Sie sollten bei 0190- und allen 0900-Zugangsnummern generell sehr vorsichtig sein und sich vor der Einwahl, wenn diese gewünscht ist, über die zu erwartenden Kosten informieren.
Dialer erkennen und Zugangsnummern kontrollieren Hegen Sie den Verdacht, dass sich ein Dialer installiert hat, sollten Sie einen Blick in das NETZWERK- UND FREIGABECENTER werfen (siehe Abschnitt 15.2.2 Verbindung über ISDN oder Analog-Modem ab Seite 959). Löschen Sie hier alle Verbindungen, die Sie unter DFÜ vorfinden und die Sie nicht selbst eingerichtet haben oder eindeutig zuordnen können. Unter Umständen kann auch eine bestehende Einwahlverbindung geändert worden sein und wählt nun statt einer Nummer zu Ihrem Provider eine 0190- oder 0900-Nummer an. Sie können das überprüfen, indem Sie das Eigenschaften-Dialogfenster zu dieser Verbindung öffnen und die eingetragene Nummer im Feld RUFNUMMER untersuchen (siehe Abschnitt Wählregeln ab Seite 963). Mittlerweile gibt es eine Reihe von 0190 und 0900-Warnern, die meist frei erhältlich sind und dafür sorgen sollen, dass Dialer beziehungsweise kritische Einwahlnummern automatisch erkannt werden. Die Einwahl soll dann verhindert oder zumindest durch den Benutzer kontrolliert werden können. Abgesehen davon, dass viele dieser Programme nicht hundertprozentig sicher sind, sollten Sie besser die eingebauten Sicherheitsfunktionen von Windows einsetzen und sowieso immer mit einem gesunden Misstrauen gegenüber frei erhältlicher Software im Internet surfen. Als Beispiel für eine solche Software sollen an dieser Stelle der 0190 WARNER und der 0900 WARNER genannt werden. Die Software ist hier erhältlich: www.wt-rate.com
Dialer unter Netzwerkverbindungen erkennen
0190- und 0900Warn-Software
988 __________________________________________________ 15 Vista und das Internet Zugangsnummer sperren
Als weiterer Ausweg, die Einwahl auf 0190- und 0900-Zugangsnummern wirksam zu verhindern, bleibt, diese beim TelekommunikationsAnbieter komplett sperren zu lassen. Die Telekom ermöglicht dies beispielsweise über die Service-Hotline 0800-330 1000. Allerdings sind damit einmalige Kosten verbunden. Ein Schaden, der durch einen Missbrauch einer Einwahl bei einem der 0190-/0900-Diensteanbieter entsteht, kann aber weitaus größer sein.
15.3 Lokales Netz an das Internet anschließen
Ehemals ICS
Für den Anschluss eines lokalen Netzwerks an einen zentralen Internetzugang gibt es einige Möglichkeiten. Dank relativ preiswerter DSLFlatrates und einer breiten Verfügbarkeit entsprechender DSL-Router ist die Sache mit wenig Aufwand schnell zu erledigen. Solche Router sind für wenige Euro zu haben und rechtfertigen eigentlich kaum eine andere Vorgehensweise. Integrierte leistungsfähige Firewalls sichern zudem das lokale Netzwerk zuverlässig vor Angriffen von außen ab. Windows Vista bietet wie seine Vorgänger selbst eine Funktion an, die hier Gemeinsame Internetverbindung genannt wird. Bei Windows XP hieß die Funktion noch ICS (Internet Connection Sharing). Bei anderen Betriebssystemen wie Apples MAC OS ist so eine Funktion ebenfalls verfügbar. In den nachfolgenden Abschnitten wird die Funktion Gemeinsame Nutzung der Internetverbindung näher betrachtet und ihre Einrichtung gezeigt. Wann immer es geht, sollten Sie einer dedizierten Hardwarelösung mit einem externen Router den Vorrang geben. In Abschnitt 15.3.3 Vorteile dedizierter Hardware-Router ab Seite 991 finden Sie dazu weiterführende Hinweise.
15.3.1 Einführung Windows-PC wird zum Router
Durch die Bereitstellung seiner Internetverbindung wird ein PC zum Internet-Router. Eine zusätzliche Investition in Hardware kann damit entfallen. Allerdings sind andere Nachteile gegenüber der Verwendung eines Hardware-Routers zu beachten (siehe Tipp zuvor).
Einsetzbare Verbindungsgeräte Freigabe für jede Verbindungsart
Prinzipiell kann jedes Gerät, das eine Verbindung zum Internet aufbaut, gemeinsam verwendet werden. Es spielt keine Rolle, ob es sich um eine Netzwerkverbindung, einen PPPoE-Anschluss (PPP over Ethernet), eine VPN-Verbindung oder ein einfaches Modem handelt. Alle Geräte, die im Fenster Netzwerk aktiviert werden können, stehen zur Verfügung.
15.3 Lokales Netz an das Internet anschließen _______________________________ 989 Voraussetzungen Die Gemeinsame Internetverbindung ist eine Funktion, die ausschließlich in Peer-to-Peer-Netzwerken eingesetzt werden kann. In DomänenNetzwerken mit Active Directory ist sie nicht einsetzbar. In einer Active Directory-Domäne kann die Funktion des Internetrouters ein Server übernehmen, der unter Windows 2000 Server oder Windows Server 2003 läuft. Hier ist die Konfiguration auch deutlich flexibler anpassbar. In unseren Büchern Windows 2000 im Netzwerkeinsatz und Windows Server 2003 wird diese Funktion beschrieben. Für den als Internet-Router fungierenden PC (Hostcomputer) gelten diese Voraussetzungen: Es sind mindestens zwei Verbindungen eingerichtet eine für das lokale Netzwerk und eine weitere für den Zugang zum Internet. Es kann nur ein einziger Computer diese Funktion übernehmen. Es darf kein DHCP-Server im Netzwerk sein, da diese Funktion der Internet-Router übernimmt. Es darf kein eigener DNS-Server im Netzwerk sein. Der InternetRouter (PC) übernimmt diese Funktion selbst, um die Namensauflösung über das Internet durchzuführen. Es darf kein sonstiges Gateway die Verbindung ins Internet aufnehmen. Ist die Freigabe auf einem PC bereits eingerichtet, muss sie auf diesem erst deaktiviert werden, bevor sie auf dem neuen Hostcomputer aktiviert wird.
Peer-to-PeerNetzwerke
Voraussetzungen für den PC als Router
15.3.2 Gemeinsame Internetverbindung konfigurieren Das Einrichten einer Modem- oder ISDN-Verbindung unterscheidet Einrichten einer sich kaum von der einer normalen Internetverbindung. Am einfachs- Modem- oder ISDNten ist es, wenn Sie eine neue Verbindung mit Hilfe des Assistenten Verbindung einrichten. In Abschnitt 14.4.1 Ein Netzwerk mit dem Assistenten einrichten ab Seite 894 wird der Assistent beschrieben. Sie können alternativ eine bereits vorhandene Verbindung im Netzwerk freigeben. Dies wird nachfolgend ausführlich behandelt.
Aktivieren der Gemeinsam Nutzung der Internetverbindung Nachfolgend wird beschrieben, wie Sie eine bereits eingerichtete Internetverbindung nachträglich für die Nutzung im Netzwerk freigeben können. Stellen Sie dazu sicher, dass der Internetzugang bereits funktioniert und über die integrierte Windows-Firewall geschützt ist. Weitere Informationen finden Sie dazu in Abschnitt 15.2 Verbindung zum Internet herstellen ab Seite 957. Gehen Sie dann wie folgt vor: 1. Wählen Sie eine Netzwerkverbindung aus, die gemeinsam zur Verfügung stehen soll. Öffnen Sie dazu über das Kontextmenü das Fenster Eigenschaften und hier die Registerkarte FREIGABE.
990 __________________________________________________ 15 Vista und das Internet
Anpassungen an der Firewall
2. Aktivieren Sie in der Sektion GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG das Kontrollkästchen ANDEREN B ENUTZERN IM NETZWERK GESTATTEN, DIE INTERNETVERBINDUNG DIESES COMPUTERS ZU VERWENDEN. 3. Achten Sie darauf, dass das Kontrollkästchen vor der Option EINE WÄHLVERBINDUNG HERSTELLEN, WENN EIN COMPUTER IM NETZWERK AUF DAS INTERNET ZUGREIFT aktiviert ist. Damit wird sichergestellt, dass durch den Hostcomputer sofort und automatisch eine Internetverbindung aufgebaut wird, sobald ein Clientcomputer online gehen will. Wie in Abschnitt 15.1.3 Windows Vista und interne Internetdienste ab Seite 947 beschrieben, gibt es unter Windows Vista unabhängig vom Benutzer und seinem Surfverhalten einige Dienste, die selbstständig ins Internet gehen. Das machen diese, sobald sie feststellen, dass eine Verbindung besteht. Bei einer solchen Konfiguration kann es dadurch zu ungewollten Online-Zeiten kommen, die ohne Flatrate schnell ins Geld gehen können. 4. Es ist empfehlenswert, die Option ANDEREN BENUTZERN GESTATTEN, DIE GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG ZU STEUERN... zu deaktivieren. Damit behalten Sie die alleinige Kontrolle. Über die Schaltfläche EINSTELLUNGEN werden Sie in die Lage versetzt, bestimmte Dienste für den Zugriff aus dem Internet durch die Firewall hindurch freizugeben.
Abbildung 15.37: Freigabe der Internetverbindung
Standardmäßig sind alle Dienste deaktiviert, was aus Sicherheitsgründen für die normale Nutzung der Gemeinsamen Interverbindung zum Surfen und den E-Mail-Verkehr auch genauso richtig ist. Weitere
15.3 Lokales Netz an das Internet anschließen _______________________________ 991 Hinweise zur Konfiguration der Windows-Firewall finden Sie in Abschnitt Ausnahmen definieren ab Seite 972. Wenn Sie diese Einstellungen abschließen, wird der Dienst Gemeinsa- Abschluss der Einrichtung me Nutzung der Internetverbindung gestartet.
Konfiguration der Clientcomputer Für die Konfiguration der Clients sind keine besonderen Einstellungen nötig. Beachten Sie, dass die IP-Adressvergabe auf AUTOMATIK steht. Die Gemeinsame Nutzung der Internetverbindung ist nicht für die Verwendung mit statischen IP-Adressen konzipiert. Die Windows-Hilfe gibt umfangreiche Tipps zur Einrichtung von Peer-to-Peer- (Heim-) Netzwerken.
15.3.3
Vorteile dedizierter Hardware-Router
Windows Vista bietet eine recht umfassende Unterstützung für den Zugang ins Internet einschließlich der integrierten Windows-Firewall. Letztere hat insbesondere durch das Service Pack 2 von Windows XP eine deutliche Aufwertung erfahren und hat in Vista erweiterte Konfigurationsmöglichkeiten. Sie gilt allgemein als recht sicher.
Vorteile von Hardware-Routern gegenüber Softwareroutern Dennoch sollten Sie, wenn möglich, ein lokales Netzwerk nur über einen dedizierten Hardware-Router mit dem Internet verbinden. Diese Geräte sind heute recht preiswert zu bekommen (um die 100 Euro) und bieten eine Reihe von Vorteilen: Router-Firewall kaum manipulierbar Moderne Router verfügen über integrierte Firewalls, die das Netzwerk mindestens ebenso zuverlässig schützen. Von Vorteil ist hier, dass diese Firewalls kaum über eventuell eingeschleppte subversive Software vom Windows-PC aus ausgeschaltet oder manipuliert werden kann. Die Konfiguration erfolgt in der Regel über ein WebInterface und muss natürlich durch ein komplexes Kennwort geschützt sein. Router-Firewall schlechter von außen angreifbar Das liegt nicht daran, dass so ein Router nicht über das Internet erreicht werden kann, sondern an der wesentlich selteneren Verbreitung ein und desselben Typs. Für Hacker ist es kaum interessant, sich auf einen bestimmten Router mit einer speziellen FirmwareVersion einzuschießen. Ein wesentlich attraktiveres Ziel ist hier Windows Vista mit seiner Firewall-Lösung, da millionenfach verbreitet. Hat die Windows-Firewall eine Schwachstelle, wird sie garantiert über kurz oder lang gefunden und gnadenlos ausgenutzt.
Firewall kaum manipulierbar
Router-Firewalls kaum für Hacker interessant
992 __________________________________________________ 15 Vista und das Internet
IP-Adressbereich frei wählbar
Internet stets erreichbar
Mehr Sicherheit
Router erlauben eine flexiblere IP-Konfiguration der Clients Router stellen in der Regel selbst DHCP- und DNS-Serverdienste für das Netzwerk bereit. IP-Adressen für das lokale Netzwerk können so frei aus den privaten Adressbereichen gewählt werden. Zudem kann der DNS-Serverdienst, der die Namensauflösung über das Internet sicherstellt, mit einem eventuell bereits vorhandenen anderen DNS-Server koexistieren. Router können permanent laufen Bei der Softwarelösung funktioniert der Internetzugang natürlich nur, solange der Hostcomputer eingeschaltet ist. Hat dieser eine Störung oder ist er abgeschaltet, geht online nichts mehr. Hardware-Router hingegen sind dank Lüfterfreiheit nicht zu hören und können ununterbrochen laufen. Im Falle eines Stromausfalls sind sie binnen Sekunden wieder online, sobald wieder Strom da ist. Weitere Sicherheitsfunktionen Insbesondere Router mit WLAN-Basisstation bieten weitergehende Sicherheitsfunktionen wie die Definition von Zugriffslisten über die MAC-Adressen der Netzwerkteilnehmer.
Voraussetzungen für einen störungsfreien Betrieb Damit der Betrieb mit einem Hardware-Router möglichst sicher und störungsfrei laufen kann, sollten Sie folgende Hinweise beachten: Komplexes Kennwort für die Router-Einrichtung Für den Zugang zu den Administrationsseiten sollten Sie unbeKennwort dingt ein komplexes und nicht leicht zu erratendes Kennwort einrichten. Die Router verfügen im Auslieferungszustand entweder über kein Kennwort oder es ist leicht zu erraten (»admin« oder der Name des Herstellers). Remote-Administration deaktivieren Die meisten Router können über das Internet fernadministriert Remote-Admin AUS! werden. Im normalen Betrieb werden Sie diese Funktion mit Sicherheit niemals benötigen deshalb deaktivieren Sie diese besser, wenn in der Standardkonfiguration ohnehin nicht so vorgesehen. Firmware-Updates regelmäßig einspielen Die Hersteller von Routern verbessern regelmäßig die Firmware Updates ihrer Geräte und damit auch die Sicherheitsfunktionen. Sie sollten die entsprechende Hersteller-Website darum regelmäßig aufsuchen und Updates einspielen.
Grenzen der Hardware-Lösungen Alle gängigen, preiswerten Hardware-Router haben natürlich auch eine Grenze. Wie die integrierte Windows-Firewall arbeiten sie statusorientiert und lassen damit von außen alle Pakete durch, die intern, legal oder illegal, angefordert wurden. Haben Sie sich also einen Tro-
15.4 Internet Explorer 7 ___________________________________________________ 993 janer eingefangen, wird er ebenso leicht mit »zu Hause« telefonieren können wie über die Windows-Firewall. Wollen Sie sich wirksam gegen subversive Software absichern (Trojaner, Würmer, Viren etc.), dann müssen Sie zusätzliche Software einsetzen. Das können Virenscanner oder spezielle Desktop-Firewalls sein, die auch den ausgehenden Verkehr genau prüfen. In Abschnitt 15.2.7 Testen der Firewall ab Seite 982 finden Sie Hinweise, Firewall-Test ab Seite 982 wie Sie Ihre Firewall einfach und schnell überprüfen können.
15.4 Internet Explorer 7 Der Internet Explorer ist nicht nur einfach ein Browser zum Anzeigen von HTML-Seiten im Internet, sondern eng mit dem Betriebssystem verflochten. Für die zentrale Konfiguration der Einstellungen in einem Active Directory-basierten Netzwerk steht eine Vielzahl von speziellen Gruppenrichtlinien zur Verfügung. Diese werden in Abschnitt 15.4.8 Internet Explorer-Gruppenrichtlinien ab Seite 1009 vorgestellt. Das neue Look & Feel des Internet Explorer 7 ist etwas ungewohnt. Die Bedienung wurde gegenüber seinen Vorgängern vereinfacht. Für eine bessere Lesbarkeit wurde der Bildschirmbereich, der eine Webseite anzeigt, vergrößert. Eine Vergrößerungsfunktion (Zoom) lässt eine bis zu 400%-ige Expansion der Bildschirminhalte zu. Eine auffällige Neuerung ist die Verwendung von Registerkarten für die Navigation. Ein schnelles Umschalten zwischen verschiedenen Seiten, die als Miniaturdarstellungen auf den jeweiligen Registerkarten zu sehen sind, ist möglich. So lassen sich mehrere Startseiten gleichzeitig bei Sitzungsbeginn starten. Eine Gruppierung der Registerkarten und das Speichern der Gruppe als Favorit erleichtern das Wiederherstellen von Arbeitsumgebungen. Das lästige Thema Drucken aus dem Browser, das oftmals Verdruss beim Anwender auslöste, wird vom Internet Explorer 7 (IE7) anders verarbeitet. Eine Druckvorschau zeigt eine Vorabversion des Drucks mit der Möglichkeit, das Seitenlayout und die Ränder zu verändern. Sie können sich die neuesten Nachrichten über RSS-Feeds (RSS steht für Really Simple Syndication) schicken lassen, die Sie mit Hilfe des Internet Explorers 7 abonnieren. Neben Live Search, Microsofts eigener Suchmaschine, gibt es viele Hilfen um das Internet zu durchstöbern. Dass es auch nicht immer das Datenimperium Google sein muss, zeigt die Auswahl an Suchmaschinen, die Sie im IE als Standard-Suchmaschine einstellen können. Auf die vorgegebene Auswahl sind Sie keineswegs beschränkt. Eigene oder wenig bekannte Suchhilfen lassen sich schnell hinzufügen. Gerade weil seine Vorgänger in Sachen Sicherheit so schwer in die Kritik geraten sind, setzt Microsoft bei der siebenten Ausgabe ihres Browsers auf verstärkte Sicherheit. So arbeitet der Anwender generell
IE-Gruppenrichtlinien ab Seite 1009
Neues Design
Registerkarten
Drucken
RSS-Feeds
Suchmaschinen
Mehr Sicherheit
994 __________________________________________________ 15 Vista und das Internet im nichtpriviligierten Modus mit dem Internet Explorer. Eine Übernahme des Explorer-Prozesses durch einen Angreifer bringt diesen somit nicht weiter. Betrügereien durch gefälschte Webseiten, die vorgeben, Seiten der Hausbank zu sein, werden durch einen konfigurierbaren Phishingfilter unterbunden. Allerdings ist es nicht jedermanns Sache, Microsofts Servern Daten über aufgerufene Websites für eine Kontrolle zu überspielen. Die nachfolgenden Abschnitte führen in die wesentlichen Funktionen ein, die vor allem für die Administration interessant sind. Abbildung 15.38: Übersicht zum Internet Explorer 7
15.4.1 Allgemeine Einstellungen Allgemeine Konfiguration Startseiten, Verlauf, Registerkarten und Darstellung
Das zentrale Konfigurationsfenster des Internet Explorers erreichen Sie über das Applet Internetoptionen in der Systemsteuerung oder über den Menüpunkt EXTRAS | INTERNETOPTIONEN im Explorer-Fenster. Neben Einstellungen für die Startseiten und zur Verlaufsaufzeichnung können Sie hier die verwendete Suchmaschine vorgeben. Das Verhalten der Registerkarten lässt sich hier genauso einstellen wie Angelegenheiten der Darstellung; also verwendete Farben, Sprachen, Schriftarten und Eingabehilfen. Nur über Gruppenrichtlinien haben Sie die Möglichkeit, verbindliche Festlegungen für alle Benutzer zu treffen (siehe Abschnitt 15.4.8 Internet Explorer-Gruppenrichtlinien ab Seite 1009).
15.4.2 Internet-Verbindungseinstellungen Seite 984
Die zentrale Konfiguration der Internet-Verbindungseinstellungen können Sie über die Registerkarte VERBINDUNGEN vornehmen. In Abschnitt 15.2.8 Einstellung der Internet-Verbindungsoptionen ab Seite 984 wird diese ausführlich erläutert.
15.4 Internet Explorer 7 ___________________________________________________ 995
Abbildung 15.39: Allgemeine Konfigurationsseite der Internetoptionen
15.4.3 Sicherheitseinstellungen Surfen im Internet kann gefährlich sein! Das trifft besonders auf das Surfen mit dem Internet Explorer zu. Das ist nicht unbedingt so, weil er ein besonders unsicherer Browser wäre. Vielmehr motiviert seine weite Verbreitung als weltweit dominierender Browser die Hacker dazu, Schwachstellen zu finden und auszunutzen. Neben der richtigen Absicherung des eigentlichen Internetzugangs mit einer geeigneten Firewall muss der Browser selbst verschiedene Sicherheitsanforderungen erfüllen.
Konfiguration von Sicherheits-Zonen Der Internet Explorer unterteilt die Internetwelt in Zonen, sodass Sie Sicherheit einer Web-Seite eine Zone mit einer geeigneten Sicherheitsstufe zuweisen können. Sie können feststellen, welcher Zone die aktuelle Web-Seite zugewiesen ist, indem Sie auf die rechte Seite der Statusleiste des Internet Explorers schauen. Immer wenn Sie versuchen, Inhalte aus dem Web zu öffnen oder herunterzuladen, überprüft der Internet Explorer die Sicherheitseinstellungen für die Zone dieser Web-Seite.
996 __________________________________________________ 15 Vista und das Internet Abbildung 15.40: Zonen-Einstellungen über die Registerkarte SICHERHEIT
Die Zonen
Es gibt vier verschiedene Zonen: INTERNET Standardmäßig enthält diese Zone alles, was sich nicht auf Ihrem Computer oder in einem Intranet befindet oder einer anderen Zone zugewiesen ist. Die standardmäßige Sicherheitsstufe für diese Zone ist MITTELHOCH. LOKALES INTRANET Diese Zone enthält alle Adressen, die keinen Proxy-Server erfordern. Dies betrifft alle Adressen, die Sie bei der Proxy-Konfiguration unter Ausnahmen eingetragen haben. Die standardmäßige Sicherheitsstufe für diese Zone ist NIEDRIG. VERTRAUENSWÜRDIGE SITES Diese Zone enthält Sites, denen Sie vertrauen - Sites, von denen Sie glauben, dass der Download oder das Ausführen von Dateien, die von diesen Sites stammen, keine Risiken hinsichtlich der Beschädigung Ihres Computers oder Ihrer Daten bergen. Sie können dieser Zone Sites zuweisen. Die standardmäßige Sicherheitsstufe für diese Zone ist MITTEL. EINGESCHRÄNKTE SITES Diese Zone enthält Sites, denen Sie nicht vertrauen, d.h. Sites, bei denen Sie nicht sicher sind, ob der Download oder das Ausführen von Dateien ohne Risiken hinsichtlich der Beschädigung Ihres Computers oder Ihrer Daten möglich ist. Sie können dieser Zone Sites zuweisen. Die standardmäßige Sicherheitsstufe für diese Zone ist HOCH.
15.4 Internet Explorer 7 ___________________________________________________ 997 Genau genommen gibt es noch eine fünfte Zone, den ARBEITSPLATZ. Die Einstellungen für diese Zone sind jedoch nur über Gruppenrichtlinien möglich. Der Geschützte Modus, in dem der Internet Explorer isoliert von anderen Anwendungen im Betriebsystem läuft, ist bei allen Zonen außer VERTRAUENSWÜRDIGE SITES aktiviert. Wenn Sie sehr hohe Sicherheitsbedürfnisse haben und viele Funktionen unterdrücken, die Sicherheitsrisiken bergen könnten, werden so manche Websites nicht oder nur sehr eingeschränkt funktionieren. Wenn Sie wissen wollen, wie die Einstellungen der einzelnen Sicherheitszonen aussehen, wählen Sie eine Zone aus und klicken auf STUFE ANPASSEN. Sie sehen jetzt die aktuellen Einstellungen für diese Zone und können Änderungen vornehmen. Einige Datenbanken oder Abonnements von Web-Seiten wollen Cookies setzen und benötigen diese auch wieder zur Identifikation Ihres Computers. Durch Cookies können bestimmte Verhaltensmuster des Computer-Benutzers ermittelt und analysiert werden. Andererseits sind sie unentbehrlich, um zusammenhängende Aktionen (beispielsweise die Zusammenstellung eines Warenkorbs bei einer Bestellung) zu ermöglichen. Im Internet Explorer 7 ist eine Cookie-Verwaltung integriert, die eine detaillierte Überwachung der Cookies ermöglicht. So können sich Benutzer schützen, ohne bei bestimmten Seiten auf Funktionen verzichten zu müssen (siehe nachfolgender Abschnitt). Folgende Funktionen bergen Sicherheitsrisiken: Cookies In Cookies speichern Server Daten, die sie später wieder vom Browser übermittelt bekommen. Cookies, die nur während der Sitzung aktiv sind, sollten Sie zulassen. Einige Sites werden sonst nicht funktionieren. Dauerhaft gespeicherte Cookies erleichtern das Surfen bei einem späteren Besuch der Site, werden aber auch zur Erstellung von Nutzerprofilen verwendet. Das Risiko ist im Allgemeinen dennoch als gering einzustufen. JavaScript Skriptsprachen können nicht auf Dateien des Computers zugreifen. Beim Surfen kann aber der Browser von böswillig programmierten Skripten gestört werden. Datenverlust ist nicht zu befürchten. Ein Absturz des Explorers ist dagegen durchaus möglich. Dies liegt aber weniger an JavaScript als mehr am schlecht programmierten Internet Explorer. Java Java ist eine Programmiersprache, in der so genannte Applets geschrieben sind. Applets werden häufig für Online-Banking verwendet. Prinzipiell unterliegen diese denselben Beschränkungen wie Skriptsprachen Festplattenzugriffe sind unmöglich. Zwischen Browser und Web können sie allerdings selbstständig funktionieren und den Benutzer nicht immer darüber im Klaren lassen.
Sicherheitszonen einstellen
Cookies
Sicherheitsrisiken
998 __________________________________________________ 15 Vista und das Internet Mehr ab Seite 954
Weitere Informationen finden Sie in Abschnitt 15.1.4 Sicherheitsprobleme im Internet ab Seite 954 sowie auf dieser Website: www.microsoft.com/germany/sicherheit/default.mspx
Einstellungen zu Cookies und Popup-Browserfenstern Auf der Registerkarte DATENSCHUTZ können Sie das Verhalten des Internet Explorers gegenüber Cookies einstellen. Abbildung 15.41: Cookies-Einstellungen ändern und den Popup-Blocker aktivieren und anpassen
Die folgende Tabelle zeigt die verfügbaren Cookieeinstellungen: Tabelle 15.5: Datenschutzebenen bezüglich Cookies
Stufe
Verhalten des IE gegenüber Cookies
ALLE COOKIES
Alle Cookies werden ohne Rückfrage akzeptiert.
ANNEHMEN
NIEDRIG
Cookies, die nicht zur aufgerufenen Website passen, werden abgelehnt (beispielsweise von Werbeanbietern wie Doubleclick).
MITTEL
Cookies, die nicht zur aufgerufenen Website passen, werden abgelehnt (beispielsweise von Werbeanbietern wie Doubleclick). Außerdem werden Betreiber der Werbsite gesperrt, wenn bekannt ist, dass diese persönliche Informationen verwenden.
15.4 Internet Explorer 7 ___________________________________________________ 999 Stufe
Verhalten des IE gegenüber Cookies
MITTELHOCH
Cookies werden abgelehnt, wenn Drittanbieter, die nicht zur aufgerufenen Website passen, keine ausdrückliche Zustimmung des Benutzers anfordern.
HOCH
Ebenso wie Mittelhoch, jedoch auch für den Betreiber der aufgerufenen Website selbst geltend
ALLE COOKIES
Alle Cookies werden gesperrt.
BLOCKEN
Sie können die automatische Cookiebehandlung auch aufheben und Erweitert selbst bei jedem Cookie entscheiden, wie zu verfahren ist. Die Optionen erreichen Sie über die Schaltfläche ERWEITERT. Sitzungscookies sollten Sie immer zulassen, da diese harmlos sind und viele Seiten ohne sie nicht funktionieren. Abbildung 15.42: Erweiterte Cookiebehandlung
Des Weiteren besteht die Möglichkeit, gezielt für einzelne Websites Websites Cookies zuzulassen oder auch zu sperren. Klicken Sie dazu auf die Schaltfläche SITES und geben Sie hier die Websites an, für die Sie generell Cookies freigeben oder komplett blockieren wollen. Was in anderen Browsern schon länger möglich ist, hat in den Internet Popup-Blocker Explorer erst mit dem Service Pack 2 von Windows XP Einzug gehalten: Popup-Fenster können nun endlich blockiert werden. Bislang konnten dazu nur Tools von Drittherstellern wie die Google-Leiste genutzt werden. Der Internet Explorer 7 verfügt standardmäßig über diese Funktion. Zwar hilft der interne Popup-Blocker, unerwünschte Werbefenster zu unterdrücken, jedoch funktioniert manche Website dann nicht mehr richtig. Die Werbeindustrie hat inzwischen bemerkt, dass gut die Hälfte aller Popups sowieso nicht vom Internet-Benutzer wahrgenommen wird, weil sie unterdrückt werden. Viele Unternehmen setzen deswegen keine nervigen Popups mehr ein. Das Verhalten zu Popups lässt sich über den Dialog POPUPBLOCKEREINSTELLUNGEN definieren. Dieser lässt sich über die Schaltfläche EINSTELLUNGEN auf der Registerkarte DATENSCHUTZ der Internetoptionen oder über den
1000_________________________________________________ 15 Vista und das Internet Eintrag POPUPBLOCKER im Dropdownmenü der Schaltfläche EXTRAS in der Symbolleiste des IE 7 aufrufen. Die standardmäßige Filterungsstufe MITTEL: DIE MEISTEN AUTOMATISCHEN POPUPS BLOCKEN sollte normalerweise ausreichen. Muss eine Ausnahmebehandlung für die bestimmte Website eingerichtet werden, kann diese über die Schaltfläche HINZUFÜGEN in die Liste der zugelassenen Sites aufgenommen werden. Wird ein Popup geblockt, erscheint in der Statusleiste ein entsprechendes Symbol. Über das Kontextmenü dieses Symbol können Sie die weiteren Aktionen festlegen. Mit der Auswahl von POPUPS VON DIESER SITE ZULASSEN kann die gewünschte Website ebenfalls ausgeführt und in die Liste der zugelassenen Sites aufgenommen werden. Abbildung 15.43: Sites aufnehmen, bei denen Popups zugelassen werden
Hier finden Sie noch weitere Optionen zur Anpassung. Eine akustische Warnung und das Anzeigen der Informationsleiste, die unterhalb der Symbolleiste erscheint, können konfiguriert werden. Für den Bürobetrieb scheidet die Soundwiedergabe wahrscheinlich aus.
Anzeige von Inhalten beeinflussen
Jugendschutz
Über die Registerkarte INHALTE lassen sich verschiedene Optionen setzen, mit denen die Anzeige von Inhalten beeinflusst werden kann. Der JUGENDSCHUTZ filtert Webinhalte nach bestimmten Kriterien, sodass Sie nicht mit Seiten konfrontiert werden, die Sie nicht sehen möchten. Für die Einrichtung des Jugendschutzes ist das Erstellen eines Benutzerkontos mit Standardberechtigungen erforderlich.
15.4 Internet Explorer 7 __________________________________________________ 1001 Abbildung 15.44: Registerkarte zum Beeinflussen der Anzeige von Inhalten
Eltern können über den Windows Vista-Webfilter einrichten, welche Seiten sperren Webseiten ihre Schützlinge besuchen dürfen. Außerdem kann definiert werden, wie lange der Computer benutzt werden darf (Zeitlimit), welche Spiele und Programme benutzt werden dürfen. Zur erreichen sind diese Schutzeinstellung auch über die Systemsteuerung. Die Kategorie steht sowohl in der Standard- als auch in der klassischen Ansicht bereit.
Zertifikate Zertifikate identifizieren den Inhaber. Es gibt Clientzertifikate, mit de- Zertifikate verwalten nen Sie sich identifizieren, beispielsweise bei einem Shop oder (in Zukunft) bei einer Behörde. Andererseits werden Zertifikate auf Servern eingesetzt, um eine verschlüsselte Übertragung mit gleichzeitiger Authentifizierung zu ermöglichen. Zertifikate werden auf der Registerkarte INHALT verwaltet. Abbildung 15.45: Zertifikate verwalten
Standardmäßig liefert Windows Vista bereits eine Reihe von Zertifikaten für Zertifikatherausgeber mit. Setzen Sie das verschlüsselnde Dateisystem (EFS) ein, dann finden Sie hier die entsprechenden Benutzerzertifikate sowie gegebenenfalls das für den Wiederherstellungsagenten. Weitere Hinweise dazu enthält der Abschnitt 11.3.2 Das verschlüsselnde Dateisystem (EFS) ab Seite 572.
1002_________________________________________________ 15 Vista und das Internet Autovervollständigen Automatisches Vervollständigen
Die Funktion AUTOVERVOLLSTÄNDIGEN füllt Formulare und Adressen automatisch nach der Eingabe der ersten passenden Zeichen aus. Sie können diese Listen in dem gezeigten Dialog jederzeit wieder löschen, falls Sie versehentlich Daten in sensible Formulare eingegeben haben.
Abbildung 15.46: Optionen für das automatische Vervollständigen
Feeds Feeds, auch RSS- oder XML-Feeds genannt, beinhalten geänderte Informationen von Webseiten. Der Internet Explorer 7 kann für den Empfang dieser Feeds konfiguriert werden. Neben der eigentlichen Funktion, die über die Symbolleiste aufgerufen wird, gibt es eine Sektion auf der Registerkarte INHALTE für Einstellungen Abbildung 15.47 Optionen für das Anzeigen von RSSFeeds
Ein Aktivieren der Soundwiedergabe ist nicht zu empfehlen, wenn Sie mehrere Feeds abonniert haben. Auf Grund der Häufigkeit der Änderungen der Daten können Töne sehr nervig sein.
15.4 Internet Explorer 7 __________________________________________________ 1003
15.4.4 Download von Dateien Eine häufig genutzte Funktion ist das Laden von Dateien, die über Websites angeboten werden. Als Protokoll kann hierbei HTTP oder FTP (siehe Abschnitt File Transfer Protocol (FTP) ab Seite 775) zum Einsatz kommen.
Mehr Sicherheit durch Rückfragen vor Downloads Vor dem Laden von Dateien erscheinen im Internet Explorer Sicherheitsrückfragen. Bei ausführbaren Dateien, die ein ernstes Risiko darstellen können, kann und sollte diese Rückfrage durch den Benutzer nicht deaktiviert werden. Abbildung 15.48: Sicherheitsrückfrage vor dem Download einer ausführbaren Datei
Die Rückfragen bei anderen Dateitypen lassen sich hingehen schon bei der normalen Benutzung des Internet Explorers deaktivieren. Hier finden Sie ein Kontrollkästchen VOR DEM ÖFFNEN DIESES DATEITYPS IMMER BESTÄTIGEN, welches Sie bei nicht ausführbaren Dateien in der Regel ausschalten können. Abbildung 15.49: Sicherheitsrückfrage vor dem Download anderer Dateitypen
1004_________________________________________________ 15 Vista und das Internet Sie sollten sicherheitshalber bei Downloads generell die Schaltfläche SPEICHERN statt ÖFFNEN verwenden. Gefahren lauern nämlich nicht nur in korrumpierten ausführbaren Dateien, sondern auch in Dokumenten, die Makros enthalten können. Prominenteste Vertreter sind hier die Microsoft Office-Dokumente, für die es eine Vielzahl von Makroviren gibt. Eine aktuelle Antivirensoftware ist insofern ebenfalls unverzichtbar.
Mehr als zwei Downloads parallel zulassen Standardmäßig ist der Internet Explorer so konfiguriert, dass Sie maximal zwei Downloads gleichzeitig starten können. Diese Einschränkung gilt übrigens nicht für jede Website und ist abhängig davon, wie der Webserver beziehungsweise die Anwendung Download-Anfragen behandelt. Die maximale Anzahl an Verbindungen, die der Internet Explorer von sich aus zu einem Webserver gleichzeitig aufbauen kann, ist auf zwei beschränkt. Daher resultiert diese Restriktion für viele Sites. Mit einem Eingriff in die Windows-Registrierung können Sie dies aber ändern. Gehen Sie wie folgt vor: 1. Starten Sie den Registrierungseditor (siehe auch Abschnitt 9.6.2 Bearbeiten der Registrierung ab Seite 478). 2. Öffnen Sie den folgenden Zweig: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings 3. Legen Sie diese beiden DWORD-Werte neu an: MaxConnectionsPer1_0Server MaxConnectionsPerServer Setzen Sie diese jeweils auf einen Wert größer als 2. In der Praxis haben sich Werte zwischen 5 und 8 bewährt. 4. Schließen Sie alle Internet Explorer-Fenster. Beim nächsten Start einer ersten Instanz des Internet Explorers werden diese Werte aus der Registrierung eingelesen und damit wirksam.
15.4.5 Internet Explorer als FTP-Client Der Internet Explorer ist durchaus für das Besuchen von FTP-Servern geeignet, auch wenn es dafür eigentlich deutlich leistungsfähigere und einfacher zu bedienende Tools gibt. Wenn ein solches aber einmal nicht verfügbar sein sollte, versuchen Sie es einfach mit diesem Browser.
15.4 Internet Explorer 7 __________________________________________________ 1005 Anonymous-FTP Um einen FTP-Server zu besuchen, geben Sie unter ADRESSE die vollständige URL ein. Angaben zum Benutzer sind nicht notwendig: ftp://www.ftp-server.com/public Sie können dann mit der Maus durch die Verzeichnisse klicken. Eine Datei können Sie vom FTP-Server auf Ihren PC laden, indem Sie sie einfach mit Doppelklick öffnen. Sie werden dann gefragt, wohin die Datei gespeichert werden soll.
FTP auf einem geschützten Server verwenden Wenn Sie eine FTP-Verbindung zu einem Rechner eröffnen wollen, für den Sie eine Zugangsberechtigung benötigen, geben Sie beispielsweise für den Rechner mit dem Namen rz.cdserver.uni-irgendwo.de unter ADRESSE folgendes an: ftp://:@rz.cdserver.uni-irgendwo.de Dabei ist die Zugangsberechtigung und das dazugehörende Kennwort auf dem angegebenen Institutsrechner. Damit dies funktioniert, muss der Server natürlich auch den FTP-Dienst unterstützen und kennwortgestützt arbeiten. Name und Kennwort in dieser Form anzugeben ist riskant, denn dadurch wird es im Klartext auf Ihrem Computer gespeichert und kann durch eventuell vorhandene Sicherheitslücken des Browsers gelesen werden. Zumindest ist es aber in der History-Liste und der Liste für AUTOVERVOLLSTÄNDIGEN anderen Nutzern zugänglich, die sich unter demselben Benutzerkonto anmelden.
15.4.6 Speichern einzelner Seiten Manchmal benötigen Sie nur eine Seite aus dem Web, aber inklusive aller Bilder. Sie können einzelne Seiten speichern. Aktivieren Sie mit der Alt-Taste die Menüleiste. Die Funktion erreichen Sie über DATEI | SPEICHERN UNTER. Sie können nun die Speicherform wählen: Um alle Dateien zu speichern, die zum Anzeigen dieser Seite benötigt werden (einschließlich Grafiken, Frames und Stylesheets), klicken Sie auf WEBSEITE, KOMPLETT. Diese Option speichert jede Datei in ihrem Originalformat. Um alle Informationen zu speichern, die zum Anzeigen dieser Seite in einer einzigen, MIME-codierten Datei benötigt werden, klicken Sie auf WEBARCHIV, EINZELNE DATEI. Diese Option speichert eine Momentaufnahme der aktuellen Webseite. Diese Option ist nur dann verfügbar, wenn Sie Outlook Express installiert haben. Um nur die aktuelle HTML-Seite zu speichern, klicken Sie auf WEBSEITE, NUR HTML. Diese Option speichert die Informationen auf der Webseite, nicht jedoch Grafiken, Sounds oder sonstige Dateien.
Daten aus dem Web speichern
Webseite, komplett
Webarchiv, einzelne Datei
Website, nur HTML
1006_________________________________________________ 15 Vista und das Internet Textdatei
Um nur den Text der aktuellen Webseite zu speichern, klicken Sie auf TEXTDATEI. Diese Option speichert die Informationen auf der Webseite im einfachen Textformat. Bilder gehen verloren.
15.4.7 Programmverbindungen und Add-Ons Über die Internetoptionen, Registerkarte PROGRAMME, können Sie den Aufruf von Standardanwendungen und Add-Ons verwalten.
Standardbrowser Auch wenn der Internet Explorer 7 tief mit dem Betriebssystem verzahnt ist, so ist er keineswegs der einzige Browser am Markt. Mozilla Firefox, Opera und diverse andere sind weiterhin verfügbar. Benutzen Sie die T-Online Software für Ihren Internet-Zugang, werden Sie feststellen, dass auch diese ihren eigenen Browser mitbringt. Microsoft hatte in der Vergangenheit viel Ärger mit der engen Verflechtung von Browser und Betriebssystem. Es gibt aber die Möglichkeit, nicht den Internet Explorer als Standardprogramm zu nehmen. Viele Webseiten sind allerdings für die Anzeige mit dem Internet Explorer optimiert, so dass Sie sich nicht wundern sollten, wenn Seiten bei der Verwendung eines anderen Browsers unterschiedlich aussehen. Abbildung 15.50: Standardbrowser, Add-Ons, Editor und Internetprogramme festlegen
15.4 Internet Explorer 7 __________________________________________________ 1007 Add-Ons für den Internet Explorer verwalten Für alle modernen Browser gibt es heute eine Reihe von Erweiterungen, ohne die viele Websites nicht richtig oder zumindest nicht vollständig angezeigt werden können. Das sind beispielsweise so beliebte Erweiterungen wie Adobe Shockwave Flash-Plugin oder Quicktime von Apple. Abbildung 15.51: Add-On-Verwaltung im Internet Explorer
Die meisten Add-Ons sind als ActiveX-Steuerelemente ausgeführt. Über die Auswahl unter ANZEIGEN können Sie die Ansicht zwischen generell verwendeten Add-Ons und den momentan geladenen umschalten. ActiveX-Steuerelemente können nun über das neue Verwaltungsfenster leicht bei Bedarf deaktiviert und wieder aktiviert werden. Markieren Sie dazu die betreffende Zeile und wählen Sie die gewünschte Option unten links aus. ActiveX-Steuerelemente, die nicht mehr gebraucht werden, können über die Schaltfläche LÖSCHEN in der Sektion ACTIVEX LÖSCHEN entfernt werden. Nur ActiveX-Steuerelemente, die Sie selbst heruntergeladen und installiert haben, lassen sich löschen.
Ansicht
Aktivieren und Deaktivieren
Löschen
Installation neuer Add-Ons Über den Link NEUE ADD-ONS FÜR DEN INTERNET E XPLORER Link zu Add-Ons HERUNTERLADEN können Sie diverse Erweiterungen aus mehreren
1008_________________________________________________ 15 Vista und das Internet Sachgebieten hinzufügen. Die Auswahl ist relativ groß, aber nicht alle Add-Ons sind kostenlos. Die Voreinstellungen des Internet Explorers sind so gewählt, dass eine maximale Sicherheit gewährleistet ist. Dazu gehört, dass nur Add-Ons installiert werden können, deren Herausgeber aus einer digitalen Signatur hervorgehen. Sie müssen dennoch selbst entscheiden, ob Sie dem angezeigten Herausgeber vertrauen. Ist das nicht der Fall, können Sie über das Einblenden zusätzlicher Optionen dieses Add-On dauerhaft sperren. Abbildung 15.52: Sicherheitsrückfrage vor dem Ausführen von Programmen aus dem Internet Explorer heraus; hier die Installation der JavaRuntime
Installation von Add-Ons ohne gültige Signatur Internet-Zone anpassen
Add-Ons ohne gültige Signatur können standardmäßig nicht installiert werden. Das kann allerdings durch eine Anpassung der Zoneneinstellungen im Bedarfsfall erzwungen werden. Gehen Sie dazu wie folgt vor: 1. Öffnen Sie im Fenster Internetoptionen die Registerkarte SICHERHEIT (siehe Abbildung 15.40 auf Seite 996). 2. Markieren Sie die Zone INTERNET und klicken Sie auf die Schaltfläche STUFE ANPASSEN. 3. Suchen Sie die Option UNSIGNIERTE ACTIVEX-STEUERELEMENTE HERUNTERLADEN und wählen Sie hier B ESTÄTIGEN. Sie sollten die Einstellung AKTIVIEREN vermeiden, da Sie so keine Kontrolle mehr über unsignierte ActiveX-Steuerelemente hätten.
Java-Runtime installieren Die Java-Runtime ist standardmäßig nicht installiert. Rufen Sie erstmals eine Website auf, in der ein Java-Programm lokal ausgeführt werden soll, dann erscheint eine entsprechende Meldung. Folgen Sie zur Installation von Java einfach dem Link, der im Hinweis angezeigt wird. Sie werden daraufhin zur offiziellen Java-Website von Sun Microsystems geleitet (www.java.com). Die weitere Installation wird automatisch gestartet. Sollte dies fehlschlagen, folgen Sie den Hinweisen zum manuellen Download.
15.4 Internet Explorer 7 __________________________________________________ 1009 HTML-Bearbeitung Für die Bearbeitung eigener Webseiten wird ein HTML-Editor benötigt. Besitzer von Microsoft Office-Paketen können das Programm Frontpage an dieser Stelle auswählen. Der Markt ist hier groß. Stellen Sie hier auf jeden Fall den Editor ein, der in Ihrem Unternehmen Standard ist. Damit verhindern Sie Inkompatibilitäten bei der Erzeugung und dem Öffnen von Webseiten, die von mehreren Personen bearbeitet werden.
Integration anderer Programme mit dem Internet Explorer Die Schaltfläche PROGRAMME FESTLEGEN im Abschnitt INTERNETPROGRAMME führt direkt zur Kategorie STANDARDPROGRAMME der Systemsteuerung. Diese stellt die zentrale Verwaltung von Programmen dar. Eine separate Festlegung von Programmen über den Internet Explorer gibt es nicht mehr. In Abschnitt 3.9.9 Zuordnen von Windows-Standardanwendungen ab Seite 177 finden Sie weitere Informationen, wie Sie bei Bedarf den Aufruf der in Windows integrierten Internetprogramme durch den anderer Anwendungen ersetzen können.
15.4.8
Internet Explorer-Gruppenrichtlinien
Für den Internet Explorer gibt es eine Menge Richtlinien, die für die zentrale Verwaltung in einem Active Directory-basierten Netzwerk sehr gut geeignet sind. Nachfolgend werden alle Kategorien vorgestellt. Zu den einzelnen Richtlinien finden Sie, bis auf die zur Add-OnVerwaltung, nähere Informationen in den Hilfetexten im Gruppenrichtlinien-Editor. Weiterführende Informationen zu Gruppenrichtlinien im Allgemeinen finden Sie in Abschnitt 5.6 Gruppenrichtlinien ab Seite 303.
Richtlinien für die Internet Explorer-Wartung Grundlegende Einstellungen zum Internet Explorer nehmen Sie in diesem Zweig vor: \Benutzerkonfiguration \Windows-Einstellungen \Internet Explorer-Wartung
1010_________________________________________________ 15 Vista und das Internet Abbildung 15.53: Richtlinien für die Internet ExplorerWartung
Internet Explorer weiter anpassen Weitergehende Anpassungen an den Einstellungen für den Internet Explorer finden Sie in diesen Zweigen: \Computerkonfiguration | Benutzerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Internet Explorer
Einstellungen zur Internetkommunikation von Windows Die folgenden Richtlinien hängen nicht direkt mit dem Internet Explorer als Browser zusammen, beeinflussen aber dennoch das Verhalten des Betriebssystems: \Computerkonfiguration | Benutzerkonfiguration \Administrative Vorlagen \System \Internetkommunikationsverwaltung \Internetkommunikationseinstellungen
Richtlinien für die Add-On-Verwaltung Für die zentrale Verwaltung von Add-Ons gibt es einige Richtlinien. Zu finden sind diese im Gruppenrichtlinien-Editor in diesem Zweig: \Computerkonfiguration | Benutzerkonfiguration \Administrative Vorlagen
15.5 Windows Mail ______________________________________________________1011 \Windows-Komponenten \Internet Explorer Die wichtigsten Einstellmöglichkeiten werden nachfolgend gezeigt. Mit Aktivieren der folgenden Richtlinie können Sie die Verwaltung von Add-Ons deaktivieren. Benutzer können dann zwar die installierten Add-Ons sehen, allerdings deren Status nicht beeinflussen. \Computerkonfiguration | Benutzerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Internet Explorer \Aktivierung beziehungsweise Deaktivierung von Add-Ons für Benutzer nicht zulassen Die zielgerichtete Steuerung, welche Add-Ons verwendet werden dürfen und welche nicht, können Sie über eine spezielle Liste steuern. Die folgenden beiden Richtlinien sind dazu zu konfigurieren: \Computerkonfiguration | Benutzerkonfiguration \Administrative Vorlagen \Windows-Komponenten \Internet Explorer \Sicherheitsfunktionen \Add-On-Verwaltung \Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt sind und \Add-On-Liste In die Liste müssen die Add-Ons mit ihrer jeweiligen Klassen-ID (CLSID) aufgenommen werden. Die CLSID eines Add-Ons ermitteln Sie folgendermaßen: 1. Das betreffende Add-On muss zunächst installiert werden. Dafür bietet sich ein separater Test-PC an. Können oder wollen Sie diese Installation nicht durchführen, müssen Sie beim Hersteller die CLSID in Erfahrung bringen. 2. Öffnen Sie die Windows-Registrierung und gehen Sie zu diesem Schlüssel: HKEY_CLASSES_ROOT\TypeLib 3. Öffnen Sie das Suchen-Fenster und geben Sie genau den Namen des Add-Ons ein, der in der Liste im Fenster Add-Ons verwalten angezeigt wird. Der gefundene Eintrag bringt Sie schließlich zur gewünschten CLSID.
15.5 Windows Mail Windows Mail ist das Standard-E-Mail-Programm, welches mit Windows Vista mitgeliefert wird. Wenn Sie nicht von vornherein MS Office und damit das leistungsfähigere Microsoft Outlook installieren,
Add-On-Verwaltung deaktivieren
Add-On-Liste
Add-On-CLSID ermitteln
1012_________________________________________________ 15 Vista und das Internet lohnt die Beschäftigung mit Windows Mail für eine kostenlose Dreingabe ist es äußerst vielseitig.
15.5.1 E-Mail-Funktionen Die wichtigste und sicher am meisten genutzte Funktion ist die für das Abrufen und Verfassen von E-Mails.
Einrichten eines E-Mail-Kontos Starten Sie Windows Mail über das Startmenü. Beim ersten Start wird der Assistent automatisch starten. Wählen Sie EXTRAS | KONTEN | HINZUFÜGEN | E-MAIL, wenn Sie weitere Konten hinzufügen möchten. Abbildung 15.54: Schritt 1: Eingabe des Namens für die Anzeige
Bei ANZEIGENAME tragen Sie Ihren Namen ein. Dieser wird dann als Absender Ihrer Mail angezeigt. Die Angabe entspricht aber nicht der E-Mail-Adresse, sondern wird dieser beigefügt. Abbildung 15.55: Schritt 2: Eingabe der E-Mail-Adresse
Bei E-MAIL-A DRESSE tragen Sie Ihre E-Mail-Adresse ein. Beliebt sind EMail-Konten bei Freemail-Diensten. Sie sollten sich vorab unter den folgenden Adressen informieren: www.hotmail.com www.gmx.de www.web.de Geben Sie dann die Server für den E-Mail-Verkehr an:
15.5 Windows Mail ______________________________________________________1013 Abbildung 15.56: Schritt 3: E-MailServer
Der POSTEINGANGSSERVER (POP3, IMAP ODER HTTP) ist der Rechner, bei dem empfangene Post abgeholt werden kann. Belassen Sie den Mail Server Typ auf POP3. Nur wenn Sie Hotmail verwenden, wird hier HTTP eingestellt. Im Intranet wird möglicherweise ein IMAPPostfach eingerichtet sein. Im Internet ist das sehr selten. Der POSTAUSGANGSSERVER (SMTP) ist der Rechner, der die E-Mail verschickt. Beide Informationen bekommen Sie von Ihrem Provider mitgeteilt, der die E-Mail-Dienste erbringt. Abbildung 15.57: Schritt 4: Nutzerkennung einrichten
Unter E-MAIL-B ENUTZERNAME tragen Sie Ihre Kennung ein. Aktivieren Sie KENNWORT SPEICHERN und tragen Sie unter KENNWORT das dazugehörige Kennwort ein. Wenn Sie nicht wollen, dass Ihr Kennwort auf Ihrem Rechner gespeichert wird, kreuzen Sie KENNWORT SPEICHERN nicht an. Sie werden dann vor dem Zugriff auf Ihre Mailbox danach gefragt. Die Konfiguration kann nun fertig gestellt werden. Dabei werden sofort E-Mails vom Mail-Server abgefragt und heruntergeladen. Sie können das verhindern, in dem Sie die letzte Checkbox aktivieren.
Die Stammordner Einige Ordner können weder gelöscht noch umbenannt werden. Sie finden Sie in der folgenden Tabelle.
1014_________________________________________________ 15 Vista und das Internet Tabelle 15.6: Stammordner in Windows Mail
Ordner
Enthält
POSTEINGANG
eingehende E-Mails
POSTAUSGANG
E-Mails, die Sie geschrieben, aber noch nicht verschickt haben
GESENDETE ELEMENTE E-Mails, die Sie verschickt haben GELÖSCHTE ELEMENTE E-Mails, die Sie gelöscht haben ENTWÜRFE
E-Mails, die Sie entworfen haben, die aber noch nicht fertig zum Verschicken sind
JUNK-E-MAIL
E-Mails, die vom E-Mail-Filter erkannt und isoliert wurden
Wie bei News wird im unteren Fenster der Inhalt der oben aktivierten Mail angezeigt. Aktivieren Sie unter EXTRAS | OPTIONEN | SENDEN bei FORMAT FÜR DAS SENDEN VON E-MAILS und FORMAT FÜR DAS SENDEN VON NEWSBEITRÄGEN die Optionsschaltfläche NUR-TEXT. Sonst wird an jede Nachricht, die Sie verschicken, der Inhalt nochmals als HTML-Datei angehängt. In vielen Newsgroups sind HTML-Mails unerwünscht und auch sonst gilt es als schlechter Stil, HTML zu versenden.
Arbeit mit Ordnern Da E-Mail heute einen erheblichen Teil des Geschäftsverkehrs ausmacht, ist ein sorgfältiger Umgang damit unbedingt notwendig. Ein einfaches Mailprogramm mit Aus- und Eingangsordner ist dafür nicht ausreichend. Windows Mail bietet hier eine reichhaltige Unterstützung. Sie können beliebig viele Ordner anlegen und eingehende Mail automatisch (siehe Abschnitt Regeln weiter unten) und von Hand verteilen. Abbildung 15.58: Ordnerstruktur in Windows Mail
Anzeige
Wenn in einem Ordner ungelesene E-Mails liegen, erscheint der Namen in fetter Schrift. Die Anzahl der ungelesenen E-Mails wird dahinter in Klammern angezeigt. Das Verteilen der E-Mails von einem Ordner in einen anderen erfolgt am einfachsten per Drag&Drop.
15.5 Windows Mail ______________________________________________________1015 Neue Ordner legen Sie mit DATEI | NEU | ORDNER an. Im folgenden Ordner anlegen Dialog vergeben Sie einen Namen und wählen aus der Baumansicht der Ordner die Position des neuen Ordners. So können Sie leicht eine Struktur für eingehende Post entwerfen. Abbildung 15.59: Anlegen eines neuen Ordners
Wenn Sie E-Mails per Drag&Drop verschieben und der Zielordner verdeckt ist, verweilen Sie eine Sekunde über dem Namen des zu öffnenden Ordners. Der Zweig wird dann geöffnet und Sie können die E-Mails in einen Unterordner schieben oder dort weitere Ordner bis zum Ziel öffnen. Einige Ordner sind bereits angelegt und haben einen besonderen Standardordner Zweck: POSTAUSGANG Hier liegen E-Mails, bis sie erfolgreich versendet worden sind. GESENDETE ELEMENTE Hier werden alle E-Mails abgelegt, die versendet wurden. Löschen Sie E-Mails hier regelmäßig, damit nicht große Mengen nutzloser E-Mails auf der Festplatte liegen auch Dateianhänge bleiben erhalten. GELÖSCHTE E LEMENTE Hier werden als gelöscht markierte E-Mails gespeichert, bis sie endgültig gelöscht werden. ENTWÜRFE Hier werden E-Mails gespeichert, die Sie geschrieben und mit DATEI | SPEICHERN (Strg-S) gesichert haben. POSTEINGANG Hier werden alle eingehenden E-Mails abgelegt, bis sie von einer Regel verteilt oder vom Benutzer gelöscht oder verschoben werden.
1016_________________________________________________ 15 Vista und das Internet
Ordner bearbeiten
JUNK-E-MAIL E-Mails, die den Kriterien des Junk-E-Mail-Filters (siehe Junk-EMail-Optionen ab Seite 1017) entsprechen, werden ausgesondert und in diesem Ordner gespeichert. Zwei Optionen zum Bearbeiten eines Ordners finden Sie im Kontextmenü: LÖSCHEN und UMBENENNEN. Zum Verschieben nutzen Sie die Maus und Drag&Drop. E-Mails und Unterordner werden mit verschoben.
Regeln Mit Regeln automatisieren Sie die Verteilung eingehender E-Mails. Diese Funktion finden Sie unter EXTRAS | NACHRICHTENREGELN | EMAIL. Dazu wird ein Teil der E-Mails anhand von Regeln identifiziert und danach eine entsprechende Reaktion ausgelöst. Die Regeln werden in einer bestimmten Reihenfolge abgearbeitet, die Sie einstellen können. In dem nachfolgenden Dialog zeigt Sektion 1, nach welchen Kriterien E-Mails analysiert werden können. Abbildung 15.60: Auswahloptionen für Regeln
Im Abschnitt 2 wird definiert, was mit den so erkannten E-Mails geschehen soll. Je nach Auswahl in den oberen Abschnitten setzt sich die Beschreibung der Regel in Feld 3 zusammen. Die blau markierten Links erlauben es, genaue Filterangaben zu machen. Zuletzt wird der Regel noch ein sinnvoller Name gegeben.
15.5 Windows Mail ______________________________________________________1017 Abbildung 15.61: Beschreibung einer Regel
Nach der Bestätigung der Regel erscheint der Dialog Regeln für News NACHRICHTENREGELN. Auf der Registerkarte NEWSREGELN dieses Dialogs können Sie Regeln einrichten, die für eingehende Nachrichten von Newsservern gelten. Das Prinzip unterscheidet sich nicht von den eben beschriebenen Regeln für E-Mails. So genannte Spam-E-Mails oder Junk-E-Mails sind sehr lästig. Oft Junk-E-Mailwerden E-Mail-Adressen nach kurzer Zeit der Nutzung im Internet Optionen Adresssammlern bekannt und für Massenwerbung missbraucht. Wer Opfer solcher Post ist, hat mehrere Möglichkeiten, sich dieser unerwünschte Post zu erwehren. Über EXTRAS | JUNK-E-MAIL-OPTIONEN öffnet sich dieser Dialog: Abbildung 15.62 Junk-E-Mail-Optionen von Windows Mail
In der Registerkarte OPTIONEN können Sie die Stufe der Filterung Registerkarte bestimmen. Eine Verschärfung der Filterung kann dazu führen, dass Optionen sich »normale« E-Mails im Junk-E-Mail-Ordner wiederfinden und möglicherweise übersehen werden. Die Option NUR SICHERE ABSENDER
beschränkt den Posteingang lediglich auf den unter der Registerkarte SICHERE ABSENDER definierten Personenkreis. Empfangen Sie immer wieder ungewollt E-Mails von einem bestimm- Absender blockieren ten Absender, können Sie ihn in die Liste der BLOCKIERTEN ABSENDER aufnehmen. Die E-Mails von in der Liste aufgeführten Absendern werden automatisch in den JUNK-E-MAIL-Ordner verschoben.
1018_________________________________________________ 15 Vista und das Internet Die Blockierung verhindert nicht, dass die E-Mail vom Server geladen wird. Dadurch entstehender Datenverkehr bleibt also erhalten. Die Option gilt auch nur für POP3-E-Mail-Konten, nicht aber für IMAP4 und HTTP. Antworten Sie nie auf vermeintlich gut gemeinte Optionen in SpamMails, Sie von Mailing-Listen zu nehmen. Das zeigt dem Absender lediglich, dass es sich bei Ihrer E-Mail-Adresse um ein aktives Postfach handelt. Sie bekommen möglicherweise nur mehr E-Mails.
E-Mail senden Das Senden von E-Mail ist sehr einfach. Über DATEI | NEU | E-MAILNACHRICHT oder das Symbol NEUE E-MAIL öffnen Sie das Bearbeitungsfenster für neue E-Mail. Achten Sie auf die korrekte Angabe des Empfängers und der Betreffzeile. Viele Benutzer empfangen sehr viel E-Mail und eine gute Betreffzeile ist das primäre Auswahlkriterium. Ansonsten finden Sie viele wichtige Hinweise zum korrekten Versenden von E-Mail im Abschnitt 15.5.3 Netiquette: E-Mail ab Seite 1023.
E-Mail empfangen Haben Sie eine Festverbindung zum Internet oder zu Ihrem POP3Server, können Sie ein festes Intervall vereinbaren, nach dessen Ablauf die Post abgeholt wird. Gehen Sie dazu über EXTRAS | OPTIONEN | ALLGEMEIN. Im Abschnitt NACHRICHTEN SENDEN/EMPFANGEN finden Sie die folgenden Einstellmöglichkeiten: Abbildung 15.63: Empfangsoptionen
Vorsicht Virus!
Wenn Sie E-Mails mit angehängten Dateien bekommen, sollten Sie diesen stets mit einer gesunden Portion Skepsis gegenübertreten. Besonders ausführbare Dateien (*.EXE) und Dokumente der Microsoft Office-Familie (beispielsweise *.DOC, *.XLS) können Computerviren enthalten. Solche Dateien sollten Sie in jedem Fall mit einem aktuellen Antiviren-Programm überprüfen. Kommen die Dateien aus unbekannten Quellen, löschen Sie diese zur eigenen Sicherheit lieber unbesehen. Ganz besonders kritisch sind auch Dateien mit dem Anhang *.VBS oder *.JS, die Skripte enthalten und weit reichende Schäden verursachen können. Auf der Registerkarte SICHERHEIT finden Sie die möglichen Optionen.
15.5 Windows Mail ______________________________________________________1019 Abbildung 15.64: Sicherheitseinstellungen in Windows Mail
Die beiden Optionen INTERNETZONE und ZONE FÜR EINGESCHRÄNKTE SITES werden vom Internet Explorer übernommen und entsprechen den Einstellungen auf der Registerkarte SICHERHEIT der Optionen des Internet Explorers. Die beiden anderen Optionen sollen vor allem das Eindringen von Viren verhindern und deren Wirkungsbereich einschränken.
Verschlüsselte und digital signierte E-Mail versenden Um E-Mail zu verschlüsseln oder digital zu signieren, benötigen Sie ein Zertifikat. Zertifikate enthalten Informationen über den Herausgeber, der die Identität einer Person garantiert, und den Inhaber, der sich damit ausweist. Der Herausgeber prüft die Identität durch spezielle Maßnahmen. Bei einfachen Zertifikaten, die nur die Echtheit einer EMail-Adresse nachweisen sollen, genügt es, das Zertifikat an die Adresse zu senden, die codiert enthalten ist. Höhere Stufen nutzen Verfahren wie Postident, wo die Post die Unterlagen über das Zertifikat nur herausgibt, wenn der Personalausweis überprüft wurde. Firmen müssen Handelsregisterauszüge vorlegen. Wegen der umständlichen Prozedur kann die Herausgabe einige Tage dauern. Außerdem kosten Zertifikate Geld und müssen regelmäßig erneuert werden. Wer geschäftliche Transaktionen vornimmt und Bestellungen verbindlich per E-Mail versendet, sollte mit seinen Geschäftspartnern dennoch vereinbaren, dass der Inhalt verschlüsselt und signiert werden muss. Damit können Dritte den Inhalt nicht fälschen, E-Mails nicht in Ihrem Namen senden und keine Geschäftsgeheimnisse ausspionieren. Am Anfang steht die Beschaffung eines Zertifikats. Als Beispiel soll die Firma Verisign dienen. Es gibt jedoch viele andere Anbieter, auch in Deutschland, die für Ihre Zwecke möglicherweise besser geeignet sind. Ein Zertifikat von Verisign erhalten Sie über die folgende Webadresse: www.verisign.de/products-services/index.html Auf der Produktseite werden Sie unter DIGITALE IDS FÜR SICHERE EMAIL fündig. Wollen Sie ein Zertifikat bei Verisign bestellen, folgen Sie den Anweisungen der Webseite. Gehen Sie anschließend wieder zu den Sicherheitseinstellungen von Windows Mail (Menü EXTRAS | O PTIONEN, Registerkarte SICHERHEIT). Klicken Sie auf DIGITAL IDS. In der Liste der Zertifikate finden Sie das neue Verisign-Zertifikat. Über die Schaltfläche ANSICHT können Sie
Ein Zertifikat beschaffen
Zertifikat von Verisign
1020_________________________________________________ 15 Vista und das Internet
E-Mail versenden
sich das Zertifikat anzeigen lassen. Es muss nun noch mit einem E-Mail-Konto verbunden werden, da jede E-Mail-Adresse ein eigenes Zertifikat benötigt. Normalerweise kann Windows Mail diese Zuordnung automatisch herstellen anhand der E-Mail-Adresse. Gehen Sie so vor, wenn Sie den Vorgang überprüfen möchten: 1. Öffnen Sie im Menü EXTRAS den Dialog KONTEN. 2. Wählen Sie das E-Mail-Konto und dann EIGENSCHAFTEN. 3. Auf der Registerkarte SICHERHEIT klicken Sie auf beide Schaltflächen AUSWÄHLEN und ordnen das Zertifikat zu. Wenn Sie kein Zertifikat sehen, ist die E-Mail-Adresse falsch. Sie können diese auch nachträglich auf der Registerkarte ALLGEMEIN ändern. Nun können Sie Ihre E-Mails signieren. Dazu wird im Sendedialog in der Symbolleiste das Symbol NACHRICHT DIGITAL SIGNIEREN aktiviert. Ein Zertifikatssymbol erscheint rechts neben der Empfängerauswahl. Windows Mail hängt das Zertifikat an die E-Mail an, sodass der Empfänger die Echtheit der E-Mail überprüfen kann.
Abbildung 15.65: Das Zertifikat wurde erkannt und zugeordnet
Empfang einer E-Mail mit Signatur
Sie können in der Registerkarte SICHERHEIT unter E XTRAS | OPTIONEN auswählen, dass alle ausgehenden Nachrichten generell digital signiert werden. Beim Empfang einer E-Mail mit einer Signatur wird ein Sicherheitshinweis eingeblendet. Danach wird die E-Mail angezeigt. Sie können das Zertifikat anzeigen und dem Adressbuch hinzufügen. Der letzte Schritt ist notwendig, um mit dem Partner verschlüsselt Nachrichten auszutauschen.
15.5 Windows Mail ______________________________________________________1021 Gegen Veränderungen der E-Mail und Zugriffe Dritter hilft nur die Verschlüsselung. Dazu muss der Empfänger jedoch über eine Entschlüsselungsmöglichkeit verfügen. Er kann Ihnen dazu seine Digitale ID senden, damit Sie mit seinem öffentlichen Schlüssel (der private Schlüssel verlässt selbstverständlich niemals Ihren Schlüsselspeicher) die E-Mail verschlüsseln. Nur der Besitzer des passenden privaten Schlüssels kann diese E-Mail nun lesen. Wenn Sie mit allen Geschäftspartnern die Zertifikate tauschen, können Sie mit diesen verschlüsselt kommunizieren. Eingehende Zertifikate ordnet Windows Mail den Adressbucheinträgen automatisch zu, sodass dieser Vorgang relativ leicht in Gang zu setzen ist. Der Empfang einer verschlüsselten E-Mail verlangt ebenso wie das Senden der Signatur den privaten Schlüssel, der mit einem Kennwort gesichert ist. Damit wird sichergestellt, dass ein Fremder, der in den Besitz Ihres Computers gelangt ist, nicht Ihre E-Mail lesen kann. Ansonsten unterscheidet sich der Vorgang nicht von dem einer signierten E-Mail.
IMAP anstelle POP3 als Mail-Protokoll verwenden Sie können optional das IMAP-Protokoll anstatt POP3 verwenden, um Ihre E-Mails zu lesen. IMAP bietet den Vorteil, dass Sie einstellen können, dass Ihre E-Mails zunächst auf dem Server bleiben und nur die Header-Informationen übertragen werden. Sie sehen zunächst, welche E-Mails Sie erhalten haben, ohne dass diese komplett übertragen werden. Das geschieht erst auf Anforderung. Ein weiterer Vorteil ist, dass die E-Mailordner auf dem Server verwalten werden, so dass Sie von verschiedenen Arbeitsplätzen immer eine identische Mailordner-Struktur zur Verfügung haben. Beachten Sie, dass Sie nur so viel Speicherplatz für Ihre Mailordner auf dem Server haben, wie Ihnen vom Provider oder Administrator zugeteilt wurde! Um IMAP zu verwenden, müssen Sie bei der Konfiguration eines EMail-Kontos im Fenster, in dem Sie die Mail-Server eintragen, angeben, dass Ihr E-Mailserver ein IMAP-Server statt ein POP3-Server ist. Sie können bei einem bereits konfigurierten Mail-Konto den Servertyp nicht nachträglich ändern. Sie müssen das Mail-Konto löschen und ein neues erstellen. Da Sie nun Ihre Ordner auf dem Server und nicht lokal verwalten, müssen Sie angeben, wie Ihr Mailordner heißt. Wählen Sie in der Menüleiste EXTRAS | KONTEN | E-MAIL, markieren Sie Ihr Mail-Konto und klicken auf EIGENSCHAFTEN. Wählen Sie die Registerkarte IMAP aus und tragen Sie unter PFAD DES STAMMORDNERS den Namen Ihres Mailordners ein. Deaktivieren Sie SPEZIALORDNER AUF DEM IMAP-SERVER SPEICHERN , wenn Sie, beispielsweise um Speicherplatz zu sparen, diese Ordner nicht auf dem Server speichern wollen. Mail für diese Ordner wird dann in den gleichnamigen lokalen Ordnern gespeichert.
E-Mail verschlüsseln
Empfang einer verschlüsselten Mail
1022_________________________________________________ 15 Vista und das Internet Löschen von Mails, die auf dem Server liegen
Um eine Mail, die auf dem Server liegt, zu löschen, müssen Sie zunächst diese Mail als gelöscht markieren. Markieren Sie die zu löschende Mail, drücken Sie die rechte Maustaste und wählen LÖSCHEN. Die Mail wird dann durchgestrichen und mit diesem Symbol als gelöscht gekennzeichnet. Um diese Mail komplett zu entfernen, löschen Sie den Inhalt des Ordners GELÖSCHTE ELEMENTE. Sie können auch einstellen, dass gelöschte Mails beim Beenden des Mailprogramms automatisch gelöscht werden: E XTRAS | OPTIONEN wählen, die Schaltfläche WARTUNG anklicken und GELÖSCHTE NACHRICHTEN BEIM VERLASSEN DER IMAP-ORDNER PERMANENT LÖSCHEN ankreuzen. Wenn Sie eine Mail ausgewählt haben, wird der Inhalt dieser Mail auf Ihren Rechner übertragen. Dieser Inhalt kann unter Umständen sehr groß sein, was zu einer sehr langen Übertragungsdauer führen kann. Wenn Sie also diese Mail nur löschen, aber nicht lesen wollen, können Sie sofort nach dem Auswählen der Mail ABBRECHEN anklicken. Dadurch wird die Übertragung gestoppt und die Mail kann wie oben beschrieben gelöscht werden.
15.5.2 Usenet-News Das Internet bietet neben dem allgegenwärtigen World Wide Web und E-Mail noch weitere Dienste. Einer der größeren ist das Usenet. Hier werden Nachrichtengruppen verwaltet und durch das NNTPProtokoll zwischen Nachrichtenservern und Newsclients verteilt. Newsserver stellen alle Provider zur Verfügung. Als Newsclient können Sie Windows Mail nutzen.
Einrichten eines Kontos für News Starten Sie Windows Mail und wählen Sie EXTRAS | KONTEN | HINZUFÜGEN. Abbildung 15.66: Eingabe des Newsservers
Bei der Angabe des Kontotyps wählen Sie NEWSGROUPKONTO. Bei ANZEIGENAME tragen Sie Ihren Namen ein. Dieser wird dann als Absender Ihrer News-Beiträge angezeigt. Bei E-MAIL-ADRESSE tragen Sie Ihre Mailadresse ein. Unter NEWSSERVER (NNTP) sollten Sie den
15.5 Windows Mail ______________________________________________________1023 Newsserver Ihres Providers oder einen freien Server eintragen. Wenn Sie mit dem Internet verbunden sind, werden Sie jetzt gefragt, ob Sie eine Liste aller verfügbaren Newsgroups herunterladen möchten. Einige Newsserver erfordern eine Anmeldung. In diesen Fällen haben Sie von Ihrem Provider die Anmeldeinformation bekommen. Wenn Sie das Kontrollkästchen ANMELDUNG AM NEWSSERVER ERFORDERLICH aktivieren, werden Sie auf der nächsten Seite des Assistenten nach Nutzername und Kennwort gefragt. Microsoft hat bei der Installation von Vista beziehungsweise von Newsgroupkonto Windows Mail ein Newsgroupkonto angelegt. Unter dem Namen schon vorhanden Microsoft Communities können Sie auf die Newsgroups des Newsservers msnews.microsoft.com zugreifen.
Freie Newsserver Wenn Sie über einen Call-by-Call-Provider ins Internet gelangen oder über einen Netzwerkzugang, haben Sie möglicherweise keine Informationen über Newsserver bekommen. In diesem Fall lohnt die Recherche nach einem freien Newsserver. Unter der folgenden Adresse finden Sie Listen mit Newsservern, deren Gruppen Sie ohne Anmeldung lesen können: http://cord.de/proj/newsserverliste/ Eine Suchmaschine für Newsserver finden Sie unter: http://www.newzbot.com/
15.5.3 Netiquette: E-Mail und News korrekt verwenden Die folgenden Netiquetten definieren Grundregeln im Umgang mit EMail und Newsgroups.
Netiquette für E-Mail Moderne Mailprogramme können E-Mail-Nachrichten in allen mögli- REGEL 1: chen Formaten versenden: HTML, RTF etc. Manchmal verschicken sie Beschränkung auf die Nachricht auch gleich mehrfach in verschiedenen Formaten. Das reinen Text ist eine schlechte Eigenschaft, die man Windows Mail abgewöhnen sollte. Nachrichten werden dadurch unnötig vergrößert. Es dauert länger, sie herunterzuladen, und verursacht so unnötige Kosten beim Empfänger. Sie finden den Dialog unter EXTRAS | OPTIONEN | SENDEN wie schon auf Seite 1013 erwähnt. Außerdem können eben nicht alle Mailprogramme mit diesen Formaten etwas anfangen. Im Zweifelsfall beschränken Sie sich auf reinen Text. Nur wenn Sie wissen, dass der andere Nachrichten in anderen Formaten verarbeiten kann und auch einverstanden ist, solche Nachrichten zu erhalten, sollte mehr als reiner Text verwendet werden.
1024_________________________________________________ 15 Vista und das Internet REGEL 2: Visitenkarte deaktivieren
Dazu gehört auch die Unsitte, eine Visitenkarte anzufügen. Dies kann und soll man ebenfalls abstellen. Unter EXTRAS | OPTIONEN | VERFASSEN können Sie die Option deaktivieren.
Abbildung 15.67: Deaktivieren der Hintergründe und Visitenkarten
REGEL 3: Vorsicht mit Umlauten und langen Zeilen
Mit Umlauten können die meisten der heutigen Mailprogramme automatisch umgehen. Wenn es damit Probleme gibt, kann man versuchen, die korrekte Konfiguration des E-Mail-Programms zu finden oder die Umlaute durch »ae«, »oe«, »ue« zu umschreiben. Der Text sollte maximal 70 Zeichen pro Zeile enthalten, weil manche Mailprogramme den Text nicht automatisch umbrechen, zu lange Zeilen also einfach rechts aus dem Bildschirm verschwinden. Das Mailprogramm sollte also auf die genannte Zeilenlänge konfiguriert werden. Gehen Sie dazu über EXTRAS | OPTIONEN | SENDEN | NUR-TEXT-E INSTELLUNGEN.
Abbildung 15.68: Automatischen Zeilenumbruch einstellen
REGEL 4: Vorsicht mit angefügten Dateien
Es gibt die Möglichkeit, ganze Dateien an E-Mail-Nachrichten anzuhängen, so genannte »Attachments« (dt. Anhänge). Dies ist dann gut, wenn der Adressat diese Datei auch lesen und verarbeiten kann. Dabei sollte auch auf die Größe der angehängten Datei geachtet werden. Das Senden von Dateien größer als 100 KByte sollte von der vorherigen Zustimmung des Empfängers abhängig gemacht werden. Nicht
15.5 Windows Mail ______________________________________________________1025 jedes E-Mail-System verarbeitet beliebige Größen und viele E-MailNutzer haben eine Mengen- oder Größenbeschränkung bei ihrem Provider. Außerdem kosten große Dateien überdurchschnittlich viel Zeit und treiben dadurch die Telefonrechnung in die Höhe. Nur wenn Sie sicher sind, dass alle Empfänger der E-Mail über Breitband- oder LAN-Anschlüsse verfügen, sollten Sie größere E-Mail-Anhänge verschicken. Technisch bedingt werden Dateien beim Versand um ein Drittel größer; auch dies ist zu berücksichtigen. Komprimierungsprogramme leisten hierbei gute Dienste. Der Empfänger Ihrer E-Mail-Nachricht kann weder Ihren Gesichtsausdruck sehen noch den Tonfall Ihrer Stimme hören. Seien Sie deshalb vorsichtig mit ironischen Aussagen, Andeutungen und allem, was durch dieses Fehlen nonverbaler Kommunikation missverständlich erscheinen kann. Viele Leute benutzen aus diesem Grund Smileys, auch Emoticons genannt. »Emoticon« ist ein aus »Emotion« und »Icon« zusammengesetztes Kunstwort und heißt etwa »Gefühlssymbol« genau dafür sollte es auch eingesetzt werden. Es handelt sich dabei um Zeichenkombinationen, bei denen man ein Gesicht sieht, wenn man den Kopf nach links kippt, zum Beispiel :-) für einen lächelnden, :-( für einen traurigen Gesichtsausdruck, ;-) oder ,-) für ein ironisches Zuzwinkern, O:-) für ein Unschuldslamm mit Heiligenschein. Dadurch lassen sich manche Missverständnisse vermeiden. Es gibt Tausende Symbole dieser Art. Verwenden Sie nur die bekanntesten, wenn Sie nicht sicher damit rechnen können, dass ein erfahrener Benutzer die Nachricht empfängt und die Symbole versteht. Manchmal ist es wichtig, bestimmte Worte zum besseren Verständnis hervorzuheben, da der Empfänger keine Betonung hören kann. Mehrfache!!! Ausrufezeichen gelten dabei als kindisch, GROSSBUCHSTABEN sind auf Dauer schwierig zu lesen und werden von vielen als Anschreien betrachtet manchmal ist dieser Effekt auch gewünscht. Üblich sind *Sternchen* für Fettdruck, _Unterstriche_ für Unterstreichungen und /Schrägstriche/ für Kursivschrift. Hinter E-Mail-Adressen verbirgt sich fast immer ein Mensch. Elementare Höflichkeitsregeln der zwischenmenschlichen Kommunikation gelten auch bei Kontakten, die sich über E-Mail abspielen. Nachrichten mit beleidigendem Inhalt verschicken ist somit ein Tabu. Eine solche Nachricht heißt »Flame« und ist, was sie auch im normalen Leben ist: eine Beleidigung. Wenn Sie selbst Opfer einer Beleidigung per Mail geworden sind oder eine bewusst provokative Nachricht bekommen haben, die zum Flamen einlädt (Flamebait), sollten Sie sich die Antwort verkneifen und die Nachricht insgesamt oder zumindest in ihren beleidigenden Teilen ignorieren. »Spam« ist ein Oberbegriff für verschiedene Arten von Netzmissbrauch. Es handelt sich dabei um das Versenden einer gleich lautenden Nachricht an sehr viele Adressaten, zu denen man sonst keinerlei Beziehung hat und die die entsprechende Nachricht nicht angefordert
REGEL 5: Vorsicht mit Ironie
Gefühle vermitteln
Betonungen
REGEL 6: Keine beleidigenden Nachrichten (Flames)
REGEL 7: Kein Spamming
1026_________________________________________________ 15 Vista und das Internet
Vorgehen gegen Spam
REGEL 8: Kein Mailbombing
haben. Im Allgemeinen handelt es sich um Werbung, Kettenbriefe oder Anzeigen von Erotik-Seiten im WWW. Spam ist lästig. Spam kostet den Empfänger Geld, den Versender hingegen nur wenig. Spam verstopft Übertragungsleitungen und Speicherplatz mit Daten, die niemand will. Spam verursacht beim Empfänger einen Haufen Sortierarbeit. Dadurch macht Spam auf lange Sicht das Medium E-Mail unbrauchbar. Er ist daher nicht Netiquette-konform und hat zu unterbleiben. Es ist nicht einfach, gegen Spam vorzugehen. Da Spammer meist den Absender fälschen, ist es schon schwierig herauszufinden, wo ein Spam überhaupt herkommt. Deswegen wäre es auch völlig falsch, dem Spammer zu antworten etwa mit einer besonders großen Nachricht, damit sein Postfach auch mal überläuft (auch wenn dies, zugegeben, eine verlockende Idee ist). Denn entweder bekommt diese Mailbombe ein Unschuldiger, dessen Adresse fälschlich benutzt wurde, oder sie ist unzustellbar, kommt zurück und Sie haben nun selbst den Ärger. Selbst wenn Sie ausnahmsweise den Richtigen erwischen, so hat er fast immer die besseren Ressourcen, um mit einer noch größeren Mailbombe zurückzuschlagen. Häufig verspricht einem der Absender des Spams, eine Adresse aus dem Verteiler zu nehmen, wenn man an eine spezielle Adresse schreibt. Die Erfahrung zeigt, dass die Zahl der unerwünschten EMail-Nachrichten eher zunimmt, wenn man diese Adressen anschreibt, weil der Spammer diese Adressen zum Sammeln und Überprüfen neuer E-Mail-Adressen verwendet. Aus dem gleichen Grund ist der Eintrag in so genannte Robinson-Listen nicht zu empfehlen. Der einfachste Weg, gegen Spam vorzugehen, ist ihn zu ignorieren. Windows Mail erlaubt das automatische Filtern. Dann kann man Spam »automatisch« ignorieren. Es braucht aber etwas Erfahrung, um gute Filterkriterien für Spam zu finden. Wer mit einfachem Ignorieren nicht zufrieden ist, kann sich beim Provider des Spammers beschweren. Dies benötigt jedoch einiges an Übung im Lesen der Mailheader, um diesen Provider überhaupt herauszufinden. Das kann hier nicht erklärt werden. Wenn Sie sich für gute Filterkriterien und für weitere Möglichkeiten der aktiven Spam-Abwehr interessieren, sollten Sie einige Zeit in der Newsgroup de.admin.net-abuse.mail mitlesen. Wenn Sie eine Nachricht geöffnet haben, können Sie unter DATEI | EIGENSCHAFTEN und dann auf der Registerkarte DETAILS die MailHeader einsehen. Den Absender finden Sie neben »Return-path:« oder »Sender:«. Unter Mailbombing versteht man, einem einzelnen Empfänger besonders große oder besonders viele nutzlose Nachrichten zu schicken, um ihm damit das Postfach zum Überlaufen zu bringen. Dass dies höchst ärgerlich ist, weiß jeder, der seine Mail mit einem Modem vom Server abholt und dessen Telefonrechnung wegen nutzloser Mail-Nachrichten beträchtlich steigt. Mailbombing ist selbstverständlich nicht Netiquette-konform. Es kann sogar strafrechtliche Folgen haben, wenn beispielsweise der Empfän-
15.5 Windows Mail ______________________________________________________1027 ger durch die Mailbomben wichtige E-Mails verliert oder sein Computersystem in Mitleidenschaft gezogen wird. Mailbombing als Reaktion auf Spam ist, wie oben schon erwähnt, keinesfalls zu empfehlen, da die Gefahr, Unbeteiligte zu schädigen, einfach zu groß ist. Leute, die Spam, Mailbomben und Flames verschicken, schützen sich REGEL 9: vor Racheaktionen durch Adressfälschung. Dies ist natürlich im E- Die eigene Adresse Mail-Verkehr ebenso unhöflich wie anonyme Schreiben im normalen korrekt angeben Briefverkehr. Manche Leute meinen, sie könnten sich vor Spam schützen, wenn sie ihre Mailadresse fälschen, vor allem, wenn sie in öffentlichen Diskussionsforen (wie in Usenet-Newsgruppen) schreiben. Selbstverständlich ist dies keine Lösung. Erstens verursacht es unnötigen Mailverkehr, wenn einem jemand vergeblich zu antworten versucht. Zweitens werden Unbeteiligte belästigt. Derjenige, dessen Adresse verwendet wird, oder der Administrator (Postmaster) des Systems oder beide. Drittens entspricht eine Nachricht mit gefälschtem Absender nicht den technischen Standards, die im Internet gelten. Manche Leute sind dazu übergegangen, Adressfälscher systematisch zu ignorieren. Außerdem bietet eine gefälschte Absender-Adresse keine Anonymität. Der wahre Absender lässt sich im Prinzip eruieren mit etwas Aufwand und Kooperation der Administratoren der beteiligten Computernetze. Wer zumindest oberflächliche Anonymität haben möchte, kann sich bei kostenlosen E-Mail-Diensten eine Zweitadresse zulegen. Wer auf wirkliche Anonymität Wert legt, kommt kaum darum herum, in der Newsgruppe de.comp.security zu lesen. Die eigene E-Mail-Adresse ist im From-Feld korrekt anzugeben. Unter EXTRAS | KONTEN wählen Sie Ihr E-Mail-Konto aus und überprüfen die beiden Einträge NAME und E-MAIL-ADRESSE.
Netiquette für News Dieser Text wird regelmäßig in der Newsgroup de.newusers gepostet. Die Netiquette soll Ihnen Tipps geben, wie man das Usenet effizient und höflich zur Zufriedenheit aller benutzen sollte. Die meisten Leute denken in dem Augenblick, wo sie ihre Artikel und Mails verfassen, leider nicht daran, dass die Nachrichten nicht ausschließlich von Computern gelesen werden, sondern von Menschen. Je nach Newsgroup kann Ihre Nachricht von Leuten beispielsweise in ganz Deutschland oder der ganzen Welt gelesen werden. Denken Sie stets daran und lassen Sie sich nicht zu verbalen Ausbrüchen hinreißen. Bedenken Sie: Je ausfallender und unhöflicher Sie sich gebärden, desto weniger Leute sind bereit, Ihnen zu helfen, wenn Sie einmal etwas brauchen. Eine einfache Faustregel: Schreiben Sie nie etwas, was Sie dem Adressaten nicht auch vor anderen Leuten ins Gesicht sagen würden.
Vergessen Sie nie, dass auf der anderen Seite ein Mensch sitzt
1028_________________________________________________ 15 Vista und das Internet Die Gefahr von Missverständnissen ist bei einem geschriebenen, computerisierten Medium besonders hoch. Vergewissern Sie sich mehrmals, dass der Autor des Artikels, auf den Sie antworten wollen, auch das gemeint hat, was Sie denken. Insbesondere sollten Sie darauf achten, ob nicht vielleicht Sarkasmus oder eine ähnliche Art Humor benutzt wurde, ohne die Stelle mit einem Emoticon :-) zu kennzeichnen. Fassen Sie sich kurz Niemand liest gerne Artikel, die mehr als 50 Zeilen lang sind. Denken Sie daran, wenn Sie Artikel verfassen. Nebenbei: Es empfiehlt sich, die Länge der eigenen Zeilen unter etwa 70 Zeichen zu halten. Die meisten Leute im Netz kennen und beurteilen Sie nur über das, Ihre Beiträge sprechen für Sie, seien was Sie in Artikeln oder Mails schreiben. Versuchen Sie daher, Ihre Sie stolz auf sich Artikel verständlich und ohne Rechtschreibfehler zu verfassen. Ein Duden neben dem Rechner mag manchem als Übertreibung erscheinen; in Anbetracht der Tatsache, dass viele Leser den Autor eines vor Fehlern beinahe unleserlichen Artikels für einen (um es ganz deutlich zu sagen) Vollidioten halten, ist diese Investition vielleicht nicht ganz verfehlt. Bedenken Sie, dass Ihr Anliegen nicht rüberkommt, wenn es nicht einmal den elementaren Anforderungen an Stil, Form und Niveau genügt. Bedenken Sie auch: Vielleicht lesen Ihre zukünftigen Kollegen oder Ihr zukünftiger Chef mit. Das gilt ganz besonders auf privaten Newsservern im Intranet. Einige Leute denken, es würde ausreichen, einen Artikel in zwei MiNehmen Sie sich Zeit, wenn Sie einen nuten in den Rechner zu hacken. Besonders im Hinblick auf die voranArtikel schreiben gegangenen Punkte ist das aber kaum möglich. Sie sollten sich Zeit nehmen, um einen Artikel zu verfassen, der auch Ihren eigenen Ansprüchen genügt. Vernachlässigen Sie Es ist natürlich nicht zwingend, einen Schreibmaschinenkurs mitgenicht die macht zu haben, jedoch ist es ratsam, sich mit den wichtigsten der Aufmachung des »Regeln für Maschinenschreiben« (beispielsweise DIN 5008) vertraut Beitrags zu machen. Darüber hinaus sollten Punkte und Kommas selbstverständlich sein; durch Groß- und Kleinschreibung wird der Text leserlicher. Absätze lockern den Text auf, wenn sie alle paar Zeilen eingeschoben werden. Wenn Sie einen Artikel verfassen, achten Sie besonders auf den Inhalt Achten Sie auf die "Betreff:"-Zeile! der Betreff-Zeile. Hier sollte in kurzen Worten (möglichst unter 40 Zeichen) der Inhalt des Artikels beschrieben werden, sodass ein Leser entscheiden kann, ob er von Interesse für ihn ist oder nicht. Erst lesen, dann denken, dann nochmal lesen, dann nochmal denken und dann erst posten
Abbildung 15.69: Wichtig: Die aussagekräftige Betreffzeile
In länger dauernden Diskussionen kann es passieren, dass das Thema, über das debattiert wird, vom ursprünglichen Betreff abweicht. Ändern Sie die Betreff-Zeile entsprechend ab. Eine gute Angewohnheit ist es, wenn Sie den alten Titel zusätzlich noch angeben; bei Antwor-
15.5 Windows Mail ______________________________________________________1029 ten auf solche Artikel sollte der alte Titel aber entfernt werden. Ein Beispiel: Nach dem Drücken von ABSENDEN in Windows Mail werden Sie mit dem Vorsatz »Re:« in der Betreffzeile konfrontiert:
Dies zeigt an, dass sich die Diskussion bereits in der Antwortphase befindet. Vielleicht ist das Thema aber längst abgeschweift. Dann ändern Sie die Betreffzeile wie folgt: Subject: Import von PKWs aus Italien (was: LKWs in Indien) Ein anderer Fall tritt bei langen Diskussionen auch oft auf: Teilnehmer beziehen sich nicht auf den ersten Beitrag, sondern auf Reaktionen anderer Teilnehmer. Das ist aber nicht immer sinnvoll und von vielen auch nicht gewollt, sondern nur unaufmerksam. Daraus entstehen solche Gebilde:
Sollte die Betreff-Zeile nun länger als 80 Zeichen werden, so ist es sicher nicht schlecht, den alten Titel abzukürzen. Direkte Antworten auf einen Artikel sollten nur »Re:« und den alten Titel enthalten. Oft ist auch die deutsche Varianten »AW:« zu sehen:
Das ist nicht zu empfehlen. Stellen Sie immer »Re: « ein, was bei Windows Mail der Standardwert ist. Überlegen Sie sich vor dem Posten eines Artikels oder beim Antworten, welche Leute Sie mit Ihrer Nachricht erreichen wollen. Ein Artikel mit dem Titel »Klapprad an Selbstabholer« ist in einer regionalen Newsgroup sicher wesentlich besser aufgehoben als in einer weltweit lesbaren »de.*«-Gruppe. Wählen Sie die Gruppe (oder Gruppen), in die Sie schreiben, sorgfältig aus. Posten Sie, wenn irgend möglich, nur in eine Gruppe. Ein »Crossposting« eines Artikels in mehrere, womöglich inhaltlich verwandte Gruppen ist nicht empfehlenswert. Wenn Sie dennoch ein Crossposting (durch Angabe mehrerer Gruppennamen in der Newsgroups-Zeile) in die Welt setzen, lenken Sie darauf folgende Postings mit Hilfe der Antwort-Zeile in eine Gruppe. Achten Sie darauf, dass Sie Ihre sarkastisch gemeinten Bemerkungen so kennzeichnen, dass keine Missverständnisse provoziert werden. Bedenken Sie: In einem schriftlichen Medium kommt nur sehr wenig von Ihrer Mimik und Gestik rüber, die Sie bei persönlichen Gesprächen benützen würden. Denken Sie an die bereits mehrfach erwähnten Emoticons. >Es ist eine gute Angewohnheit, Texte, auf die man >sich bezieht, wörtlich zu zitieren. Wenn Sie einen >Followup-Artikel schreiben, wird Ihnen der gesamte >Text, auf den Sie sich beziehen, von Ihrem News>reader-Programm zum Bearbeiten angebo-
Denken Sie an die Leser
Vorsicht mit Humor und Sarkasmus
Kürzen Sie den Text, auf den Sie sich beziehen, auf das notwendige Minimum
1030_________________________________________________ 15 Vista und das Internet ten. Der Ori >ginaltext wird dabei im Allgemeinen durch das Zei>chen '>' eingerückt (ähnlich wie dieser Absatz), >um klar ersichtlich zu machen, dass es sich dabei >um zitierten Text handelt. Machen Sie es sich zur Angewohnheit, nur gerade so viel Originaltext stehen zu lassen, dass dem Leser der Zusammenhang nicht verloren geht. Das ist zum einen wesentlich leichter zu lesen und zu verstehen und zum anderen keine Verschwendung von Ressourcen. Lassen Sie den Originaltext aber auch nicht ganz weg! Der Leser Ihres Artikels hat den Artikel, auf den Sie sich beziehen, mit hoher Wahrscheinlichkeit nicht mehr exakt in Erinnerung und hat ohne weitere Anhaltspunkte große Mühe, den Sinn Ihrer Ausführungen zu erkennen. Auch die Unterschrift oder die Signatur der Originalnachricht sollte nur dann zitiert werden, wenn darauf auch inhaltlich Bezug genommen wird. Wie die ebenso lästige Doppelsignatur ist dies ein Fehler, den der Betreffende selbst oft nicht bemerkt. Ein persönlicher Hinweis (bitte nur als persönlich adressierte E-Mail!) kann in beiden Fällen nicht schaden. Benutzen Sie E-Mail, Wenn Sie dem Autor eines Artikels etwas mitteilen wollen, überlegen wo immer es geht Sie sich genau, ob dafür nicht eine simple Mail ausreicht. Spätestens dann, wenn hitzige Diskussionen schließlich in wüste Beschimpfungsorgien ausarten, ist der Zeitpunkt gekommen, an dem die Diskussion niemanden außer den streitenden Teilnehmern interessiert. Generell gilt: Wenn Sie etwas mitteilen wollen, das auch viele andere Leute interessieren könnte, benutzen Sie die News. Anderenfalls ist eine E-Mail sicherlich ausreichend. Wenn Sie eine Frage an die Netzgemeinde gestellt haben und darauf Geben Sie eine Sammlung Ihrer Antworten per E-Mail empfangen haben, welche evtl. auch andere Erkenntnisse weiter Leute interessieren könnten, fassen Sie Ihre Ergebnisse natürlich gekürzt zusammen und lassen Sie damit auch das Netz von Ihrer Frage profitieren. Es ist völlig legal, kurze Auszüge aus urheberrechtlich geschützten Achten Sie auf die gesetzlichen Werken zu informationellen Zwecken zu posten. Was darüber hiBestimmungen nausgeht, ist illegal. Zu den urheberrechtlich geschützten Werken gehören unter anderem Zeitungsartikel, Liedtexte, Programme, Bilder etc. Ebenfalls illegal ist es, mit Wort oder Bild zu Straftaten aufzurufen oder zumindest Anleitungen dafür zu liefern. Achten Sie darauf, dass Sie mit Ihrem Artikel keine Gesetze brechen, und bedenken Sie, dass sich eventuell jeder strafbar macht, der solche Informationen auf dem eigenen Rechner hält und anderen zugänglich macht. In der Usenet-Szene ist es ab und zu üblich, seine wahre Identität Benutzen Sie wirkliche Namen, hinter einem Pseudonym zu verbergen. Pseudonyme ermöglichen es keine Pseudonyme auch, Dinge zu sagen und zu tun, die man sich sonst nicht erlauben würde. Aufgrund der negativen Erfahrungen, die sehr viele Leute auf dem Netz mit den Trägern solcher Pseudonyme gemacht haben, und
15.6 Windows-Kontakte __________________________________________________ 1031 auch aus presserechtlichen Gründen sollten Sie Ihre Artikel mit Ihrem wirklichen Namen versehen. Wenn Sie nicht vorhaben, Ihren Namen preiszugeben, vergessen Sie das Usenet (oder zumindest das Schreiben von Artikeln und Mails) schnell wieder. Ein gewisses Maß an kommerziellen Informationen wird auf dem Netz gerne toleriert, beispielsweise Adressen von Firmen, die ein bestimmtes Produkt anbieten, nachdem jemand danach gefragt hat. Als unverschämt wird dagegen die Verbreitung von reinen Werbeinformationen angesehen, insbesondere wenn sie ein gewisses Volumen überschreiten. Bedenken Sie: Dies ist ein nichtkommerzielles Netz und nicht jeder will Übertragungskosten für Werbung bezahlen. Ebenfalls wird davon abgeraten, seine Aufgabe darin zu sehen, Artikel aus verschiedenen anderen, für jedermann zugänglichen Netzen (beispielsweise: Fido, Zerberus ) ins Usenet zu pumpen. Das gilt insbesondere dann, wenn es den Informationen am allgemein üblichen Niveau mangelt, die darin angesprochenen Tatsachen jedem durchschnittlich intelligenten Menschen bereits bekannt sind oder abzusehen ist, dass sich nur ein verschwindend geringer Bruchteil der Netz-User dafür interessiert. Aus der Deutschsprachigkeit der »de.*«-Hierarchie erwächst die Frage, ob man andere Netzteilnehmer in Artikeln und Mails duzen oder siezen sollte. Dafür gibt es keine allgemeingültige Regel; es hat sich jedoch eingebürgert, den Anderen mit »Du« anzureden. Viele der Teilnehmer in der »de.*«-Hierarchie finden das auch völlig in Ordnung und würden es als eher absonderlich ansehen, wenn sie auf einmal gesiezt werden würden. Wenn Sie dagegen einen geschäftlichen Kontakt mit einem Unbekannten per E-Mail aufnehmen, nutzen Sie die in Geschäftsbriefen üblichen Höflichkeitsformeln. Newsgroups dagegen haben eher Klubatmosphäre und verlangen diesen Stil nicht.
15.6 Windows-Kontakte Die Windows-Kontakte ersetzen das Adressbuch, wie es von früheren Windows-Versionen bekannt ist. Obwohl der Hauptzweck sicherlich die Bereithaltung von E-Mail-Adressen für Windows Mail ist, ist Windows-Kontakte ein eigenständiges Programm. Die von WindowsKontakte erzeugten Daten können für weitere Programme genutzt werden.
15.6.1 Kontakte einrichten Windows-Kontakte wird standardmäßig installiert, da es von Windows Mail benötigt wird. Sie können es direkt unter START | ALLE PROGRAMME | WINDOWS-KONTAKTE öffnen. Die Daten selbst werden in folgendem Ordner abgelegt:
Gehört Kommerzielles in Newsgroups?
Keine »human gateways« - das Netz ist keine Mailbox
»Du« oder »Sie«?
1032_________________________________________________ 15 Vista und das Internet %Systemdrive% \Users \%USER% \Contacts Dabei steht %USER% für den Namen des aktuellen Benutzers. In diesem Ordner, der als KONTAKTE im Benutzerordner des jeweiligen Benutzers zu sehen ist, werden für jeden einzelnen Eintrag Dateien angelegt, die den Suffix *.contact tragen. Der Dateiname setzt sich aus dem vollständigen Namen des Kontakts (Vor- und Nachname) und der Endung zusammen.
Funktionen
Informationen zu Personen oder Gruppen
Zugriff auf LDAPVerzeichnisdienste
Gruppen von Kontakten für Versandlisten
Kontakte mit anderen Benutzern gemeinsam nutzen Importieren aus anderen Adressbüchern
Windows-Kontakte speichert Kontaktinformationen so, dass Programme wie Outlook Express leicht darauf zugreifen können. Darüber hinaus ermöglicht es Zugriff auf Internetverzeichnisdienste, die Sie zum Suchen von Personen und Unternehmen im Internet verwenden können. Windows-Kontakte verwaltet eine Datenbank, um E-Mail-Adressen, Privat- und Geschäftsadressen, Telefon- und Faxnummern, digitale IDs, Konferenzinformationen, und persönliche Informationen, wie Geburtstage, Jahrestage und Familienmitglieder zu speichern. Verzeichnisdienste sind mächtige Werkzeuge, mit denen Sie Namen und Adressen im Internet suchen können. Windows-Kontakte unterstützt das LDAP (Lightweight Directory Access Protocol) für die Verwendung von Internetverzeichnisdiensten. Sie können diese Dienste beim Einfügen von Adressen in E-Mail-Nachrichten nutzen. Sie können Gruppen von Kontakten erstellen, die es Ihnen erleichtern, E-Mail-Nachrichten an eine Gruppe von Personen, wie Geschäftspartner, Verwandte oder Sportfreunde, zu senden. Jedes Mal, wenn Sie an alle Personen der Gruppe eine E-Mail senden möchten, verwenden Sie einfach den Gruppennamen, statt jeden Kontakt einzeln einzugeben. Durch die Erstellung von Gruppen lässt sich auch ein großes Adressbuch sinnvoll organisieren. Eine Kontaktgruppe entspricht somit einer Adressliste. Durch Freigabe Ihrer eigenen Kontakte und die Nutzung von Kontaktfreigaben anderer Benutzer können Sie sich einen gemeinsamen Pool von Kontakten anlegen. Wenn Sie Ihren Weg mit Windows Mail fortsetzen, müssen Sie deshalb Ihr altes Adressbuch nicht zurücklassen. Haben Sie Ihr Vista als Upgrade über ein bestehendes Windows XP installiert, wurde Ihr Outlook Express Adressbuch automatisch übernommen. Haben Sie eine frische Vista-Installation vor sich, können Sie das Outlook Adressbuch, das als wab-Datei in Ihrem Windows XP Benutzerordner vorhanden ist, exportieren und von Windows-Kontakte einlesen lassen. Außerdem können Sie Kontakte aus zahlreichen gängigen E-MailProgrammen importieren, wenn diese Programme in der Lage sind, Textdateien mit Kommata als Trennzeichen (CSV, Comma Separated
15.6 Windows-Kontakte __________________________________________________ 1033 Value11) zu exportieren. LDIF (LDAP Data Interchange Format), ein ASCII-basierendes Dateiformat, das LDAP-Server für die Darstellung von Informationen nutzen, kann für das Importieren in WindowsKontakte genutzt werden. Visitenkarten, die im vCard-Format gespeichert sind, werden zum Austausch von Adressinformationen zwischen unterschiedlichen digitalen Geräten (beispielsweise Desktopcomputer, Notebooks oder PDAs) benutzt. Diese vCards-Dateien können ebenso in die Kontakte eingefügt werden. Sie können Ihre Kontakte ausdrucken und Ihrem persönlichen Terminkalender hinzufügen. Dabei können Sie alle Kontaktinformationen auf einmal ausgeben lassen oder nur ausgewählte. Für Memos, Visitenkarten oder Telefonlisten können Sie aus drei Druckformaten wählen.
15.6.2 Windows-Kontakte einsetzen Windows-Kontakte können Sie in vielen Fällen einsetzen. Verknüpfungen finden Sie beispielsweise in folgenden Programmen: Windows Mail Windows-Fax und -Scan Voraussetzung ist natürlich eine sinnvolle Pflege der Kontakte. Wenn Sie in Windows Mail nur E-Mail-Adressen erfassen, werden Ihnen diese Kontakte beim Versenden von Faxen nicht weiterhelfen.
Einsatz in Windows Mail In Windows Mail (siehe Abschnitt 15.5 Windows Mail ab Seite 27) erreichen Sie die Windows-Kontakte über EXTRAS oder das entsprechende Symbol in der Symbolleiste. Wenn Sie E-Mail empfangen, können Sie den Absender leicht den Windows-Kontakten hinzufügen (siehe Abbildung 15.70 auf Seite 1034). Dazu öffnen Sie die E-Mail oder markieren diese in der aktuellen Liste und klicken dann mit der rechten Maustaste auf den Namen. Im Kontextmenü wählen Sie ABSENDER ZU DEN KONTAKTEN HINZUFÜGEN.
Einsatz im Faxdienst Wenn Sie Windows Fax und Scan einsetzen, können Sie die Kontakte auch dafür nutzen vorausgesetzt, das entsprechende Feld für die Faxnummer wurde ausgefüllt. Beim Ablauf des Assistenten zum Senden von Faxen ist der Zugriff auf die Kontakte direkt möglich. 11
Diese Dateiart muss nicht immer Kommata als Trennzeichen einsetzen, üblich sind auch Semikola oder Tabulatoren. Das ändert aber nichts an der Bezeichnung »CSV«.
Importieren von Visitenkarten
Drucken und Mitnehmen der Kontakte
1034_________________________________________________ 15 Vista und das Internet Weitere Informationen finden Sie dazu in Abschnitt 6.7 Faxfunktionen Abbildung 15.70: Einen E-Mail-Absen- ab Seite 380. der einfach in Windows Mail aufnehmen
15.7 Windows-Kalender Abbildung 15.71: Windows-Kalender
Vista bringt eine eigene Termin- und Aufgabenverwaltung mit. Der Windows-Kalender ist geeignet, Ihnen eine Übersicht über ausstehende Arbeiten und Termine zu geben.
15.7 Windows-Kalender __________________________________________________ 1035
im ics.Format gespeichert. Er kann exportiert und auf anderen Arbeitsplätzen importiert werden. Einfacher ist es, Sie geben Ihren Kalender über die Auswahl FREIGABE in der Menüleiste frei. Dann wissen Ihre Teamkollegen, wann mit Ihnen zu rechnen ist. Sie können die veröffentlichten Kalender von anderen über das Internet abonnieren. Damit Ihnen Ihr Terminplan auch offline zur Verfügung steht, ist eine Kalender drucken Druckfunktion vorgesehen, die die Druckformate Tag, Arbeitswoche, Woche und Monat bereithält.
15.7 Windows-Kalender __________________________________________________ 1037
16 16Internet Informationsdienste Das Internet zu nutzen ist eine wichtige Funktion kaum ein Geschäft kann heute auf einen Zugang zum Internet verzichten. Selbst zum Anbieter werden oder diese Technologien lokal einzusetzen, ist dagegen für viele IT-Abteilungen noch eine Herausforderung. Für die ersten Schritte eignet sich Windows Vista hervorragend. Wie Sie das umsetzen, finden Sie in diesem Kapitel.
1038____________________________________________16 Internet Informationsdienste
Inhaltsübersicht Kapitel 16 16.1 16.2 16.3
Einführung ................................................................... 1039 Installation des IIS 7.0 und seine Features .............. 1040 Den Internet Information Server verwalten............ 1047
16.1 Einführung _________________________________________________________1039
16.1 Einführung In Windows Vista stehen die Internet-Informationsdienste zur Verfügung. Damit lassen sich sowohl komfortable Entwicklungsumgebungen als auch kleine Intranets errichten, ohne dass Software von Drittanbietern benötigt wird. Eine der wichtigsten Anwendungen ist sicher ASP (Active Server Pages), womit interaktive serverbasierte Anwendungen programmiert werden können. Der Internet Information Server (IIS) hat in Windows Vista die Ver- IIS Version 7.0 sionsnummer 7.0.
Grundlegendes Um Informationen über das Internet oder im Intranet bereitstellen zu können, verwaltet der Internet Information Server im Wesentlichen drei Bausteine: Websites, Webanwendungen und virtuelle Verzeichnisse. Jede Website besteht dabei aus einer oder mehreren Webanwendungen. Jede Webanwendung wiederum enthält ein oder mehrere virtuelle Verzeichnisse. Diese virtuellen Verzeichnisse sind mit physikalischen Ordnern verbunden, die die Webinhalte speichern. Die praktische Vorgehensweise zum Erstellen von Websites, Webanwendungen und virtuellen Verzeichnissen erfahren Sie in Abschnitt 16.3.1 Webserver konfigurieren ab Seite 1047. Der Internet Information Server 7.0 ist im Gegensatz zu seinem Vorgänger kein monolithisches Gebilde. Er besteht vielmehr aus einem relativ kleinen Kern, dem Web Core Server, und einer Auswahl von etwa 40 Modulen, die in acht Bereichen organisiert sind. Damit ist der Internet Information Server 7.0 ein komponentenbasierter Server, dessen Module je nach Bedarf dazu genommen werden können. Von Seiten der Sicherheit ist dies ein guter Ansatz, denn was nicht da ist, kann auch nicht angegriffen werden. Die Module sind Komponenten, die Dienste für Anforderungsverarbeitung (Request-Processing) bereitstellen. Dabei ist der Typus der angeforderten Ressource egal. Ein Modul führt seine spezifischen Aufgaben immer aus. Handler sind ebenfalls Komponenten, die Anfragen entgegennehmen. Im Gegensatz zu Modulen fühlen sich Handler jedoch nur »zuständig«, wenn ein Benutzer genau die Ressource anfordert, für die der Handler Code zur Weiterverarbeitung enthält. Kernstück des Webservers ist der Windows Process Activation Service (WPAS), der die Prozesssteuerung, die .Net-Umgebung und die Konfigurations-API enthält. Die Prozesssteuerung bekommt Anfragen über so genannte Listener zugeführt. Der IIS 7.0 ist dabei ein MultiTalent, weil er über mehrere Listener verfügt. Außer dem vom IIS 6.0 bekannten Listener HTTP.SYS stehen Listener für TCP, Microsoft Message Queuing (MSMQ) und Named Pipes bereit. Der Windows Process Activation Service überprüft, ob für die Anfrage eines Liste-
Websites, Webanwendungen und virtuelle Verzeichnisse
Module
Handler
Windows Process Activation Service
1040____________________________________________16 Internet Informationsdienste
Anwendungspools
Konfigurationen
Veröffentlichung von Anwendungen
ners schon ein Arbeitsprozess existiert. Ist das nicht der Fall, erstellt er einen. Der WPAS verwaltet auch die Anwendungspools. Webanwendungen werden in Anwendungspools zusammengefasst und auf Prozess-Ebene voneinander getrennt, denn jeder Anwendungspool bekommt seinen eigenen Arbeitsprozess. Jeder Arbeitsprozess wird als autonome Instanz der Arbeitsprozessdatei (w3wp.exe) ausgeführt (mehr zur Einrichtung von Anwendungspools in Abschnitt 16.3.2 Anfragebearbeitung für den Webserver konfigurieren ab Seite 1050). Der IIS 7.0 verwendet hauptsächlich die XML-Dateien APPLICATIONHOST.CONFIG und WEB.CONFIG für die Konfiguration. Web.config-Dateien enthalten Konfigurationen, die auf mehreren Ebenen gelten. In der Hierarchie steht über dem virtuellen Verzeichnis die Webanwendung. Über der Webanwendung steht die Website. Für die Web.config-Datei gilt die Vererbung. Konfigurationseinstellungen setzen sich von oben nach unten durch. Web.config-Dateien auf niedrigerer Ebene können Konfigurationen ändern, es sei denn, sie sind gesperrt, um eine Änderung zu verhindern. Mit xcopy oder via FTP können die Konfigurationsdateien von einem zu anderen Webservern kopiert werden, wenn Sie dieselbe Konfiguration anwenden und dem Benutzer eine Webanwendung zur Verfügung stellen wollen. Geänderte Konfigurationsdateien führen sofort zur Verhaltensänderung. Ein Neustart ist nicht erforderlich.
16.2 Installation des IIS 7.0 und seine Features Internet Information Server heißt der Webserver bei Microsoft 12. Einige Grundkenntnisse zur Einrichtung sind notwendig, um beispielsweise als Entwickler den späteren Einsatzfall gut simulieren zu können. Im folgenden Abschnitt wird erklärt, wie Sie den IIS 7.0 installieren und welche Features er in Form von installierbaren Modulen bietet. Durch die Auswahl der Module erhalten Sie einen angepassten Server, der für eine Entwicklungsumgebung oder ein kleines Intranet eingesetzt werden kann.
16.2.1 Installation Die Installation des IIS unter Windows Vista Modularer Aufbau
Um Windows Vista als Entwicklungsplattform nutzen zu können, müssen die Internet-Informationsdienste installiert werden. Der IIS 7.0 ist modular augebaut. Diese Modularität bemerken Sie bereits bei der Installation. Starten Sie dazu in der Systemsteuerung das Applet Programme und Funktionen und klicken Sie dann auf WINDOWSFUNKTIONEN EIN- ODER AUSSCHALTEN. 12
Üblich ist auch die Bezeichnung Internet Information Services.
16.2 Installation des IIS 7.0 und seine Features _____________________________1041 Abbildung 16.1: Auswahl der Software-Komponente Internet-Informationsdienste
In der Liste der Windows-Funktionen wählen Sie den Eintrag INTERNETINFORMATIONSDIENSTE aus und installieren die Komponenten (siehe Abbildung 16.1). Die Installation kann eine Weile dauern. Testen Sie den Zugriff auf den lokalen Webserver jetzt mit dem Browser. Normalerweise genügt die Eingabe des Rechnernamens oder des Namens localhost in die Adresszeile des Browsers: http://localhost Wenn Sie möchten, können Sie den FTP-Publishingdienst, der aus FTP-Dienste FTP-Server und-Verwaltungskonsole besteht, gleich mit installieren. installieren Klicken Sie dazu im Installationsdialog (Abbildung 16.1) auf den Eintrag INTERNETINFORMATIONSDIENSTE und dann auf FTP-PUBLISHINGDIENST. Im folgenden Zweig können Sie kontrollieren, ob der FTP-PUBLISHINGDIENST aktiviert ist, und die Auswahl gegebenenfalls korrigieren. Klicken Sie denn nur die INTERNETINFORMATIONSDIENSTE in der obersten Ebene an, wird der FTP-Server nicht mit installiert, obwohl das anzunehmen wäre. Mehr Informationen zur Verwaltung des FTPServers finden Sie in Abschnitt 16.3.8 FTP-Dienste anbieten ab Seite 1061.
16.2.2 Der Internet Information Server 7 im Überblick Die Internet-Informationsdienste 7 verfügen über viele Features, mit deren Hilfe Webadministratoren skalierbare und flexible Webanwendungen erstellen können. Die Features sind in einzelne Bereiche gruppiert, um die Übersichtlichkeit zu erhöhen:
Allgemeine HTTP-Features HTTP-Fehler Fehlermeldungen, die an die Clients zurückgegeben werden, können angepasst werden. Eine Anleitung für die Anpassung der Meldungen finden Sie unter HTTP-Fehlermeldungen individualisieren auf Seite 1052.
1042____________________________________________16 Internet Informationsdienste HTTP-Umleitung Anforderung von Clients können auf bestimmte Ziele umgeleitet werden (mehr zur Redirektion in Abschnitt HTTP-Umleitungen einrichten auf Seite 1051). Standarddokument Werden in einer Anforderungs-URL vom Benutzer keine Dateien angegeben, wird eine Standarddatei geladen. Statischer Inhalt Die Verwendung von statischen htm, htlm-Dateien und Bildern wird zugelassen. Verzeichnis durchsuchen Benutzern kann das Durchsuchen von Verzeichnissen gestattet werden. Wie Sie Benutzern das Durchsuchen von Verzeichnissen erlauben, erfahren Sie auf Seite 1053.
Sicherheit Authentifizierung
SSL zur Kommunikation
Authentifizierungsmethode Die Digestauthentifizierung ermöglicht eine sichere und zuverlässige Authentifizierung von Benutzern über Proxyserver und Firewalls hinweg. Darüber hinaus sind der anonyme Zugriff, die HTTP-Standardauthentifizierung und die integrierte WindowsAuthentifizierung (früher als Windows NT-Herausforderung/Rückmeldung und NTLM-Authentifizierung bezeichnet) weiter verfügbar. Der IIS 7.0 unterstützt auch die Formularauthentifizierung, bei der eine Umleitung zur Anmeldung erfolgt und eine Active-DirectoryAuthentifizierung, für die ein AD-Benutzerkonto mit Clientzertifikatszuordnung erforderlich ist. Die Einstellungen im IISDienstmanager für die Authentifizierung sind in Abschnitt Authentifizierung einstellen ab Seite 1057 aufgeführt. Sichere Kommunikation SSL (Secure Socket Layer) mit 40 Bit und 128 Bit bieten ein sicheres Verfahren zum Austausch von Informationen zwischen Clients und Servern. Darüber hinaus bietet SSL dem Server die Möglichkeit, die Identität des Clients zu überprüfen. Clientzertifikate können ignoriert, angenommen und erzwungen werden, bevor sich Benutzer am Server anmelden. Wie Sie eine sichere Client-ServerKommunikation einrichten, ist in Abschnitt Verschlüsselung von Websites auf Seite 1070 beschrieben. Autorisierung Autorisierungsregeln bestimmen, auf welche Ressourcen auf dem Webserver zugegriffen wird. Dieses Gewähren und Verweigern kann im IIS 7.0 durch URL-Autorisierungsregeln konfiguriert werden. Detailliert können so Computern oder Computergruppen Berechtigungen auf Websites, Verzeichnissen, Dateien oder Webap-
16.2 Installation des IIS 7.0 und seine Features _____________________________1043 plikationen gegeben werden. Die praktische Anleitung für die URL-Autorisierung steht auf Seite 1059. Anforderungsfilterung Die Funktion des Sicherheitstools UrlScan 2.5 zur Einschränkung bestimmter Typen von HTTP-Anforderungen, das für frühere IISVersionen extra installiert werden musste, ist im IIS integriert. Eine separate Installation dieses Tools ist damit nicht mehr notwendig. Zertifikatsspeicher Der IIS-Zertifikatsspeicher ist auf den Windows CryptoAPISpeicher abgestimmt. Die Windows Zertifikatverwaltung stellt einen zentralen Startpunkt dar, der Ihnen das Speichern, Sichern und Konfigurieren von Serverzertifikaten ermöglicht. .Net Die .Net-Architektur unterstützt die Sicherheit des Internet Information Servers 7.0 auf mehrere Arten: - .Net-Benutzer Es kann eine Zuordnung zwischen einer definierten Benutzeridentität und einer Anwendung hergestellt werden. Nur diese Identität darf auf die Anwendung zugreifen. - .Net Rollen Um nicht für jede einzelne Benutzeridentität eine Festlegung zu treffen, können Rollen definiert werden, die Benutzeridentitäten gleicher Sicherheitsrelevanz zusammenfassen. - .Net-Vertrauensebenen Vertrauensebenen schützen Ordner und Dateien vor unzulässigem Zugriff von Applikationen, die auf dem Webserver laufen.
Administration Neustart des IIS Jetzt können Sie die Internetdienste neu starten, ohne dass ein Neustart des Computers erforderlich ist. Sichern und Wiederherstellen des IIS Sie können die Konfigurationsdateien sichern und speichern, so dass Sie problemlos einen sicheren und bekannten Zustand wiederherstellen können. Überwachen von Siteaktivität Echtzeitdiagramme zeigen die Statistiken zur Siteaktivität an, beispielsweise die Anforderungen pro Tag, Anforderungen pro Stunde, Besucher pro Tag und Besucher pro Stunde. Die Runtime Status and Control Data and Objects (RSCA)-APIs geben dem Administrator genaue Auskünfte über den Zustand bestimmter Objekte zur Laufzeit. Diese lassen sich beispielsweise über Windows Management Instrumentations (WMI) abfragen.
1044____________________________________________16 Internet Informationsdienste Multiple Administrationsmöglichkeiten Neben dem IIS-Dienstemanager, der als MMC-Snap-In ausgeführt ist, gibt es weitere IIS-Verwaltungstools. Über das Snap-In können Sie neben den lokalen IIS die auf einem Windows Server Codename »Longhorn« 2007 laufende Version 7.0 administrieren. Für einen IIS 6.0 auf einem Server 2003 gibt es eine Extra-Konsole. Damit sind die Möglichkeiten noch nicht ausgeschöpft. Eine Microsoft.Web.Administration API gibt es speziell für .NET-Entwickler. Für Administratoren und WMI-Entwickler gibt es IIS-Verwaltungsskripts. Mit dem Kommandozeilentool AppCmd.exe steht auch der Verwaltung über Batchjobs nichts entgegen. Die Parameter des Kommandozeilentools sind auf Seite 1059 in Abschnitt 16.3.7 Das Kommadozeilentool AppCmd.exe beschrieben.
16.2.3
Anwendungsprogramme unter IIS
Der IIS eignet sich auch zur Steuerung der Ausführung von Skripten und Programmen. Dabei werden verschiedene Varianten unterschieden, die je nach Anwendungsfall zum Einsatz kommen. Neben der vollständigen Unterstützung des ASP.NET-Frameworks können Anwendungen auch über die klassischen Active Server Pages (ASP), CGISkripts oder ISAPI erstellt werden. Serverseitige Include-Dateien und statische HTML-Seiten können ebenfalls benutzt werden. Statische HTML-Seiten sind am einfachsten darzustellen. Sie werden Statische HTMLSeiten in einem bestimmten Verzeichnis abgelegt und stehen dann über den lokalen Webserver zur Verfügung. CGI-Programme sind meist als Skripte mit einer bestimmten SkriptCGI-Programme sprache ausgeführt. Unter Windows hat CGI nur eine geringe Bedeutung, da mit Active Server Pages und ISAPI effizientere Umgebungen zur Verfügung stehen. Sie können aber die im Internet frei verfügbaren Skriptsprachen Perl oder PHP einsetzen und über die CGISchnittstelle des IIS ablaufen lassen. Beide Sprachen sind auch in einer für Win32-Umgebungen optimierten und vorkompilierten Binärdistribution verfügbar. CGI-Programme starten den Interpreter der Skriptsprache für jeden Clientzugriff erneut. Dadurch ist die Ausführung unter Umständen sehr langsam. ISAPI-Erweiterungen ISAPI-Erweiterungen sind DLLs, die im selben Adressraum wie der IIS laufen. Solche Erweiterungen müssen Multithreading-fähig sein, damit mehrere Clients gleichzeitig damit arbeiten können. Im Gegensatz zu CGI startet die Anwendung bei mehreren Clientzugriffen nur einmal. Das Programmieren direkt in ISAPI erfolgt meist mit Visual C++ und ist relativ komplex keinesfalls ist es eine Alternative für Einsteiger in die Webserverprogrammierung. Als reine Programmierumgebung ist es denkbar ungeeignet. Wenn Sie nur wenige Änderungen im HTML-Code vornehmen, müssen Sie dennoch die Anwendung komplett neu kompilieren. Einfacher und im Vergleich der Möglichkeiten optimal ist dagegen die Nutzung von Active Server Pages.
16.2 Installation des IIS 7.0 und seine Features _____________________________1045 ISAPI-Filter sind eine Erweiterung des ISAPI-Konzepts. Die Filter liegen noch vor dem Webserver und können Ereignisse abfangen und vorverarbeiten, bevor der Webserver diese verarbeitet. So könnten Sie Anforderungen an einen CGI-Interpreter modifizieren, bevor dieser den Zugriff erhält. ISAPI-Filter sind ebenfalls kompilierte DLLs und werden vorzugsweise in Visual C++ geschrieben. Active Server Pages (ASP) vereinfachen die Softwareentwicklung erheblich. ASP selbst ist eine ISAPI-Anwendung (ASP.DLL) und nutzt die Vorteile. Der Programmierer kann dagegen mit einer einfachen Skriptsprache arbeiten (VBScript oder JScript). ASP selbst ist eine Programmierumgebung, in die beliebige Skriptsprachen eingebunden werden können. Selbst Perl wurde in Form von PerlScript portiert und nutzt nun die effiziente ISAPI-Schnittstelle. ASP arbeitet zwar interpretierend, optimiert die Ausgabe aber durch einen internen Übersetzungsvorgang. Der erste Aufruf einer Seite ist deshalb sehr langsam. Bei erneuten Abrufen der unveränderten Seite wird dagegen der kompilierte Code aus dem internen Speicher geholt. Dass so programmierte Seiten bei jedem Aufruf anderen HTML-Code dynamisch erzeugen, spielt dabei keine Rolle. Mit ASP.NET können Webanwendungen in beliebigen von .NET unterstützten Sprachen erstellt werden. Als Programmiersprachen kommen C#, VB.NET, J#, Delphi.NET, Eiffel.NET, F# oder Managed C++ in Frage. Die Einarbeitung in ASP.NET gestaltet sich wegen seiner Mächtigkeit recht schwierig. Für ein kleines Projekt ist es sicherlich übertrieben. Skriptsprachen wie Perl oder PHP führen hier schneller zum Ziel.
Leistungsfeatures Die Komprimierung statischer Inhalte und die dynamische HTTPKomprimierung sind einstellbar.
Der IIS-Dienstemanager Unter Windows Vista ist die Managementkonsole (MMC) ein integraler Bestandteil des Betriebssystems. Viele Systemfunktionen lassen sich über die MMC steuern. Wählen Sie in der Systemsteuerung die Kategorie VERWALTUNG und dann den INTERNETINFORMATIONSDIENSTE-M ANAGER. Sie können neben dem Snap-In des IIS 7.0 auch eine Verwaltungskonsole für einen IIS 6.0 installieren, der auf einem Windows 2003 Server läuft. Dazu öffnen Sie die Konsole und klicken mit der rechten Maustaste auf den Eintrag INTERNETINFORMATIONSDIENSTE 6.0-MANAGER. Wählen Sie im Menü die Funktion VERBINDEN.
ISAPI-Filter
Active Server Pages
Active Server Pages .Net
1046____________________________________________16 Internet Informationsdienste Abbildung 16.2: Verbindung mit dem Internetdienste-Managers eines entfernten Computers
Nachdem die Verbindung zum Webserver hergestellt wurde, erscheint der Computer in der Liste und kann administriert werden. Öffnen Sie den gewünschten und stellen Sie den Dienst ein. Der Dienstmanager für die Version 7.0 besteht aus drei Teilen. Auf der linken Seite befindet sich das Navigationsfeld VERBINDUNGEN, das zur Auswahl von Websites und Anwendungspools dient. Das Hauptfenster in der Mitte lässt sich entweder nach den Bereichen ASP.NET und IIS oder in Kategorien gruppieren. Die bereitgestellten Funktionen hängen von der Auswahl der Installation ab. Die Kategorien Anwendungsentwicklung, HTTP-Features, Serverkomponenten, Sicherheit und Systemzustand und Diagnose stehen standardmäßig zur Verfügung. Abbildung 16.3: Internetinformationsdienste-Manager
16.3 Den Internet Information Server verwalten______________________________1047 Auf der rechten Seite befindet sich das Aktionsfeld, das eine kontextsensitive Auswahl an Befehle bereithält.
16.3 Den Internet Information Server verwalten In den nachfolgenden Abschnitten werden die typischen Verwaltungsarbeiten des Administrators für den Internet Information Server behandelt.
16.3.1 Webserver konfigurieren Die meistgenutzte Funktion des IIS ist sicherlich die für das Veröffentlichen von Webseiten. Neben der Einrichten der ersten eigenen Website auf dem Server sind noch einige andere grundlegende Schritte durchzuführen, die nachfolgend erörtert werden.
Website erstellen Eine Standardwebsite ist bereits vorbereitet. Diese zeigt auf das Die Standardeinstellungen Stammverzeichnis des Webservers: %Systemdrive%\inetpub\wwwroot Wenn Sie HTML-Dokumente in diesem Verzeichnis ablegen, können Sie diese über folgende Adresse im Browser abrufen: http://servername/dokument.html Die interne Struktur bleibt also vor den Augen des externen Betrachters verborgen. Das ist schon allein aus Sicherheitsgründen notwendig, bietet aber auch andere Vorteile, die sich allgemein aus virtuellen Verzeichnissen ergeben. Um eine neue Website zu erstellen gehen Sie folgendermaßen vor: 1. Öffnen Sie den IIS-Dienstemanager 2. Im Feld VERBINDUNGEN klicken mit einem Rechtsklick auf WEBSITES und wählen WEBSITE HINZUFÜGEN aus. 3. Im Dialog WEBSITE HINZUFÜGEN vergeben Sie der Website im Feld WEBSITENAME einen Namen. 4. Über die Schaltfläche AUSWÄHLEN können Sie einen anderen Anwendungspool (siehe Seite 1050) als den Standard DefaultAppPool auswählen oder gleich einen neuen Anwendungspool erstellen lassen und dann auswählen. 5. In der Sektion INHALTSVERZEICHNIS geben Sie den physikalischen Pfad an, unter dem die Website erstellt werden soll. 6. Liegt der physikalische Pfad unter der Freigabe eines RemoteServers, geben Sie mit der Schaltfläche VERBINDEN ALS das Benutzerkonto an, das eine Verbindung zu diesem Server herstellen kann.
1048____________________________________________16 Internet Informationsdienste 7. Im Abschnitt BINDUNGEN wählen Sie den Protokolltyp (http oder https) aus dem Dropdownmenü TYP aus. 8. Im dem Feld IP-Adresse steht standardmäßig KEINE ZUGEWIESEN. Hat Ihr PC mehrere konfigurierte Netzwerkkarten, können Sie die IP-Adresse einer bestimmten Karte auswählen und die Website an diese binden. 9. Möchten Sie einen anderen Port als den Standard 80 für die Website benutzen, tragen Sie unter PORT die Alternative ein. Zum Aufruf einer Website auf einem anderen Port als 80 müssen Sie in der URL den Port zum Schluss mit einem Doppelpunkt angeben. 10. Optional können Sie der Website einen Hostheader mitgeben. Beispielsweise: entwicklung.firmaxy.de 11. Möchten Sie keine weiteren Änderungen vornehmen, ist die Website sofort verfügbar, sobald Sie mit OK bestätigen. Deaktivieren Sie die Checkbox WEBSITE SOFORT STARTEN, wenn Sie das nicht wünschen.
Virtuelle Verzeichnisse einrichten Virtuelle Verzeichnisse verknüpfen einen nach außen sichtbaren Pfad mit einem internen Ordner. Ein Zusammenhang zwischen der Tiefe, dem Namen oder der Lage muss nicht bestehen. Bei der Einrichtung sind Sie auch nicht darauf angewiesen, die Ordner physisch unter WWWROOT zu platzieren. Aus Sicherheitsgründen und zur einfacheren Organisation ist dies dennoch empfehlenswert. Abbildung 16.4: Anlegen eines virtuellen Verzeichnisses
Um ein neues virtuelles Verzeichnis anzulegen, gehen Sie auf den Eintrag INTERNETINFORMATIONSDIENSTE in der Managementkonsole. Dort wählen Sie den Webserver und die gewünschte Website aus, für die ein virtuelles Verzeichnis eingerichtet werden soll. Es startet ein Dialog, der den Namen des virtuellen Verzeichnisses (Alias) abgefragt. Unter diesem Namen wird der Nutzer die Inhalte
16.3 Den Internet Information Server verwalten______________________________1049 später mit dem Browser abrufen. Außerdem ist der physikalische Pfad anzugeben. Dieser kann irgendwo im Netzwerk liegen, auch auf anderen Servern. Abbildung 16.5: Name des virtuellen Verzeichnisses und des physikalischen Pfades angeben
Benutzen Sie die Freigabe eines anderen Servers, müssen Sie unter der Schaltfläche VERBINDEN ALS das Benutzerkonto angeben, das zum Verbinden mit der Freigabe benutzt wird.
Webanwendungen erstellen Eine Webanwendung ist ein Programm, das in einem Anwendungspool ausgeführt wird. Sie stellt HTML-Inhalte über das http-Protokoll dem Benutzer zur Verfügung. Bei der Erstellung einer Webanwendung wird der Name der Anwendung Bestandteil der URL der Website. Über einen Browser lassen sich Anwendungen so mit dem Namen aufrufen. Der IIS 7.0 erwartet die Angabe mindestens einer Webanwendung pro Website. Es können auch mehrere Webanwendungen für eine Website definiert werden. Eine ist jedoch immer die Standardwebanwendung. Um eine Webanwendung zu erstellen, gehen Sie wie folgt vor: 1. Öffnen Sie den IIS-Dienstemanager. 2. Im Feld VERBINDUNGEN erweitern Sie WEBSITES und wählen die Website aus, für die Sie eine Anwendung erstellen wollen. 3. Im Kontextmenü der Website wählen Sie den Eintrag ANWENDUNG HINZUFÜGEN
aus. 4. In die Eingabebox ALIAS geben Sie einen Namen für die URL der Anwendung ein. Unter diesem Namen ist die Anwendung später ansprechbar. 5. Über die Schaltfläche AUSWÄHLEN können Sie einen anderen Anwendungspool (siehe Seite 1050) als den Standard DefaultAppPool auswählen oder gleich einen neuen Pool erstellen lassen. 6. Im Eingabefeld PHYSIKALISCHER PFAD geben Sie den Ordner an, der die Webanwendung beinhalten soll.
1050____________________________________________16 Internet Informationsdienste 7. Die Bestätigung erfolgt über OK. Das Kommandozeilen-Pendant für diese Prozedur finden Sie in Abschnitt 16.3.7 Das Kommadozeilentool AppCmd.exe ab Seite 1059.
16.3.2 Anfragebearbeitung für den Webserver konfigurieren Zur Bearbeitung von Anfragen an den Webserver werden Anwendungspools benutzt. Ein Anwendungspool isoliert Websites von Webanwendungen. Das bietet ein höheres Maß an Zuverlässigkeit, Verfügbarkeit und Sicherheit. Gruppiert werden sollten Websites und Webanwendungen, die dieselbe Konfiguration haben. Diese Gruppierung verhindert, dass Ressourcen, die von einer Webanwendung genutzt werden, auch einer anderen zur Verfügung stehen. So können Sie die Webanwendungen mehrerer Kunden oder Abteilungen voneinander trennen. Diese Teilung bringt auch einen Performancegewinn, denn eine schlecht programmierte Anwendung beeinflusst die gut funktionierenden nicht.
Anwendungspool erstellen 1. Öffnen Sie den IIS-Dienstemanager. 2. Im Feld VERBINDUNGEN erweitern Sie die Zweige unterhalb Ihres Servers und markieren ANWENDUNGSPOOLS. Das Hauptfenster in der Mitte zeigt jetzt die Anwendungspools. 3. Klicken Sie im Aktionsfeld auf der rechten Seite den Eintrag ANWENDUNGSPOOL HINZUFÜGEN
an. 4. Im Dialog ANWENDUNGSPOOL HINZUFÜGEN geben Sie im Feld NAME eine »sprechende« Bezeichnung ein. Abbildung 16.6: Neuen Anwendungspool hinzufügen
5. Im Feld .NET FRAMEWORK-VERSION wählen Sie die Version aus, die von ihrer verwalteten Anwendung gebraucht wird. Ist das nicht nötig, geben Sie KEIN VERWALTETER CODE an. 6. Im Feld VERWALTETER PIPELINEMODUS geben Sie an, welcher Modus für die Anfragebearbeitung benutzt werden soll. KLASSISCH bedeu-
16.3 Den Internet Information Server verwalten______________________________1051 tet, dass die Anfragebearbeitung für IIS und ASP.NET getrennt vorgenommen wird. 7. Belassen Sie das Kontrollkästchen ANWENDUNGSPOOL SOFORT STARTEN auf aktiviert, steht der neue Pool zur Verfügung, sobald Sie mit OK bestätigen.
Anwendungspool steuern 1. Öffnen Sie den IIS-Dienstemanager. 2. Im Feld VERBINDUNGEN erweitern Sie die Zweige unterhalb Ihres Servers und markieren ANWENDUNGSPOOLS. Das Hauptfenster in der Mitte zeigt jetzt die Anwendungspools. Wählen Sie den Anwendungspool aus, den Sie kontrollieren wollen. 3. Im Aktionsfeld (rechte Seite) können Sie den ausgewählten Anwendungspool mit dem Eintrag STARTEN in der Sektion AUFGABEN FÜR ANWENDUNGSPOOL starten und mit B EENDEN herunterfahren. 4. Für den Fall, dass Sie Schwierigkeiten mit einer Webanwendung haben, deren Fehlerbehebung durch Anpassen des Codes nicht einfach möglich ist, können Sie mit WIEDERVERWENDEN
DES ANWENDUNGSPOOLS eine schnelle Abhilfe schaffen.
Anwendungspool einrichten In der Sektion ANWENDUNGSPOOL BEARBEITEN im Aktionsfeld können Sie weitere Einstellungen vornehmen. Über den Eintrag WIEDERVERWENDUNG
kann das Recycling des Pools zu bestimmten Zeiten automatisch stattfinden. Schwellwerte für ein Wiederverwenden können auch eingestellt werden für das Erreichen einer bestimmten Laufzeit, einer Anzahl von Anfragen oder das Erreichen der Speichernutzung von virtuellem oder gesamt genutztem Speicher. ERWEITERTE EINSTELLUNGEN lässt eine exakte Parametrisierung der Arbeitsprozesse zu.
16.3.3 HTTP-Einstellungen konfigurieren Für das HTTP-Protokoll gibt es eine Reihe von Einstellungen, die Sie im IIS vornehmen können.
HTTP-Umleitungen einrichten Damit Benutzer zu einer anderen Website, einem anderen Verzeichnis oder einer anderen Datei umgeleitet werden können, muss die Umleitung auf dem gewünschten Level eingeschaltet sein. Dazu wählen Sie die Ebene aus, für die die Umleitung eingeschaltet werden soll. In der Ansicht »Features« aktivieren Sie Umleitungsregeln mit einem Dop-
1052____________________________________________16 Internet Informationsdienste pelklick. Im Aktionsfeld klicken Sie auf ANWENDEN. Um eine Umleitungsregel hinzuzufügen, gehen Sie folgendermaßen vor: 1. Navigieren Sie zu der Ebene, für die die Regel eingerichtet werden soll. 2. In der Ansicht »Features« doppelklicken Sie auf Umleitungsregeln. 3. Auf der Seite für Umleitungsregeln klicken Sie auf HINZUFÜGEN im Aktionsfeld. 4. Im Dialog UMLEITUNGSREGEL HINZUFÜGEN geben Sie unter ANFRAGE den Dateinamen, die URL oder das Verzeichnis an, das umgeleitet werden soll, wenn der Benutzer es anfragt. 5. Im Dialog UMLEITUNGSREGEL HINZUFÜGEN geben Sie unter ZIEL den Dateinamen, die URL oder das Verzeichnis an, wohin der Benutzer umgeleitet werden soll.
HTTP-Fehlermeldungen individualisieren Wenn Sie den Ort einer selbst erstellten Fehlerdatei ändern, können Sie durch Anpassen der Fehlerseiten auf diese Datei verweisen. Das ist vor allem dann sinnvoll, wenn sich der Typ der Fehlerdatei ändert. Machen Sie aus einer statischen Datei eine dynamische Datei mit individuell angepasstem Inhalt. Um die Fehlermeldungen anzupassen, gehen Sie so vor: 1. Öffnen Sie den IIS-Manager und navigieren Sie zu der Ebene aus der Sie die Anpassung vornehmen wollen. Das können der Webserver selbst, eine Website, eine Webanwendung, Verzeichnisse oder eine URL sein. 2. In der Ansicht »Features« aktivieren Sie durch Doppelkick auf FEHLERSEITEN den dazugehörigen Dialog. 3. Im Dialog FEHLERSEITEN, der sich im Hauptfenster zeigt, markieren Sie den Fehler, für den Sie die Fehlermeldung ändern wollen. 4. Im Aktionsfeld klicken Sie unter AKTIONEN auf BEARBEITEN.... Abbildung 16.7: Fehlermeldung den Bedürfnissen anpassen
5. Im Dialog BENUTZDEFINIERTE FEHLERSEITE BEARBEITEN wählen Sie bei PFADTYP den Typus der Fehlermeldung aus.
16.3 Den Internet Information Server verwalten______________________________1053 Mögliche Optionen sind: DATEI: Eine Html-Seite mit statischem Inhalt aufrufen URL AUSFÜHREN: Eine dynamische (Asp-)Seite ausführen UMLEITEN: Den Browser auf eine andere URL umlenken 6. Bei PFAD geben Sie das entsprechende Ziel an.
Verzeichnis durchsuchen lassen Damit Sie den Benutzern das Durchsuchen von Verzeichnissen ermöglichen können, ist eine Aktivierung dieser Funktion nötig. Dies kann auf Webserver, Website- oder Verzeichnis-Ebene stattfinden. Zur Aktivierung diese Funktion gehen Sie so vor: 1. Öffnen Sie den IIS-Manager und navigieren Sie im Fenster Verbindungen zu der betroffenen Ebene. 2. In der Ansicht »Features« klicken Sie doppelt auf VERZEICHNIS DURCHSUCHEN. 3. Im Aktionsfeld wird eine Warnung zu sehen sein, dass die Verzeichnissuche deaktiviert ist. Unter AKTIONEN klicken Sie auf AKTIVIEREN, um das zu ändern. Sie können jetzt mit der Freigabe bestimmter Verzeichnisinformationen fortfahren, die angezeigt werden, wenn kein bestimmtes Dokument im Browser angegeben wurde. Dazu aktivieren oder deaktivieren Sie die Kontrollkästchen im Hauptfenster. Zur Auswahl stehen die Uhrzeit, die Größe, die Erweiterung (Suffix) und das Datum des Verzeichnisinhalts. Für die Datumsangabe können Sie zwischen Kurzund Langform wählen. Damit die ausgewählten Kästchen gelten, bestätigen Sie mit ÜBERNEHMEN im Aktionsfeld.
16.3.4 Website und Webanwendungen verwalten Die Verwaltung von Websites und Anwendungen lässt sich im IIS auch an andere Benutzer delegieren.
Website- und Webanwendungsverwaltung für die Delegierung erstellen Für die Verwaltung von Websites und Webanwendungen können Sie eine Rollentrennung zwischen Systemadministrator, Websiteadmistrator und Webanwendungsverwalter vornehmen. So kann die Aufgabe des Webmasters (Websiteadminstrator) von der des Systemadministrators entkoppelt werden. Ein Webmaster braucht keine Admistrationsrechte für das Vista-System. Wenn Sie zum Zwecke der Delegierung einen Website- oder Webanwendungsadministrator einrichten, können Sie entweder auf ein Benutzerkonto eines Domänenbenutzers zurückgreifen oder Sie benutzen einen eigens für diesen Zweck eingerichteten Benutzer, der über den IIS-Manager eingerichtet wird. Dieser Benutzer kann ausschließlich für den Zugriff auf die Konfiguration
1054____________________________________________16 Internet Informationsdienste durch den IIS-Manager benutzt werden. Systemadministratoren können nur die Verwaltung von Websites oder Webanwendungen delegieren. Die Steuerung des Webservers obliegt ihnen immer. Neue Website- oder Webanwendungsadministratoren erstellen Sie so: 1. Öffnen Sie den IIS-Manager und navigieren Sie zu der Website oder der Webanwendung, für die Sie weitere Administratoren benennen wollen. 2. In der Ansicht »Features« klicken Sie zweimal auf ADMINISTRATOREN. 3. In der Administratoren-Seite erscheint im Aktionsfeld auf der rechten Seite je nach Auswahl WEBSITEADMINISTRATOR HINZUFÜGEN oder WEBAHNWENDUNGSADMINISTRATOR HINZUFÜGEN. 4. Je nach Auswahl erscheint der dazugehörige Dialog zum Erstellen des Administrators. Wählen Sie WINDOWS aus, wenn ein vorhandenes Windows-Benutzerkonto dafür in Frage kommt. Wählen Sie IIS MANAGER aus, wenn Sie einen separaten Benutzer erstellen wollen. Geben Sie in diesem Fall den Benutzernamen an und wiederholen dessen Kennwort in beiden Eingabefeldern.
Website- und Webanwendungsadministration delegieren Im IIS 7.0 können Sie Features im IIS-Manager zu Website- und Webanwendungsadmistratoren delegieren. Um Website- oder Webanwendungsadministratoren einzusetzen, gehen Sie wie folgt vor: 1. Starten Sie den IIS-Manager und navigieren Sie über das Navigationsfeld Verbindungen zu der Website oder der Webanwendung, die Sie an einen anderen Administrator delegieren wollen. 2. In der Ansicht »Features« klicken Sie doppelt auf ADMINISTRATOREN. 3. Die Administratoren-Seite erscheint. Im Aktionsfeld auf der rechten Seite können Sie Website- oder Webanwendungsadministratoren der jeweiligen Ebene zuordnen. Die Delegierung umfasst noch weitere Aspekte, die den Rahmen dieses Buches aber sprengen würden. Delegierung kann auf den Ebenen Features, Administratoren und Verwaltungsdienst stattfinden.
16.3.5 Aktivitäten des Webservers beobachten Zur Leistungsbeurteilung und Überwachung bringt der IIS einige Werkzeuge mit.
Auslastung ansehen Wenn Sie feststellen, dass Ihr Webserver längere Zeit braucht, um auf Anfragen zu antworten, ist es Zeit, dem Übel auf dem Grund zu ge-
16.3 Den Internet Information Server verwalten______________________________1055 hen. Das wird bei einer Vista-Arbeitsstation selten der Fall. Da Sie mit dem IIS-Manager aber auch den IIS auf Servern verwalten können, sollen die Möglichkeiten kurz aufgezeigt werden. Sie können eine Liste der aktuellen Anfragen für einen bestimmten Arbeitsprozess ansehen. Daraus lassen sich Rückschlüsse ziehen, warum einige Anfragen länger brauchen. 1. Starten Sie den IIS-Manager. 2. Im Navigationsfeld VERBINDUNGEN öffnen Sie den zu untersuchenden Server. 3. Damit sich die Liste der Arbeitsprozesse im Hauptfenster öffnet, klicken Sie doppelt auf ARBEITSPROZESSE. 4. Wählen Sie einen Arbeitsprozess aus der Liste aus. 5. Im Aktionsfeld klicken Sie auf AKTUELLE ANFRAGEN ANSEHEN. 6. Im Hauptfenster sehen Sie eine Auflistung der Arbeitsprozesse. Es werden Informationen über Anwendungspoolname, Prozess-ID, Zustand, CPU-Auslastung, Private Bytes und Virtuelle Bytes angezeigt. Private Bytes ist die aktuelle Größe des zugesicherten Arbeitsspeichers für den Arbeitsprozess. Das ist die Größe des virtuellen Speichers im Task-Manager. Virtuelle Bytes ist die aktuelle Größe des virtuellen Adressraums des Arbeitsprozesses.
Fehlgeschlagene Anforderungen verfolgen Wenn Anforderungen an einen Server zu lange dauern oder Anfragen gar nicht beantwortet werden, können Sie Ablaufverfolgungsregeln erstellen. Diese Regeln sorgen für die Erfassung von Ereignissen, die in Zusammenhang mit der Anforderungsbearbeitung stehen. So definieren Sie die Ablaufverfolgungsregeln für Anforderungsfehler: 1. Öffnen Sie den IIS-Manager und navigieren Sie zu der Ebene, die Sie verwalten wollen. 2. In der Ansicht »Features« doppelklicken Sie auf ABLAUFVERFOLGUNGSREGELN FÜR ANFORDERUNGSFEHLER. 3. Ist das dazugehörige Fenster geöffnet, können Sie über HINZUFÜGEN
im Aktionsfeld einen Assistenten starten, der Ihnen bei der Einrichtung der Regel behilflich ist. 4. Im ersten Dialogfenster INHALT FÜR ABLAUFVERFOLGUNG ANGEBEN definieren Sie das Objekt, für das Ereignisse »mitgeschnitten« werden sollen. Das können ASP- und ASP.NET-Dateien sein, aber auch x-beliebige Dateien, die im Verdacht stehen. Die Auswahl GESAMTER INHALT kann die Auswertung unübersichtlich machen. 5. Im Dialogfenster ABLAUFBEDINGUNGEN DEFINIEREN legen Sie Statuscodes und/oder den Zeitraum fest. 6. Den funktionalen Bereich für die Ablaufverfolgung legen Sie im nächsten Dialogfenster fest. Unter den Anbieter können Sie ASP, ASP.NET, ISAPI Extension oder WWW-Server wählen. Der Ausführlichkeitsgrad und der Bereich, die der Anbieter verfolgen soll, können genau definiert werden.
1056____________________________________________16 Internet Informationsdienste Um die Ablaufverfolgung nutzen zu können, reicht die Einrichtung, wie eben beschrieben, nicht aus. Sie muss außerdem aktiviert werden. Dazu führen Sie folgende Schritte aus: 1. Öffnen Sie den IIS-Manager und navigieren Sie im Navigationsfenster VERBINDUNGEN auf WEBSITES. 2. Im Hauptfenster wählen Sie die Website aus, für die die Ablaufverfolgung eingeschaltet werden soll. 3. Der Inhalt des Aktionsfelds ändert sich, sodass Sie jetzt unter KONFIGURIEREN den Eintrag ABLAUFVERFOLGUNG FÜR ANFORDERUNGSFEHLER
auswählen können. 4. Im Dialog ABLAUFVERFOLGUNG FÜR ANFORDERUNGSFEHLER FÜR DIE
markieren Sie das Kontrollkästchen AKTIVIEREN, um die Ablaufverfolgung einzuschalten. Abbildung 16.8: Ablaufverfolgung für Anforderungsfehler einschalten
5. Sie sind gut beraten, wenn Sie die Ablaufverfolgungsdateien nicht auf dem Systemlaufwerk speichern lassen, wie es die Standardeinstellung ist. Die maximale Anzahl der Dateien brauchen Sie nur zu erhöhen, wenn Sie einen stark frequentierten Server beobachten.
Protokollierung einer Website Ein/Ausschalten Die Systemsicherheit kann auch durch Prüfung der Protokolle erfolgen. Abgesehen davon enthalten Protokolle vielfältige Informationen über die Besucher der Website. Die Protokolle können auf Webserverund Website-Ebene angelegt werden. Sie können nicht nur fehlgeschlagene Anfragen, sondern auch erfolgreiche protokollieren lassen. Die HTTP-Protokollierung muss zu diesem Zweck installiert sein. Überprüfen Sie die Einträge unterhalb von INTERNETINFORMATIONSDIENSTE in der Kategorie P ROGRAMME UND FUNKTIONEN in der Systemsteuerung. Zu den Protokolleinstellungen gelangen Sie so: 1. Öffnen Sie den IIS-Manager. Er ist unter %SystemRoot\system32\Inetsrv\Inetmgr.exe zu erreichen. 2. Im Navigationsfenster VERBINDUNGEN klicken Sie auf WEBSITES.
16.3 Den Internet Information Server verwalten______________________________1057 3. Das Hauptfenster in der Mitte stellen Sie auf die Ansicht »Features«. Dort klicken Sie auf die Website, für die die Protokollierung eingeschaltet werden soll. 4. Im Kontext-sensitiven Aktionsfenster auf der rechten Seite klicken Sie auf PROTOKOLLIERUNG unter KONFIGURIEREN. 5. Im Dialog WEBSITEPROTOKOLIERUNGSEINSTELLUNGEN ANPASSEN wählen Sie AKTIVIEREN in der Sektion PROTOKOLLIERUNGSEINSTELLUNGEN. 6. Unter PROTOKOLLDATEIORDNER können Sie den Pfad der Logdatei verstellen. Den Standard %SystemDrive%\Inetpub\logs\LogFiles sollten Sie nicht belassen. Es ist besser, die Logdatei auf einem anderen Laufwerk als dem Systemlaufwerk schreiben zu lassen. 7. In der Sektion NEUE LOGDATEI ANLEGEN legen Sie fest, wann mit der Erstellung einer neuen Logdatei für die Protokollierung begonnen werden soll. Als Intervalle stehen die Optionen TÄGLICH, STÜNDLICH, MONATLICH und WÖCHENTLICH zur Auswahl. Außerdem kann ein Trigger eingeschaltet werden, der eine neue Logdatei anlegt, sobald die benutzte Datei eine festgelegte Größe erreicht. Mit NIEMALS wird das Rollieren der Logdateien ausgeschaltet und nur eine einzige Datei verwendet. 8. Optional können Sie angeben, nach welcher Zeitzone sich der IIS bei der Erstellung der Logdateien richtet. Lokale Zeit könne Sie solange benutzen, wie Sie nicht Server in verschiedenen Zeitzonen miteinander vergleichen wollen. Schließen Sie den Dialog mit WEITER. 9. Unter PROTOKOLLIERUNGSEINSTELLUNGEN wählen Sie jetzt die Daten aus, die protokolliert werden sollen. FERTIGSTELLEN schließt den Dialog.
16.3.6 Webserver-Sicherheit Ein besonderes Augenmerk sollten Sie auf die Sicherheitseinstellungen Ihres Webservers legen. Der Internet Information Server 7 bietet ausgezeichnete Möglichkeiten für eine sichere Einrichtung und Bereitstellung von Webinhalten.
Authentifizierung einstellen Die Authentifizierung hilft dabei sicherzustellen, die Identität von Clients zu bestätigen, die Zugriff auf Ihre Website oder Ihre Webanwendung haben wollen. Der Internet Information Server 7 unterstützt vielfältige Methode für die Authentifizierung. Standardmäßig eingestellt sind die integrierte Windows-Authentifizierung und die anonyme Authentifizierung. Prinzipiell gibt es zwei Arten der Authentifizierung, die nicht gleichzeitig benutzt werden können. Eine Art basiert
1058____________________________________________16 Internet Informationsdienste auf einen Challenge and Response-Mechanismus. Das bedeutet, dass ein Client auf eine Herausforderung des Servers antworten muss. Die zweite Art ist die Umleitung auf eine Anmeldeseite, auf der der Benutzer Kontendaten eingibt. Die integrierte WindowsAuthentifizierung ist ein Vertreter der erstgenannten Art, während die Formularauthentifizierung zur zweiten Art zählt. Die einzelnen Authentifizierungsmethoden darzustellen übersteigt den Rahmen dieses Buches. Am Beispiel der integrierten Windows-Authentifizierung kann hier deshalb nur exemplarisch die Verwaltung gezeigt werden. Windows-Clients können das NTLM-Protokoll oder das KerberosProtokoll für die Authentifizierung benutzen. Damit eignet sich diese Lösung für Intranet-Umgebungen, denn Clients und Webserver befinden sich in derselben Domäne. Außerdem verlangt Kerberos v5 eine Verbindung zum Active Directory, die bei Internetverbindungen nicht durchführbar ist. Standardmäßig ist beim Internet Information Server 7 nur die anonyme Authentifizierung aktiviert. Um die Windows-Authentifizierung einzuschalten, gehen Sie folgendermaßen vor: 1. Starten Sie den IIS-Manager und navigieren bis zu der Ebene, die verwaltet werden soll. 2. Das Hauptfenster stellen Sie auf die Ansicht »Features«. Ist die Ansicht nach Kategorien sortiert, finden Sie das Symbol für die AUTHENTIFIZIERUNG unter SICHERHEIT. Abbildung 16.9: Authentifizierung im IIS-Manager einstellen
3. Wählen Sie die WINDOWS-AUTHENTIFIZIERUNG aus. Die Auswahl hängt von den installierten Authentifizierungsmethoden ab. 4. Im Aktionsfeld klicken Sie auf AKTIVIEREN , um die Authentifizierung auf Windows-Ebene einzuschalten.
16.3 Den Internet Information Server verwalten______________________________1059 URL-Autorisierungsregeln einstellen Sie können bestimmten Computern, Computergruppen oder Domänen den Zugriff auf Webanwendungen oder Verzeichnisse auf Ihrem Webserver einräumen oder verweigern. Mit einer URL-Autorisierungsregel können Sie auf einfache Weise bestimmten Abteilungen Ihres Unternehmens den Zugang zu vertraulichen Daten erlauben und Nicht-Mitgliedern verweigern. Autorisierungsregeln erstellen Sie so: 1. Starten Sie den IIS-Manager, navigieren Sie über das Navigationsfenster VERBINDUNGEN zu der Ebene, für die Autorisierungsregeln eingerichtet werden sollen. 2. Klicken Sie im Hauptfenster auf AUTORISIERUNGSREGELN im Bereich IIS. 3. Im Aktionsfeld auf der rechten Seite aktivieren Sie ZULASSUNGSREGEL HINZUFÜGEN
4. Im Dialog AUTORISIERUNGSZULASSUNGSREGEL HINZUFÜGEN können die in der folgenden Abbildung sichtbaren Optionen für den Zugriff genutzt werden. Abbildung 16.10: Zulassungsregeln für die Autorisierung
5. Wenn Sie die Checkbox DIESE REGEL AUF BESTIMMTE VERBEN ANWENDEN aktivieren, können Sie den Zugriff auf den Inhalt durch Benutzung von bestimmten HTTP-Verben, wie GET oder POST, gestatten. Auf dieselbe Art lassen sich auch Ablehnungsregeln erstellen.
16.3.7 Das Kommadozeilentool APPCMD.EXE Das Kommandozeilentool APPCMD.EXE bietet viele Möglichkeiten den Internet Information Server 7 per Skript zu steuern. Die APPCMD.EXE befindet sich in folgendem Ordner: C:\Windows\System32\inetsrv
1060____________________________________________16 Internet Informationsdienste Damit APPCMD.EXE ohne Pfadangabe von allen Ordern aus aufgerufen werden kann, sollten Sie diesen Ordner in den Systempfad mit aufnehmen (mehr zu Anwendungen und Pfaden in Abschnitt 3.9.5 Registrierungseinträge und die Path-Angabe auf Seite 169). Die Syntax von APPCMD.EXE sieht wie folgt aus: Appcmd Tabelle 16.1 Übersicht über die Objekttypen der APPCMD.EXE
Beispiel 1: Anlegen einer Website
Beispiel 2: Starten eines Webanwendungspools
Bedeutung
Objekttypen SITE
Verwaltung von virtuellen Sites (Websites)
APP
Verwaltung von Webanwendungen
VDIR
Verwaltung von virtuellen Verzeichnissen
APPPOOL
Verwaltung von Anwendungspools
CONFIG
Verwaltung allgemeiner Konfigurationsabschnitte
WP
Verwaltung von Arbeitsprozesse (WP=Worker Process)
REQUEST
Verwaltung von HTTP-Anforderungen
MODULE
Verwaltung von Servermodulen
BACKUP
Verwaltung von Serverkonfigurationssicherungen
TRACE
Arbeiten mit Ablaufverfolgungsprotokollen für Anforderungsfehler
Die Befehle stehen nicht für alle Objekttypen gleichermaßen zur Verfügung. Um herauszufinden, ob für einen bestimmten Objekttyp ein Befehl existiert, geben Sie das ein: AppCmd /? An zwei Beispielen zeigen wir die Verwendung der APPCMD.EXE: AppCmd add site /name: /id: /physicalPath: /binding: Die Parameter dafür lauten: /name: Die Zeichenfolge gibt den Namen der Website an. /id: Eine Zahl, die einer Website als Ordnungszahl zugewiesen wird. /physicalPath: Die Zeichenfolge enthält den Pfad des Website-Ordners. /binding: Die Zeichenfolge ist eine Kombination aus Protokoll, IPAdresse, Portnummer und Hostheader. site /name:firmaxy /id:3 /physicalPath:c:\inetpub\firmaxy /binding:http/*:81:entwicklung.firmaxy.com AppCmd start apppool /apppool.name: Der Parameter /apppool gibt den Namen des Anwendungspools an.
16.3 Den Internet Information Server verwalten______________________________1061
16.3.8 FTP-Dienste anbieten Der IIS kann auch als FTP-Server arbeiten. Im lokalen Netz macht das nicht sehr viel Sinn, im Intranet schon eher, wenn einige Clients über FTP-Software verfügen. Der FTP-Server steht im Internet Information Server 7 nur zur Verfügung, wenn der FTP-Publishingdienst unter INTERNETINFORMATIONSDIENSTE in der Kategorie PROGRAMME UND FUNKTIONEN in der Systemsteuerung explizit installiert wurde. Für die Verwaltung des FTP-Servers wird der Internetinformationsdienste 6.0Manager benötigt. Abbildung 16.11: Der IIS 6.0-Manager für FTP
Für den FTP-Server wurde bereits bei der Installation eine Verknüpfung mit einem Verzeichnis eingerichtet. Das Stammverzeichnis finden Sie hier: %Systemdrive%\inetpub\ftproot Aufrufen können Sie den Inhalt, wenn Sie im Browser oder einem FTP-Programm den folgenden Namen eingeben: ftp://servername/ Der Zugriff erfolgt hier anonym, was grundsätzlich erlaubt und möglich ist. Der anonyme Nutzer hat nur Leserechte. Der Internet Explorer zeigt die Dateien auf einem FTP-Server ähnlich wie im Explorer an. Allerdings können in diesem Modus keine Dateien hinzugefügt werden. Sie können die FTP-Site im Windows Explorer öffnen. Dazu wählen Sie den Eintrag FTP-SITE IN WINDOWSEXPLORER ÖFFNEN aus der Dropdown-Liste, die unter SEITE in der Symbolleiste des Internet-Explorers verfügbar ist.
1062____________________________________________16 Internet Informationsdienste Abbildung 16.12: Zugriff auf den FTPServer über den Internet Explorer
Anlegen neuer FTP-Sites Außer der bereits vorhandenen Standard-Site, der Default FTP Site, können Sie weitere FTP-Sites selbst erstellen und verwalten. Unterhalb der FTP-Sites dürfen Sie beliebig viele virtuelle Verzeichnisse einrichten (mehr dazu in Abschnitt Anlegen eines neuen virtuellen FTPVerzeichnisses auf Seite 1064). Abbildung 16.13: FTP-Server Benutzerisolation einrichten
Zum Anlegen einer neuen FTP-Site öffnen Sie den Internetinformationsdienste 6.0-Manager und navigieren unterhalb des Servers auf FTP-SITES. Mit Rechtsklick öffnen Sie das Kontextmenü und wählen über NEU den Eintrag FTP-SITE
aus. Es startet ein kleiner Assistent.
16.3 Den Internet Information Server verwalten______________________________1063 Nach einem Begrüßungsschirm erwartet der Assistent die Angabe einer Beschreibung für die FTP-Site. Auf der folgenden Dialogseite geben Sie die IP-Adresse des FTP-Server, sofern der Vista-PC über mehrere Netzwerkkarten verfügt, und die zu verwendende Portnummer an. Im nächsten Schritt wird die nachträglich nicht veränderbare Einstellung für die Benutzerisolation abgefragt. Mit der Benutzerisolation können Sie verhindern, dass Benutzer auf die Ordner anderer Benutzer zugreifen. FTP-basierte Basisverzeichnisse werden jedoch nicht häufig verwendet, so dass Sie den Standard BENUTZER NICHT ISOLIEREN übernehmen können. Im vorletzten Dialog geben Sie das Basisverzeichnis der neuen FTP-Site an. Sofern noch nicht geschehen, können Sie auch einen Ordner dafür erstellen lassen. Im letzten Schritt legen Sie die Zugriffsberechtigung auf LESEN, SCHREIBEN oder Beides fest.
Berechtigungen für Websites und Verzeichnisse einstellen Über das Kontextmenü können Sie NTFS-Berechtigung auf der Website-Ebene oder für das virtuelle Verzeichnis ändern. Der Eintrag lautet in beiden Fällen BERECHTIGUNGEN. Über den Eintrag E IGENSCHAFTEN eines virtuellen Verzeichnisses lassen sich weitere Angaben zur Sicherheit machen. Auf der Registerkarte VIRTUELLES VERZEICHNIS können die Schreib-Lese-Berechtigungen geändert werden. Die andere Registerkarte VERZEICHNISSICHERHEIT ermöglicht die Begrenzung des Zugriffs auf bestimmte IP-Adressen oder Subnetze. Der IntranetZugriff ganzer Abteilungen Ihrer Firma kann damit leicht gesteuert werden. Abbildung 16.14: Berechtigungen für ein virtuelles Verzeichnis festlegen
1064____________________________________________16 Internet Informationsdienste Anlegen eines neuen virtuellen FTP-Verzeichnisses Für die einzelnen FTP-Sites des FTP-Servers können Sie virtuelle Verzeichnisse einrichten. Das Anlegen eines neuen FTP-Verzeichnisses kann über den Kontextmenüpunkt NEU | VIRTUELLES VERZEICHNIS erfolgen. Es startet ein Assistent, der die wichtigsten Daten abfragt: ALIAS Legen Sie den Namen fest, der nach außen also im Internet sichtbar wird. PFAD Hiermit wird der Alias mit einem physischen Pfad verknüpft. Zugriffsrechte LESEN und SCHREIBEN Stellen Sie hier ein, ob Lese- und Schreibrechte (unabhängig voneinander) vergeben werden. Dies ist eine globale Einstellung. Nur wenn hier Schreibrechte bestehen, können diese später einzelnen Nutzern explizit gegeben oder entzogen werden. Abbildung 16.15: Rechte für FTP-Zugriffe auf Verzeichnisebene
Hier können Sie auch entscheiden, ob Benutzern Schreibrechte erteilt werden. Diese Rechte überlagern die im NTFS verfügbaren Rechte. Wenn dort überhaupt keine Zugriffsmöglichkeiten definiert wurden, kann der IIS dies nicht übergehen. Um den Umgang mit diesen Vorgängen zu vereinfachen, können Sie den Berechtigungsassistenten einsetzen (siehe vorhergehender Abschnitt).
FTP-Protokolle Der FTP-Server schreibt seine Daten in ein eigenes Protokoll. Das Stammverzeichnis ist: %Systemroot%\system32\LogFiles Dort finden Sie mindestens das Verzeichnis \MSFTPSVC1. Jeder Dienst, der installiert wird, erzeugt ein weiteres Verzeichnis nach dem Schema MSFTPSVCXX, wobei XX eine fortlaufende Nummer ist. Dies erlaubt die Trennung der Protokolle für mehrere Domains. Haben Sie nur eine Domain oder arbeitet der IIS im lokalen Intranet, gibt es nur ein Verzeichnis. Die Einrichtung der Protokolle erfolgt über die Managementkonsole. Im Dialog EIGENSCHAFTEN können Sie auf der Registerkarte FTP-SITE die Protokollierung aktivieren, das Protokollformat auswählen und festlegen, wie das Protokoll abgespeichert wird.
16.3 Den Internet Information Server verwalten______________________________1065
16.3.9 Active Server Pages ASP-Skripte sind normalerweise in HTML-Seiten eingebettete Befehlsfolgen. Wenn diese Datei dann die Endung .ASP erhält, entsteht eine ASP-Datei. Innerhalb der HTML-Quelltexte kann die Skriptsprache sowohl innerhalb von HTML-Tags als auch als eigenständige Befehlssequenz angeordnet werden. Umgekehrt können die Strukturen der Skriptbefehle unterbrochen und mit HTML-Befehlen oder Text durchsetzt werden. Diese fast beliebige Vermischung führt zwar mitunter zu verwirrenden Codes, bietet aber eine hohe Leistungsfähigkeit und direkte Programmierung. Die Verwendung von HTML ist jedoch kein Zwang. Sie können auch reine VBScript-Skripte schreiben.
Eine sehr kurze Einführung in VBScript VBScript und andere Skriptsprachen bieten sowohl einfache Befehle als auch komplette Statements an, wie die Abfrage einer Bedingung IF...THEN...ELSE. Das komplette Konstrukt bildet eine Einheit, THEN kann nie ohne ein davor geschriebenes IF auftreten. Ein Beispiel: = #12:00:00# AND time Je nach Rückgabe der Funktion time wird der Variablen gruss der entsprechende Text zugeordnet. Die Ausgabe innerhalb der HTML-Seite kann nun durch Abruf der entsprechenden Variablen erfolgen: Wenn der Nutzer die Datei mit seinem Browser morgens anfordert, wird er mit dem Satz »Guten Morgen« begrüßt. Die ermittelten Werte müssen nicht in Variablen gespeichert und anderswo ausgegeben werden, denn ASP ist bei der Vermischung von Skript und HTML sehr flexibel. Denselben Effekt wie im ersten Beispiel kann man auch einfacher erreichen: =#12:00:00# AND time Guten Abend Guten Morgen Ein Statement lässt sich also in seine Bestandteile zerlegen und mit dem HTML-Code mischen. Das führt zwar nicht zu einer übersichtlichen Struktur der Skripte, erhält aber die Struktur der HTML-Tags. Sie sollten sich für die eine oder andere Variante entscheiden, je nachdem
Listing 16.1: Kleines VBScriptBeispiel
Listing 16.2: Ausgabe mit Hilfe der Variablen
Listing 16.3: Direkte Einbindung in den HTML-Code
1066____________________________________________16 Internet Informationsdienste
Die Grundstruktur einer HTML-Seite
Listing 16.4: Grundstruktur einer HTML-Seite
ob der Schwerpunkt der Applikation das Skript oder das Layout der Seite ist. Komplexe Skripte sollten an den Anfang der Seite gestellt, die Steuerung von HTML-Tags dagegen in der gezeigten Form direkt im BODY der Seite untergebracht werden. Die ASP-Engine bearbeitet die zugewiesenen Seiten von oben nach unten (mit einer Einschränkung, die gleich erläutert wird). HTMLSeiten haben normalerweise folgende Grundstruktur: <TITLE>Das ist der Titel Das ist der Text ASP-Skripte können sowohl im HEAD- als auch im BODY-Teil stehen. Alle Befehle, die im HEAD-Teil stehen und ausgeführt werden, führen allerdings nicht zur Anzeige im Browser. Der Browser zeigt nur Daten an, die im BODY-Teil stehen. Manchmal ist es aber wichtig, dass Teile der Skripte vor dem Aufbau der Seite ausgeführt werden. Diese Skripte bringen Sie im HEAD-Teil unter, da dieser Teil zuerst ausgeführt wird.
Andere Skriptsprachen JScript und VBScript
Listing 16.5: Verwendung des Tags SCRIPT
ASP arbeitet auch mit anderen Skriptsprachen. Da die mit Windows Vista ausgelieferte Version auch JScript, das Microsoft-Pendant zu Netscapes Javascript, beherrscht, ist bei manchen Problemen der Wechsel der Sprache angebracht. Dazu gibt es das HTML-Tag <SCRIPT>. Eine JScript-Funktion könnte damit mit einem VBScriptBefehl aufgerufen werden: <SCRIPT RUNAT="Server" LANGUAGE="JSCRIPT"> function TestFunktion() { response.write("Funktion aufgerufen") } Da das Tag <SCRIPT> aus zwei Teilen besteht, die eine Einheit bilden, dürfen die Statements innerhalb der Skriptsektion nicht zerrissen werden. Das bedeutet, dass die oben beschriebene Zeitabfragefunktion nicht aus zwei Skriptteilen bestehen darf. Allerdings sind in einer
16.3 Den Internet Information Server verwalten______________________________1067 ASP-Datei mehrere Tags <SCRIPT> möglich und ein mehrfacher Wechsel der Sprache ist auch innerhalb der Seite erlaubt. Wird dauerhaft eine andere Skriptsprache benutzt, ist das Tag <SCRIPT> unter Umständen lästig. Deshalb können Sie die Sprache dauerhaft mit einem speziellen Befehl umschalten oder in der Administration des IIS fest einstellen. Standardmäßig ist die Einstellung VBScript. Die Einstellung können Sie für jede Website getrennt ändern. Klicken Sie im Hauptfenster des IIS-Managers auf das Symbol ASP, das Sie im Bereich IIS finden. Stellen Sie die Skriptsprache ein und bestätigen Sie die Auswahl mit ÜBERNEHMEN im Aktionsfeld. Abbildung 16.16: Die Standardskriptsprache für ASP einstellen
16.3.10 Weitere Skriptsprachen Neben ASP kann der IIS natürlich auch so erweitert werden, dass Perl oder PHP verwendet werden können. Perl ist nach wie vor die wichtigste CGI-Skriptsprache. Neben vielen anderen Implementierungen hat sich ActivePerl in der Microsoft-Welt etabliert, da damit die gewohnte ASP-Welt zur Verfügung steht.
Quelle und Installation von ActiveStates Active Perl 5.8 ActivePerl wird von ActiveState geliefert und steht als Open Source kostenfrei zur Verfügung. Sie können sich die Programme unter folgender Adresse beschaffen: http://www.activestate.com Active Perl 5.8 liegt dort als msi-Datei vor. Die Installation mit Hilfe Installation des Installationsassistenten ist relativ einfach. Auf einigen Windows Vista-Systemen kann es zu Problemen mit der Aktualisierung der Datei AUTOEXEC.BAT kommen, wo der Suchpfad zur PERL.EXE aktualisiert wird. Sie können die Änderungen aber auch von Hand vornehmen.
1068____________________________________________16 Internet Informationsdienste Bei den Installationsoptionen deaktivieren Sie den Eintrag ADD PERL TO PATH ENVIRONMENT VARIABLE. Sie vermeiden dann die Probleme mit der Aktualisierung der AUTOEXEC.BAT. Wenn die Verknüpfung der Erweiterung .pl mit PERL.EXE den kompletten Pfad beinhaltet, ist der Suchpfad nicht zwingend erforderlich. Bei reinen Webanwendungen treten damit kaum Probleme auf. Wenn Sie dagegen Perl-Skripte vom Kommandoprompt aus ausführen, wird der Suchpfad benötigt. Dies gilt auch für Windows-Applikationen in Perl, die mit dem Grafikmodul Tk arbeiten.
Installationstipps zu ActivePerl Perl als ISAPI-Modul oder CGI-Modul
Listing 16.6: »Hello World« als reines Perl-Skript
ActivePerl kann als ISAPI-Programm durch Verknüpfung der Erweiterung .pl mit dem ausführbaren Programm PERLIS.DLL oder dem Programm PERL.EXE (CGI) installiert werden. Für die Zuordnung gehen Sie so vor: 1. Öffnen Sie den IIS-Manager und den entsprechenden Server. 2. Im Hauptfenster der Standardwebsite (oder der Website, in dem Perl ausgeführt werden soll) wählen Sie HANDLERZUORDNUNGEN aus. 3. Im Aktionsfeld öffnen Sie den Dialog SKIPTZUORDNUNG HINZUFÜGEN über den gleichnamigen Eintrag. 4. Bei ANFORDERUNGSPFAD tragen Sie die Erweiterung *.pl ein und geben dort als Pfad zur ausführbaren Datei folgendes an: Perl als CGI-Modul: c:\perl\bin\perl.exe %s %s Perl als ISAPI-Modul: c:\perl\bin\perlis.dll Das folgende kleine Listing ist die Perl-Variante von »Hello World«. print "Content-type: text/html", "\n\n"; print write("Hello World"); $Response->write(""); } %> Beide Skripte erzeugen dieselbe Ausgabe. Beachten Sie beim Aufruf von ASP-Objekten wie Response, dass Perl Groß- und Kleinschreibung unterscheidet und Sie die Objektnamen exakt wie angegeben schreiben müssen.
Perl als ASP-Modul
Listing 16.7: »Hello World« mit PerlScript
PHP als alternative Skriptsprache zu ASP PHP ist eine Skriptsprache zur Erstellung dynamischer Websites nicht mehr, aber auch nicht weniger. Die erste Version entwickelte 1994 Rasmus Lerdorf, der eigentlich nur eine Möglichkeit zur Programmierung seines eigenen Webservers suchte. Er nannte seine kleine Skriptmaschine »Personal Home Page Tools«. Die Applikation stellte er ins Netz und ließ die freie Verbreitung zu. So entstand PHP, als Abkürzung zu »Personal Home Page«. Später entwickelten die Open Source-Jünger, bekannt für kryptische Akronyme, die rekursive Version »PHP HyperText Preprocessor«. Dieser Name gilt inzwischen als offiziell. Sie erhalten PHP für Windows von der offiziellen Seite unter dieser Adresse: www.php.net Alternativ ist eine sehr gute Windows-Version unter der folgenden Adresse zu finden: www.php4win.de
PHP PHP Hypertext Preprocessor
Quellen
1070____________________________________________16 Internet Informationsdienste PHP selbst benötigt keine weiteren Dateien. Die Installationspakete enthalten alles Nötige. Empfehlenswert ist, sich noch mit der Open Source Datenbank MySQL zu beschäftigen, die bei MySQL auch für Windows verfügbar ist: www.mysql.com So richten Sie PHP als ISAPI-Modul im Internet Information Server 7 ein: 1. Laden Sie sich PHP von http://www.php.net/downloads.php als Zip-Datei herunter. 2. Entpacken Sie die Zip-Datei nach C:\PHP. 3. Kopieren Sie die Datei C:\PHP\php.ini-dist nach C:\Windows\php.ini und passen Sie sie nach Ihren Gegebenheiten an. 4. Öffnen Sie den IIS-Manager und navigieren Sie zu der Website, die PHP benutzen soll. 5. Im Hauptfenster klicken Sie auf HANDLERZUORDNUNGEN. Unter AKTIONEN auf der rechten Seite wählen Sie SKRIPTZUORDNUNGEN HINZUFÜGEN
aus. 6. Unter ANFORDERUNGSPFAD geben Sie *.php an. Als AUSFÜHRBARE DATEI suchen Sie C:\php\php5isapi.dll aus. Der Zuordnung vergeben Sie noch einen Namen. Testen können Sie Ihre Installation, indem Sie eine Textdatei mit dem Inhalt erstellen und unter test.php in das Rootverzeichnis Ihrer Website speichern. Mit dem Aufruf: http://localhost/test.php bekommen Sie eine Tabelle mit Details der PHP-Installation angezeigt.
16.3.11 Verschlüsselung von Websites Wenn Sie im Internet surfen und dabei auf eine gesicherte Seite kommen, wird SSL verwendet. Angezeigt wird dies durch das Schlosssymbol im Browser und die Angabe des Protokolls als HTTPS:. Intern sind die Prozesse allerdings weitaus komplexer. Wenn Sie Seiten mit SSL schützen möchten, müssen Sie die entsprechenden Funktionen des IIS 7.0 kennen.
Einsatz von Zertifikaten Die Grundlage der Verschlüsselung bilden Zertifikate. Ein Zertifikat sichert, dass der Betreiber einer Site tatsächlich derjenige ist, für den er sich ausgibt. Im Gegensatz dazu gibt es auch Clientzertifikate, die die Echtheit eines Nutzers belegen. Die Verschlüsselung ist also nur ein Teil der Funktionalität des Zertifikats, allerdings ein wesentlicher. Es enthält einen Schlüssel. Mit diesem Schlüssel wird der Übertragungsprozess gesichert. Das Zertifikat selbst wird zum Browser übertragen
16.3 Den Internet Information Server verwalten______________________________1071 und der Nutzer kann sich die enthaltenen Daten anschauen, um mehr über den Betreiber der Site zu erfahren. Das Zertifikat selbst ist fest an einen Domain- und Servernamen gebunden, sodass es nicht von Dritten missbraucht werden kann. Das gesamte Gebiet der Kryptografie und Sicherheitstechnik ist relativ kompliziert und soll hier nicht bis in alle Einzelheiten betrachtet werden. Der einführende Abschnitt liefert aber so viele Informationen, dass Sie mit den wesentlichen Begriffen umgehen und einen Webserver praktisch SSL-fähig machen können. Die Verschlüsselung von Daten soll folgendes gewährleisten: Sicherheit Daten können auf dem Transportweg nicht von anderen Personen gelesen werden. Identität Es kann sichergestellt werden, dass die an der Kommunikation beteiligten Parteien diejenigen sind, für die sie sich ausgeben. Authentizität Sie gewährleistet, dass die übertragenen Daten auf dem Transportweg nicht verfälscht werden. Heute wird überwiegend die asymmetrische Verschlüsselung eingesetzt. Bei der asymmetrischen Verschlüsselung müssen zwei Schlüssel existieren, die miteinander in einer bestimmten Beziehung stehen (die mathematischen Details sind für die Praxis weniger interessant). Der Schlüssel besteht aus einem Code (Bitfolge), der zum Kodieren und Dekodieren von Informationen verwendet wird. Die Kodierung selbst ist ein mathematischer Vorgang, der auf einem allgemein bekannten Verfahren basiert, beispielsweise DES oder Blowfish. Bei der asymmetrischen Verschlüsselung gibt es einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird offen übertragen. Der private Schlüssel muss dagegen an einem geheimen Ort aufbewahrt werden. Ihn darf kein anderer als der Inhaber zu Gesicht bekommen. Der Trick besteht in der geschickten Verwendung der Schlüssel. Wenn zwei Personen Daten sicher austauschen möchten, wird nur der öffentliche Schlüssel eingesetzt. Der Empfänger einer sicheren Nachricht sendet den öffentlichen Schlüssel an den Sender. Der Sender verschlüsselt diese Nachricht mit dem öffentlichen Schlüssel. Entschlüsselt werden kann die Nachricht nur mit dem passenden Teil des Schlüsselpaars dem privaten Schlüssel. Der ist aber niemandem außer dem Empfänger bekannt. Die Datei ist sicher verschlüsselt. So funktioniert auch SSL. Das Protokoll führt dabei die Übertragung der Schlüssel automatisch aus. Dass die Rechenvorgänge komplex sind, kann auf langsamen Computern gut beobachtet werden verschlüsselte Datenübertragungen verlaufen verzögert. Die Identität einer Nachricht wird ganz ähnlich sichergestellt. Will der Sender einer Nachricht belegen, dass er »echt« ist, verschlüsselt er eine Datei, die persönliche Daten enthält, mit seinem privaten Schlüssel. Die Dekodierung kann nun nur mit dem passenden öffentlichen
Zweck und Funktion der Verschlüsselung
Asymmetrische Verschlüsselung
Schlüssel
1072____________________________________________16 Internet Informationsdienste Schlüssel erfolgen. Das Verfahren ist also umkehrbar. Der öffentliche Schlüssel des Senders ist bekannt und kann vorher auf einem vertrauenswürdigen Weg übermittelt worden sein. Jeder Empfänger kann die Nachricht mit dem öffentlichen Schlüssel lesen. Senden konnte sie aber nur der Besitzer des privaten Schlüssels. Die Kombination beider Verfahren impliziert auch die Authentizität. Wenn nur eine bestimmte Person die Nachricht lesen kann (der reguläre Empfänger) und der Sender sich ausreichend ausgewiesen hat, besteht keine Manipulationsmöglichkeit auf dem Transportweg. Änderungen am Inhalt der kodierten Datei werden die Anwendung des jeweils anderen Schlüssels unbrauchbar machen. Für den Fall, dass nur die Authentizität interessant ist, der Inhalt aber keinen besonderen Schutz benötigt, reicht eine so genannte digitale Signatur aus. Hier erfolgt zwar eine Sicherstellung der Echtheit des Absenders, eine Verschlüsselung der Daten erfolgt aber nicht allerdings wird die Unterschrift verschlüsselt. Eingesetzt wird dieses Verfahren vor allem bei EMail.
Zertifikate
X.509
Die asymmetrische Verschlüsselung basiert im Wesentlichen auf der Verteilung öffentlicher Schlüssel und der Zuordnung zu den passenden privaten Schlüsseln. Die Verteilung öffentlicher Schlüssel ist ein Sicherheitsmerkmal. Die Echtheit des Schlüssels selbst sollte sichergestellt werden. Diese Aufgabe erfüllen Zertifikate. Zertifikate sind global definiert und an eine Person oder Institution, nicht an Daten gebunden. Das impliziert, dass der Inhaber eines Zertifikats sich ausweisen muss, wenn er ein auf ihn ausgestelltes Zertifikat haben möchte. Ein digitales Zertifikat ist ein eindeutiger Datensatz, der Informationen über eine Person oder Firma enthält. Das Format wird im Standard X.509 festgelegt. X.509 ist eine ganze Familie von Standards, die sich mit Formaten, Schnittstellen und Protokollen für die gesicherte Übertragung von Daten befasst. Die Zertifikatdefinition ist darin nur ein kleiner Teil. Im weitesten Sinne definiert X.509 eine so genannte Public Key Infrastruktur (PKI) die Standards also, die zum Aufbau einer eigenen Zertifikats- und Schlüsselstruktur eingesetzt werden. Ein guter, aber auch anspruchsvoller Start in die X.509-Welt ist unter der folgenden Adresse zu finden: www.ietf.org/html.charters/pkix-charter.html Zertifikate nach X.509 enthalten folgende Felder: Version Seriennummer Signatur-Algorithmus Aussteller Gültig ab und bis Name des Inhabers Öffentlicher Schlüssel des Inhabers
16.3 Den Internet Information Server verwalten______________________________1073 Digitale Unterschrift des Ausstellers Abbildung 16.17 zeigt diese Daten anhand eines Beispielzertifikats. Im unteren Feld ist der öffentliche Schlüssel zu sehen. Abbildung 16.17: Zertifikat im Internet Explorer
Je nach Einsatzzweck können noch weitere Daten über den Inhaber Die Certificate übertragen werden. Die Überprüfung der Daten wird durch die so Authority (CA) genannte Zertifizierungsautorität vorgenommen (CA, Certificate Authority). Das ist eine für alle Beteiligten vertrauenswürdige dritte Partei. In Deutschland sind dies die Telekom AG und die Fa. TC Trustcenter (www.trustcenter.de), ein Joint-Venture von vier Privatbanken. In den USA sind besonders Verisign und Thawte als Zertifizierungsautoritäten bekannt. Es bleibt anzumerken, dass diese Firmen private Unternehmen sind, die sich durch ihre Arbeit am Markt diese Stellung erworben haben. Eine staatliche Sanktionierung ist schwach ausgeprägt. Erst das Anfang 2000 verabschiedete Signaturgesetz regelt, unter welchen Bedingungen welche Arten von Zertifikaten auch im Falle eines Rechtsstreits anerkannt werden. Sie können Zertifikate auch mit dem in Windows 2000/2003 Server verfügbaren Zertifikatsdienst erstellen. Diese sind zwar nicht offiziell gültig, können aber beispielsweise im Intranet Mitarbeiter zertifizieren. Auf diese Technik wird in unseren Büchern Internet Information Server 5 und Windows Server 2003 eingegangen. Trotzdem sichern die auch heute schon verfügbaren Zertifikate eine Website sehr sicher ab. Der Aufwand, die Kontrollinstanzen zu umgehen, ist enorm und nur mit krimineller Energie zu überwinden. Abgesicherte Seiten gelten deshalb als sicher, solange man keine Millionen-
1074____________________________________________16 Internet Informationsdienste
Zertifikatstypen
geschäfte macht. Anders ist die Situation, wenn der Herausgeber des Zertifikats unbekannt ist. Der Zertifizierungsserver von Windows Vista kann selbst Zertifikate erzeugen. Statt Verisign wird dann »Entwickler-PC« als Aussteller erscheinen (oder wie auch immer der Name gewählt wird). Diese Zertifikate werden normalerweise nur im Intranet eingesetzt, wo die Echtheit der Daten durch den Administrator bestätigt wird. Es ist aber sinnvoll, sich damit auseinanderzusetzen, um die Techniken kennen zu lernen, die zur Verschlüsselung eingesetzt werden ohne einige hundert Dollar für ein echtes Zertifikat zu bezahlen. Zertifizierungsautoritäten sind keine öffentlich finanzierten Einrichtungen. Inzwischen gibt es viele Firmen, die diesen Service anbieten. Es gibt drei Typen von Zertifikaten: Serverzertifikate Diese werden eingesetzt, um einen Server mit SSL-Technologie auszustatten und betreiben zu können. Clientzertifikate Diese werden auch persönliche Zertifikate genannt und zum Sichern der Identität von Privatpersonen benutzt, beispielsweise bei EMails. Software-Zertifikate Diese Zertifikate sichern die Echtheit sowohl von Software als auch von Herstellern. Damit kann Software auch über das Internet verkauft werden, denn auf eingeschweißte Verpackungen und Hologramme kann verzichtet werden. Zertifizierungsstellen dienen der Identifizierung der Herausgeber von Zertifikaten. Dabei können Stammzertifikate untergeordnete Einheiten bilden. Beispielsweise lässt sich Trustcenter selbst von Verisign zertifizieren. Diese Struktur ermöglicht es, mit einer geringen Anzahl von Stammzertifikaten zu arbeiten. Das erleichtert die Kontrolle.
Ein Serverzertifikat beziehen Um eine Website zu sichern, müssen Sie folgendermaßen vorgehen (die Schritte werden nachfolgend noch genauer erläutert): 1. Stellen Sie sicher, dass die Domain für die Site korrekt angemeldet und freigeschaltet ist. 2. Erzeugen Sie mit den Serverwerkzeugen ein Schlüsselpaar und eine Zertifikatsanfrage. Diese Anfrage ist eine ASCII-Datei, die im Format PKCS#10 abgelegt wird. Der private Schlüssel wird in diesem Schritt erzeugt. Bewahren Sie ihn sicher auf. 3. Senden Sie die Anfragen an die Zertifizierungsinstanz. Dies kann per E-Mail oder per Formular an den Webserver erfolgen. Wenn Sie lokal selbst zertifizieren, verwenden Sie das entsprechende Werkzeug, beispielsweise den in Windows 2003 Server verfügbaren Zertifizierungsserver.
16.3 Den Internet Information Server verwalten______________________________1075 4. Führen Sie den Überprüfungsvorgang aus. Verisign beispielsweise verlangt bei Firmen einen Handelsregisterauszug und ruft den Inhaber telefonisch zurück Betrüger ohne Firmensitz haben so keine Chance. 5. Sie erhalten nun das Zertifikat als ASCII-Datei im Format PKCS#7. 6. Installieren Sie das Zertifikat auf dem Webserver. Ab sofort können Sie SSL verwenden. Verisign ist die bekannteste und größte Organisation zur Herausgabe von Zertifikaten. Alle anderen Anbieter haben ein vergleichbares Verfahren, sodass die folgenden Informationen auch dort gelten. Sie finden Verisign unter: www.verisign.com Zuerst müssen Sie die Schlüssel und die Anforderung erzeugen. Das ist mit dem IIS 7.0 sehr einfach, da es hierfür einen Assistenten gibt. Starten Sie den IIS-Manager, gehen Sie auf die zu sichernde Domain (den eigenen Server). Wählen Sie im Hauptfenster den Eintrag SERVERZERTIFIKATE. Im Aktionsfeld (rechte Seite) wählen Sie ZERTIFIKATANFORDERUNG ERSTELLEN aus. Die einzelnen Schritte durchlaufen Sie mit Hilfe eines Assistenten. Gehen Sie hier folgendermaßen vor: 1. Geben Sie die Attribute für das Zertifikat an.
Ein Zertifikat von Verisign beziehen
Schlüssel und Anforderung erzeugen
Zertifikat anfordern
Abbildung 16.18 Angaben für die Zertifikatsanforderung
Die Eigenschaften bedeuten im Einzelnen: GEMEINSAMER NAME Dieser Name sollte die Site eindeutig bezeichnen. Der Name kann nachträglich nicht mehr geändert werden. Computer, die im Internet frei erreichbar sind, müssen als vollständige Namen einschließlich Domain angegeben werden, beispielsweise winxp.comzept-gmbh.de. ORGANISATION(SEINHEIT) Der Name Ihrer Firma oder Organisation wird hier angegeben. Organisationseinheit kann eine Abteilung oder Filiale sein. Das hängt von Ihrer Unternehmensstruktur ab.
1076____________________________________________16 Internet Informationsdienste GEOGRAPHISCHE INFORMATIONEN Tragen Sie hier das Land (beispielsweise DE für Deutschland), das Bundesland und den Ort ein. Diese Angaben sind nur informeller Natur und können vom späteren Benutzer einer verschlüsselten Website eingesehen werden. Er kann anhand dieser Informationen bestimmen, ob der Betreiber der Site derjenige ist, für den er sich ausgibt. 2. Kryptografiedienst und Bitlänge Microsoft bietet zwei Kryptodienstanbieter für die Verschlüsselung an. Neben RSA mit einer Verschlüsselungsstärke von bis zu 16384 Bit wird auch die Verschlüsselung nach Diffie-Hellman mit 512 oder 1024 Bit angeboten. Abbildung 16.19: Kryptografiedienstanbieter auswählen
Listing 16.8: Beispiel einer Anforderungsdatei
3. Im letzten Dialog geben Sie den Dateinamen an, unter dem die Zertifikatsanforderung gespeichert werden soll. Der Assistent endet mit der Ablage der Anforderungen in der Anforderungsdatei. Der private Schlüssel dagegen wird lokal im Schlüsselspeicher abgelegt und nicht in der Datei. Jetzt senden Sie die Anforderungsdatei an die Zertifizierungsinstanz. Die Anforderungsdatei hat etwa folgendes Aussehen: -----BEGIN NEW CERTIFICATE REQUEST----MIICfDCCAiYCAQAwbDEWMBQGA1UEAxMNaG9tZS13aW4yMDAwcDEOMAwGA1UECxMF QV0b3IxEzARBgNVBAoTCkRhdGFCZWNrZXIxDzANBgNVBAcTBkJlcmxpbjEMA0G AUECBMGQmVybGluMQswCQYDVQQGEwJERTBMA0GCSqGSIb3DQEBAQUAA0sAMEgC QDe7jx6Q7dH2YAgQpZSeFLe8KDTFgthzZ+xXed68URnbabLJ4jC6Gx+9yfbHfR cbh05aORcdgE5I13bcq3ShhAgMBAAGgggFMBoGCisGAQQBgjcNAgMxDBYKNS4w LjIxOTUuMA1BgorBgEAYI3AgEOMScwJTAOBgNVHQ8BAf8EBAMCBPAwEwYDVR0l BAwwCgYIKYBBQUHAwEwgf0GCisGAQQBgjcNgIxge4wgesCAQEeWgBNAGkAYwBy 15/xZDY8Cgoxbyymtwq/tAPZ6dzPr9Zy30NkKQbKcsbLR/4t9/tWJIMmrFhZon rx12qBfICiKUXreSK89OILrLEto1frm/dycXHhStSsZdm25vszv827FKKk5bRW /vIIeBqfKEPJHOnoiG6UScvgA8QfgAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA0EA oHp1WS8awqEmECCs/Oo679ZLc5/lOetX51j57qh6ZtU1UeFUQgUCz97aTZWIzm AkjQ1mC/ySx65kfo7W2JSA== -----END NEW CERTIFICATE REQUEST----Das Anfordern des Zertifikats mit Hilfe der Anforderungsdatei erfordert folgenden Ablauf: 1. Gehen Sie zu Verisign und bestellen Sie ein Webserver-Zertifikat. Sie können auch ein Testzertifikat für 14 Tage nutzen, das kosten-
16.3 Den Internet Information Server verwalten______________________________1077 los ist. Das echte Zertifikat kostet 399 US-Dollar für ein Jahr. Für zwei Jahre werden mit Rabatt 695 US-Dollar verlangt. 2. Führen Sie den Assistenten auf der Website aus, wie nachfolgend beschrieben. 3. Installieren Sie das per E-Mail versendete Zertifikat. Wenn Sie ein Testzertifikat bestellen, müssen Sie eine kleine Sicherheitsschranke überwinden. Verisign will verhindern, dass mit den ungeprüften Testzertifikaten Missbrauch betrieben wird. Deshalb müssen Sie ein besonderes Stammzertifikat im Browser installieren. Die normalen Zertifikate sind dagegen bereits bekannt. Die Anforderungsdatei wird per Cut&Paste in das Formular eingefügt. Wichtig ist, dass auch die Begrenzungszeilen kopiert werden. Abbildung 16.20: Einfügen der Anforderungsdatei ins Formular
Wenn Sie dann Antwort von Verisign erhalten, kopieren Sie den Code vom Ende der E-Mail in eine eigene Zertifikats-Datei.
1078____________________________________________16 Internet Informationsdienste Abbildung 16.21: Rückantwort von Verisign
Jetzt starten Sie den Assistenten im IIS-Manager erneut. Wählen Sie unter SERVERZERTIFIKATE jetzt den Punkt ZERTIFIKATANFORDERUNG ABSCHLIEßEN. Sie müssen hier eine Datei angeben, die die Daten der Zertifizierungsstelle enthält. Das ist beispielsweise eine Datei mit dem Namen »certresp.cer«, die die Daten aus der E-Mail enthält. Kopieren Sie den Teil von ----BEGIN CERTIFICATE----- bis ----END CERTIFICATE--- dort hinein. Beim zweiten Start bietet der Assistent dann andere Optionen an. Der Assistent erkennt die Anforderung und zeigt auf der Seite Zusammenfassung die angeforderten Daten an.
Das Zertifikat anzeigen Mit dem Anzeigen des Zertifikats überprüfen Sie, ob die Angaben tatsächlich korrekt erfasst worden sind. Dieselben Informationen se-
16.3 Den Internet Information Server verwalten______________________________1079 hen später auch Nutzer, die die Site über den sicheren Kanal besuchen und sich über den Herausgeber informieren möchten. Abbildung 16.22: Anzeige des Zertifikats, um die Angaben zu prüfen
Markieren Sie das Zertifikat im Fenster SERVERZERTIFIKATE. Mit einem Rechtsklick öffnen Sie das Kontextmenü. Wählen Sie ANZEIGEN aus. Sie können nun die gesamte Site, für die das Zertifikat angefordert wurde, per SSL ansprechen. Das geschieht über das Protokoll HTTPS. Für Testzwecke und für den Einsatz im Intranet können Sie ein selbst- Selbstsigniertes signiertes Zertifikat erzeugen. Wenn Sie das Fenster SERVERZERTIFIKA- Zertifikat TE geöffnet haben, wählen Sie den Eintrag SELBSTSIGNIERTES ZERTIFIKAT ERSTELLEN
aus und folgen den Anweisungen. Damit Sie Ihre Website unter HTTPS erreichen können, ist es erforderlich, dass Sie das Protokoll an die Website binden. Den Dialog WEBSITEBINDUNGEN erreichen Sie entweder über das Kontextmenü der Website mit dem Eintrag BINDUNGEN BEARBEITEN
oder im Aktionsfeld über den Eintrag BINDUNGEN
, der sich in der Sektion Site bearbeiten befindet. Im Dialog können Sie über die Schaltfläche HINZUFÜGEN weitere Websitebindungen angeben. Wählen Sie https aus und geben Sie das Serverzertifikat an. Wenn Sie die Nutzung von SSL nicht optional anbieten, sondern erzwingen möchten, öffnen Sie das Fenster SSL-Einstellungen. Das Symbol SSL-Einstellungen finden Sie im Hauptfenster im Bereich IIS, wenn Sie doppelt auf Ihre Website klicken. Aktivieren Sie das Kontrollkästchen SSL ERFORDERLICH.
1080____________________________________________16 Internet Informationsdienste Abbildung 16.23: SSL erzwingen
Seit dem Fall der Exportrestriktionen der USA für höhere Verschlüsselungsbreiten sind die Browser mit 128-Bit-Verschlüsselungsbreite ausgestattet. Wenn Sie mit älteren (56-Bit)-Clients rechnen, deaktivieren Sie die Option 128-BIT-SSL ERFORDERLICH . Starten Sie nun einen Zugriff, beispielsweise auf »localhost«. Wenn Sie als Protokoll »http:« eingeben, sollte eine Fehlermeldung wie in Abbildung 16.24 gezeigt erscheinen. Abbildung 16.24: Fehlermeldung beim Zugriff ohne SSL
Mit der Angabe »https:« dagegen wird nun eine verschlüsselte Verbindung aufgebaut. Mit einem Doppelklick auf das Schlosssymbol des Internet Explorers können Sie das Zertifikat ansehen.
Das Zertifikat entfernen Falls Sie nur ein Testzertifikat verwendet haben, werden Sie es irgendwann entfernen wollen, entweder um unverschlüsselt weiter zu arbeiten oder ein vollwertiges Zertifikat zu nutzen. Dazu klicken Sie
16.3 Den Internet Information Server verwalten______________________________1081 im Hauptfenster des IIS-Managers auf die Schaltfläche SERVERZERTIFIKAT. Markieren Sie das betreffende Zertifikat und wählen Sie ENTFERNEN im Kontextmenü oder im Aktionsfeld aus. Sie können das Zertifikat entfernen und dann ein neues hinzufügen. Einer Site kann aber immer nur ein Zertifikat zugeordnet werden.
Umgang mit Domainnamen Haben Sie mehrere Domains auf einem Server oder mehrere virtuelle Webs eingerichtet, können Sie diesen aber verschiedene Zertifikate zuordnen. Bei Domains muss das auch so sein, denn die Zertifikate sind an den Namen des Servers gebunden. Beachten Sie bei der Anforderung des Zertifikats, dass der vollständige Name angegeben werden muss. Wenn Sie Ihren Server www.server.de nennen, müssen Sie dies auch so angeben. Haben Sie ein Zertifikat für »server.de«, wird der Name »www« nicht akzeptiert. Diese Einstellung kann zwar im Nameserver unterdrückt werden (einige Sites verzichten bekanntlich auf das »www«), üblich ist dies aber nicht und mag den einen oder anderen Nutzer irritieren. Legen Sie sich dagegen auf den Namen fest, können Sie den Server später nicht einfach in »www2« umbenennen. Dies ist wichtig, wenn mit verschiedenen Servern gearbeitet wird. In diesem Fall sind auch verschiedene Zertifikate nötig.
16.3 Den Internet Information Server verwalten______________________________1083
17 17Multimedia Windows Vista ist mehr als nur ein Betriebssystem, mit dem Sie die Hardware Ihres Computers für Anwendungen nutzbar machen. Es bietet in einem Maße wie keiner seiner Vorgänger Unterhaltung sei es als multimediale Arbeitsstation oder als leistungsfähige Plattform für moderne Computerspiele. In den folgenden Abschnitten erhalten Sie einen Überblick über die Möglichkeiten und Grenzen der integrierten Funktionen.
1084___________________________________________________________17 Multimedia
Inhaltsübersicht Kapitel 17 17.1 17.2 17.3 17.4 17.5 17.6 17.7
Einführung und Grundlagen .................................... 1085 CD und DVD-Brennen unter Windows ................. 1113 Windows Media Player 11......................................... 1123 Windows Movie Maker im Detail ............................ 1138 Digitale Bilder.............................................................. 1149 Soundsystem................................................................ 1161 Windows Vista als Spieleplattform .......................... 1164
17.1 Einführung und Grundlagen __________________________________________1085
17.1 Einführung und Grundlagen Windows Vista bietet bereits standardmäßig eine bemerkenswerte Unterstützung für die digitale Verarbeitung von Bild, Ton und Video. Hinzu kommt die immer weiter entwickelte DirectX-Schnittstelle, die Windows in den letzten Jahren zur meistgenutzten Spieleplattform bei PCs gemacht hat. In der Home Professional Edition (und natürlich in der allumfassen- Media Center den Ultimate) bringt Vista das Media Center mit. Für Windows XP gibt es eine spezielle Media Center Edition. Im vorliegenden Buch wird das Media Center allerdings nicht behandelt, weil der Fokus auf den professionellen Editionen liegt. Sie finden umfassende Informationen auf diesen Webseiten: www.microsoft.com/windowsxp/mediacenter www.mce-community.de/index.php
17.1.1 Multimedia-Eigenschaften von Vista Die nachfolgende Aufstellung soll Ihnen einen Überblick über die in Windows Vista integrierten Multimedia- und Spielefunktionen geben.
Audio-Unterstützung Über den Windows Media Player können Sie Ihre Audio-CDs abspielen sowie im Windowseigenen Format WMA auf Ihrem Computer archivieren. Dabei werden die Daten in einem einstellbaren Kompressionsverfahren so verdichtet, dass die zu speichernde Datenmenge drastisch reduziert wird. Schon die Versionsnummer 11 zeigt an, dass der Media Player einige Evolutionsstufen hinter sich gelassen hat und sich jetzt in einem Gewand präsentiert, das der Neuling in Sachen digitaler Medien einerseits schnell erlernt, das auf der anderen Seite aber auch dem anspruchsvollen Musikliebhaber genügt, der eine große Musiksammlung sein Eigen nennt. Eine Musik-Bibliothek, bei der sogar die Namen der einzelnen Musiktitel und Alben über eine Internet-Abfrage ermittelt werden, hilft Ihnen, die Übersicht zu behalten. Die Bibliothek ist bei der Version 11 benutzerfreundlicher gestaltet als bei seinen Vorgängern. Neben dem WMA-Format gibt es eine Unterstützung für MP3. Das ist der am weitesten etablierte Standard, wenn es um digital gespeicherte Musik geht. Schon der Media Player 10 beherrschte neben dem Abspielen auch die Erzeugung von MP3-Dateien. Im Windows Media Player 11 setzt sich diese Funktionalität fort. Zusätzlich werden weitere Formate angeboten.
Windows Media Player
Volle MP3-Unterstützung seit Version 10
1086___________________________________________________________17 Multimedia 1:1-Kopie von CDs mit Zusatzsoftware
Leider bietet Ihnen auch Windows Vista standardmäßig keine Lösung, mit der Sie CDs, ob in einem Audio- oder Datenformat, 1:1 kopieren können. Wenn Sie diese Funktion benötigen, bleibt nur der Einsatz einer zusätzlichen Software (siehe auch Abschnitt 17.2.3 Fehlende Funktionen und andere Programme ab Seite 1119).
Video-Verarbeitung Neben Audio-Daten kann der Media Player mit Video-Daten umgehen. Dabei werden verschiedene Standard-Formate unterstützt und Windows Movie zur Anzeige auf dem Computermonitor gebracht. Das betrifft beiMaker spielsweise Streaming-Video über das Internet oder Filme, die Sie von einem digitalen Camcorder in den Computer überspielen und mit dem Windows Movie Maker in Form bringen können. Dieses Programm ist eine leicht zu bedienende Video-Schnittlösung, die natürlich keine professionelle Video-Verarbeitung ersetzen kann. Als Zielgruppe werden damit in erster Linie Hobby-Filmer angesprochen, die ohne viel Einarbeitungsaufwand kleinere Videos aus ihrem Rohmaterial erstellen können. Video-CDs erzeugen Richtig interessant wird das Thema Heimvideo sicherlich erst, wenn mit Zusatzsoftware die erzeugten Filme nicht nur auf dem Computer, sondern auch auf dem heimischen DVD-Player laufen. Wenn Sie einen CD/DVDBrenner besitzen, kann die beigelegte Brenn-Software in der Regel mit entsprechenden Funktionen erweitert werden oder bringt diese sogar gleich mit. Als Ergebnis können Sie dann eine Video-CD oder Super Video-CD erzeugen und auf dem Fernseher ausgeben. Die Erstellung eigener DVD-Videos ist, wollen Sie gewohnte DVDDVD-Videos Qualität und -Bedienkomfort nutzen, von der eingesetzten DVD-Authoring-Software abhängig. Auf einfache Weise kann Ihnen der Windows DVD Maker weiter helfen. Der Windows Media Player ist endlich standardmäßig in der Lage DVD wiedergeben mit Media Player DVD-Videos wiederzugeben. Eine Erweiterung wie noch in den oder Media Center früheren Versionen nötig braucht nicht installiert zu werden. Neben dem Media Player ist auch das Media Center fähig DVDs abzuspielen. Sie finden weiterführende Informationen zu diesem Themenkomplex Mehr ab Seite 1134 in Abschnitt 17.3.3 Video-Abspielfunktionen ab Seite 1134.
Erfassen und Verarbeiten von digitalen Bildern
Einfach anschließen!
Bilder weitergeben oder veröffentlichen
Bilder über einen Scanner in Windows einzulesen oder aus einer digitalen Kamera in den Computer zu übertragen ist sehr einfach. Voraussetzung dafür ist nur, dass Sie moderne Hardware einsetzen. Für die meisten aktuellen Geräte bringt Windows Vista bereits geeignete Treiber mit. Nach dem Anschluss können Sie dann, wenn alles korrekt erkannt werden konnte, sofort loslegen und die Bilder am Bildschirm betrachten oder ausdrucken. Wollen Sie Ihre Bilder an Freunde oder Bekannte über das Internet weitergeben, stehen Ihnen ebenfalls einfach zu handhabende Mög-
17.1 Einführung und Grundlagen __________________________________________1087 lichkeiten zur Verfügung. So können Sie Bilder per E-Mail versenden, wobei die Bildgröße automatisch so angepasst wird, dass die Qualität noch ausreicht, die Übertragungsdauer aber nicht ausufert. Sie können Ihre Bilder auch direkt im Internet veröffentlichen. Für die Weiterverarbeitung digitaler Bilder und Fotos stehen einfache Werkzeuge bereit, mit denen Sie einige Korrekturen vornehmen können. Allerdings sollten Sie nicht zu viel erwarten umfassende Retuschen sind damit nicht durchführbar. Eingehend werden diese Windows Vista-Funktionen in Abschnitt 17.5 Digitale Bilder ab Seite 1149 beschrieben.
Ansehen, ausgeben und leichte Korrekturen
Mehr ab Seite 1149
Spiele-Unterstützung Alle modernen PC-Computerspiele laufen inzwischen direkt unter Windows. Genau genommen wird hierbei die Grafikschnittstelle DirectX angesprochen, die zum Standard gereift und in Windows Vista als Version 10 integriert ist. Neben DirectX für die Grafik wartet Windows Vista mit einer umfassenden Unterstützung für Spiele-Eingabegeräte auf. So finden sich bei den standardmäßig unterstützten Geräten nicht nur welche von Microsoft selbst, sondern ebenfalls die anderer Hersteller. Auf der sicheren Seite sind Sie aber auch hier, wenn Ihr Spiele-Equipment nicht älter als zwei Jahre ist und über USB angeschlossen werden kann. Problematisch sind allerdings ältere DOS-Spiele, die eigene Treiber für die Grafikansteuerung verwenden. Diese Spiele laufen in der Regel problemlos unter Windows 9x/Me, da hier noch das alte MS-DOS vorhanden ist und für den Spielestart genutzt werden kann. Windows wird dazu dann vollständig verlassen, sodass das Spiel die volle Kontrolle über die Computerhardware erlangt. Das kann mit Windows Vista nicht funktionieren, da hier kein MS-DOS mehr verfügbar ist. Es gibt dennoch einige Konfigurationsmöglichkeiten, über die Sie das eine oder andere lieb gewonnene Spiel vielleicht zum »Mitspielen« unter Vista bewegen können. Das gesamte Thema wird in Abschnitt 17.7 Windows Vista als Spieleplattform ab Seite 1164 näher erläutert.
17.1.2 Einige Grundlagen zu Multimedia-Datenformaten Wenn Sie die Multimedia-Funktionen von Windows Vista in vollem Umfang nutzen, werden Sie immer wieder mit verschiedenen Datenformaten konfrontiert ob für Audio, Video oder digitale Bilder. Einen Überblick über die unter Windows Vista am häufigsten benutzten Formate finden Sie in diesem Abschnitt.
DirectX 10 als Standard-Schnittstelle
Spiele-Eingabegeräte
Problematisch: Ältere DOS-Spiele
Mehr ab Seite 1160
1088___________________________________________________________17 Multimedia Was sind Audio- und Video-Codecs? Wenn Sie die Audio- und Video-Funktionen von Windows Vista ausreizen, werden Sie sicher des Öfteren dem Begriff Codec begegnen. Codec ist im Computerbereich eine Wortschöpfung aus den Begriffen Compressor und Decompressor. Allgemein wird damit eine Technologie bezeichnet, die Daten komprimieren und dekomprimieren kann. Eine andere geläufige Bezeichnung ist auch Encoder/Decoder. Mit eiEncoder/Decoder nem Encoder werden Datenströme dekodiert (auch entschlüsselt und/oder dekomprimiert), während mit einem Decoder die Kodierung (Verschlüsselung und/oder Komprimierung) erfolgt. Da im Hinblick auf Multimedia-Inhalte die Verschlüsselung immer mehr eine Rolle spielt, ist diese zweite Bezeichnung im Grunde korrekter. In Windows Vista werden mit Codecs Softwarekomponenten bezeichnet, über die die verschiedenen Multimedia-Formate erzeugt oder abgespielt werden können. Die Kompression spielt dabei eine zentrale Rolle schließlich sind Multimedia-Datenströme, gerade wenn eine hohe Qualität gefordert ist, sehr umfangreich. Bei den verwendeten Kompressionsverfahren werden meist verlustbehaftete Algorithmen verwendet, die aber so optimiert sind, dass die menschlichen Sinne (Gehör und Auge) möglichst perfekt getäuscht werden. Gute Beispiele dafür sind MPEG für Video- oder MP3 für Audio-Daten (mehr dazu in den nächsten beiden Abschnitten). Codecs nachrüstbar Es sind deutlich mehr Codecs in Windows Vista für das Abspielen (Dekomprimierung) als für das Erzeugen (Komprimieren) enthalten. Immerhin bietet der Media Player seit der Version 10 nicht nur einen MP3-Decoder, sondern liefert frei Haus auch einen MP3-Encoder mit. Compressor/ Decompressor
Abbildung 17.1: Systeminformationen mit Angabe der Codecs
17.1 Einführung und Grundlagen __________________________________________1089 So ermitteln Sie, welche Audio- und Video-Codecs in Ihrem System installiert sind: 1. Starten Sie über die Eingabeaufforderung oder START | AUSFÜHREN das Programm MSINFO32.EXE. 2. Erweitern Sie KOMPONENTEN | MULTIMEDIA. Sie sehen dann unter AUDIOCODECS und VIDEOCODECS alle installierten Codecs. So können Sie beispielsweise kontrollieren, ob ein Codec, den Sie nachträglich installiert haben, hier auch eingetragen ist. Unter STATUS finden Sie einen Hinweis, ob der Codec an sich ordnungsgemäß funktioniert. Will die betreffende Audio- oder Videofunktion trotzdem nicht laufen, kontrollieren Sie die Einstellungen zum Grafik- oder Audioadapter sowie zu DirectX. Codecs installieren Sie übrigens nicht über dieses InformationsFenster, sondern über das Installationsprogramm des jeweiligen Herstellers. Zum Deinstallieren finden Sie die Komponente dann in der Systemsteuerung unter PROGRAMME UND FUNKTIONEN.
Kontrolle der Codecs
Codecs installieren und deinstallieren
Digitale Audio-Formate Windows Vista unterstützt über den Media-Player verschiedene Audio-Formate, von denen die wichtigsten hier vorgestellt werden. Wichtig sind die Kenntnisse der grundlegenden Eigenschaften dieser Formate vor allem dann, wenn Sie Titel von Audio-CDs nicht nur auf dem PC archivieren oder anhören, sondern auch eigene Musiksammlungen auf CD brennen wollen. WMA Auf dieses Format werden Sie vermutlich zuerst treffen, wenn Sie sich mit dem Media Player beschäftigen. Die Grundtechnologie des Windows Media Formats wird für Audio, Video sowie für das Streaming eingesetzt, und zwar mit diesen Datei-Erweiterungen: - Audio: WMA (Windows Media Audio) - Video: WMV (siehe Seite 1094) - Streaming: ASF (siehe Seite 1096) Im Vergleich zum ungleich populäreren MP3-Format soll WMA eine etwas bessere Audio-Qualität aufweisen. Allerdings ist der Unterschied marginal, wenn Sie bedenken, dass selbst angebliche Audio-Kenner Probleme haben, richtig kodierte MP3- von Original-CD-Titeln zu unterscheiden. Mit seinem Ableger WMA Pro hat Microsoft ein neues Format hinzugefügt, das »schlanke« Mediendateien bei guter Qualität produziert. Es ist für mobile Geräte mit wenig Speicherplatz gedacht. Microsoft wird nicht müde, die Vorzüge von WMA gegenüber MP3 hervorzuheben. Allerdings ist der Haken erst nach genauerem Hinsehen zu entdecken: Mit dem neuen DRM (Digital Rights Management) hält eine Technologie im Media Player und in sein Standardformat WMA Einzug, mit dem digitale Musikstücke lizenziert werden können. Das Ziel ist klar: So soll eine Möglichkeit
Windows Media Audio
Digital Rights Management
1090___________________________________________________________17 Multimedia
MPEG 1 Layer 3
MP3-Dateien erzeugen
Advanced Audio Coding
Apple: AAC und Fairplay
geschaffen werden, die das unkontrollierte Weitergeben von digitalisierter Musik wirksam verhindert. Derart lizenzierte Titel können Sie, abhängig von der Lizenz, dann beispielsweise nur noch auf Ihrem eigenen Computer wiedergeben. Auch kann eine zeitlich begrenzte Nutzung definiert werden, nach deren Ablauf die Datei nicht mehr abspielbar ist. Ohne Zweifel müssen Urheberrechte der Musiker und deren Verlage geschützt werden. Ob sich allerdings derart restriktive Maßnahmen wie das neue DRM durchsetzen, bleibt abzuwarten. Glücklicherweise gibt es auch eine Welt außerhalb der MicrosoftStandards MP3. MP3 Der Media Player in Windows Vista verarbeitet auch problemlos dieses populäre digitale Audio-Format. MP3 (MPEG 1 Layer 3) wurde vom Fraunhofer Institut entwickelt und bietet eine sehr wirksame und einstellbare Kompression von Audio-Daten bei trotzdem guter Qualität an. Bei dem Verfahren werden die Höreigenschaften des menschlichen Ohrs ausgenutzt und, vereinfacht gesagt, »ähnlich« klingende Passagen mit ausgeklügelten Verfahren vereinheitlicht. Insofern ist die Kompression verlustbehaftet. Allerdings grau ist alle Theorie: Bei einer üblichen Einstellung für eine hohe Audio-Qualität, die immer noch eine Kompressionsrate von 1:10 erreicht, werden Sie wahrscheinlich größte Schwierigkeiten haben, Original und Kopie auseinanderzuhalten. Dabei gilt: Je mehr die Musik Unterhaltungscharakter hat (»Disco-Musik«), desto weniger werden Sie Unterschiede hören können. Das Gegenbeispiel sind Jazz-Passagen, bei denen Sie in den hohen Tonlagen vielleicht Verzerrungen zum Original wahrnehmen können ein geschultes Ohr vorausgesetzt. Im Gegensatz zu WMA gibt es für MP3 eine sehr breite Auswahl an Abspielgeräten. Das reicht von einer Vielzahl portabler MP3fähiger CD-Player über reine winzige digitale MP3-Player bis hin zu MP3-fähigen stationären Audio-CD- und DVD-Abspielgeräten. Der Media Player kann seit der Version 10 standardmäßig MP3Dateien abspielen und auch erzeugen. Das voreingestellte Standard-Format ist allerdings WMA. AAC Diese Abkürzung steht für Advanced Audio Coding und wird von manchen als MP3-Nachfolger gehandelt. Tatsächlich weist dieser Codec, entwickelt von der MPEG (siehe Seite 1093), einige qualitative Verbesserungen gegenüber MP3 auf. Allerdings liegt sein Hauptvorteil auf einem anderen Gebiet: AAC lässt sich mit einem DRM kombinieren. Apple nutzt AAC zusammen mit dem DRM Fairplay, um Titel über seinen iTunes Music Store vermarkten zu können. Als externes Abspielgerät kommt der populäre iPod zum Einsatz. Die Kombination aus AAC und Fairplay hält Apple bislang exklusiv und vergibt keine Lizenzen an
17.1 Einführung und Grundlagen __________________________________________1091 Dritthersteller. Unter Windows ist immerhin die Apple-eigene Software iTunes verfügbar, sodass Titel aus dem Apple-Store bezogen und abgespielt werden können. Ungeschützte WMA-Dateien lassen sich mit der Windows-Version von iTunes nach AAC konvertieren. Der iPod kann ebenfalls von Windows aus mit Dateien versorgt werden. Auf dieser Website finden Sie weiterführende Informationen: www.apple.com/de Die Firma RealNetworks setzt ebenfalls auf AAC, kombiniert dieses aber mit dem DRM Helix. Mit dem iPod sind dermaßen kodierte Titel dadurch nicht abspielbar. Helix unterstützt neben AAC andere Formate, beispielsweise RealAudio, RealVideo und MPEG-4. WMA ist allerdings nicht dabei. Abspielbar sind die Dateien über den Real Player. Weitere Informationen bietet diese Website: http://germany.real.com/player Ogg Vorbis Als freie Alternative zu MP3 und AAC wurde dieses Format entwickelt. Qualitativ kann sich das hier verwendete verlustbehaftete Kompressionsverfahren durchaus mit den beiden kommerziellen Konkurrenten messen. Die meisten externen Player unterstützen das Format jedoch nicht, aber für den Media Player gibt es ein Plug-In. In der Spieleprogrammierung hat es jedoch seinen Platz gefunden und wird oft für die Sounduntermalung eingesetzt. Mehr Informationen finden Sie auf dieser Website: www.vorbis.com AIF Das Audio Interchange File Format ist kompressionslos und bietet eine verlustfreie Qualität. Dieses können Sie mit dem Media Player abspielen, allerdings nicht erzeugen. AIF-Dateien erhalten Sie beispielsweise nach richtiger Einstellung über Apples iTunes, welches allerdings einen Apple Macintosh-Computer voraussetzt. So lassen sich CDs verlustfrei archivieren. WAV Das Windows Audio-Format bietet ebenfalls keine Kompression. Mit dem Media Player 11 können Sie dieses verlustfreie Format direkt erzeugen. Sie erhalten Dateien auch in diesem Format, wenn Sie Aufnahmen mit dem Windows Audiorecorder, beispielsweise über ein angeschlossenes Mikrofon oder den Line-In-Eingang der Soundkarte, speichern (siehe auch Abschnitt 17.6.3 Audiorecorder ab Seite 1162). Bei der Erzeugung von WAV-Dateien kommt standardmäßig PCM (Pulse Code Modulation) zum Einsatz. Dabei können Sie einstellen, in welcher Qualitätsstufe die Audio-Daten digitalisiert werden sollen. Die folgende Tabelle zeigt typische Einstellungen und die damit einhergehende Datenrate und Dateigröße.
RealNetworks: AAC und Helix
Freie Alternative zu MP3 und AAC
Audio Interchange File Format
Windows AudioFormat
PCM
1092___________________________________________________________17 Multimedia Tabelle 17.1: Typische Qualitätseinstellungen für PCM
Musical Instrument Digital Interface
Einstellbare Qualitätsstufe über die Bit-Rate bei WMA und MP3
Tabelle 17.2: Übersicht über die Einstellungen bei WMA und MP3
Qualitätsstufe Samplingrate
Datenrate
Dateigröße
CD-Qualität
44,1 kHz 16 Bit Stereo
172 KB/s
10 MB
Radio
22 kHz 16 Bit Stereo
86 KB/s
5 MB
Telefon
11 kHz 8 Bit Mono
10 KB/s
600 KB
Beachten Sie, dass hier die Datenraten in KB/s (KiloByte/s) angegeben sind nicht zu verwechseln mit den KBit/s bei WMA oder MP3. Unter Dateigröße finden Sie die Angabe, wie groß eine Datei mit einem Audio-Inhalt von einer Minute wird. MIDI Das Musical Instrument Digital Interface wurde 1983 von Herstellern aus dem Bereich der Musikinstrumenteindustrie wie Roland, Yamaha, Korg und anderen als Standardformat vorgestellt. Damit lassen sich sehr kompakte Musikdateien herstellen, die Informationen für die Ansteuerung digitaler Musikinstrumente wie Synthesizer beinhalten. MIDI-Dateien können Sie direkt über den Media Player abspielen, der seinerseits den Synthesizer der Soundkarte dazu einsetzt. Erzeugen können Sie solche Dateien nur mit spezieller Musik-Software. Weitere Informationen finden Sie hier: www.midi.com Die Formate WMA und MP3 bieten Einstellmöglichkeiten für die zu erzeugende Kompressionsrate, die direkt mit der erreichbaren Qualität zusammenhängt. Das Maß ist dabei die Übertragungsrate, die angibt, wie viele KBits pro Sekunde der Audiostrom (auch Stream genannt) umfasst. Je mehr KBits, desto höher ist auch die Qualität. Für eine Übertragung eines Audio-Streams über das Internet werden heute, solange nicht richtige Breitband-Verbindungen flächendeckend verfügbar sind, eher niedrige Übertragungsraten eingesetzt. Wollen Sie hingehen Titel in HiFi-Qualität erzeugen, brauchen Sie eine höhere Rate, bekommen damit aber auch größere Dateien. In der folgenden Tabelle finden Sie eine Übersicht zu den einstellbaren Raten und den damit erreichbaren Dateigrößen und Audio-Qualitäten: Bit-Rate
Qualitätsstufe
48 KBit/s
Mäßig, ausreichend für Internet
1 :33
64 KBit/s
Einfach, eher wie gutes Radio
1:26
96 KBit/s
Mittel, OK
1:17
128 KBit/s
Gut bis sehr gut, fast HiFi
1:13
160 KBit/s
Beide sehr gut, kaum noch vom Original zu unterscheiden
1:10
192 Kbit/s
für
Kompression ca.
Unterhaltungsmusik
1:8
17.1 Einführung und Grundlagen __________________________________________1093 Bit-Rate
Qualitätsstufe
320 KBit/s
Sehr hoch, selbst für sehr anspruchsvolle Musik geeignet
Kompression ca. 1:5
Die Kompressionsrate sagt aus, wie stark die Musikstücke zur unkomprimierten Speicherung ungefähr verkleinert werden können. Bei einer hohen Qualitätseinstellung von 192 KBit/s können Sie so die Titel von bis zu 8 CDs auf eine einzige MP3-CD brennen. In der verlustfreien Variante von WMA werden Bitraten bis zu 940KBit/s benutzt. In Abschnitt Einstellungen zum Kopieren anpassen ab Seite 1125 finden Sie die Anleitung, wie Sie diese Rate anpassen können. Ab Version 10 beträgt die Standard-Bitrate 128 KBit/s und erlaubt damit das Kopieren in einer guten Qualität.
Digitale Video-Formate Neben Audio- spielen auch Video-Funktionen eine zunehmende Rolle, insbesondere in modernen Betriebssystemen wie Microsoft Windows Vista oder Apples MAC OS X. In diesem Abschnitt werden die wichtigsten Video-Formate kurz vorgestellt. MPEG Immer wenn Sie eine DVD am heimischen Fernseher oder am PC Moving Picture ansehen, kommen Sie mit diesem Format, genau genommen mit Experts Group der Variante MPEG-2, in Berührung. MPEG steht für Moving Picture Experts Group, einer Arbeitsgruppe der ISO (International Organization for Standardization), sowie für das durch diese geschaffene Format für Video-Anwendungen. Das Verfahren MPEG ist unter anderem dadurch gekennzeichnet, dass nicht jedes Einzelbild (auch Frame genannt) erfasst wird, sondern nur die Änderungen von einem Frame zum nächsten. Zusätzlich kommt eine verlustbehaftete Kompression des Datenstroms zum Einsatz, die aber je nach MPEG-Version dem menschlichen Betrachter kaum bis gar nicht auffällt. Für das Abspielen von MPEG-Daten, beispielsweise eines Films auf einer DVD, wird ein Hardware- oder Software-Decoder benötigt. Ein solcher Decoder findet sich übrigens auch als HardwareLösung in jedem handelsüblichen DVD-Player. Der Vorgang ist bei einer Video-DVD sehr rechenaufwändig und mit Software in Echtzeit nur bei einem Computer mit einem entsprechend leistungsfähigen Prozessor möglich (Richtwert: ab 300-500 MHz). Aktuell sind hauptsächlich drei MPEG-Versionen im Einsatz: - MPEG-1 MPEG-1 Verhältnismäßig kleine Dateigrößen werden mit dieser ersten MPEG-Fassung erreicht. Die Auflösung ist mit 352 x 288 Bildpunkten (PAL; NTSC mit 352 x 240) allerdings auch nicht besonders hoch, bei 25 Frames pro Sekunde (NTSC: 30). Die Qualität ist in etwa mit VHS vergleichbar. Eine Anwendung sind Vi-
1094___________________________________________________________17 Multimedia
MPEG-2
MPEG-4
MPEG-4 erzeugen
MPEG-4-Player
WMV
deo-CDs (siehe auch Seite 1104). Für die Wiedergabe von MPEG-1 kodierten Videos ist standardmäßig ein entsprechender Codec im Media Player bereits enthalten. - MPEG-2 Diese Variante kommt bei der Video-DVD zum Einsatz. Die Auflösung beträgt hier 720 x 576 Bildpunkte (die volle PALAuflösung; bei NTSC 720 x 480) mit 50 (NTSC: 60) Frames pro Sekunde. Ein so codierter Film belegt allerdings auch einige GB. Auf einer Video-DVD, meist wird DVD-9 verwendet (siehe auch Tabelle 17.4 auf Seite 1109), ist allerdings in der Regel sogar noch Platz, um mehrkanaligen hochqualitativen Audio-Ton, mehrere Sprachen oder Bonus-Material unterzubringen. Für das Dekodieren von MPEG-2-Daten wird bedeutend mehr Rechenleistung als beim MPEG-1-Format benötigt. Eine Variante von MPEG-2 kommt auch bei der Super-VideoCD zum Einsatz. Allerdings muss dabei die Auflösung auf 480 x 576 Bildpunkte verringert sowie auf normalen Stereo-Ton ausgewichen werden, wenn ein Film auf eine CD passen soll. Mehr Informationen zum Abspielen von MPEG-2 kodierten DVDs finden Sie dazu in Abschnitt Wiedergabe von DVD-Videos ab Seite 1135. - MPEG-4 Aus einer Kombination von MPEG-1, MPEG-2 und Apples Quicktime-Technologie entstand die jüngste MPEG-Variante. Sie ist optimiert, um auch bei schmalbandigen Verbindungen, beispielsweise bei Video-Streams über das Internet, noch eine gute Qualität zu liefern. Das Verfahren ist auch im Zusammenhang mit dem DivXCodec populär geworden. Bei diesem Codec wird MPEG-4 benutzt, um aus ausgelesenen DVD-Videodaten Filme zu erzeugen, die relativ wenig Platz benötigen (90 Min passen auf eine CD) und trotzdem eine deutlich bessere Qualität als MPEG-1 bieten. Weitere Informationen zu DivX finden Sie auf der folgenden Website: www.divx.com MPEG-4-kodierte Video-Dateien liegen meist im AVI-Format vor und können nur am Computer über spezielle Software angesehen werden. Der Media-Player bringt dafür leider keinen entsprechenden Codec mit. Allerdings ist das kein Beinbruch: Im Internet gibt es diverse Quellen, wo Sie kostenlos leistungsfähige Player beziehen können. Nachfolgend stellvertretend zwei dieser Programme: The Playa: www.divx.com Bsplayer: www.bsplayer.org Windows Media Format Microsofts Windows Media Format für Video-Daten (WMV) ist eine Eigenentwicklung und als direkte Konkurrenz zu MPEG-2 positio-
17.1 Einführung und Grundlagen __________________________________________1095 niert. Dieses Format können Sie mit dem Movie Maker erzeugen sowie dem Media Player abspielen. Mit dem Aufkommen immer preiswerterer HDTV-LCD-Fernsehgeräte (HDTV steht für High Definition Television) wird das Thema auch für Computernutzer zunehmend interessanter. Die meisten verbreiteten Standard-LCDs in 17 oder 19 sind für die hier aufgerufenen hohen Auflösungen durchaus gut geeignet. Microsoft hat seinen WMV-Standard entsprechend erweitert und bringt diesen als Windows Media High Definition-Video auf den Markt. Während die Video-Norm PAL nur maximal 480 Bildzeilen unterstützt, sind dies bei WMV HD 720 oder 1 080. Weitere Informationen finden Sie auf dieser Website: www.wmvhd.com AVI Diese Abkürzung steht für Audio Video Interleave, dem StandardDateiformat von Microsofts Video for Windows. Dieses Format ist relativ universell und erlaubt auch die Einbettung verschiedener Kompressionsverfahren. Ursprünglich wurde es in Konkurrenz zu Apples Quicktime entwickelt. Standard-AVI-Dateien können mit dem Media Player wiedergegeben sowie dem Movie Maker erzeugt werden. Quicktime Dieses Verfahren ist noch universeller einsetzbar als AVI und wurde von Apple entwickelt. Es wird eine Reihe von Kompressionsverfahren unterstützt, unter anderem MPEG und JPEG. Quicktime wurde schließlich 1998 sogar als technische Basis zur Entwicklung des MPEG-4-Standards durch die ISO genutzt. Für die Wiedergabe von Quicktime-Filmen in der aktuellen Version 4 benötigen Sie den Apple Quicktime-Player. Bis Version 3 wird die Quicktime-Wiedergabe durch den Media Player selbst unterstützt. Den Apple Quicktime-Player erhalten Sie als StandalonePlayer, der sich auch direkt in den Internet Explorer einklinken kann. Weitere Informationen zum Download erhalten Sie direkt auf der Website von Apple: www.apple.de
Audio- und Videostreaming Mit schnellen Prozessoren und preiswerten DSL-Verbindungen rückt das Audio- und Videostreaming mehr in den Fokus des privaten Anwenders. Radio hören im Internet galt bislang als Spielzeug weniger Anwender. Inzwischen kann es durchaus interessant und sinnvoll sein, einmal exotische Sender zu hören. Während für Audio bereits viele Anbieter am Markt sind, hält sich die Nutzung des Internets als Videokanal noch in Grenzen. Einige Nachrichtensender bieten aber bereits Kurzbeiträge als Video an. Es gibt sogar Versuche einiger Zeit-
WMV HD
Audio Video Interleave
Apples Quicktime
Quicktime-Player
1096___________________________________________________________17 Multimedia
Prinzip des Streaming
Praxisprobleme
Kompressionsverfahren und Formate
Streamingformate ASF
schriften, wie das Programm »Chip.tv« der Computerzeitschrift Chip zeigt: www.chip.tv Die Übertragung von fortlaufenden Datenströmen wird allgemein als Streaming bezeichnet. Audiostreaming ist die Übertragung von reinen Tondaten, während Videostreaming sowohl Bild- als auch Toninformationen überträgt. Beim Streaming über Internetverbindung besteht das Problem, dass die Datenpakete über verschiedene Pfade geroutet werden. Es kann deshalb vorkommen, dass Pakete nicht in der Reihenfolge eintreffen, wie sie gesendet wurden. Bei Datenübertragungen, die ein definiertes Ende haben, spielt das keine Rolle. Hier werden die Pakete zum Schluss sortiert und dann steht die Datei dem Empfänger zur Verfügung. Bei Bild- oder Tondaten wäre es fatal, wenn die Sortierung erst später erfolgt, weil dann immer nur Bruchstücke übertragen werden. Streaming verwendet deshalb einen Pufferspeicher, der immer einen gewissen Vorlauf beim Sammeln der Daten realisiert. Daten werden erst weitergegeben, wenn eine gewisse Menge im Puffer sortiert wurde. Fehlen Daten, nimmt das Wiedergabegerät sortierte aus dem Puffer. Auf der anderen Seite wird der Puffer ständig gefüllt. Im Endeffekt entsteht eine dauerhafte Übertragung guter Qualität, die nur zeitversetzt abläuft, um den Puffer am Anfang zu füllen. So gut dies hier klingt, ist es in der Praxis nicht immer. Zum einen sind Netzwerkverbindungen manchmal so schlecht, dass auch große Puffer geleert werden dann setzen Bild oder Ton einfach aus. Zum anderen wird als Protokoll statt des für Daten üblichen TCP das einfachere UDP eingesetzt. Dieses Protokoll ist schneller, weil es auf Rückmeldungen vom Empfänger und Fehlerkorrekturmaßnahmen verzichtet. Die Folge ist zwar ein höherer Datendurchsatz. Wenn Pakete verloren gehen, was durchaus passiert, verschlechtert sich jedoch die Qualität sehr schnell. Die Toleranzgrenze der Anwender ist bei dieser recht jungen Technologie noch relativ hoch. Wie bei den Kompressionsverfahren für die Speicherung ist es auch beim Streaming enorm wichtig, die Daten bestmöglich zu reduzieren. Hierfür kommen meist die schon besprochenen Verfahren wie MPEG zum Einsatz. Da die Übertragung aber unter komplizierteren Bedingungen abläuft, werden zusätzliche Informationen benötigt. Deshalb arbeiten alle Streamingtechnologien mit eigenen Formaten, die die Standardformate geringfügig erweitern. Im Internet werden Sie meist auf drei Streamingformate stoßen: Advanced Streaming Format (ASF) Dieses Format ist das Standardformat von Microsoft. Dateien tragen die Endung ASF. Als Sender fungiert ein spezieller Server, was Microsoft mit den Produkten NetShow Services und Theater Server unterstützt. ASF-Dateien können sowohl im Streaming als auch lokal genutzt werden. Zur Wiedergabe genügt der Windows Media Player.
17.1 Einführung und Grundlagen __________________________________________1097 Real Time Streaming Protocol (RTSP) Dieses Protokoll wurde von der Firma RealNetworks Inc. entwi- RTSP ckelt, die sich als eine der ersten mit dem Thema beschäftigte und lange vor Microsoft Streaming-Server und Wiedergabesoftware liefern konnte. Aufgrund dieses Vorsprungs sind RealVideo und RealAudio weit verbreitet. Zum Abspielen wird der kostenlos verfügbare RealPlayer benötigt. Diesen können Sie über die folgende Website laden: www.real.com Quicktime Quicktime wurde von Apple entwickelt und dient vor allem der Kompression und Speicherung von Videos (siehe Seite 1095). In neueren Versionen wird auch Streaming unterstützt. Client ist der Apple Quicktime Player. Weitere Formate konnten sich nicht so weit etablieren. Falls Sie auf Andere Formate einen interessanten Film stoßen, der nicht im ASF oder RealVideo-Format vorliegt, wird vielleicht eines der folgenden Protokolle verwendet: VirtualVCR VXtreme VDOLive Xing StreamWorks Vosaic Als Anwender können Sie keinen Einfluss auf die Installation der Produkte auf Servern nehmen. In erster Instanz wird immer der Media Player versuchen, Videos abzuspielen. Ist er dazu nicht in der Lage, kann es notwendig werden, einen anderen Player zu installieren.
Digitale Bildformate Die Unterstützung von digitalen Bildformaten ist unter Windows Vista weit reichend. So können Sie bereits mit den standardmäßig verfügbaren Programmen und Windows Explorer-Erweiterungen Bilder von den meisten digitalen Kameras herunterladen und komfortabel ansehen und ausdrucken. Sogar eine Bildbearbeitung ist möglich, die allerdings nur einfachsten Ansprüchen genügt. Zu den meistgenutzten Standardformaten finden Sie nachfolgend einige Erläuterungen. JPEG Die Abkürzung steht für Joint Photographic Experts Group. Das da- Joint Photographic hinter steckende Dateiformat ist seit 1992 international standardi- Experts Group siert und stellt heute eines der wichtigsten Bildformate in der ITWelt dar. Sein Hauptvorteil liegt in der sehr guten Skalierbarkeit. So lassen sich die Kompressionsrate und damit die Bildqualität je nach Anforderung höher oder niedriger einstellen.
1098___________________________________________________________17 Multimedia Verlustbehaftet, aber sehr gut skalierbar
Tagged Image File Format
Große Bilddateien Verlustfreie LZWKompression möglich
Graphics Interchange Format
Indizierte Farben und Animationen
Bei einer starken Kompression werden sehr kleine Bilddateien erzeugt, deren Qualität für die Anzeige am Bildschirm aber in aller Regel ausreicht. Für eine höhere Qualität kann auch mit einer niedrigeren Kompressionsrate gearbeitet werden. Aber selbst in der höchsten Qualitätsstufe wird noch eine verhältnismäßig starke Kompression der Daten erreicht, ohne dass ein normaler Betrachter einen Unterschied zum Original wahrnehmen könnte. Das JPEG-Verfahren arbeitet, ähnlich dem MPEG-Verfahren bei Video-Daten, mit einem verlustbehafteten Kompressionsalgorithmus. Dabei werden unter anderem Erkenntnisse über Eigenschaften der menschlichen Sehfähigkeit einbezogen und Farb- beziehungsweise Grauschattierungen zusammengefasst, die ohnehin kaum oder gar nicht differenziert werden können. JPEG-Dateien können Sie unter Windows Vista ansehen und begrenzt nachbearbeiten. Weitere Hinweise finden Sie dazu in Abschnitt 17.5 Digitale Bilder ab Seite 1149. TIFF Das Tagged Image File Format ist eines der verbreitesten Bildformate in der Computerwelt schlechthin. Es kommt überall dort zum Einsatz, wo eine verlustfreie Speicherung oder Übertragung von digitalen Bildinhalten gefordert ist. So ist in der professionellen Bildverarbeitung dieses Format nicht wegzudenken. Dementsprechend groß sind allerdings auch die Bilddateien. Um diese ein wenig einzuschränken, gibt es das komprimierte Format TIFF-LZW. Der dabei verwendete LZW-Algortihmus (Lempel-ZifWelch), nach seinen Entwicklern benannt, arbeitet verlustfrei und erreicht damit aber nur mäßige Kompressionsraten. Das TIFF-Format kann wie JPEG über die Windows Vista-eigenen Programme angezeigt und bearbeitet werden. GIF Diese Abkürzung steht für Graphics Interchange Format und hatte in den Anfangstagen des Internets eine große Bedeutung. Entwickelt wurde das Format unter anderem von Unisys und Compuserve. 1987 wurde es von Compuserve der Öffentlichkeit als frei nutzbares Format vorgestellt und erlangte schließlich darüber seine weite Verbreitung. Das Format ist so flexibel spezifiziert, dass es unterschiedliche Erweiterungen zulässt. So gibt es extrem Platz sparende Fassungen, die mit indizierten Farben arbeiten. Dabei werden die verwendeten Farben in einer Tabelle zusammengefasst. Dadurch braucht nicht für jeden Bildpunkt eine komplette Farbinformation vorzuliegen. Andere Fassungen können sogar Animationen enthalten. 1994, auf dem Höhepunkt der Verbreitung des Formats durch seine intensive Nutzung vor allem im Internet, lockten Unisys, den Inhaber der Patente an GIF, wohl vermeintlich hohe Lizenz-Einnahmen. Unisys beschloss, von Software-Herstellern, die dieses Format in ihren Programmen unterstützten, Gebühren zu fordern
17.1 Einführung und Grundlagen __________________________________________1099 (Anwender können GIF-Dateien trotzdem nach Belieben erzeugen und verbreiten). Als Ergebnis brach aber nicht der Geldsegen über Unisys herein, sondern eine Welle des Protests. Um es abzukürzen: Das Format GIF verliert heute immer mehr an Bedeutung. Andere Formate wie JPEG und PNG sind inzwischen dabei, seinen Platz einzunehmen. GIF-Bild-Dateien können Sie mit Vistas Bordmitteln ansehen und bearbeiten. Für die Erstellung von GIF-Animationen benötigen sie allerdings spezielle Software. Abspielen können Sie diese problemlos über den Internet Explorer. BMP Das BMP-Format steht für Bitmapped Graphics Format und stellt das Standard-Bildformat von Windows seit seinen ersten Tagen dar. Es ist geräteunabhängig ausgelegt und wird in einem so genannten Device-Independent Bitmap-Format (DIB) gespeichert. Dabei werden die Farbinformationen zu jedem Bildpunkt so definiert, dass sie unabhängig von der konkret eingesetzten Methode zur Farbdarstellung auf dem Bildschirm sind. In Windows werden viele Bildinformationen, die als Ressourcen durch das Betriebssystem selbst verwendet werden, noch in diesem Format gespeichert. Zunehmend kommt allerdings auch das JPEG-Format zum Einsatz, wie beispielsweise bei den OrdnerBildern, die durch den Media-Player generiert werden (siehe auch Abschnitt Internet-Titeldatenbank nutzen ab Seite 1128). PCX Das PCX-Format war ursprünglich 1982 von der Firma Zsoft für das Grafikprogramm PC Paintbrush entwickelt worden, welches schließlich durch Microsoft in Windows integriert und zum heutigen Paint weiterentwickelt wurde (siehe auch Abschnitt 17.5.3 Bilder mit Paint bearbeiten ab Seite 1160). Vistas Version von Paint ist nicht mehr in der Lage, dieses Format darzustellen. PNG Dieses Format wurde von einem Internet-Komitee als Gegenstück zu GIF entwickelt. Dabei wurde ausdrücklich festgelegt, dass dieses Format frei von Patentrechten bleiben sollte, sodass niemand für die Entwicklung von Software, die das Format unterstützt, Lizenzgebühren fürchten muss. In seinen Eigenschaften entspricht PNG im Grunde dem GIFFormat. Die einsetzbare Kompression ist ebenfalls verlustfrei, arbeitet aber effektiver als beim GIF-Format und lässt somit bis zu einem Drittel kleinere Bilddateien zu. Neben einigen anderen interessanten Merkmalen wie Ausblenden des Hintergrundes (Farben transparent setzen mit weitläufigen Einstellmöglichkeiten) können PNG-Bilder sowohl in Echtfarben (Truecolor), in Farbpaletten sowie in Graustufen angelegt sein. Weitere Informationen zu PNG finden Sie auf der folgenden Site: www.libpng.org/pub/png
Bitmapped Graphics Format
PCX
Portable Network Graphics
1100___________________________________________________________17 Multimedia Animationen
Anders als GIF unterstützt PNG an sich keine Animationen. Allerdings ist das Format offen und erweiterbar und wurde für die Entwicklung des MNG-Formats zur Grundlage genommen. Zu MNG (Multiple-image Network Graphics) finden Sie ausführliche Informationen auf der folgenden Website: www.libpng.org/pub/mng PNG-Dateien können durch den Windows Explorer sowie die integrierten Programme angezeigt und bearbeitet werden. Für MNGDateien gibt es keine interne Bearbeitungsmöglichkeit. Allerdings lassen sich entsprechende Animationen über den Internet Explorer wiedergeben, wenn Sie diesen um ein entsprechendes Plug-In erweitert haben. Informationen dazu finden Sie ebenfalls auf der angegebenen Website.
17.1.3 Einige Hintergründe zu CD und DVD Wenn Sie heute mit Audio-CDs und Video-DVDs umgehen, werden Sie sich wahrscheinlich keine Gedanken machen müssen, wie diese technisch aufgebaut sind oder welche Standards dahinter stecken. Nützlich sind Kenntnisse darüber erst dann, wenn Sie Musik, Videos oder Computerdaten auf eigene CDs oder DVDs bringen wollen. In den folgenden Abschnitten finden Sie einige Hintergrundinformationen zu den wichtigsten Standards für die »Silberscheiben«.
CD-Formate und -Standards
Bezeichnung nach Farbe der Dokument-Einbände
Tabelle 17.3: CD-Standards
Die CD, wie wir sie vor allem als Audio-CD kennen, ist mittlerweile mehr als 20 Jahre alt. Inzwischen gibt es mehrere verschiedene Formate für die »Silberscheibe«, die standardisiert und für verschiedene Einsatzzwecke optimiert sind. Die CD-Standards wurden von mehreren Herstellern, teilweise in Kooperation, entwickelt. Insbesondere Philips und Sony haben sich hier einen Namen gemacht. Üblich ist die Bezeichnung der Standards nach den farbigen Einbänden der zugehörigen Dokumentationen. So beschreibt der »Red Book« genannte Standard die Audio-CD, wie er von Philips und Sony definiert worden ist. In der folgenden Tabelle finden Sie eine Übersicht über die heute gültigen CD-Standards. Nachfolgend werden dann zusätzliche Erklärungen zu den wichtigsten Standards gegeben. Bezeichnung Red Book 1980
Formate CD-DA
Beschreibung
Seite
Compact Disc Digital Audio Einheitlicher Aufbau der CD-DA, sodass diese über jeden Audio CD-Player abgespielt werden kann
1101
17.1 Einführung und Grundlagen __________________________________________1101 Bezeichnung
Formate
Beschreibung
Seite
Yellow Book 1983
CD-ROM CD-ROM/ XA
Compact Disc Read Only Memory Erweiterung des Red Book-Standards für die Nutzung der CD sowohl für Audio- als auch für Computerdaten
1102
Green Book 1986
CD-I
Compact Disc Interactive Spezielles, heute kaum noch gebräuchliches Format für interaktive und Echtzeit-Anwendungen
1103
Orange Book 1990
CD-R CD-RW
Compact Disc Recordable Compact Disc Rewritable Beschreibt die Standards für einund mehrfach beschreibbare magnetooptische Datenträger sowie Multisession-Speicherung.
1104
White Book 1993
VCD SVCD
Video Compact Disc Super Video Compact Disc Spezifiziert unter anderem die Speicherung von komprimierten Video-Daten auf CD.
1104
Blue Book 1995
E-CD »CD-Extra«
Enhanced CD Genaue Spezifikation zur gemischten Speicherung von Audiound Computerdaten auf einer CD
1105
Zu einigen Formaten sind ein paar zusätzliche Informationen unerlässlich, vor allem dann, wenn Sie Probleme mit dem Auslesen von Audio-CDs am Computer haben sollten. Ursache kann ein vom Hersteller verwendeter Kopierschutz sein. Weitergehende Informationen zu diesem Thema finden Sie in Abschnitt 17.1.4 Hinweise zum Kopierschutz digitaler Medien ab Seite 1112. Red Book Dieser Standard wurde bereits 1980 von Philips und Sony definiert. Auf einer CD-DA können maximal 99 Titel gespeichert sein. Im so genannten Lead-In-Bereich befinden sich Informationen zum Inhalt der CD. Zentrale Bedeutung kommt dabei der TOC (Table Of Contents) zu, dem eigentlichen Inhaltsverzeichnis. Hier sind alle Tracks (die einzelnen Titel) mit ihren Startadressen angegeben. Die eigentlichen Audio-Daten liegen in einer Sampling-Rate von 44,1 kHz Stereo 44,1 kHz in 16 Bit, Stereo, vor. Das ist übrigens messtechnisch nachweisbar das Optimum, um einen sauberen Audio-Klang zu garantieren. Dabei wird mit einer ausreichenden Reserve gearbeitet das menschliche Ohr kann Töne oberhalb von 20 kHz sowieso
1102___________________________________________________________17 Multimedia
Subchannels
Audio-Daten bitgenau auslesen mit DAE
Audio-CDs mit Vista-Tools nicht 1:1 kopierbar
kaum auflösen. Allerdings gibt es durchaus Audiophile, die als »wahre« Kenner der alten Vinyl-Langspielplatte den Vorzug vor der »zu hart« klingenden CD geben. Zurück zu den harten digitalen Fakten: Aus der Sampling-Rate von 44,1 kHz ergibt sich eine zu übertragende Datenmenge von 176 400 Bytes je Sekunde (44 100 x 2 Bytes x 2). Für die Speicherung auf der CD werden Sektoren benutzt, von denen jeder 2 352 Bytes Audio-Daten aufnehmen kann. Damit entsprechen 75 Sektoren einer Sekunde (75 x 2 352 = 176 400). Bei einer 74-Minuten CD errechnet sich damit eine Audio-Datenmenge von 747 MB (75 Sektoren x 2 352 Bytes x 4 440 Sekunden). Jeder Sektor wird noch einmal in Frames aufgeteilt, die jeweils 24 Bytes Audio-Daten enthalten. Hinzu kommen weitere Bytes für Fehlerkorrektur und Kontrollmechanismen. Einem Byte kommt dabei eine besondere Bedeutung zu: Dieses enthält den so genannten Subcode. Die acht Bits werden mit P bis W bezeichnet, wobei jedes Teil eines Subchannels ist, welche ebenfalls als Subchannel P, Subchannel Q usw. geführt werden. Die ersten beiden Subchannels enthalten wichtige Daten, die restlichen bleiben bei einer AudioCD nach dem Red Book-Standard ungenutzt. Subchannel P (auch Pregap genannt) enthält unter anderem die Länge der Pausen vor den Tracks. Dabei ist es wichtig zu wissen, dass der erste Track mit einer Pause von mindestens 2 Sekunden ausgestattet sein muss. Alle anderen Tracks können auch ohne Pause aneinandergereiht sein. In Subchannel Q ist die Länge des Tracks hinterlegt. Wollen Sie die Daten einer Audio-CD bitgenau in den Computer übertragen, benötigen Sie ein Laufwerk, welches den DAE-Modus beherrscht. DAE steht für Digital Audio Extraction und wird nicht von jedem CD-ROM- oder CD-RW-Laufwerk beherrscht. Die meisten neuen Modelle unterstützen diese Betriebsart. Haben Sie ein Gerät, welches diese Funktion nicht besitzt, können Knackgeräusche das Hörvergnügen trüben. Diese werden dadurch verursacht, dass der Audio-Lesevorgang immer wieder unterbrochen wird und die Stelle des Abbruchs unter Umständen nicht mehr exakt getroffen werden kann. Dadurch können Sektoren verloren gehen oder werden doppelt eingelesen, was dann das Knacken verursacht. Mit den mitgelieferten Programmen können Sie unter Windows Vista keine direkte 1:1-Kopie einer CD, damit auch keiner CD-DA, anfertigen. In Abschnitt 17.2 CD und DVD-Brennen unter Windows Vista ab Seite 1113 finden Sie Hinweise zu Softwarelösungen von anderen Herstellern, die diese Funktion bieten. Yellow Book Als Erweiterung des Red Book-Standards wurde 1983, ebenfalls von Philips und Sony, der Yellow Book-Standard verabschiedet. Wichtigster Unterschied zur reinen CD-DA ist die Einbettung von
17.1 Einführung und Grundlagen __________________________________________1103 Mechanismen zur Daten-Fehlerkorrektur. Für die Speicherung von Audio- und Computerdaten sind zwei Modi entwickelt worden: Im Modus 1 gespeicherte Daten basieren wie die normale CD-DA auf Sektoren mit einer Größe von 2 352 Bytes. Allerdings werden nur 2 048 Bytes für die Datenspeicherung benutzt. Der Rest dient der Aufnahme von Fehlerkorrekturdaten. Modus 2 unterscheidet sich eigentlich gar nicht von der Art der Speicherung der Datenblöcke auf einer normalen CD-DA. Er wurde definiert, um die gemeinsame Speicherung von Modus 1- und Modus 2-Datenblöcken auf einer CD zu ermöglichen. Dabei müssen das nicht unbedingt Audio-Daten sein, die im Modus 2 abgelegt sind. Auch Video- und Bilddaten, bei denen es auf eine bitgenaue Speicherung nicht ankommt, können so kodiert werden. CD-ROMs, die beide Arten von Datenblöcken enthalten, werden auch Mixed Mode-CDs genannt. Dabei wird die Reihenfolge der Datenblöcke (Tracks) durch das Yellow Book genau festgelegt. DatenTracks im Modus 1 müssen am Anfang der CD abgelegt sein. Danach können Audio-Tracks folgen. Woher kommt eigentlich die Bezeichnung von CD-ROMLaufwerken nach ihrer Geschwindigkeit, beispielsweise mit 52fach? Das hat seinen Ursprung in der ersten Definition der DatenCDs, bei denen die Datenblöcke im Modus 1 in den Sektoren 2 048 Byte-weise untergebracht sind. Bei der damals üblichen Geschwindigkeit der CD-Laufwerke, die 75 Sektoren in einer Sekunde auslesen konnten, ergibt das eine Datenrate von 153 600 Bytes/s (= 150 KB/s). Diese Datenrate wurde als »1-fach« bei der Beschreibung der Geschwindigkeit eines Laufwerks zugrunde gelegt. Moderne CD-Laufwerke erreichen heute Spitzenwerte um das 52fache von 150 KB/s, also circa 7,8 MB/s. Das sind aber, wie gesagt, Spitzenwerte, die nur in den äußeren Spuren der CD erreicht werden. Die durchschnittliche Datenrate ist meist deutlich geringer. Als Erweiterung des Yellow Book-Standards wurde von Philips, Sony und Microsoft CD-ROM Extended Architecture entwickelt. Möglich wurde mit diesem Standard eine deutlich flexiblere Unterbringung von Daten auf einer CD-ROM im Vergleich zum ursprünglichen Yellow Book-Standard. Dazu wurde der Modus 2 um zwei weitere Untertypen erweitert. Die gemeinsame Speicherung von Daten mit und ohne Fehlerkorrektur in einem Track wird damit erreicht (Modus 2/XA). Green Book Im Jahre 1986, lange bevor die Multimedia-Welle über die Personal Computer hereinbrach, verabschiedeten wiederum Philips und Sony einen Standard für die Speicherung ganz neuartiger Inhalte auf CDs. Auf einer CD-I können unterschiedlichste Daten in ansprechender Form dem Benutzer präsentiert werden, ob Audio-, Video- oder interaktive Inhalte. Verbunden ist damit allerdings auch die Anschaffung spezieller CD-I-Lesegeräte. An einen Fernseher angeschlossen kann dann der normale, nicht zwingend mit
Zwei Modi: Modus 1 mit Fehlerkorrektur
Modus 2 ohne Fehlerkorrektur
Mixed Mode-CDs
Definition des Xfach-Begriffs für die Geschwindigkeit eines Laufwerks
CD-ROM/XA
CD-I als früher Versuch von Multimedia
1104___________________________________________________________17 Multimedia
Heute keine Bedeutung mehr
Single- und MultiSession
Computerkenntnissen bewanderte Endkunde diese frühe Form von Multimedia konsumieren. Durchgesetzt hat sich dieses Format nicht. Heute hat es praktisch keine Bedeutung mehr. Von der einen Seite kamen die »richtigen« Multimedia-Spielekonsolen auf breiter Front in die Wohnzimmer, von der anderen Seite machte die mittlerweile starke Verbreitung leistungsfähiger Personal Computer mit entsprechender Software in den Haushalten das Konzept weitgehend überflüssig. Orange Book Dieser Standard wurde 1990 vorgestellt und galt der Standardisierung der Speicherung auf den neuen, beschreibbaren magnetooptischen CD-Datenträgern. Ursprünglich waren die Bezeichnungen für diese Medien die folgenden: - CD-WO (Compact Disc-Write Once) Dieses Format wurde später in das noch heute gebräuchliche CD-R (Compact Disc Recordable) umbenannt und beschreibt die Art der Speicherung von Daten auf der einmal beschreibbaren CD. - CD-MO (Compact Disc-Magneto Optical) Hervorgegangen aus verschiedenen Ansätzen von Herstellern, wiederbeschreibbare magnetooptische Datenträger am Markt zu etablieren, ist dieses Format heute als CD-RW (Compact Disc Rewritable) bekannt und weit verbreitet. Hauptkennzeichen der heute verwendeten Datenträger ist die Möglichkeit, diese bis zu 1 000 mal und mehr wieder zu löschen und neu zu beschreiben. Neben diesen beiden Standards wurde im Orange Book auch die Speicherung von Datenströmen in mehreren Sitzungen definiert. Bekannt ist dieses Verfahren unter dem Begriff Multi-Session. Demgegenüber steht die Bezeichnung Single-Session, die eine CD kennzeichnet, die mit einem komplett abgeschlossenen Brennvorgang beschrieben worden ist. Multi-Session-CDs kamen vermehrt mit Einführung der Kodak Photo CD in Umlauf. Auf diesen können die digitalisierten Bilder in mehreren Sitzungen untergebracht werden je nachdem, wieweit der Platz auf der CD durch einen oder mehrere Filme ausgenutzt wird. Alle modernen CD-ROM-Laufwerke können heute mit solchen Multi-Session-CDs umgehen. Nur sehr alte Modelle haben damit Probleme. White Book 1993 wurde durch die Firmen Sony, Philips, Matsushita und JVC das White Book veröffentlicht. Dieser Standard basiert auf dem CD-ROM/XA-Standard (gemäß Yellow Book) und beschreibt die Speicherung von komprimierten Video-Inhalten auf einer CDROM. In den Sektoren werden dabei die Video-Daten mit dem MPEG-1-Verfahren komprimiert abgelegt. Mehr zu MPEG finden Sie in Abschnitt Digitale Video-Formate ab Seite 1093.
17.1 Einführung und Grundlagen __________________________________________1105 Eine bekannte Anwendung ist die Video-CD, auch VCD abgekürzt. Aufgrund der MPEG-1-Kompression passt ein abendfüllender Spielfilm mit einer VHS-vergleichbaren Qualität auf eine CD. Die Auflösung beträgt dabei bescheidene 352 x 288 Bildpunkte (bei PAL). 1998 wurde der VCD, 1995 mit einigen Verbesserungen auf die Version 2 gebracht, um den Standard Super-VCD ergänzt. Dieser erlaubt eine deutlich höhere Qualität dank MPEG-2-Kompression, kombiniert mit einer höheren Auflösung - standardmäßig 480 x 576 für PAL, damit ein Film inklusive Stereo-Ton noch auf eine CD passt. Aufgrund der erreichbaren hohen Qualität, sichtbar besser als VHS, ist dieses Format sehr beliebt, um Video-DVDs auszulesen und auf SVCDs unterzubringen (siehe auch Abschnitt 17.1.4 Hinweise zum Kopierschutz digitaler Medien ab Seite 1112). VCDs und SVCDs können Sie heute mit handelsüblichen CDBrennern herstellen. Sie benötigen lediglich eine Brenn-Software, die diese Formate unterstützt. Für manche Brenn-Programme müssen Sie für SVCD allerdings eine zusätzliche Erweiterung erwerben. Windows Vista selbst bietet dazu leider keine Software. Eine selbst gebrannte VCD und SVCD können Sie heute auf fast allen neuen stationären DVD-Playern abspielen. Interessanterweise haben Markengeräte oft mehr Probleme mit »Selbstgebranntem« als No-Name-Geräte, weil sie offensichtlich engere Toleranzgrenzen haben. Sie sollten vor einem Kauf eines solchen Gerätes daher unbedingt die technischen Daten genau studieren, um sicherzugehen, dass das gewünschte Format auch unterstützt wird. Lassen Sie sich das Gerät mit Ihrer eigenen »Demo-CD« vorführen. Weniger Probleme haben Sie, wenn Sie einen der Software-DVDDecoder für den Computer verwenden. Diese unterstützen in aller Regel sowohl VCD als auch SVCD ohne Einschränkungen. Mehr zu diesem Thema finden Sie in Abschnitt Wiedergabe von DVDVideos ab Seite 1135. Blue Book Die Spezifikation mit dem Namen Blue Book wurde 1995 durch die Firmen Philips, Sony, Microsoft und Apple ins Leben gerufen und stellt eine Adaption der im Yellow Book beschriebenen Mixed Mode-CDs dar. Das wurde notwendig, da manche handelsüblichen Audio CD-Player mit Mixed Mode-CDs Probleme hatten. Das Enhanced CD-Format wird auch mit CD-Extra bezeichnet. Eine CD nach dem Blue Book ist in zwei Sessions aufgeteilt. Die erste Session enthält bis zu 99 Audio-Tracks nach dem Red BookStandard und ist damit durch alle Audio CD-Player problemlos zu erkennen. In der zweiten Session können dann zusätzliche Inhalte gespeichert sein, abgelegt in einem Track nach dem Yellow BookStandard. Diese Daten können dann durch Computer CD-ROMLaufwerke ausgelesen werden. So lassen sich Multimedia-Inhalte wie beispielsweise ein Video-Clip des Stars auf einer Audio-CD unterbringen was den Kaufreiz durchaus erhöhen kann.
VCDs und SVCDs erstellen...
...und abspielen
CD-Extra
Hohe Kompatibilität zu Audio-Playern und CD-ROMLaufwerken
1106___________________________________________________________17 Multimedia Dateisysteme In den farbigen Büchern von Red bis Blue Book werden nur die physikalischen Formate von CDs beschrieben. Für die Speicherung von Computerdaten reicht das nicht aus. Hier wird zusätzlich ein Dateisystem benötigt. Für Festplatten beziehungsweise für die auf diesen eingerichteten logischen Datenträgern können unter Windows Vista FAT/FAT32 oder NTFS eingesetzt werden (siehe auch Kapitel 11 Dateisysteme ab Seite 543). Für das Brennen von CDs können Sie, abhängig von der verwendeten Brenn-Software, ein Dateisystem auswählen. Zu den Dateisystemen, die für die Speicherung von Computerdaten auf CDs eingesetzt werden, finden Sie weiterführende Informationen in Abschnitt 11.1 Unterstützte Dateisysteme ab Seite 545.
Methoden für das Brennen von CDs
Session
Für das Brennen der Datenblöcke auf CD-R oder CD-RW gibt es verschiedene Methoden, die unter anderem Auswirkungen auf die Qualität sowie die effektive Nutzung des Speicherplatzes auf dem Medium haben. Auf die folgenden Fachbegriffe werden Sie dabei stoßen, wenn Sie sich mit der Brennproblematik etwas näher beschäftigen wollen oder externe Brennprogramme einsetzen. Die integrierten Brennfunktionen in Windows Vista schweigen sich über die verwendeten Methoden aus Sie haben hier leider auch keine Möglichkeit, auf diese Einfluss zu nehmen. Session Daten werden in so genannten Sessions auf eine CD geschrieben (außer bei Packet Write, siehe unten). Eine Session besteht dabei aus einem Lead-In-, einem Daten- und einem Lead-Out-Bereich. Eine CD mit nur einer Session, die abgeschlossen ist, wird als Single-Session-CD bezeichnet. Demgegenüber steht die Multi-Session CD, auf die mehrere Sessions gebrannt worden sind. Dazu darf die CD jedoch nicht abgeschlossen sein. Nachteil einer CD mit mehreren Sessions ist, dass für jeden neuen Lead-In- und Lead-Out-Bereich effektiv Speicherplatz auf der CD verloren geht. Für die erste Session werden 21 MB, für jede weitere 11 MB zusätzlich zu den Nutzdaten beansprucht. Stationäre CD-Player haben oft Probleme mit nicht abgeschlossenen CDs. CD-Laufwerke müssen darüber hinaus auch in der Lage sein, mit Multi-Session-CDs umzugehen. Im PC-Bereich sind das heute alle halbwegs aktuellen Laufwerke. Nur stationäre CD-Player können damit wiederum Probleme haben. Wenn Sie maximale Kompatibilität für selbst erstellte Audio-CDs sicherstellen wollen, sollten Sie nur Single-Session-CDs brennen. Das ist übrigens auch die einzige Methode, mit der der Windows Media Player Audio-CDs brennen kann. Lediglich beim Brennen über den Windows Explorer wird immer eine Multi-Session-CD angelegt, die allerdings nie abgeschlossen wird. Das kann Proble-
17.1 Einführung und Grundlagen __________________________________________1107 me mit einigen MP3-Playern verursachen, wenn diese abgeschlossene CDs verlangen. Table Of Contents Das ist das Inhaltsverzeichnis, welches im Lead-In-Bereich untergebracht ist. Hier sind alle Informationen zu den einzelnen Tracks zu finden. Disc-At-Once Bei diesem Verfahren wird die CD mit einem einzigen kontinuierlichen Datenstrom beschrieben und abgeschlossen. Neben maximaler Kompatibilität garantiert das auch bestmögliche Qualität für Audio-CDs (vergleiche mit TAO). Für das Brennen mit DAO werden allerdings die höchsten Ansprüche an den Brenner sowie die Hard- und Softwareumgebung des PCs gestellt. Muss der Laserstrahl auch nur ein einziges Mal unterbrochen werden, weil beispielsweise der PC nicht nachkommt, Daten zu liefern, wird der ganze Rohling unbrauchbar. Dies wird auch als Buffer Under-Run-Fehler bezeichnet, abgeleitet von dem technischen Umstand, dass der Schreib-Puffer des Brenners leer läuft und dann dem Laser keine Daten zum Brennen mehr zur Verfügung stehen. Praktisch alle aktuellen schnellen Brenner weisen Techniken zum Vermeiden des Buffer Under-Run-Fehlers auf. Diese werden beispielsweise mit Burn-Proof oder Just-Link bezeichnet. Diese Brenner können für den Fall des Leerlaufens des Puffers den Laser gezielt abschalten und exakt wieder ansetzen, sodass der Schreibvorgang trotz Unterbrechung fortgesetzt werden kann. Leider beherrscht das Brenn-Modul des Windows Media Players in der bisherigen Fassung diesen Modus nicht, sondern kann AudioCDs nur mit TAO erstellen. Sie können allerdings dazu auf Brennprogramme von Drittherstellern ausweichen (siehe Abschnitt 17.2.3 Fehlende Funktionen und andere Programme ab Seite 1119). Track-At-Once Bei diesem älteren Verfahren wird jeder Track als eine Einheit durch den Laser gebrannt. Zwischen den Tracks erfolgt ein Abund wieder Einschalten des Lasers. Das kann allerdings zu einem hörbaren Knacksen sowie ungewollten kurzen Pausen zwischen zwei Audio-Tracks führen. Damit ist diese Methode nicht geeignet, Audio-CDs in hoher Qualität zu erzeugen. Wenn Sie über den Windows Explorer MP3-Musikdateien auf eine CD brennen, werden alle Dateien in einem einzigen Track in einer Session untergebracht. Damit treten keine Knackser zwischen den Titeln auf. Um wirklich lückenlose Übergänge zwischen Titeln zu bekommen, brauchen Sie allerdings doch spezielle Brennsoftware, da nur diese die entsprechenden Hilfsmittel dafür mitbringt. Kleine Lücken entstehen schon beim Auslesen der Audio-Daten von der CD in den Media Player, wo sie bereits beim Abspielen
TOC
DAO
Kein DAO über Media Player
TAO
1108___________________________________________________________17 Multimedia
SAO
Packet Write
auffallen. Das betrifft Musikstücke, die ohne Pause ineinander übergehen, beziehungsweise Live-Mitschnitte. Session-At-Once Eine Session kann einen bis mehrere Tracks enthalten. Das Verfahren Session-At-Once entspricht exakt Disc-At-Once, nur dass die CD nicht abgeschlossen wird. Somit können weitere Sessions auf die CD gebracht werden. Packet Write Bei diesem Verfahren werden die CD-R oder CD-RW wie ein »normaler« Wechseldatenträger behandelt. Dazu wird ein spezieller Packet Write-Treiber benötigt. Das Medium muss vor der ersten Benutzung formatiert werden, was einige Zeit in Anspruch nehmen kann. Dann können Daten häppchenweise, wie sie eben anfallen, auf die CD geschrieben werden. Buffer Under-Run-Fehler können dabei nicht auftreten. Ebenso entfällt der Datenverlust durch Lead-In- und Lead-Out-Bereiche. Als Dateisystem kommt für Packet Write UDF zum Einsatz. Solche Datenträger kann Windows Vista zwar problemlos lesen, allerdings nicht beschreiben. Sie benötigen dazu Treiber sowie FormatSoftware, die in den meisten professionellen Brenn-Programmen enthalten sind.
DVD-Formate und -Standards
Universell verwendbar dank UDF
X-fach-DVD als Performance-Index
Bereits 1990 begann eine Gruppe um die Hersteller Toshiba, Sony und Philips sowie den Medienkonzern Time Warner, an der Weiterentwicklung der CD-Technologie zu arbeiten. Ziel war ein Medium, welches in vergleichbarer Größe ein Mehrfaches der Datenmenge speichern kann. Das DVD-Konsortium wurde ins Leben gerufen, dem schließlich zehn namhafte Firmen aus der Computer- und Medienwelt angehören. 1995 wurde das DVD-Format verabschiedet, wobei DVD für Digital Versatile Disc steht und ausdrücken soll, dass dieses Medium sehr vielseitig verwendbar ist. Hauptanwendung ist dabei sicherlich die Video-DVD, die sich durch eine erstklassige Bild- und Tonqualität auszeichnet. Aber auch für die Speicherung von Computerdaten wird die DVD immer mehr eingesetzt. Aufwändige 3D-Spiele können so mit umfangreichen Szenendaten ausgestattet werden. Als Dateisystem wird generell UDF verwendet (siehe vorhergehender Abschnitt). Die Geschwindigkeit, mit der DVD-Geräte Daten lesen und schreiben können, wird wie bei den CDs mit einem X-fachen eines Ausgangswertes angegeben. Dieser ist bei DVDs allerdings bedeutend höher und beträgt 1,35 MB/s. Diese 1-fache Geschwindigkeit wird benötigt, wenn ein DVD-Video flüssig und ohne Ruckeln oder Aussetzer abgespielt werden soll.
17.1 Einführung und Grundlagen __________________________________________1109 Die wichtigsten heute gebräuchlichen DVD-Formate sind die folgen- DVD-Formate den, wobei der Standardisierungsprozess bei den wiederbeschreibbaren Medien noch nicht abgeschlossen ist: DVD-ROM Dieser Standard wurde zuerst verabschiedet und beschreibt die Speicherung auf der handelsüblichen DVD. Die Kapazität ist abhängig vom Speicherverfahren auf der Disc und in verschiedenen Abstufungen erhältlich. Bezeichnung
Speicherverfahren
Kapazität
DVD-5
Einseitig, Single Layer
4,7 GB
DVD-9
Einseitig, Double Layer
8,6 GB
DVD-10
Doppelseitig, Single Layer
9,4 GB
DVD-14
Doppelseitig, eine Seite Double Layer, eine Seite Single Layer
13,2 GB
DVD-18
Doppelseitig, Double Layer
Tabelle 17.4: DVD-ROM-Varianten
17 GB
DVDs der letzten beiden Varianten müssen umgedreht werden, damit das Laufwerk die zweite Seite auslesen kann. Für Spielfilme kommt heute vorrangig DVD-9 zum Einsatz. Die Kapazität von maximal 8,6 GB ist vollkommen ausreichend, um mehr als 2 Stunden Film in hoher Qualität (Auflösung 720 x 576 Bildpunkte), einschließlich erstklassigem Sound in Dolby Digital, zu enthalten. Daneben ist noch ausreichend Platz für zusätzliches BonusMaterial sowie mehrere Sprachen und Untertitel. Mehr zum Abspielen von DVDs unter Windows Vista finden Sie in Abschnitt Wiedergabe von DVD-Videos ab Seite 1135. Bei einer Video-DVD-9 werden in der Regel die Datenträger so Häufig: Stocken hergestellt (gemastert), dass die Datenspirale auf dem ersten Layer beim Layer-Wechsel am Innenring der Disk beginnt und dann nach außen führt. Der mitten im Film Lesekopf muss danach seinen Laser neu fokussieren und läuft auf dem zweiten Layer wieder nach innen zurück. Dies geschieht häufig etwa zur Mitte des Films. Nach wie vor benötigen viele normale DVD-Player für diese Fokussierung etwas Zeit, was ein mehr oder minder langes, einmaliges Stocken des Films zur Folge hat. DVD-R DVD-Rs sind das Gegenstück zu den CD-Rs und können einmalig beschrieben werden. Dazu benötigen Sie einen entsprechenden DVD-Writer sowie Brenn-Software. Windows Vista bietet erstmalig eine Funktion an, die sich Windows DVD Maker nennt. Es gibt zwei verschiedene Rohling-Arten: - DVD-R (G) Das G steht für General Use und kennzeichnet universell einsetzbare Rohlinge. Auf diese können Sie alle Arten von Daten schreiben. Allerdings ist die Spur, die einen digitalen Schlüssel
1110___________________________________________________________17 Multimedia
Nicht kompatibel zu Standard-DVDLaufwerken
DVD-RW und DVD+RW/+R
für den Kopierschutz enthält, bereits vorgebrannt. So lassen sich mit diesen Medien generell keine DVDs mit einem Kopierschutz herstellen. - DVD-R (A) Das A ist die Abkürzung für Authoring und bedeutet, dass diese Rohlinge mit einem Kopierschutz versehen werden können. Dazu sind allerdings ein DVD-Brenner, der diese Betriebsart beherrscht, sowie DVD-Authoring-Software nötig. Hinzu kommt, dass der Laser mit einer anderen Wellenlänge (950 nm) zum Einsatz kommt als für das Schreiben der DVD-R (G)Medien (635 nm). DVD-R (A)-Rohlinge sind mehr als doppelt so teuer wie DVD-R (G)-Rohlinge und damit nur dann interessant, wenn Sie Inhalte erstellen und vertreiben wollen, die geschützt werden müssen. DVD-RAM Dieses Format beschreibt die wiederbeschreibbare DVD, die allerdings mit den meisten herkömmlichen DVD-Laufwerken nicht gelesen werden kann. In IT-Umgebungen kommt dieses Format für die reine Datenspeicherung zum Einsatz. Nur einige ausgewählte DVD-Laufwerke können mit den Medien etwas anfangen, beispielsweise bestimmte Geräte von Panasonic und Toshiba. Von Vorteil sind die vergleichsweise günstigen Preise für Brenner und Medien. DVD+/-Rewritable Beide Formate scheinen sich nur marginal voneinander zu unterscheiden wen interessiert schon, ob sich zwischen DVD und RW ein Plus oder ein Minus befindet? Allerdings unterscheiden sich hier sowohl Brenner als auch Rohlinge signifikant voneinander. Ursache sind zwei konkurrierende Gruppen von Unternehmen, die jeweils ihren »Standard« fest im Markt verankern wollen: - DVD+RW Initiatoren dieses Formats sind Philips, Sony, HP, Yamaha und Ricoh. Die Speicherung der Daten auf der CD+RW ist von der auf der CD-ROM abgeleitet worden. Damit sollen die meisten CD+RW-Medien auch in herkömmlichen DVD-Playern laufen. Die Medien fassen momentan 4,7 GB und lassen sich rund 1 000-mal wiederbeschreiben. Sie können auch partiell nachträglich geändert werden. Einmalig beschreibbare Medien werden entsprechend mit DVD+R bezeichnet und sind inzwischen weit verbreitet. Mehr Informationen erhalten Sie auf dieser Website: www.dvdrw.com - DVD-RW Dieses Format entstand auf Initiative des Herstellers Pioneer, der inzwischen 50 Firmen um sich versammeln konnte. Das Verfahren unterscheidet sich nur geringfügig von CD+RW, ist
17.1 Einführung und Grundlagen __________________________________________1111 allerdings zu diesem inkompatibel. Es werden derzeit zwei Betriebsarten bei der Erstellung von DVD-RW unterstützt: Im Video Mode erstellte DVDs können auf herkömmlichen DVDLaufwerken gelesen werden, lassen aber keine nachträglichen Änderungen mehr zu. Im Video Recording Format geschriebene DVD-RWs können zwar partiell geändert werden, sind aber nicht auf DVD-Laufwerken lesbar. Weitere Informationen erhalten Sie dazu auf der folgenden Website: www.rwppi.com Für den Endkunden macht es heute kaum einen Unterschied, für +R oder R wählen? welchen Standard er sich entscheidet. Für beide Geräteklassen gibt es Brenner und Rohlinge zu moderaten Preisen. Einige Typen, so genannte Multi-Format-Brenner, unterstützen sowohl +R als auch R.
DVD-Nachfolger HD DVD und Blu-ray Disc Um den Titel des »rechtmäßigen« DVD-Nachfolgers streiten sich momentan zwei Konsortien: AOD (Advanced Optical Disc-Konsortium) Dem AOD gehören unter anderem IBM, Intel, NEC, Microsoft, Toshiba und Time Warner an. Die insgesamt mehr als hundert Mitglieder haben sich in der HD DVD Promotion Group für die Vermarktung des neuen Standards organisiert. Die nachfolgende Tabelle gibt einen Überblick über die bislang spezifizierten Formate: Bezeichnung HD DVD-ROM
Speicherverfahren Einseitig, Single Layer
Kapazität Tabelle 17.5: HD DVD-Formate 15 GB
Einseitig, Double Layer
30 GB
HD DVD-R
Einseitig, Single Layer, beschreibbar
15 GB
HD DVD-RW
Einseitig, Single Layer, wiederbeschreibbar
20 GB
Auf dieser Website finden Sie weiterführende Informationen: www.hddvdprg.com BDA (Blu-ray Disc Association) Das zweite Lager der Konkurrenten um den DVD-Nachfolger setzt sich ebenfalls aus namhaften Firmen zusammen. Dazu gehören unter anderem Sony, Philips, Matsushita, Pioneer, Samsung, HP und Apple. Die technischen Parameter klingen viel versprechend. Alle bislang vorgestellten Formate übertreffen hinsichtlich der Speicherkapazität die HD DVD-Konkurrenzprodukte. In der nachfolgenden Tabelle finden Sie eine Übersicht dazu:
1112___________________________________________________________17 Multimedia Tabelle 17.6: Blue-ray Disc-Formate
Bezeichnung Speicherverfahren BD-ROM
BD-R
BD-RE
Kapazität
Einseitig, Single Layer
25 GB
Einseitig, Double Layer
50 GB
Einseitig, Single Layer, beschreibbar
25 GB
Einseitig, Double Layer, beschreibbar
50 GB
Einseitig, Single Layer, wiederbeschr.
25 GB
Einseitig, Double Layer, wiederbeschr.
50 GB
Für die Zukunft sind noch größere Kapazitätssprünge weit jenseits der 100 GB-Marke angekündigt. Dazu sollen mehrere Schichten mit jeweils 25 GB zusammengeschlossen werden. Weitere Informationen finden Sie auf dieser Website: www.blu-raydisc.com
17.1.4 Hinweise zum Kopierschutz digitaler Medien
Es gibt kein Recht auf Kopien!
Verschärfung mit neuer EU-Richtlinie
Wenn Sie über die Windows Vista-Multimedia-Funktionen AudioCDs auslesen oder über zusätzliche Software-Tools Video-DVDs rippen und kopieren, sollte Ihnen klar sein, welche rechtlichen Konsequenzen dies haben kann. Nicht alles, was heute allgemein praktiziert wird, ist deshalb legal. Das ist insbesondere dann für das Verständnis des Einzelnen kaum nachvollziehbar, wenn ein Produkt wie Windows Vista Werkzeuge mitbringt, die zu illegalem Handeln verleiten können. So lassen sich mit dem Media Player Songs von kommerziellen Audio-CDs auslesen und auf den Computer speichern. Abgesehen davon, dass die erreichbare Qualität nicht 1:1 dem Original entspricht (siehe auch Abschnitt 17.3.2 Audio-Funktionen im Detail ab Seite 1125), verbieten genau genommen die Urheberrechtsgesetze ein solches Handeln. Wie Sie vielleicht, teilweise auch aus renommierten Fachzeitschriften, immer mal wieder hören, sollen Kopien für den Privatgebrauch zulässig sein (manche sprechen gar von bis zu 7 »legalen« Kopien, die Sie unter Freunden und Bekannten verschenken dürfen). Das ist definitiv falsch es gibt kein Gesetz, in dem dies verankert ist. In solchen Aussagen spiegelt sich maximal die derzeit gängige Rechtssprechung in Deutschland wider, die Kopien in geringer Anzahl im reinen Privatgebrauch toleriert. Das kann sich allerdings bald grundlegend ändern: Mit der Umsetzung der EU-Richtlinie zum Urheberrecht in der Informationsgesellschaft in deutsches Recht seit September 2003 sind die Wege geebnet, Verstöße deutlich schärfer ahnden zu können. Das kann so weit führen, dass selbst die Anwendung von Programmen zum Knacken von Kopierschutzmechanismen illegal ist und verfolgt werden kann. Wei-
17.2 CD und DVD-Brennen unter Windows Vista ____________________________1113 tere Informationen finden Sie zu dieser Richtlinie unter den folgenden Adressen: www.bmj.bund.de/files/441/Bundesgesetzblatt_nr46.pdf www.gema.de/urheberrecht Bei Audio- und Video-Fans sind auch immer wieder die Versuche der Kopierschutz Industrie umstritten, ihre Produkte mit einem digitalen Kopierschutz zu versehen. Das ist allerdings deren gutes Recht. Selbst wenn dadurch eine Audio-CD nicht mehr am Computer abspielbar ist, können Sie diese maximal reklamieren und erhalten im Allgemeinen Ihr Geld zurück es sei denn, dieses »Merkmal« ist klar und deutlich auf der CD und deren Verpackung erkennbar. Ein »Recht« auf die Musik des betreffenden Künstlers zum Abspielen auf dem PC gibt es leider nicht. Jeder Künstler oder Musikverlag kann mit seinen Inhalten schließlich machen, was er will. Insofern sind auch Kopierschutzmechanismen legal, ihre Umgehung hingegen nicht. Wir können an dieser Stelle keine umfassende Analyse der rechtlichen Lage zu diesem Themenkomplex vermitteln und wollen sicher keine Panik machen. Wir finden es allerdings wichtig, dass Sie, wenn Sie die Multimedia-Funktionen von Windows Vista einsetzen, wissen, was dies für Konsequenzen haben kann. Auch in Zukunft wird sicher kaum jemand versuchen, etwa die private MP3-Sammlung eines Einzelnen zu ermitteln und zu beschlagnahmen. Sie sollten allerdings durchaus vorsichtig sein, wenn es darum geht, urheberrechtlich geschützte Audio- und Video-Dateien öffentlich auszutauschen.
17.2 CD und DVD-Brennen unter Windows Vista Neben den im Anschluss beschriebenen Funktionen zur Erstellung DVD Maker eigener CDs bringt Windows Vista mit dem Windows DVD Maker selbst Funktionen zum Brennen von Daten- und Audio-DVDs mit. Der Umgang mit diesem Programm ist in Abschnitt 17.2.4 Windows DVD Maker ab Seite 1122 beschrieben.
17.2.1 Installation eines CD-Brenners Zur Installation eines CD-Brenners brauchen Sie eigentlich nicht viel zu tun Windows Vista erkennt praktisch alle aktuellen Brenner-Modelle. Selbst mit mehr als zwei Jahre alten Geräten sind in der Regel kaum Probleme hinsichtlich der korrekten Erkennung bekannt. Lediglich ältere externe Brenner, die noch über das langsame USB 1.x Probleme bei exterangeschlossen werden, können unter Umständen beim Brennen Prob- nen Brennern beleme verursachen. Dann hilft nur, nach aktuellen Treibern auf der heben Website des Herstellers zu suchen. Meist verursacht jedoch nicht der Brenner selbst das Problem, sondern der Controller im externen Gehäuse. Wirkungsvoll umgehen können Sie dieses, wenn Sie den Brenner aus seinem Gehäuse befreien und intern einbauen. Das funktioniert, da praktisch alle heute per USB oder Firewire extern angeschlos-
1114___________________________________________________________17 Multimedia senen Geräte eigentlich interne IDE-Geräte sind, die nur über einen speziellen Controller, der sich im externen Gehäuse befindet, an diese Schnittstellen angeschlossen werden.
Kontrolle der korrekten Einstellungen für den CD-Brenner Wenn Sie den Brenner, ob extern oder intern, installiert haben, können Sie die Einstellungen, die Windows Vista für diesen vorgenommen hat, folgendermaßen kontrollieren und gegebenenfalls modifizieren: 1. Öffnen Sie das COMPUTER-Fenster im Windows Explorer (über START | COMPUTER). Der Brenner wird hier wie ein normales CDROM-Laufwerk in der Sektion GERÄTE MIT WECHSELMEDIEN angezeigt. 2. Öffnen Sie das Eigenschaften-Dialogfenster über das Kontextmenü zum Brenner, welches Sie über einen Klick auf die rechte Maustaste erhalten. Abbildung 17.2: Eigenschaften-Dialog für einen erkannten CD-Brenner
Brenner konfigurieren
Ist das Laufwerk durch das Betriebssystem grundsätzlich als CD-Brenner erkannt worden, finden Sie die Registerkarte AUFNAHME. Hier können Sie weitere Konfigurations-Einstellungen zum Brenner vornehmen. Standard-Aufnahmelaufwerk festlegen Sind mehrere Brenner in Ihrem Computer eingebaut, können Sie das Standardlaufwerk für die Desktopdatenträgeraufnahme (dem Brennen mit dem Windows-Explorer) festlegen.
17.2 CD und DVD-Brennen unter Windows Vista ____________________________1115 Laufwerk für temporäres Zwischenspeichern festlegen Daten, die Sie auf die CD brennen wollen, können von den unterschiedlichsten Quellen stammen (Wechseldatenträger, Netzlaufwerke). Da diese Quellen verschiedene Übertragungsraten haben und während des Brennvorgangs möglicherweise nicht mehr zur Verfügung stehen, ist es notwendig, die Daten auf einer lokalen Festplatte zwischenzeitlich zu lagern. Wählen Sie einen schnellen Datenträger mit ausreichender Kapazität. Wenn möglich, vermeiden Sie die Benutzung des Systemlaufwerks. DATENTRÄGER AUTOMATISCH NACH EINEM B RENNVORGANG (MASTERED) AUSWERFEN Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass Windows die CD-R oder CD-RW direkt nach dem Brennvorgang auswirft. Die Schaltfläche GLOBALE EINSTELLUNGEN Einzige Option der globalen Einstellungen ist das automatische Schließen von UDF-Sitzungen beim Auswerfen des Datenträgers. Da der Datenträger auf anderen Computern nicht lesbar ist, bevor die Sitzung geschlossen wurde, sollten Sie die aktivierte StandardEinstellung beibehalten.
17.2.2 Daten auf CD über den Explorer brennen Relativ einfach ist es, über den Windows Explorer Daten auf eine CD-R oder CD-RW zu schreiben. Wenn Sie ein entsprechendes (leeres) Medium in Ihren Brenner einlegen, werden Sie standardmäßig mit einem Dialogfenster konfrontiert (siehe Abbildung 17.3). Wenn Sie die zweite Option wählen, öffnet der Windows Explorer einen temporären leeren Ordner, in den Sie alle zu brennenden Dateien kopieren können. Abbildung 17.3: Erkennung eines leeren Mediums im Brenner
Zunächst wird der Datenträgertitel der CD abgefragt. Auf Wunsch Temporärer kann das zu verwendende Dateisystem über den Link FORMATIE- Speicherort RUNGSOPTIONEN EINBLENDEN geändert werden. Das Livedateisystem ist moderner, aus Kompatibilitätsgründen kann aber die Verwendung des Eintrags MASTERED ratsam sein.
1116___________________________________________________________17 Multimedia Abbildung 17.4: CD vorbereiten mit eingeblendeten Formatierungsoptionen
Mehr Informationen, wann das Livedateisystem und wann Mastered benutzt werden sollte, stellt die Windows-Hilfe zur Verfügung.
Livedateisystem Wurde das Livedateisystem ausgewählt (das ist der Standard), steht das Laufwerk zur sofortigen Aufnahme von Dateien bereit. Der Brennvorgang setzt in dem Moment ein, wie Sie Dateien per Drag&Drop auf das Laufwerk ziehen. Damit verhält sich der CDBrenner wie ein USB-Flashlaufwerk. Ist die Zusammenstellung abgeschlossen, ist es notwendig, die UDF-Sitzung zu schließen. Dazu wählen Sie im Kontextmenü des Laufwerks den Eintrag SITZUNG SCHLIESSEN oder Sie entfernen die CD aus dem Brenner. Die zweite Methode setzt allerdings voraus, dass Sie die UDF-Einstellung, wie auf Seite 1115 unter Schaltfläche Globale Einstellungen beschrieben, zum automatischen Schließen der Sitzung nicht deaktivieren. Sie werden bemerken, dass das Auswerfen der CD etwas länger dauert als üblich. Nur wenn die Sitzung abgeschlossen ist, kann die CD von anderen Laufwerken gelesen werden.
Mastered Im Format Mastered werden die Daten, die auf die CD geschrieben werden sollen, zunächst in einem Ordner auf der Festplatte zwischengespeichert. Standardmäßig befindet sich dieser Ordner an folgendem physikalischen Speicherort: %Systemdrive% \Users \%Username% \Appdata \Local \Microsoft \Windows \Burn \Burn
17.2 CD und DVD-Brennen unter Windows Vista ____________________________1117 Logisch ansprechbar ist der Ordner unter: C:\Benutzer\%Username%\AppData\Local\Microsoft\Windows\Burn\Temporär er Ordner für zu brennende Dateien Erst wenn Sie in der Aufgabenleiste AUF DATENTRÄGER BRENNEN wählen, beginnt der eigentliche Brennvorgang. Abbildung 17.5: Zu brennende, bislang temporär gespeicherte Dateien
Vor dem Brennvorgang werden die temporär gespeicherten Dateien zu einem Image zusammengefasst, welches an dem Ort abgelegt wird, der in den Brenner-Optionen angegeben ist (siehe Abschnitt Kontrolle der korrekten Einstellungen für den CD-Brenner ab Seite 1114). Die ImageDatei hat das Attribut VERSTECKT und befindet sich dann im Hauptverzeichnis unter dem folgenden Namen: CD Burning Stash File.bin Beachten Sie, dass diese Datei laut Microsoft bis zu 1 GB groß werden kann. Nach dem Brennvorgang wird sie allerdings sofort wieder gelöscht was nicht nur Vorteile bringt (siehe nachfolgender Abschnitt).
CDs in Kleinserie anfertigen Haben Sie vor, den gleichen Inhalt auf mehrere CDs zu schreiben, brauchen Sie den Brennvorgang im Mastered Format lediglich mit AUF DATENTRÄGER BRENNEN erneut zu starten. Einfacher ist es, Sie markieren die Checkbox JA, DIESE DATEIEN AUF EINEN ANDEREN DATENTRÄGER BRENNEN in einem Dialogfenster, das nach Abschluss jedes Brennvorgangs erneut erscheint (siehe Abbildung 17.6 auf Seite 1118). Leider muss die Image-Datei für jede CD erneut angelegt werden, Image-Datei wird sodass sich die Einsparung an Zeit mit diesem Verfahren in Grenzen jedes Mal erneut hält. Hintergrund dafür ist die Arbeitsweise des Brenn-Moduls. Dieses angelegt berechnet die Image-Datei sicherheitshalber jedes Mal neu, da in dieser auch die neuen Daten für das Inhaltsverzeichnis erzeugt werden. Damit wird berücksichtigt, dass auf einer CD-R oder CD-RW bereits Daten vorhanden sein können. Wenn Sie allerdings 20 leere Rohlinge
1118___________________________________________________________17 Multimedia mit identischen und umfangreichen Daten beschreiben wollen, nützt Ihnen die Vorsicht der Software wenig sie kostet dann nur Zeit. Abbildung 17.6: Brennen mit den gleichen Daten wiederholen
Mehrere Sessions auf eine CD bringen CDs werden über den Explorer nicht abgeschlossen
Probleme bei MP3CDs
Session hinzufügen
Wenn Sie direkt über den Windows Explorer Daten auf die CD bringen, werden alle zu brennenden Dateien in einem einzigen Track untergebracht. Dieser Track wird wiederum in einer abgeschlossenen Session auf die CD gebrannt. Damit soll sicher das Handling vereinfacht werden. Allerdings führt dies dazu, dass so erzeugte MP3-CDs mit einer Session nur aus einem einzigen Track bestehen. Daran scheitern viele stationäre und tragbare MP3-fähige CD- oder DVD-Player. Als Alternative bleibt Ihnen nur, solche CDs über ein anderes Brenn-Programm zu erstellen (siehe Abschnitt 17.2.3 Fehlende Funktionen und andere Programme ab Seite 1119). Wollen Sie eine weitere Session zu bereits auf der CD befindlichen hinzufügen, kopieren Sie die betreffenden Dateien einfach wieder über den Windows Explorer auf den Datenträger. Die Dateien werden dann wiederum temporär zwischengespeichert und können ebenso wie im vorhergehenden Abschnitt beschrieben gebrannt werden. Voraussetzung ist nur, dass noch ausreichend freier Speicherplatz auf dem Medium vorhanden ist.
CD-RWs löschen Der Vorteil bei der Verwendung von CD-RWs ist ihre mehrfache Nutzbarkeit. Heutige Medien lassen sich etwa 1 000-mal wiederbeschreiben. Eine CD-RW unterscheidet sich aus Anwendersicht nicht von einer CD-R. Sie kann so lange mit weiteren Daten (Sessions) beschrieben werden, wie noch Platz verfügbar ist.
17.2 CD und DVD-Brennen unter Windows Vista ____________________________1119 Wenn Sie eine CD-RW wieder komplett leeren wollen, müssen Sie sie zuerst löschen. Wenn Sie das Livedateisystem verwenden, lassen sich einzelne Daten löschen, wie Sie es von anderen Wechseldatenträgern gewohnt sind. CD-RWs können mit zwei verschiedenen Verfahren gelöscht werden: Schnell-Löschung Bei diesem Verfahren wird nur das Inhaltsverzeichnis (TOC) gelöscht. Damit ist das Medium als leer gekennzeichnet, die Sektoren enthalten aber noch alle Daten. Vorteil dieses Verfahrens ist, dass der Löschvorgang im Durchschnitt bereits nach weniger als einer Minute beendet ist. Komplett-Löschung Es werden bei diesem Verfahren alle Sektoren auf dem Medium mit Leerdaten überschrieben. Dementsprechend viel Zeit müssen Sie dafür einkalkulieren. Windows Vista unterstützt mit seiner integrierten Brennfunktion nur die Schnell-Löschung von CD-RW-Medien. Sie sollten beachten, dass von derartig behandelten Medien mit spezieller Software die Daten wiederhergestellt werden können. Ein wirklich sicheres Verfahren stellt daher nur die Komplett-Löschung dar, die Sie mit BrennProgrammen anderer Hersteller durchführen können. So löschen Sie die CD-RW im Schnellverfahren über den Explorer: 1. Öffnen Sie das ARBEITSPLATZ-Fenster des Windows Explorers über das Startmenü. 2. Klicken Sie auf das CD-Symbol für das CD-RW-Laufwerk und wählen Sie über das Kontextmenü (rechte Maustaste) den Punkt CD-RW LÖSCHEN. 3. Bestätigen Sie das Meldungsfenster des Assistenten.
17.2.3 Fehlende Funktionen und andere Programme Die integrierte CD-Brennlösung in Windows Vista lässt einige Wünsche offen. In diesem Abschnitt finden Sie eine Aufstellung einiger dieser fehlenden oder mangelhaften Funktionen sowie Hinweise, welche (Um-)Wege Ihnen Windows Vista eventuell hilfsweise anbietet. Zusätzlich nennen wir Ihnen Programme anderer Hersteller, in denen Sie diese Funktionen überhaupt oder weit besser implementiert vorfinden.
1:1-Kopien von CDs herstellen Leider findet sich keine integrierte Funktion, mit der Sie direkte Kopien von CDs herstellen können. Das sind die Wege, die Sie über Windows Vista hilfsweise gehen könnten:
CD-RW-Löschverfahren
CD-RW im Explorer löschen
1120___________________________________________________________17 Multimedia
Umwege in Vista sind zeitaufwändig
Keine Chance bei Kopierschutz oder Überlänge Programme zum Klonen von CDs
Kopierfunktionen der Allrounder
Daten-CDs Kopieren Sie den Inhalt der gesamten CD über den Windows Explorer in ein temporäres Verzeichnis. Danach legen Sie eine leere CR-R oder CD-RW ein und kopieren die Daten auf diese zurück. Audio-CDs Um komplette Audio-CDs zu kopieren, können Sie hilfsweise den Media Player einsetzen. Sie kopieren dazu zunächst alle Tracks der CD in Ihre Medien-Bibliothek und dann zurück auf eine leere CD-R oder CD-RW. Das genaue Verfahren wird in Abschnitt 17.3.2 Audio-Funktionen im Detail ab Seite 1125 beschrieben. Beide Verfahren funktionieren übrigens überhaupt nicht, wenn die Quell-CD mit einem Kopierschutz versehen ist oder Überlänge aufweist (mehr als 74 Minuten oder 650 MB an Daten). Die folgenden Programme bieten Funktionen, mit denen Sie Kopien von CDs schnell und in hoher Qualität (im besten Fall exakt bitweise 1:1) durchführen können: CloneCD Dieses professionelle Programm ist speziell dazu entwickelt worden, CDs möglichst exakt und schnell zu kopieren. Es kostet circa 30,- und wird selbst mit »widerspenstigen« CDs fertig. So können Sie beispielsweise von den meisten kopiergeschützten CDs Sicherungskopien anfertigen. www.elby.de DiscJuggler Das Programm zeichnet sich durch seine einfache Bedienung aus. www.padus.com RAW CD Copy Als kostenlos verfügbare Freeware bietet diese Kopierlösung einen hohen Funktionsumfang. Allerdings ist die Einrichtung nicht ganz ohne und erfordert einige technische Kenntnisse. Eine zentrale Download-Adresse scheint es nicht zu geben. Sie können eine passende aber über eine Suchmaschine wie Google ermitteln. Neben speziellen Programmen zum CD-Kopieren bieten auch gängige Allround-Brenn-Programme wie Nero oder der Easy CD Creator leistungsfähige Kopierfunktionen. Auf diese Programme wird unter anderem im nachfolgenden Abschnitt eingegangen. Wenn Sie über eine gängige Suchmaschine nach »CD klonen« oder »Clone CD« suchen, werden Sie eine große Anzahl solcher Programme finden. Die meisten Hersteller bieten inzwischen kostenlose, voll funktionsfähige Testversionen an, die Sie eine Zeit lang benutzen können (zwischen 30 und 60 Tagen).
Hochqualitative Audio- und MP3-CDs erstellen Wollen Sie Audio-CDs originalgetreu auslesen (grabben) oder selbst zusammengestellte Alben in hoher Qualität auf Audio- oder MP3-CDs
17.2 CD und DVD-Brennen unter Windows Vista ____________________________1121 erstellen, kommen Sie um »richtige« Brenn-Programme nicht herum. Meist liegen den CD-Brennern leistungsfähige Brenn-Programme bei, die diese Funktionen gut beherrschen. Die gängigsten Programme sind dabei die folgenden: Nero Dieses Programm bietet einen hohen Funktionsumfang. Für das Audio-Grabben kann auf eine interne Titel-Datenbank zurückgegriffen werden. Werden hier keine Informationen gefunden, können Sie auch eine Verbindung zu einem CDDB-Server über das Internet herstellen lassen. Für die Erstellung von Audio-CDs können Sie explizit auswählen, dass Pausen zwischen den Titeln vermieden werden. Hinzu kommt, dass Sie, sofern der Brenner das unterstützt, Medien im Disc-At-Once-Modus (DAO) beschreiben können. Ab Version 7.5.7.0 ist Nero Burning Rom auch für Windows Vista geeignet. www.ahead.de WinOnCD Der Hersteller dieser Software, ROXIO, liefert auch die Module für die integrierten Brennfunktionen in Windows Vista unverständlich, dass diese dann nicht besser und umfassender ausgefallen sind. Aber daran ist sicher nicht ROXIO schuld, sondern Microsoft, die die Spezifikationen vorgegeben haben. Die Version 9 ist laut Website des Herstellers für Windows Vista Home, Business und Ultimate geeignet. Preislich liegen die Vollversionen der genannten Programme dicht beieinander (zwischen 40 und 60 ). Besitzen Sie bereits eine ältere Version, lohnt sicher ein Update auf eine neuere Fassung.
Video-CDs erstellen Neben reinen Daten-CDs und Audio-CDs können Sie kein anderes CD-Format mit den Windows-eigenen Brennfunktionen erstellen. Dazu gehört auch die Video- oder Super-Video-CD. Das digitale Ausgangsmaterial können Sie zwar mit dem Movie Maker produzieren, allerdings keine CD in einem dieser Formate erzeugen. Das Vorgehen dazu wird in Abschnitt 17.4 Windows Movie Maker im Detail ab Seite 1138 erläutert. Die im vorhergehenden Abschnitt genannten Programme Nero und WinOnCD bieten beide dafür entsprechende Funktionen.
Überlange CDs erstellen Unter Windows Vista können Sie überlange CDs (mit 80 bis 99 Minuten Spieldauer oder bis zu 880 MB an Daten) gar nicht erstellen. Es bleibt Ihnen dann nur der Griff zu einem professionellen BrennProgramm. Nero oder WinOnCD bieten beispielsweise dafür alle notwendigen Funktionen.
1122___________________________________________________________17 Multimedia
17.2.4
Windows DVD Maker
Mit dem Windows DVD Maker lassen sich DVDs erstellen, die auf jedem handelsüblichen Player abgespielt werden können. Die Funktion ist verglichen mit professionellen Authoring-Programmen relativ simpel. An der einfachen Bedienung ist aber erkennbar, für wen dieses Programm gedacht ist: den interessierten Laien. Microsoft hat das selbst erkannt und diese Software der Hole Premium Edition beigepackt. Wer also »mal schnell« eine DVD mit eigenen Videos zusammenstellen will, für den ist es geeignet. Anspruchsvollere Anwender werden hingegen Bearbeitungsmöglichkeiten für Schnitte und erweiterte Überblendungen vermissen. Die Funktionsweise ist schnell erklärt: Nach dem Start über START | ALLE PROGRAMME | WINDOWS DVD MAKER zeigt die Software zunächst ein leeres Hauptfenster, das über den Leisteneintrag ELEMENTE HINZUFÜGEN mit Mediendateien befüllt werden kann. Abbildung 17.7: Windows DVD Maker-Hauptfenster mit Beispielvideos
Videos werden im Basisverzeichnis ablegt, Bilder im Ordner Diashow. Die importierten Elemente lassen sich in ihrer Reihenfolge verändern. Der Menüeintrag Datei verwaltet die üblichen Funktionen zur Verwaltung eines DVD-Projekts, der Gesamtheit aller Mediendateien und Einstellungen. Rechts oben erlaubt eine Dropdown-Box die Auswahl eines DVD-Brenner, falls mehrere im System vorhanden sind. Am unteren Bildschirmrand befindet sich eine Füllstandsanzeige. Über das Eingabefeld in der Mitte lässt sich ein »sprechender« Name für den Datenträger eintragen. Über den Link OPTIONEN öffnet sich ein Dialog, der Angaben zu Seitenverhältnis, Videoformat, Geschwindigkeit des Brenners und temporärem Dateiablageort erwartet.
17.3 Windows Media Player 11 ___________________________________________1123 Abbildung 17.8: Windows DVD Maker-DVD-Optionen
In der Regel können Sie die Voreinstellungen beibehalten. PAL und 4:3 sind die Standards. Außerdem können Sie entschieden, ob und wann ein DVD-Menü erscheint. Über die Befehlsschaltfläche WEITER im Hauptfenster erreichen Sie ein zweites Fenster, das ein sofortiges Brennen der Zusammenstellung zulässt. Natürlich können Sie vorher den Text und das Aussehen des Menüs ändern. Dafür stehen 20 Vorlagen bereit. Über den Eintrag DIASHOW können die Anzeigedauer der ausgewählten Bilder, Überblendeffekte und eine Hintergrundmusik selektiert werden. VORSCHAU ermöglicht die Kontrolle aller Einstellungen, bevor der Brennvorgang beginnen kann, der mit BRENNEN eingeleitet wird.
17.3 Windows Media Player 11 Der aktuell mitgelieferte Player trägt die Versionsnummer 11 und tritt damit die Nachfolge der weit verbreiteten Player 9 und 10 an. In den nachfolgenden Abschnitten erhalten Sie eine Einführung in dieses Programm.
17.3.1 Überblick Der Media Player dient in erster Linie zum Wiedergeben von (digitalen) Medien. Das beginnt mit dem Abspielen von normalen AudioCDs, geht über die Wiedergabe von Filmen bis hin zu MultimediaDatenströmen aus dem Internet, die in enger Verzahnung mit dem Internet Explorer dem Benutzer angeboten werden können.
1124___________________________________________________________17 Multimedia Funktionen In der folgenden Tabelle finden Sie die Funktionen des Media Players sowie die zugehörigen Seiten im Buch für weitere Informationen. Tabelle 17.7: Funktionen des Media Players im Überblick
Funktion für
Kurzbeschreibung
Seite
Audio
Wiedergabe digitaler Medien (AudioCDs, WMA- und MP3-Dateien etc.) sowie Einlesen von Audio-Dateien und Abspeicherung auf dem PC
1125
Wiedergabe von digitalen Video-Dateien bis hin zu DVD-Videos; letztere nur unter Nutzung zusätzlicher Decoder-Software
1134
Katalogisieren der auf dem Computer gespeicherten oder über das Web erreichbaren Multimedia-Inhalte
---
Video
Medienbibliothek
Überblick über die Bedienoberfläche Der Media Player verfügt über eine attraktive Bedienoberfläche, die Sie auch noch weitgehend anpassen können. Allerdings sind zugunsten der Optik einige Grundsätze zur Bedienung von Windows-Programmen aufgegeben worden, was bei der ersten Begegnung mit dem Media Player für manche mit einer wilden Suche nach der gewünschten Funktion führt. Inzwischen sollte dieser »Schock« überwunden sein. In der nachfolgenden Abbildung sind die wichtigsten Schaltflächen kurz bezeichnet. Abbildung 17.9: Oberfläche des Media Players
Quicktipps
Wenn Sie den Media Player erkunden, können die Quicktipps eine gute Hilfe sein. Lassen Sie den Mauszeiger über einer Schaltfläche stehen, wird ein Tipp mit seiner Funktionsbezeichnung eingeblendet.
17.3 Windows Media Player 11 ___________________________________________1125 Über die Taskleiste erreichen Sie alle wesentlichen Funktionen des Taskleiste Media Players: AKTUELLE WIEDERGABE Darüber blenden Sie die Wiedergabeseite des Media Players ein. Bei Audio-Inhalten wird die Visualisierung angezeigt. MEDIENBIBLIOTHEK Sie gelangen in die Medienbibliothek, in der Sie alle gespeicherten Mediendateien sowie URLs für Internet-Inhalte katalogisieren können. VON MEDIUM KOPIEREN Haben Sie eine Audio-CD eingelegt, können Sie die Titel über diese Schaltfläche auf Ihren PC kopieren lassen. Beachten Sie dazu auch die Hinweise in Abschnitt Einstellungen zum Kopieren anpassen ab Seite 1125, bevor Sie damit anfangen. BRENNEN Sie gelangen zu dem Programmteil des Media Players, über den Sie auf dem PC gespeicherte Multimedia-Dateien auf CDs brennen können. Diese Funktion wird in Abschnitt Kopieren von Titeln auf Audio- und MP3-CDs ab Seite 1131 näher vorgestellt. SYNCHRONISIEREN Besitzen Sie einen vom Media Player erkannten tragbaren Player, dann können Sie diesen über die Synchronisierungsliste mit Inhalten füllen und abgleichen. In Abschnitt Synchronisieren von Mediendaten mit mobilen Playern ab Seite 1132 finden Sie dazu weiterführende Informationen. MEDIA GUIDE Neue Musik können Sie gegen Bezahlung direkt von Online-Shops wie StayTuned.de, MSN Entertainment, Yahoo! Musik und anderen Links beziehen, die unter MEDIA GUIDE aufgelistet sind. Eine Suchmaschine für Microsofts Windowsmedia.com steht Ihnen ebenfalls zur Verfügung. Wenn Sie das Fenster des Media Players minimieren, wird dieser in Miniplayermodus den Miniplayermodus umgeschaltet und erscheint als Symbolleiste in der Taskleiste von Windows. Dazu müssen Sie beim ersten Minimieren lediglich die Abfrage bejahen, dass ein Einfügen in die Taskleiste gewünscht wird.
17.3.2 Audio-Funktionen im Detail Über den Media Player können Sie auf einfache Art und Weise Ordnung in Ihre Musik-Sammlung bringen.
Einstellungen zum Kopieren anpassen Bevor Sie Ihre gesammelten Audio-CDs in den Computer bringen, sollten Sie einige grundlegende Einstellungen dazu im Media Player
1126___________________________________________________________17 Multimedia an Ihre Bedürfnisse anpassen. Sie finden diese über das Hauptmenü des Media Players über E XTRAS | OPTIONEN. Gehen Sie in die Registerkarte MUSIK KOPIEREN. Abbildung 17.10: Einstellungen des Media Players zum Kopieren von AudioTracks in den PC
Speicherort
Dateinamen
Die folgenden Einstellungen können Sie hier ändern: Speicherort und Dateinamen-Aufbau der Musikdateien Der Media Player kopiert die ausgewählten Audio-Tracks auf Ihren PC in den Ordner, der im oberen Teil des Dialogfensters angegeben ist. Wenn Sie eine umfangreichere Sammlung auf einer anderen Partition oder vielleicht auf einer externen Festplatte anlegen wollen, können Sie über die Schaltfläche ÄNDERN einen beliebigen anderen Speicherort angeben. Die Titel werden beim Kopieren in einzelne Dateien abgelegt, wobei Sie den Aufbau des Namens beeinflussen können. Klicken Sie auf die Schaltfläche DATEINAME, wenn Sie hier Änderungen vornehmen wollen. Neben Titelnummer und -name können Sie weitere oder andere Parameter im Dateinamen unterbringen. Diese Namens-Einstellungen nützen Ihnen nur dann wirklich etwas, wenn Sie die Titelnamen für die Tracks über das Internet abrufen und zwar, bevor Sie diese in den Computer einlesen.
17.3 Windows Media Player 11 ___________________________________________1127 Allerdings können Sie auch nach dem Kopieren noch die Titel- und Albuminformationen erhalten, sodass Sie sich um die Dateinamen eigentlich nicht unbedingt Gedanken machen müssen. Das genaue Vorgehen dazu wird im nachfolgenden Abschnitt erläutert. Dateiformat und Qualität Der Windows Media Player 11 bietet das WMA-Format (in vier Varianten), das MP3-Format und das WAV-Format an (siehe auch Abschnitt Digitale Audio-Formate ab Seite 1089). Standardmäßig ist das WMA-Format eingestellt. Wichtig ist die Einstellung der Qualitätsstufe. Für eine annähernde HIFI-Qualität sollten Sie diese auf 128 oder sogar besser 192 KBit/s anheben. Weitere Informationen finden Sie in der Tabelle 17.2 auf Seite 1092. Beachten Sie, dass Sie Musikdateien im WMA-Dateiformat auf Windows-Computern, Windows PDAs und ausgewählten Playern abspielen können. Wesentlich universeller einsetzbar ist das MP3Format. Kontrollkästchen KOPIERSCHUTZ FÜR MUSIK Dieses ist beim Format WMA verfügbar. Ist es aktiviert, werden alle kopierten Audio-Dateien über das integrierte DRM gekennzeichnet. Weitere Informationen dazu finden Sie auf Seite 1089 sowie in der Online-Hilfe zum Media Player. Bevor die Audio-Daten durch den WMA- oder MP3-Codec komprimiert werden, sollten sie natürlich möglichst fehlerfrei von der CD gelesen werden können. Hier kann sich übrigens ein Merkmal von Computer-CD-Laufwerken negativ bemerkbar machen: Während stationäre Audio-CD-Player mit einem Fehlerkorrekturverfahren arbeiten und Bitfehler dadurch meistens recht zuverlässig vor dem menschlichen Ohr verborgen bleiben, versuchen Computer-CD-Laufwerke standardmäßig, alle Daten möglichst bitgenau auszulesen. Treten dabei Fehler auf, werden sie oft störend wahrgenommen (Knacken, Sprünge etc). Das betrifft übrigens nicht nur CD-ROM-Laufwerke, sondern auch CD-RW- und DVD-Geräte. Für den Media Player können Sie für das Auslesen (Grabben) von Audio-CDs einen Fehlerkorrekturmechanismus nutzen. Standardmäßig ist dieser aber deaktiviert. Gehen Sie so vor, um die Aktivierung vorzunehmen: 1. Öffnen Sie die Registerkarte GERÄTE im O PTIONEN-Dialogfenster zum Media Player (siehe Abbildung 17.10 auf Seite 1126). 2. Markieren Sie das entsprechende Laufwerk und klicken Sie auf die Schaltfläche EIGENSCHAFTEN. 3. Aktivieren Sie jeweils das Kontrollkästchen in der Sektion VON MEDIUM KOPIEREN.
Fehlerkorrektur für Audio-Daten
Fehlerkorrektur im Media Player aktivieren
1128___________________________________________________________17 Multimedia Abbildung 17.11: Fehlerkorrektur für ein Laufwerk aktivieren
Diese Einstellungen werden dann sofort aktiv und erfordern keinen Neustart. Sie sollten übrigens die Einstellungen auf DIGITAL belassen, um eine optimale Qualität sicherzustellen. ANALOG wird nur dann benötigt, wenn Sie sehr alte und entsprechend langsame Hardware einsetzen sollten.
Internet-Titeldatenbank nutzen Haben Sie alle Einstellungen getroffen, können Sie damit beginnen, Tracks von Audio-CDs auf Ihren Computer zu übertragen. Besteht bereits eine Internetverbindung, dann werden mit dem Einlegen der CD die Informationen zum Album und den Titeln gesucht und bei Erfolg angezeigt. Beim Abfragen der Informationen zu einem Titel oder einer kompletMedienservice ten Audio-CD wird durch den Media Player ein spezieller Dienst kontaktiert. Microsoft baut inzwischen auf einen eigenen Medienservice, der über die folgende Website angesprochen wird: http://metaservices.windowsmedia.com Als Endkunde können Sie mit diesem URL allerdings nichts anfangen. Immerhin funktioniert die Erkennung sogar für bereits auf den PC übertragene und via WMA oder MP3 komprimierte Dateien. Assistent oder Infor- Sind die Informationen, die Ihnen diese Dienste liefern, unvollständig mationen manuell (was bei etwas exotischeren Alben durchaus passieren kann), können nachbearbeiten Sie diese mit ALBUMINFORMATIONEN SUCHEN komplettieren oder selbst bearbeiten. Diesen Eintrag finden Sie im Kontextmenü der aufgelisteten Titel. Mit dem Laden der Informationen zu Interpreten und Songs werden Albumcover auch, sofern verfügbar, die Albumcover als Bilddateien mit übertragen. Diese finden Sie dann sowohl als Visualisierungs-Auswahl im
17.3 Windows Media Player 11 ___________________________________________1129 Media Player wieder als auch im Windows Explorer für die Kennzeichnung der Ordner. Der Media Player legt für die Coverdarstellungen zwei versteckte Dateien in dem Verzeichnis an, in welchem die einzelnen Titel des Albums in zwei verschiedenen Auflösungen gespeichert sind: ALBUMARTSMALL.JPG FOLDER.JPG So können Sie vorgehen, wenn Sie eine andere Darstellung für den Coverdarstellung ändern Ordner einrichten wollen: 1. Markieren Sie den Ordner im Windows Explorer und öffnen Sie über das Kontextmenü das Eigenschaften-Fenster. 2. In der Registerkarte ANPASSEN können Sie über ORDNERTYP und DATEI AUSWÄHLEN das Aussehen des Ordners ändern. Als Bilder lassen sich alle direkt durch den Windows Explorer anzeigbaren Bildtypen auswählen. Um die Größe und Auflösung brauchen Sie sich keine Gedanken zu machen es wird automatisch passend umgerechnet. Abbildung 17.12: Eigenschaften-Fenster zu einem Ordner für Musikdateien
Sie können auch einfacher ein Bild zu einem Ordner zuweisen vorausgesetzt, es liegt im JPEG-Format vor: Legen Sie das Bild in den betreffenden Ordner und benennen Sie es mit FOLDER.JPG. Im Ordner Musik wird der Ordner der kopierten CD angezeigt. Ist die Ansicht auf MITTELGROßE SYMBOLE (oder größer) gestellt, erscheint das Bild FOLDER.JPG in dem Ordnersymbol.
1130___________________________________________________________17 Multimedia Einstellungen zum Sound SRS-Technologie
SRS WOW
In der Standardeinstellung steuert der Media Player Ihre Lautsprecher »normal« an. Allerdings können Sie auch Soundeffekte einstellen, die selbst aus mittelmäßigen PC-Lautsprechern, sofern sie nicht mikroskopisch klein im Monitorfuß untergebracht sind, eine durchaus beeindruckende Klangfülle »zaubern«. Grundlage des Ganzen ist eine Technologie der Firma SRS, die in den Media Player integriert worden ist. Weitere Informationen finden Sie dazu über diese Website: www.srswowcast.com/techpage.asp Im Media-Player ist die SRS-Technologie als so genannter WOW-Effekt implementiert. Gehen Sie so vor, um diesen zu aktivieren: 1. Wählen Sie aus dem Menü ANSICHT | ERWEITERUNGEN | ERWEITERUNGEN ANZEIGEN . Unterhalb der Visualisierung werden dann die Sound-Optionen sichtbar. 2. Wählen Sie SRS WOW-EFFEKTE aus dem Menü. Blättern Sie über die beiden kleinen Pfeilsymbole, wenn Sie zwischen den einzelnen Erweiterungen wählen wollen. 3. Klicken Sie auf den Link EINSCHALTEN. Über den Link daneben wählen Sie das passende Wiedergabegerät aus. Die Voreinstellung ist NORMALE L AUTSPRECHER. 4. Sie können zusätzlich über zwei Schieberegler die Stärke des WOW-Effekts sowie eine TruBass genannte Bass-Verstärkung aktivieren.
Abbildung 17.13: Eingeblendete SRS WOW-Optionen
Neben den SRS WOW-Effekten gibt es einen Grafikequalizer, mit dem Sie die Soundeinstellungen ebenfalls gut beeinflussen können. Abbildung 17.14: Grafikequalizer im Media Player
Kopieren der Dateien von der CD Haben Sie alle gewünschten Informationen für die Audio-Tracks beisammen sowie die Optionen für das Kopieren richtig eingestellt, können Sie beginnen, die Audio-Tracks von der CD auf den Computer zu kopieren.
17.3 Windows Media Player 11 ___________________________________________1131 Abbildung 17.15: Kopieren von Tracks im Media Player
Eine maximale Geschwindigkeit und Qualität beim Einlesen erreichen Sie nur dann, wenn die CD möglichst frei von Kratzern oder Verschmutzungen ist. Mindestens genauso wichtig ist ein geeignetes Laufwerk zum Auslesen der Daten. Neuere DVD-ROM-Laufwerke oder CD-Brenner sollten Sie dabei vor älteren CD-ROM-Laufwerken bevorzugen. Öffnen Sie im Media Player über dessen Taskleiste den Bereich VON Grabbing MEDIUM KOPIEREN. Über das oberste Kontrollkästchen (links neben TITEL) können Sie alle Titel auf einmal markieren. Mit einem Klick auf die Befehlsschaltfläche KOPIEREN STARTEN beginnt der Vorgang. Die Tracks werden dann ausgelesen dies wird auch mit Grabbing bezeichnet und in das Zielformat (wie WMA oder MP3) überführt.
Kopieren von Titeln auf Audio- und MP3-CDs Um eine Standard-Audio-CD oder eine MP3-CD zu erzeugen, gehen Sie wie folgt vor: 1. Legen Sie einen leeren CD-R- oder CD-RW-Datenträger in den Brenner ein. 2. Klicken Sie in der Taskleiste des Media Players auf die Schaltfläche BRENNEN. 3. Sie können eine Wiedergabeliste auswählen. Über WIEDERGABELISTE BEARBEITEN können Sie diese weiter anpassen. 4. Wählen Sie auf der rechten Seite aus der oberen Liste das Gerät beziehungsweise das Medium aus, auf welches die Titel kopiert werden sollen.
1132___________________________________________________________17 Multimedia
Audio-CD MP3-CD oder DVD
Zu einem Brennerlaufwerk haben Sie zwei verschiedene Möglichkeiten zur Auswahl: - AUDIO-CD: Erzeugt eine Audio-CD nach dem Red Book-Standard. - DATEN-CD ODER - DVD: Erzeugt eine Daten-CD oder DVD, bringt also die gegrabbten Dateien direkt auf das Medium. Sind dies MP3-Dateien, erzeugen Sie somit eine MP3-CD. Der Player unterstützt auch das Brennen auf fast alle gängigen DVDFormate, außer DVD-RAM. 5. Klicken Sie auf BRENNEN STARTEN.
Synchronisieren von Mediendaten mit mobilen Playern
Automatisch oder manuell synchronisieren
Portable Player können Sie direkt mit dem Media Player synchronisieren. Wählen Sie dazu aus der Taskleiste den gleichnamigen Punkt. Im linken Bereich ordnen Sie wie beim Kopieren von Titeln auf CD die zu synchronisierenden Stücke an. Sie haben dabei den vollen Zugriff auf alle Wiedergabelisten. Gegebenenfalls ist es nötig, die Erkennung der angeschlossenen Geräte manuell durchzuführen. Dazu wählen Sie den Eintrag G ERÄTE AKTUALISIEREN im Menü unterhalb von SYNCHRONISIEREN aus. Mit einem Klick auf die Schaltfläche SYNCHRONISIEREN STARTEN werden die Titel, die sich noch nicht auf dem mobilen Gerät befinden, übertragen. Für die Synchronisierung gibt es auch einen automatischen Modus, den Sie allerdings noch aktivieren müssen. Hierbei ermittelt der Media Player selbstständig, welche Titel zu Ihren Lieblingsstücken gehören und erstellt daraus Wiedergabelisten. Sie schalten zwischen den Modi über die Schaltfläche SYNCHRONISIEREN EINRICHTEN um.
Internet-Radio Der Media Player unterstützt Streaming Audio, die technische Grundlage für das »Internet-Radio« (siehe auch Abschnitt Audio- und Videostreaming ab Seite 1095). Weltweit gibt es bereits einige Hundert Sender, die meisten allerdings in englischer Sprache. Über den Eintrag MEDIA GUIDE in der oberen Leiste erhalten Sie eine Übersicht von Windowsmedia.com. Hier gibt es den Link RADIO TUNER, der aus verschiedene Internetradio-Anbieter verweist. Sollten Sie den Eintrag MEDIA GUIDE neben SYNCHRONISIEREN nicht sehen, erweitern Sie die Leiste über den Doppelpfeil.
Oberfläche anpassen Kein Programm, welches standardmäßig mit Windows Vista mitgeliefert wird, bietet seine Oberfläche in derart vielfältigen Varianten an wie der Media Player. Diese Varianten werden hier Designs genannt.
17.3 Windows Media Player 11 ___________________________________________1133 Neben einer Anzahl von Designs, die bereits im Media Player enthalten sind, können Sie auch weitere aus dem Internet dazu laden. Um keine Verwirrungen zu verursachen, haben wir alle Beschreibungen des Programms bewusst an der Normalansicht (Vollmodus genannt) vorgenommen. Abbildung 17.16: Auswahl eines Media Player-Designs
Gehen Sie so vor, um zu einem anderen Design umzuschalten: 1. Klicken Sie aus dem Hauptmenü (siehe Abbildung 17.9 auf Seite 1124) den Punkt ANSICHT und aus dem erscheinenden Untermenü den Punkt DESIGNAUSWAHL an. 2. Markieren Sie eines der Designs in der Liste. Wenn Sie dann auf DESIGN ÜBERNEHMEN klicken, wird sofort zu diesem Design umgeschaltet. Haben Sie ein sehr ausgefallenes Design erwischt, bei dem Sie den Knopf zum Zurückschalten in die normale Ansicht nicht finden, klicken Sie mit der rechten Maustaste auf den Media Player. Es öffnet sich dann das Kontextmenü, in dem Sie unter anderem den Punkt ZUM VOLLMODUS WECHSELN finden. Wollen Sie ein neues Design über das Internet laden, klicken Sie auf die Schaltfläche WEITERE DESIGNS. Es öffnet sich dann der Internet Explorer und bietet Ihnen über eine Skins for Media Player genannte Website weitere Designs an. Haben Sie eins gewählt, erfolgen der Download und die automatische Installation, sodass Sie das neue Design ohne einen Neustart des Media Players sofort auswählen können.
Umschalten zu einem Design
Design über das Internet laden
1134___________________________________________________________17 Multimedia
17.3.3 Video-Abspielfunktionen Die Video-Abspielfunktionen des Media Players sind recht umfangreich: Video-Dateien, die Sie beispielsweise aus dem Internet laden Video-Streams, um in Echtzeit über das Internet fernzusehen Video-CDs DVD-Videos, allerdings erst nach einer Aufrüstung mit einem passenden Decoder TV-Aufzeichnungen Diese Funktionen werden wir in den folgenden Abschnitten näher beleuchten.
Wiedergabe von Video-Dateien Wenige Codecs für Video
Teilweise zusätzliche Player nötig
Capture Funktion
Für die Wiedergabe von Video-Dateien bringt der Media Player einige Codecs mit. In Klammern finden Sie dazu die typischen DateinamenErweiterungen: Videos im Windows Media Format (.ASF, .WM, .WMV) Standard-AVI-Dateien (.AVI) MPEG-kodierte Dateien (.MPG, .MPA, .MP u.a.) Nähere Erläuterungen zu diesen Formaten finden Sie in Abschnitt Digitale Video-Formate ab Seite 1093. Für andere Formate werden zusätzliche Encoder benötigt. Teilweise bekommen Sie beim Öffnungsversuch einer nicht unterstützten Datei durch den Media Player entsprechende Hinweise. Durch den DIVXCodec komprimierte MPEG-4-Dateien lassen sich allerdings nur über zusätzlich zu installierende Player wiedergeben. Mit dem Media Player 11 ist es möglich, Screenshots von Filmszenen in Bilddateien zu speichern. Diese Capture-Funktion wurde von den Vorgängern nicht unterstützt. Mit dem einfachen Tastendruck auf Druck oder Alt-Druck können Sie den Bildinhalt in die Zwischenablage kopieren und in Bildverarbeitungsprogramme wie Paint einfügen.
Wiedergabe von Video-Streams
RealPlayer zusätzlich installieren
Für die Wiedergabe von Video-Streaming-Inhalten unterstützt der Media Player einzig und allein das Microsoft-eigene Advanced Streaming Format (siehe auch Abschnitt Audio- und Videostreaming ab Seite 1095). Für viele Angebote werden Sie aber mindestens noch den RealPlayer benötigen. Sie können diesen bedenkenlos zusammen mit dem Media Player betreiben. Die Video-Streams werden jeweils automatisch durch den richtigen Player wiedergegeben. Weitere Informationen finden Sie auf dieser Website: www.real.com
17.3 Windows Media Player 11 ___________________________________________1135 Wiedergabe von DVD-Videos Wenn Sie eine Video-DVD in das Laufwerk Ihres PCs einlegen, werden Sie feststellen, dass der Media Player und das Media Center zum Abspielen angeboten werden (falls Sie noch keine weiteren DVDPlayer installiert haben). Der Media Player verfügt jetzt endlich über einen passenden Codec für DVDs. Ein Installieren weiterer Player ist also nicht notwendig. Trotzdem kann es nicht schaden, sich die Produkte der Mitbewerber anzusehen. Kompatible Player sind beispielsweise: PowerDVD von Cyberlink www.gocyberlink.com WinDVD von InterVideo www.intervideo.com
DVDs mit dem Media Player abspielen
Software-DVDPlayer
Abbildung 17.17: DVD im Media Player abspielen
Für die Bedienung im Media Player stehen einige einfache Funktionen zur Verfügung: Vollbild-Anzeige Mit einem Klick auf das Vollbild-Symbol rechts oben am Bildrand wird das Bild auf den ganzen Bildschirm ausgedehnt. Zurück zur Fensteransicht kommen Sie dann mit einem Klick auf das Wiederherstellen-Symbol im Fenster oder über das Kontextmenü (rechte Maustaste). DVD-Funktionen Jede DVD zeichnet sich durch mehr oder weniger verfügbare Optionen wie beispielsweise Sprachauswahl, Kamerawinkel oder Untertitel aus. Sie erreichen diese Funktionen über das Kontextmenü (Klick über rechte Maustaste ins Bild) und den Menüpunkt DVDFEATURES.
1136___________________________________________________________17 Multimedia Regionalcode ändern Regionalcodes
Tabelle 17.8: DVD-Regional-Codes
Jede kommerzielle Film-DVD ist heute mit einem so genannten Regionalcode versehen. Dieser ist fest in der DVD verankert und soll sicherstellen, dass nur Player mit demselben Regionalcode diese DVD abspielen können. Code
Region
1
USA, Kanada
2
Europa, Japan, Südafrika, mittlerer Osten (inkl. Ägypten)
3
Südostasien und Ostasien (inkl. Hong Kong)
4
Australien, Neuseeland, Pazifische Inseln, Lateinamerika
5
Osteuropa (inkl. Russland), Indien, Afrika, Korea, Mongolei
6
China
7
Reserviert
8
Speziell (Regions-unabhängig; beispielsweise für Vorführungen auf Schiffen und in Flugzeugen)
Der Regionalcode ist fest im DVD-Player eingebrannt und kann normalerweise bis zu fünf Mal geändert werden. Allerdings gibt es auch Regionalcode-freie Laufwerke (meist ältere Geräte) sowie eine ganze Reihe von (sicher kaum legalen) Tools, mit denen Sie die Regionalcode-Einstellungen von vielen Laufwerken entfernen können. Gehen Sie so vor, um den Regionalcode für Ihr Laufwerk zu ändern: 1. Öffnen Sie den Geräte-Manager (siehe auch Abschnitt 9.2.1 GeräteManager ab Seite 438). Abbildung 17.18: Regionalcode ändern
17.3 Windows Media Player 11 ___________________________________________1137 2. Markieren Sie hier das DVD-Laufwerk (zu finden unter DVD/CDROM-LAUFWERKE) und öffnen Sie über dessen Kontextmenü das Eigenschaften-Fenster. 3. Gehen Sie zur Registerkarte DVD-REGION und wählen Sie aus der Liste das Land aus, für das Sie den Regionalcode benötigen. Sie sehen hier übrigens auch, wie oft Sie den Code noch ändern können. 4. Bestätigen Sie dann Ihre Einstellung mit einem Klick auf OK. Der Regionalcode wird sofort im Gerät geändert.
Video-DVDs kopieren Kaum ein Thema wurde in den vergangenen Jahren so heiß diskutiert wie der Kopierschutz für digitale Medien, insbesondere der für VideoDVDs. Um es an dieser Stelle deutlich zu sagen: Das Knacken des DVD-Kopierschutzes ist illegal und ist heute durch weiter verschärfte Gesetze für diejenigen, die es probieren oder durchführen, zu einem riskanten Vorhaben geworden. Mit den Windows Vista-eigenen Programmen können Sie eine DVD übrigens weder kopieren noch die Video-Dateien in ein anderes Format überführen. Der Film ist auf einer DVD in einzelne VOB-Dateien (Video Objects) VOB-Dateien von jeweils 1 GB Größe zerlegt. Nur die letzte Datei ist in der Regel etwas kleiner. Die Dateinamen sind folgendermaßen aufgebaut: VTS_XX_YY.VOB XX steht dabei für den Titel (den Film), YY für die Kapitel-Nummer. Auf einer DVD können bis zu 99 Titel mit jeweils bis zu 10 Kapiteln Platz finden. In der eventuell vorhandenen Datei VTS_XX_0.VOB sind Zusatzinformationen, beispielsweise für das Film-Menü, untergebracht. Auf die einzelnen VOB-Dateien können Sie nach dem Einlegen der Zugriff auf die VOBDVD noch nicht zugreifen Sie werden nur einen Lesefehler erhalten. Dateien Erst wenn ein DVD-Player, beispielsweise der aufgerüstete Media Player, einmal mit dem Abspielen des Films begonnen hat, sind die Dateien durch das Betriebssystem freigegeben und können dann ganz normal kopiert werden. Allerdings können Sie mit diesen Dateien nichts anfangen. Es fehlen einfach die zum Abspielen notwendigen, auf der DVD versteckten Zusatzinformationen, die sich nicht so einfach kopieren lassen. Wenn Sie sich für dieses Thema aus technischer Sicht interessieren, sollten Sie dazu im Internet stöbern. Hier finden Sie eine Fülle von Tools, mit denen Sie Sicherungskopien von DVDs anfertigen oder diese sogar in Formate bringen können (beispielsweise über den DivXCodec), die so kleine Filmdateien erzeugen können, dass sie auch auf eine herkömmliche Video-CD passen. Wir gehen hierbei übrigens immer davon aus, dass Sie so etwas nur mit DVDs vorhaben, für die Sie auch alle Urheberrechte besitzen! Beim Erzeugen von Video-CDs oder Super-Video-CDs aus DVDAusgangsmaterial müssen Sie natürlich mit Qualitätseinbußen rech-
1138___________________________________________________________17 Multimedia
Abspielen von Video-CDs Weitere Infos im Internet
Rechtslage beachten
nen. Insbesondere Dolby-Digital-Sound, Untertitel oder mehrere Sprachen bleiben dann auf der Strecke. Allerdings übertrifft insbesondere die Super-Video-CD in der Bildqualität herkömmliche VHS-Kassetten deutlich. Meist werden Sie dann aber den Film auf zwei CDs verteilen müssen. Der Media Player 11 kann Video-CDs abspielen. Für Super-Video-CDs liegt jedoch kein Codec bei. Hier benötigen Sie dann Software-DVDPlayer wie PowerDVD oder WinDVD (siehe Seite 1135). Inhalt dieses Buches kann es sicher nicht sein, Anleitungen zu geben, wie Sie DVDs auslesen und in andere Formate überführen können. Viel aktuellere Informationen finden Sie dazu im Internet, unter anderem auf den folgenden Websites: www.divx.com www.labdv.com www.ratdvd.de Sie sollten sich allerdings, bevor Sie entsprechende Programme downloaden und anwenden, mit der aktuellen Rechtslage zu dieser Problematik vertraut machen (siehe auch Abschnitt 17.1.4 Hinweise zum Kopierschutz digitaler Medien ab Seite 1112).
17.4 Windows Movie Maker im Detail Der Movie Maker ist eine kleine Video-Schnittlösung, welche die Ansprüche von Gelegenheits-Hobbyfilmern durchaus erfüllen kann. Aus digitalen Quellen kann Videomaterial eingespielt und neu arrangiert (geschnitten) sowie mit Musik oder Sprache unterlegt werden. In den nachfolgenden Abschnitten erhalten Sie über die wichtigsten Funktionen einen Überblick. Obwohl der Movie Maker den Windows DVD Maker (siehe Abschnitt 17.2.4 Windows DVD Maker auf Seite 1122) zur Erzeugung von DVDs nutzen kann, sollten Sie für ausgereifte Familien-DVDs besser auf die semiprofessionellen Schnittlösungen zurückgreifen, die heute bei vielen Camcordern mitgeliefert werden oder für unter 100 Euro erworben werden können.
17.4.1 Überblick In diesem Abschnitt finden Sie alle wesentlichen Movie Maker-Funktionen im Überblick. Neben den Funktionen ist aber auch die Frage nach den unterstützten Datenformaten wesentlich schließlich wollen Sie vielleicht mehr als nur Video-Clips für die Anzeige am Computer erstellen.
Voraussetzungen Damit der Movie Maker überhaupt startet, ist eine Grafikkarte im Computer erforderlich, die DirectX 9 beherrscht. Mehr Informationen zum Thema DirectX sind in Abschnitt 17.7.3 DirectX ab Seite 1165 zu
17.4 Windows Movie Maker im Detail ______________________________________1139 finden. Ein aktueller Grafikkartentreiber für Vista steht sicherlich auf der Website des Grafikkartenherstellers bereit.
Funktionen In der nachfolgenden Tabelle sind die Hauptfunktionen des Movie Makers aufgeführt. Zusätzlich erhalten Sie die Angabe der Seiten im Buch, ab der diese näher beschrieben werden. Funktion
Kurzbeschreibung
Seite
Import von Videodaten
Videodaten lassen sich direkt aus Geräten einlesen, die über eine durch Windows Vista unterstützte Schnittstelle verfügen. Optimal funktioniert dies mit DV-Camcodern sowie Webcams. Daten aus analogen Quellen sowie Video-Dateien lassen sich importieren.
1142
Die Video-Rohdaten lassen sich in beliebiger Art und Weise miteinander kombinieren und Bild-genau schneiden. Mit Übergängen können zwei Clips fließend aneinander gefügt werden.
1144
Video-Clips können auf einfache Weise mit Musik oder Sprache unterlegt werden. Dabei kann bei Bedarf der ursprüngliche Ton ganz ausgeblendet werden.
1146
Fertige Videos lassen sich im komprimierten WMV-Format oder im unkomprimierten AVI-Format speichern. Letzteres erlaubt dann die Weiterverarbeitung mit anderen Programmen, um eine DVD daraus zu erstellen.
1148
Schnittfunktionen
Nachvertonung
Veröffentlichen
Tabelle 17.9: Funktionen des Movie Makers im Überblick
Überblick über die Bedienoberfläche Die Bedienung des Movie Makers ist wirklich einfach und dürfte auch denen nicht schwer fallen, die sich überhaupt zum ersten Mal mit dem Thema Video am Computer beschäftigen. Im Storyboard stellen Sie die einzelnen Clips zusammen. Um Anfang Storyboard und und Ende sowie Überblendungen der Clips festzulegen, brauchen Sie Zeitachse die Zeitachse. In dieser können Sie Sekunden-genau die Clips arrangieren. Zwischen Storyboard und Zeitachse können Sie zum Arbeiten umschalten, indem Sie auf die Schaltfläche STORYBOARD klicken.
1140___________________________________________________________17 Multimedia Abbildung 17.19: Movie Maker im Überblick
Sehr zu empfehlen ist die Vorgehensweise über die Aufgabenleiste. Hier werden Sie Schritt für Schritt von der Aufnahme bis zum fertigen Film von Assistenten geführt.
Projekte und Sammlungen Film-Projekte
Sammlungen
Das fertige »Produkt«, was Sie mit dem Movie Maker erzeugen können, ist in erster Linie ein Film. Diesen können Sie aus einer Vielzahl verschiedener Clips, Sounddateien und Einzelbildern zusammensetzen. Diese Zusammenstellung wird als Projekt bezeichnet. Projekte werden in Projektdateien gespeichert. In dieser Datei werden keine Mediendaten gespeichert, sondern nur die Informationen, aus welchen Clips, Bildern etc. ein Film zusammengesetzt ist. In der Datei sind natürlich alle Schnittinformationen (Länge der Tracks, Überblendungen, Sound etc.) enthalten. Während Sie an einem Projekt arbeiten, können Sie zwischendurch immer wieder eine Sicherung des Arbeitsstandes vornehmen. Schließlich ist auch der Movie Maker ein normales Windows-Programm, und denen sollte man hinsichtlich der Stabilität ein gesundes Maß an Skepsis entgegenbringen. Sammlungen hingegen dienen zur Katalogisierung der gesammelten Medien-Dateien (Video-Clips, Sound, Bilder). Sie können den Navigationsbereich mit ANSICHT | SAMMLUNGEN auf die Anzeige der Sammlungen umschalten. Dann ist es möglich, weitere Sammlungsordner zu erstellen, umzubenennen und zu löschen. Medien-Dateien verschieben Sie per Drag&Drop zwischen den Sammlungen. Sammlungen brauchen Sie übrigens nicht separat zu sichern. Dies erledigt der Movie Maker automatisch.
17.4 Windows Movie Maker im Detail ______________________________________1141 Qualitätseinstellungen für Aufnahme und Speicherung Bei der Aufnahme von Video-Material, beispielsweise über einen DVCamcorder, oder beim Speichern des fertigen Films werden Sie mit der Einstellung der gewünschten Qualitätsstufe konfrontiert. Je nach gewählter Stufe werden die Video-Daten dann unterschiedlich stark in der Auflösung reduziert und gegebenenfalls komprimiert. Im Aufnahme- sowie im Film speichern-Dialogfenster haben Sie die Auswahl zwischen einer Vielzahl von Voreinstellungen. Diese erklären sich weit gehend selbst. Wollen Sie einen Film in einer hohen Qualität zur Wiedergabe auf dem Fernsehgerät erzeugen, dann bleiben Ihnen zwei Einstellungen zur Auswahl: VIDEO, HOHE QUALITÄT (PAL) Hier liegt das Windows Media Video (WMV)-Format zugrunde, welches in dieser Stufe mit einer Kompression arbeitet, die kaum Qualitätseinbußen erwarten lässt. DV-AVI (PAL) Dieses Format ist immer dann erste Wahl, wenn Sie einen DVCamcorder verwenden und das Videomaterial in unveränderter Qualität einlesen beziehungsweise anschließend wieder ausgeben wollen. Sie müssen allerdings mit einem enormen Platzbedarf rechnen. Eine Minute belegt hierbei rund 178 MByte. Kalkulieren Sie viel Zeit ein, wenn Sie längere Aufnahmen oder Filme mit dem Movie Maker erstellen wollen. Insbesondere die Errechnung eines längeren fertigen Films kann auch auf einem leistungsstarken Rechner bis zu einer Stunde und mehr in Anspruch nehmen.
Voreinstellungen für hohe Qualität
WMV
DV-AVI
Wichtige Voreinstellungen festlegen Bevor Sie mit der Arbeit beginnen, sollten Sie einige wichtige Einstellungen am Programm überprüfen beziehungsweise anpassen. Öffnen Sie dazu das Fenster Optionen über EXTRAS im Hauptmenü. Abbildung 17.20: Speicherort für temporäre Dateien anpassen
1142___________________________________________________________17 Multimedia Über die Registerkarte ALLGEMEIN ändern Sie hier vor allem den Speicherort für die temporären Dateien. Wählen Sie ein Laufwerk aus, welches über ausreichend freien Speicherplatz verfügt und hinreichend schnell ist. Gut geeignet ist ein Stripesetvolume, ob über die Windows-eigenen Funktionen oder per Hardware-RAID realisiert. Weitere Hinweise finden Sie dazu in Abschnitt 10.4.3 Stripesetvolumes ab Seite 536. Möchten Sie immer an dem letzten Projekt weiterarbeiten, können Sie den Movie Maker mit der Checkbox LETZTES PROJEKT BEIM STARTEN ÖFFNEN »überreden«, die sonst nötige Auswahl über DATEI | PROJEKT ÖFFNEN zu übergehen. In der Registerkarte ERWEITERT sind vor allem die Optionen in der Rubrik VIDEOEIGENSCHAFTEN hervorzuheben. Stellen Sie hier ein, in welchem Format Ihr Camcorder die Videodaten liefert. Da viele Provider das Versenden von übergroßen E-Mails blockieren, können Sie die zu erzeugenden Filme in der Größe begrenzen, falls Sie vorhaben, die Veröffentlichung per E-Mail vorzunehmen. Für Bilder und Übergänge können Zeiten festgelegt werden, die in der Zeitachse entsprechend reserviert werden. Abbildung 17.21: Erweiterte Optionen
Viele Camcorder können Filme direkt im 16:9-Format aufnehmen. Besitzen Sie ein ebensolches Fernsehgerät, dann können Sie die Aufnahmen in genau diesem Format verarbeiten und einen 16:9-Film erzeugen.
17.4.2 Videodaten einlesen Bevor Sie Ihre Videos im Movie Maker zusammenstellen können, müssen die Daten in das Programm gebracht werden. Sie haben dabei verschiedene Möglichkeiten, die in diesem Abschnitt erläutert werden.
17.4 Windows Movie Maker im Detail ______________________________________1143 Aufnahme von einem DV-Camcorder Wenn Sie einen DV-Camcorder besitzen, der über einen FirewireAnschluss verfügt, ist das Einlesen der Daten fast schon ein Kinderspiel. Sie brauchen dann für Ihren PC ebenfalls eine Firewire-Schnittstelle sowie ein geeignetes Verbindungskabel. Gehen Sie so vor, um von Ihrem DV-Camcorder die Video-Daten einzulesen: 1. Wenn Sie die Geräte verbinden, sollte Windows Vista den Camcorder automatisch einbinden. 2. Klicken Sie im Movie Maker in der Aufgabenleiste unter der Sektion IMPORTIEREN auf VON DER DIGITALEN VIDEOKAMERA AUFNEHMEN. 3. Wählen Sie im erscheinenden Dialogfenster den Camcorder aus. 4. Vergeben Sie einen Namen für die neue Aufnahme und bestimmen Name und Sie den Speicherort, an dem diese abgelegt werden soll. Beachten Speicherort Sie, dass dort ausreichend freier Speicherplatz verfügbar ist. Folgen Sie den Anweisungen zum Starten der Aufnahme.
Aufnahme von einer Webcam oder einer analogen Quelle Die Aufnahme von einer Webcam oder einer anderen analogen Quelle unterscheidet sich eigentlich nicht grundlegend vom Verfahren bei DV-Camcordern. Sie können nur die Kamerasteuerung nicht über den Movie Maker vornehmen. Die Aufnahmequalität ist im Allgemeinen aber deutlich schlechter als die über einen digitalen Camcorder. Ebenso wird DV-AVI als Eingabeformat nicht unterstützt. Folgende Voraussetzungen müssen gegeben sein, damit die Aufnah- Voraussetzungen me funktioniert: Eine Webcam können Sie in der Regel über USB anschließen. Die meisten neueren Modelle werden durch Windows Vista automatisch erkannt und korrekt eingebunden. Andere analoge Quellen, wie Video-8-Camcorder oder VHS-Videorekorder, können Sie nur über eine separate Video-Schnittstellenkarte, auch Capture-Board genannt, anschließen. Manche VGAAdapter bieten zusätzlich einen Video-In-Eingang an, der aber nicht unbedingt durch den Standard-Grafikkartentreiber von Windows Vista erkannt wird. Installieren Sie dann einen Windows Vista-Treiber des Herstellers. Beachten Sie, dass Sie mit einfachen, billigen Capture-Boards (manche TV-Karten bieten auch eine entsprechende Funktion) kaum VideoAufnahmen in einer hohen Qualität machen können. Ist das Gerät von Windows Vista korrekt erkannt und eingebunden worden, können Sie es nach dem Start des Aufnahme-Assistenten direkt auswählen. Das weitere Vorgehen entspricht dann dem ab Seite 1143 beschriebenen. Nehmen Sie Video-Sequenzen von einer Webcam auf, macht es wenig Sinn, bei den Qualitätseinstellungen zu hoch zu gehen. Webcams ar-
1144___________________________________________________________17 Multimedia beiten in der Regel mit recht bescheidenen Auflösungen und Bildraten. Um eine optimale Qualität zu erzielen, sollten Sie die Qualitätsstufe einstellen, die der physischen Auflösung der Kamera entspricht.
Dateien importieren
Video
Bilder
Sound
Vorgehen beim Importieren
Neben der Aufnahme von Video-Material über den direkten Anschluss entsprechender Video-Geräte können Sie in den Movie Maker auch Dateien mit Video-, Bild- und Toninhalten importieren. Unterstützt wird dabei eine Reihe verschiedener Formate übrigens deutlich mehr als für das Speichern des fertigen Films (siehe auch Abschnitt 17.4.5 Veröffentlichen des Films ab Seite 1148). Video-Dateien der folgenden Formate lassen sich importieren: Video-Formate des Windows Media Formats (WMV, AVI, ASF etc.) MPEG-1 kodierte Filmdateien Neben Videodateien können Sie auch Bilder importieren, um daraus beispielsweise ein Titelbild (siehe auch Seite 1146) zu generieren: BMP DIB EMF GIF JFIF JP(E)G PNG TIF(F) WMF Zusätzlich können Sie Sound-Dateien einbetten, die Sie dann für die Nachvertonung des Films benutzen können: WMA MP3 AIF WAV Weitere Hinweise zu den genannten Formaten finden Sie in Abschnitt 17.1.2 Einige Grundlagen zu Multimedia-Datenformaten ab Seite 1087. Das Importieren können Sie über die Aufgabenleiste oder über das Hauptmenü (DATEI | MEDIENOBJEKTE IMPORTIEREN) vornehmen. Einfacher geht es, wenn Sie die betreffende Datei über den Windows Explorer direkt in den Movie Maker ziehen.
17.4.3 Video-Schnittfunktionen Die Schnittfunktionen des Movie Makers reichen für professionelle Zwecke sicherlich nicht aus. Immerhin können Sie dabei aber einen
17.4 Windows Movie Maker im Detail ______________________________________1145 Film, wenn Sie wollen auch von abendfüllender Länge, aus vielen einzelnen Clips zusammenstellen.
Anordnen der Clips zu einem Film Im Storyboard legen Sie die Reihenfolge der Clips fest. Ziehen Sie dazu mit der Maus die Clips einfach in das Board. Wenn Sie die Reihenfolge ändern wollen, fassen Sie den Clip mit der Maus an und verschieben Sie diesen innerhalb des Boards an eine andere Stelle. Zum Löschen eines Clips markieren Sie diesen und wählen Sie über das Kontextmenü (rechte Maustaste) den Punkt LÖSCHEN . Sie können auch einfach die Entf-Taste auf der Tastatur drücken. Zur genauen zeitlichen Steuerung von Anfang und Ende eines Clips müssen Sie in die Zeitachsen-Darstellung umschalten. Wenn Sie einen Clip markieren, können Sie über die beiden Anfasser links und rechts oben Anfang und Ende des Clips bestimmen. Für ein genaueres Arbeiten können Sie über die Lupen-Symbole die Darstellung vergrößern. So lassen sich sekundengenau Anfang und Ende des Clips festlegen. Ein Überblenden zwischen zwei Clips kann sehr professionell wirken und ist einfach zu realisieren. Schieben Sie einfach einen Clip nach links beziehungsweise nach rechts ein kleines Stück in den benachbarten Clip hinein. Dadurch entsteht eine Überlappung zwischen den Clips, die bei der Wiedergabe als Überblendung wirkt. Als Dauer sind drei bis fünf Sekunden sicher ausreichend.
Storyboard: Reihenfolge festlegen
Zeitachse: Zeitlicher Ablauf
Überblenden zwischen Clips
Aufteilen und Zusammenführen von Clips Selten funktioniert beim Aufnehmen von Video-Geräten die automatische Clip-Generierung so, wie Sie es sich wünschen. So haben Sie wahrscheinlich immer zu große Clips, die Sie gern in Einzelteile zerlegt hätten, oder zu viele zu kleine Clips. Beides können Sie im Movie Maker auf einfachste Art und Weise beheben: Wollen Sie einen größeren Clip in zwei kleinere aufteilen, gehen Sie so Clips aufteilen vor: 1. Markieren Sie den Clip in der Sammlung. 2. Bewegen Sie dann die Zeitmarkierung im Wiedergabefenster bis zu der Stelle, an der der Schnitt erfolgen soll. 3. Klicken Sie auf den Schaltknopf TEILEN unterhalb des Wiedergabefensters. Sie erhalten damit zwei Clips. Wollen Sie das Ergebnis kontrollieren, markieren Sie beide Clips (mit gedrückter Strg-Taste) und spielen diese ab. Sie können Clips auch innerhalb der Zeitachse oder im Storyboard teilen. Markieren Sie hier einfach den betreffenden Clip, schieben Sie dann die Zeitmarkierung im Wiedergabefenster an die gewünschte Stelle und klicken Sie auf TEILEN. Der Clip wird damit nur innerhalb des Storyboards geteilt und nicht tatsächlich auf der Festplatte.
1146___________________________________________________________17 Multimedia Effekte und Überblendungen einsetzen Der Movie Maker bietet zur attraktiven Aufbereitung des Rohmaterials fast 50 Effekte sowie über 60 Vorlagen für Überblendungen. Diese werden zur Auswahl angezeigt, wenn Sie in der Aufgabenliste im Punkt 2 die entsprechenden Links anklicken. Ziehen Sie einen solchen Effekt einfach auf das Storyboard an die gewünschte Stelle.
Titel und Nachspann Bild einsetzen und Anzeigedauer festlegen
Ein richtiger Film hat auch einen Vor- und Nachspann. Stellen Sie zum Einrichten die Ansicht auf AUFGABEN. In der Aufgabenleiste wählen Sie TITEL UND NACHSPANN in der Sektion BEARBEITEN. Sie können Titel am Anfang, Titel vor oder auf dem gewählten Clip und einen Nachspann am Ende festlegen. Für die einzelnen Titel können Sie Animationen, Schriftart und Farbe auswählen.
17.4.4 Nachvertonung des Films Haben Sie die Clips arrangiert, wollen Sie vielleicht den ganzen oder Teile des Films mit Musik oder Sprache unterlegen. Dazu bietet Ihnen der Movie Maker die folgenden Möglichkeiten: Sie können Sound-Dateien zu Ihrem Film hinzufügen. Nehmen Sie mit einem Mikrofon Sprache auf, um beispielsweise Erklärungen zu Filmsequenzen hinzuzufügen. Beide Möglichkeiten werden nachfolgend erläutert.
Film mit Sound untermalen Sound-Dateien können Sie ebenso wie Video- oder Bilddateien in Ihre Sammlungen aufnehmen. Um sie in den Film einzusetzen, schalten Sie in die Zeitachsen-Anzeige um und ziehen die Sound-Datei an eine beliebige Stelle in den Film. Sound-Tracks können Sie dann genauso wie Clips in der Position und Länge verändern sowie Überblendungen einstellen. Darüber hinaus können Sie die Verteilung des Pegels zwischen Video- und Audio-Ton einstellen. Klicken Sie dazu auf EXTRAS | AUDIOPEGEL... Abbildung 17.22: Pegel zwischen Video und Audio verteilen
Schieben Sie den Regler mehr in Richtung Video, wird dessen Tonpegel erhöht. Umgekehrt können Sie den Video-Ton vermindern, wenn sie den Regler mehr in Richtung Audio einstellen. Bei der Position
17.4 Windows Movie Maker im Detail ______________________________________1147 ganz links beziehungsweise ganz rechts werden jeweils Audio- oder Video-Ton ganz ausgeblendet.
Sprache aufnehmen Über die Mikrofon-Schaltfläche können Sie Sprache oder Musik über die analogen Quellen in Ihrem Computer aufnehmen. Gehen Sie dazu wie folgt vor: 1. Bewegen Sie zuerst in der Zeitachse den Auswahlbalken zu der Stelle, wo die Sprachaufzeichnung beginnen soll. 2. Klicken Sie dann auf das Mikrofon-Symbol oder EXTRAS | ZEITACHSE MIT AUDIOKOMMENTAR VERSEHEN . Es wird ein Steuerungsbereich eingeblendet. Abbildung 17.23: Sprache mit dem Mikrofon aufzeichnen
Wenn das Mikrofon angeschlossen ist, können Sie mit dem Schieberegler rechts den Aufnahmepegel überprüfen. 3. Klicken Sie auf AUDIOKOMMENTAR STARTEN, wenn Sie bereit sind. Der Film wird von der markierten Stelle an abgespielt, sodass Sie synchron dazu Text aufzeichnen können. Wenn Sie während der Aufnahme den Ton nicht hören wollen, aktivieren Sie das Kontrollkästchen LAUTSPRECHER AUSSCHALTEN. 4. Nach Beendigung der Aufnahme werden Sie noch zur Eingabe des Dateinamens für die erzeugte WAV-Datei aufgefordert. Diese wird dann in Ihre Sammlung mit integriert, ist aber auch schon an der vorher bestimmten Stelle in der Zeitachse eingebunden.
1148___________________________________________________________17 Multimedia
17.4.5 Veröffentlichen des Films Haben Sie alle Einstellungen vorgenommen, können Sie den Film in einem gewünschten Ausgabeformat abspeichern lassen. Vorher sollten Sie sich besser überzeugen, ob Sie alles richtig gemacht haben, denn schließlich kann die Erstellung des Films durchaus einige Zeit in Anspruch nehmen. Die Veröffentlichung kann an verschiedene Ziele erfolgen: Dieser (lokale) Computer Nach Vergabe des Dateinamens für die Ausgabedatei und deren Speicherort, können Sie im Dialog FILMVERÖFFENTLICHUNG die Filmeinstellungen auswählen. Abbildung 17.24: Qualität des Films einstellen
Normalerweise können Sie die empfohlene Standardeinstellung auf OPTIMALE QUALITÄT ZUR WIEDERGABE AUF EIGENEM COMPUTER belassen. Ein Blick auf WEITERE EINSTELLUNGEN kann helfen differenzierte Einstellungen für ausgewählte Zielgeräte vorzunehmen. DVD Zum Brennen des Projekts auf eine DVD schließt der Windows Movie Maker das Projekt und startet den Windows DVD Maker (mehr zum Thema DVD Maker in Abschnitt 17.2.4 Windows DVD Maker ab Seite 1122). Beschreibbare CD Ihr Fimmaterial können Sie auf einfache Weise auf eine (wieder)beschreibbare CD bringen. Vergeben Sie lediglich im Feld DATEINAME einen Namen für Ihren Film. Die CD benennen Sie im Feld CD-NAME. Mit der Schaltfläche VERÖFFENTLICHEN wird der Brennvorgang eingeleitet. Ist die Checkbox DIESEN FILM AUF EINER ANDEREN BESCHREIBAREN CD VERÖFFENTLICHEN aktiviert, lassen sich mehrere Kopien nacheinander fertigen.
17.5 Digitale Bilder ______________________________________________________1149 E-Mail Nach der Berechnung des Films können Sie sich optional den Film ansehen und/oder eine Kopie auf dem Computer speichern. Hauptfunktion ist aber das Anfügen des Films als Anhang (attachment) zu einer E-Mail. Die maximale Größe einzelner Teile Ihres Films übersteigt nicht den in Abbildung 17.21 auf Seite 1142 gezeigten Wert. Der Windows Movie Maker startet dazu automatisch das Standard-E-Mail-Programm. Im Auslieferungszustand ist das Windows Mail. Die Funktionen von Windows Mail sind in Abschnitt 15.5 Windows Mail ab Seite 1011 erläutert. Digitale Videokamera Eine angeschlossene Videokamera kann auch als Ausgabegerät verwendet werden. Das kann sicherlich nur eine Zwischenlösung sein. Gerade, wenn Sie einer Gruppe von Menschen Ihren Film zeigen wollen, werden Sie zum Speichern auf CD oder DVD übergehen.
17.5 Digitale Bilder Windows Vista bietet eine ganze Reihe von Funktionen, über die Sie, ohne unbedingt weitere Software zu benötigen, digitale Bilder komfortabel verwalten und etwas nachbearbeiten können. In diesem Abschnitt werden diese Funktionen und Programme näher vorgestellt. Zuvor jedoch wird erläutert, wie Sie Bilder aus einer digitalen Kamera oder über einen Scanner in den PC bekommen.
17.5.1 Bilder von Digitalkamera und Scanner einlesen Zunächst sollen einige technische Hintergründe beleuchtet werden.
Schnittstellen WIA und TWAIN Für das Einlesen von digitalen Bilddaten gab es bisher unter Windows WIA eine einheitliche Schnittstelle WIA (Windows Image Acquisition). Geräte, die über ihre Treiber diese Schnittstelle unterstützen, konnten damit sehr einfach in das Betriebssystem eingebunden werden. WIA wurde erstmals mit Windows Me eingeführt und galt bei Microsoft bis zur Einführung von Windows Vista als die Standard-Schnittstelle. Vistas Schnittstelle trägt die Versionsnummer 2.0. Die einfache Ein- Neu: WIA 2.0 bindung in das Betriebssystem ist geblieben, aber nicht die Kompatibilität. Microsoft macht auf seinen Webseiten für Entwickler (MSDN) deutlich, dass es keine Auf- und Abwärtskompatibilität zwischen den beiden Versionen gibt. Die im Folgenden erläuterten Merkmale gelten aber für beide Versionen. Der Einfachheit halber wird weiterhin von WIA gesprochen, gemeint ist bei Vista aber WIA 2.0.
1150___________________________________________________________17 Multimedia Merkmale
TWAIN
WIA & TWAIN
WIA ist so konzipiert, dass eine möglichst hohe Flexibilität erreicht und der Umgang mit der Hardware stark vereinfacht wird. Dies sind die wesentlichen technischen Merkmale: Mit WIA werden verschiedene Arten von digitalen Bild- und Videogeräten gleichermaßen unterstützt. Neben Scannern und Digitalkameras sind das beispielsweise digitale Videokameras (DV-Camcorder) oder Capture-Boards, mit denen Sie analoge Videoquellen einlesen können. WIA ist ein fester Bestandteil des Betriebssystems, einschließlich der Routinen, die Bild- und Videosignale empfangen. Es reagiert automatisch, sobald ein WIA-unterstütztes Gerät erkannt wird. Schließen Sie beispielsweise eine Digitalkamera an den PC an, für die ein WIA-Treiber installiert ist, startet automatisch der Assistent für das Betrachten und Laden der Bilder. WIA dient nicht allein zum Laden der Bilder oder Videodaten auf den PC. Zusätzlich sind Routinen verfügbar, die bei unterstützten Geräten die Bearbeitung und Betrachtung ermöglichen. Um beim Beispiel der Digitalkamera zu bleiben: Sie können direkt über die Kamera ein Bild betrachten und editieren, bevor Sie es auf dem Computer, wenn erforderlich, abspeichern. Überflüssig werden soll damit die bisher in diesem Bereich als Standard etablierte TWAIN13-Schnittstelle. Diese wird zwar von Windows an sich noch unterstützt, allerdings können Sie damit nur Bilder über TWAIN-fähige Anwendungsprogramme einlesen. Die Windows Vista beiliegenden Programme können nicht auf TWAIN zugreifen. Nach der Installation eines TWAIN-Treibers bleibt Ihnen damit nur der Weg, ein TWAIN-fähiges Bildbearbeitungsprogramm einzusetzen, um Bilder zu scannen oder aus der Digitalkamera zu laden. Solche Programme sind beispielsweise Corel Photopaint oder Adobe Photoshop. Zur Wahrung der Kompatibilität bieten WIA-Treiber eine TWAINUnterstützung, sodass Programme auch dann einen Scanner unter Windows Vista nutzen können, wenn diese nur TWAIN-kompatibel sind. Weitere Informationen für Entwickler sind in englischer Sprache auf dieser Website zu finden: msdn2.microsoft.com/en-us/library/aa361533.aspx
Hinweise zur Installation von Geräten Eine Reihe von WIA(2.0)-Treibern bringt bereits Windows Vista standardmäßig mit. Trotzdem fehlen viele aktuelle Geräte. Das liegt vor allem daran, dass viele Hersteller für ihre Scanner und Digitalkameras
13
TWAIN steht eigentlich für keine richtige Abkürzung, sondern für Technology Without An Interesting Name. (Quelle: www.twain.org)
17.5 Digitale Bilder ______________________________________________________1151 noch keine WIA-Treiber anbieten können oder diese erst seit kurzem verfügbar sind. Besitzen Sie seit einiger Zeit einen Scanner oder eine Digitalkamera, Hersteller-Website sollten Sie am besten vor dem Anschluss an den Computer unter konsultieren Windows Vista erst die Hersteller-Website konsultieren, ob sich dort aktuellere Treiber finden. Suchen Sie hier gezielt nach einem WIATreiber für Ihr Gerät. Digital-Kameras werden mit WPD-Treibern eingerichtet. WPD steht für Windows Portable Device. Demzufolge stehen Digitalkameras in der Übersicht des gesamten Computers unter TRAGBARE GERÄTE. Abbildung 17.25: Mit einem WPDTreiber eingebundene Digitalkamera
Haben Sie Ihr Gerät ordnungsgemäß installieren können, erscheint es unter SCANNER UND KAMERAS. Diese Kategorie finden Sie in der Systemsteuerung in der klassischen Ansicht. Außerdem erscheinen diese Geräte im Computer-Fenster des Windows Explorers. Findet sich kein WIA-Treiber, ist das kein Grund, das Gerät nicht unter Windows Vista zu betreiben. Sie können dann immer noch, wenn verfügbar, auf einen TWAIN-Treiber ausweichen. Manche Hersteller bieten auch völlig eigenständige Lösungen an, wie beispielsweise Kodak bei einigen älteren Modellen. Darüber hinaus werden mit Scannern und Digitalkameras oft recht umfangreiche Softwarepakete mitgeliefert, die in ihrem Funktionsumfang die Windows Vista-integrierte Software weit übertreffen. Das sind beispielsweise Bildbearbeitungsprogramme oder Bilddatenbanken. Diese Software sollten Sie installieren und einsetzen, wenn Sie alle Funktionen Ihres Gerätes optimal nutzen wollen. Auch wenn Ihr Gerät über einen TWAIN-Treiber eingebunden wird, gibt es eine Möglichkeit, die Arbeit damit zu erleichtern. Ist der Scan-
Treiber installiert?
Kein WIA-Treiber verfügbar?
Spezielle Software im Bundle
TWAIN-Geräte komfortabler bedienen
1152___________________________________________________________17 Multimedia ner beispielsweise mit einer Scan-Taste ausgestattet, wird ein Druck auf diese meist über Windows Vista erkannt und kann dann bestimmten Aktionen zugeordnet werden. So können Sie ein Programm zuweisen, welches bei Tastendruck automatisch gestartet wird und das Einscannen des Bildes erlaubt. Bedingung dafür ist nur, dass das Programm TWAIN unterstützt. Abbildung 17.26: Dem Scanner Ereignisse zuweisen
Gehen Sie so vor, um dies einzurichten: 1. Öffnen Sie in der Systemsteuerung das Fenster SCANNER UND KAMERAS, zu finden unter HARDWARE UND SOUND (in der normalen Ansicht). 2. Doppelklicken Sie auf den betreffenden Scanner und wählen Sie im Eigenschaften-Dialogfenster die Registerkarte EREIGNISSE. In den nachfolgenden Abschnitten wird kurz gezeigt, was Windows Vista allein mitbringt, um digitale Bilder erfassen, speichern und ein wenig nachbearbeiten zu können.
Laden der Bilder von einer Digitalkamera Für das Laden der Bilder von einer Digitalkamera haben Sie zwei Möglichkeiten. Der Auswahldialog erscheint, sobald Computer und Digitalkamera, zumeist über USB, miteinander verbunden sind. Viele Modelle verlangen, dass sich die Kamera im Wiedergabemodus befindet.
17.5 Digitale Bilder ______________________________________________________1153 Abbildung 17.27: Vorgehen beim Anschluss einer Digitalkamera
Mit BILDER IMPORTIEREN führt ein Assistent das Laden (Importieren) der Bilder durch. Die zweite Option GERÄT ZUM ANZEIGEN DER DATEIEN ÖFFNEN behandelt den Speicher der Kamera wie ein »normales« Laufwerk und gibt direkten Zugriff über den Windows Explorer auf die Daten. Beide Möglichkeiten werden im Weiteren beschrieben: BILDER IMPORTIEREN Der Assistent leitet Sie dann Schritt für Schritt durch die Auswahl und das Laden der Bilder. Nach einer kurzen Inspektion zeigt er die Anzahl gefundener Bilder und Videos an. Ein kleiner Dialog fordert zur Eingabe von Beschriftungen auf. Ob dieser Dialog beim Importieren erscheint, lässt sich konfigurieren. Der Link O PTIONEN führt zum Dialog IMPORTEINSTELLUNGEN , der weitere Einstellmöglichkeiten bietet. Abbildung 17.28: Importeinstellungen für die Digitalkamera
Es werden alle Bilder importiert. Eine Selektion ist nicht möglich. Zunächst alle Bilder Die Importfunktion erkennt jedoch bereits vorhandene Bilder und importieren
1154___________________________________________________________17 Multimedia überspringt das erneute Kopieren dieser Bilder. Auf Wunsch können die Daten nach dem Importieren sofort von der Kamera gelöscht werden. Die fehlende Selektion begründen die Entwickler damit, dass in der Windows-Fotogalerie komfortablere Funktionen für die Verwaltung der Bilder vorhanden sind. Das ändert aber nichts an der Tatsache, dass das Laden mehrere Minuten in Anspruch nimmt, auch wenn nur ein einziges Bild oder Video auf den Computer übertragen werden soll. Für Ungeduldige ist das ein Rückschritt im Vergleich zu dem Assistenten unter Windows XP. Nach Abschluss des Importvorgangs wird standardmäßig die Windows-Fotogalerie gestartet. Dieses Verhalten lässt sich jedoch auch über den in Abbildung 17.28 gezeigten Dialog steuern. Die Windows-Fotogalerie ist im gleichnamigen Abschnitt auf Seite 1158 erläutert. GERÄT ZUM ANZEIGEN DER DATEIEN ÖFFNEN Sie können auch auf den Assistenten verzichten und die Bilder und Videos im Windows Explorer anzeigen lassen. Zunächst zeigt der Explorer den geschützten Festspeicher und den nutzbaren Speicher, der als Wechselmedium erkannt wird, an. Abbildung 17.29: Die Digitalkamera im Explorer
Wenn Sie auf WECHSELMEDIEN doppelklicken, wird deren Inhalt in einem normalen Windows-Ordner angezeigt. Die Struktur weiterer Unterordner hängt vom Modell Ihrer Kamera ab. Abbildung 17.30: Kamera-Inhalt im Explorer anzeigen
Hier können Sie genauso auf die Bilder zugreifen, als würden sie sich in einem Ordner auf der Festplatte befinden.
17.5 Digitale Bilder ______________________________________________________1155 Bilder mit Windows Fax und Scan einscannen Zum Verwenden des Scanners starten Sie das Programm Windows Fax und -Scan. Der Faxbetrieb dieses Programms ist in Abschnitt 6.7.3 Das Programm Windows-Fax und -Scan auf Seite 384 beschrieben. Hier wird das Einscannen von Bildern behandelt. Starten Sie das Programm über START | ALLE PROGRAMME | WINDOWS-F AX- UND SCAN. In der Steuerungsleiste aktivieren Sie den Eintrag NEUER SCAN, um den Scanvorgang einzuleiten. Abbildung 17.31: Schritt 1: Prescan und Auswahl der Bildart und -größe
Im ersten Schritt stellen Sie über PROFIL ein, um welche Art von Scanvorlage es sich handelt. Zur Auswahl stehen Foto, Dokument oder ein selbst erstelltes Profil. Nur für den Fall, dass Ihnen ein professioneller Scanner mit mehreren Einzügen zur Verfügung steht, können Sie die Auswahl bei QUELLE ändern. Möglicherweise ist es nicht notwendig, die Vorlage in Farbe zu scannen, weil im weiteren Verarbeitungsprozess lediglich Schwarz/WeißBilder benutzt werden. Mit FARBFORMAT können Sie Farbe, Graustufe oder Schwarz und Weiß einstellen. Das wirkt sich natürlich auch auf die Größe der Ergebnisdatei aus. Mit der Dropdownbox DATEIFORMAT legen Sie fest, in welchem Format der Scan gespeichert werden soll. Unterstützt werden die Formate BMP, PNG, TIF und JPG. Je höher die AUFLÖSUNG ist, desto besser ist die Qualität des Scans. Mit einer höheren Auflösung lassen sich auch kleinere Bilder bis auf Posterformat ohne sichtbaren Qualitätsverlust vergrößern. Aus zwei Gründen sollten Sie die Auflösung jedoch nicht zu groß wählen. Zum einen vergrößert sich die Datei, was mitunter ein Verschicken per E-
Profil
Quelle
Farbformat
Dateiformat
Auflösung
1156___________________________________________________________17 Multimedia
Vorschau
Scannen
Mail unmöglich macht. Zum anderen wird Ihr Scanner länger für den Scanvorgang brauchen, weil er genauer »hinsieht«. Mit Hilfe der Schaltfläche VORSCHAU können Sie dann einen Prescan durchführen und gegebenenfalls den effektiv zu scannenden Bereich verändern. Je nach Vorlage sind auch noch Anpassungen bei HELLIGKEIT und KONTRAST vorzunehmen. Die Befehlsschaltfläche SCANNEN startet den Scanvorgang. Ein Fortschrittsbalken zeigt dies an. Die gescannten Dokumente werden im Benutzerordner abgelegt. Die Ablage befindet sich in: C:\Users\%Username%\Documents\Scanned Documents Im Explorer ist dieser Pfad unter %Username% > Dokumente > Gescannte Dokumente zu sehen.
17.5.2
Bilder im Windows Explorer speichern und anzeigen
Der Windows Explorer bietet Ihnen eine tatkräftige Unterstützung, wenn es darum geht, Ihre digitale Bildsammlung zu speichern und in dieser zu stöbern. Dazu können Sie einen Ordner so einrichten, dass dieser die darin enthaltenen Bilder optimal anzeigt.
Ordner für Anzeige von Bildern einrichten Ein Ordner ist bereits eingerichtet und wird auch von den Vistaeigenen Programmen für Bilderfassung und verarbeitung als Standard-Speicherort für Bilder verwendet: B ILDER. Abbildung 17.32: Eigenschaften des Bilder-Ordners
17.5 Digitale Bilder ______________________________________________________1157 Über den Eintrag EIGENSCHAFTEN im Kontextmenü des Ordners erreichen Sie den Eigenschaften-Dialog. Wählen Sie die Registerkarte ANPASSEN, um den Ordnertyp zu bestimmen. In der Sektion ORDNERTYP ist für den BILDER-Ordner der Typ B ILDER UND VIDEOS eingestellt. Sie können diese Einstellung auch für andere Ordner Ihrer Wahl vornehmen. Das Kontrollkästchen VORLAGE FÜR ALLE UNTERORDNER ÜBERNEHMEN erlaubt die Vererbung der Ordnertypeinstellung. Mit BILDER UND VIDEOS als Typeinstellung werden die enthaltenen Bilder als Miniaturen, so genannte Thumbnails, angezeigt. Der unterlegte Streifen am unteren Rand zeigt Details, sobald ein Bild markiert wurde. Das Dateiformat, die Abmessungen und die Größe der Bilddatei sind so auf einen Blick zu erkennen. Das Aufnahmedatum, Markierungen (für eine spätere Suche), eine Bewertung, ein Titel und der Autor lassen sich sofort editieren. Abbildung 17.33: Anzeige von Bildern im Ordner-Details im unteren Streifen
Über den Menüeintrag VORSCHAU lässt sich das markierte Bild in der WINDOWS-FOTOGALERIE öffnen (mehr dazu im gleichnamigen Abschnitt auf Seite 1158).
Diashow anzeigen Neben dem Menüeintrag VORSCHAU befindet sich der Eintrag DIASHOW. Mithilfe dieser Funktion können Sie alle Bilder dieses Ordners als Diashow an Ihrem Computer vorführen. Dabei laufen alle Bilder nacheinander durch und werden jeweils für fünf Sekunden angezeigt. Sie können aber auch die Steuerung selbst übernehmen. Mit einem Rechtsklick wird ein Menü eingeblendet, das die in der obigen Abbildung gezeigten Steuerungen ermöglicht. Außerdem kann die Steuerung der Diashow über die Tastatur erfolgen.
1158___________________________________________________________17 Multimedia Abbildung 17.34: Anzeige als Diashow
In der nachfolgenden Tabelle finden Sie die Tastenkombinationen für die Diashow-Steuerung. Tabelle 17.10: Tasten für die Diashow-Steuerung
Taste
Funktion
, , Bild ,
Bild weiter
, , Bild
Bild zurück
Esc
Beenden der Diashow
Windows-Fotogalerie Anschauen und Bearbeiten aus der Bilderansicht
Die Windows-Fotogalerie bietet einige Funktionen, die sonst nur Grafikprogrammen vorbehalten waren: Zoom bis auf Pixelebene Anzeigen in jeder beliebigen Größe einschließlich Vollbild Diashow Selektion der Bilder nach bestimmten Kriterien Nachbearbeitung über eine Reparaturfunktion Um die Windows-Fotogalerie zu starten, rufen Sie die Funktion VORSCHAU im Menü eines Bildes im Explorer auf. Über START | ALLE PROGRAMME finden Sie den Eintrag WINDOWS-FOTOGALERIE im Startmenü wie alle regulären Programme. Über den Navigationsbereich lassen sich Bilder nach Kriterien selektieren, die zuvor über den Explorer oder die Windows-Fotogalerie festgelegt wurden. In der Fotogalerie können die Kriterien über den Menüeintrag INFO geändert werden. Mit gedrückter Strg-Taste kön-
17.5 Digitale Bilder ______________________________________________________1159 nen mehrere Kriterien gleichzeitig ausgewählt werden. So lassen sich beispielsweise alle Bilder auswählen, die im Jahr 2006 entstanden sind und eine Bewertung von fünf Sternen erhalten haben. Abbildung 17.35: Windows-Fotogalerie
Sobald Sie mit dem Mauszeiger über ein Bild fahren, vergrößert sich die Miniaturanzeige. Dieses Verhalten lässt sich über DATEI | OPTIONEN abschalten. Deaktivieren Sie dazu das Kontrollkästchen BILDER- UND VIDEOVORSCHAU IN QUICKINFO ANZEIGEN im Dialog WINDOWS-FOTOGALERIE OPTIONEN. Abbildung 17.36: Bilder drucken leicht gemacht
Der Eintrag REPARIEREN im Menü führt in einen Bearbeitungsmodus, Reparaturen der Anpassungen an dem ausgewählten Bild zulässt. Belichtung und ausführen
1160___________________________________________________________17 Multimedia
Drucken oder Abzüge bestellen
Farbe können separat verändert oder über eine Automatik verbessert werden. Das Zuschneiden des Bildes auf acht gängige Formate ist einfach zu realisieren. Benutzerdefinierte Einstellungen sind hier ebenso möglich. Fotos, die Personen mit roten Augen enthalten, können über eine eingebaute Funktion retuschiert werden. Der Menüeintrag DRUCKEN ermöglicht den Ausdruck der Bilder, verfügt aber außerdem über den Eintrag ABZÜGE BESTELLEN
Bei bestehender Internetverbindung kann ein Kontakt zu einem Fotolabor aufgenommen werden, das eine Ausfertigung der Abzüge übernimmt. Die Auswahl DRUCKEN öffnet einen übersichtlichen Dialog, der Einstellungen für den Ausdruck erwartet. Ohne umständliche Assistenten ist es mit Vistas Fotogalerie sehr einfach, den Bilderausdruck zu parametrisieren.
17.5.3 Bilder mit Paint bearbeiten In Windows Vista finden Sie ein sehr einfaches Programm zum Bearbeiten Ihrer Bilder: Paint. Paint ist in verschiedenen Windowsversionen beständig im Lieferumfang enthalten und ist damit gut geeignet, Windows-Neulinge in die Bedienung von Maus und Tastatur einzuführen. Abbildung 17.37: Bild mit Paint bearbeiten
Minimaler Funktionsumfang
Dieses sehr einfache Programm bietet relativ dürftige Funktionen. Auch für einfache Aufgaben dürften diese Funktionen kaum ausreichen, obwohl Funktionen zum Vergrößern und Verkleinern von Bilder in dieser Version hinzugefügt wurden. Allerdings ist Paint nicht in der Lage die Seitenverhältnisse beizubehalten, wenn die Größe geändert wird. Ein Verzerren von Bildern ist auch möglich. Paint kann Bilddateien im BMP-, JPEG-, GIF-, TIFF-, PNG- und ICO-Format öffnen, ist
17.6 Soundsystem ______________________________________________________1161 allerdings für keines dieser Formate das Standardprogramm. Für alle Dateien, außer GIF (Internet Explorer), ist die Windows-Fotogalerie als Bearbeitungs- und Anzeigeprogramm voreingestellt.
17.6 Soundsystem In den folgenden Abschnitten sind noch weitere Audio-Tools und Einstellmöglichkeiten für Windows Vista aufgeführt.
17.6.1
Audio Internas
Unscheinbarer als die offensichtlichen Änderungen im grafischen Bereich vollzieht sich ein Wandel der Audio-Technologie eher »unter der Haube«. Vista verfügt über einen neu konstruierten Audio-Stack, der mit einer Genauigkeit von 32 Bit arbeitet. Das ermöglicht einen Störabstand von 144 Dezibel. Obwohl die PCs insgesamt immer schneller werden, gab es in der Vergangenheit immer wieder Probleme mit einzelnen Anwendungen, die Ressourcen an sich binden und bei der Audioübertragung für Aussetzer sorgten. Windows Vista begegnet diesem Phänomen mit einer Priorisierung seiner Prozesse. Hersteller von professionellen Studio-Programmen können sich die Architektur des neuen Audio-Stacks zu Nutze machen, um auch verwöhnten Ohren einen optimalen Hörgenuss zukommen zu lassen. Doch nicht nur für den High-End-Bereich ist das interessant. Entwickler können ihre Software besser an vorhandene Gegebenheiten anpassen. Mit einer Abstufung der Multimediageräte in die Klassen Audio und Video, Allgemein und Kommunikation wird klar, dass sehr wohl ein Unterschied besteht zwischen einer Voice-over-IP-Unterredung per Headset und einem Film in 5.1- oder 7.1-Dolby-Surround-Qualität. Im Moment bleibt abzuwarten, wie die Software-Hersteller Vistas neue Möglichkeiten ausschöpfen.
17.6.2 Lautstärkeregelung Die Lautstärkeregelung können Sie sich im Infobereich der Taskleiste anzeigen lassen. Öffnen Sie dazu mit einem Rechtsklick das Kontextmenü der Taskleiste. Über die Registerkarte INFOBEREICH aktivieren Sie die Checkbox LAUTSTÄRKE. Lassen Sie den Mauszeiger über dem angezeigten Lautsprechersymbol ruhen, werden Ihnen die aktuelle Lautstärkestufe und das Ausgabegerät in Form eines Quicktipp-Fensters präsentiert. Über einen Klick auf das Symbol mit der normalen (linken) Maustaste steuern Sie die Gesamtlautstärke. Ein schnelles Abschalten des Tons ist über eine kleine Schaltfläche möglich.
1162___________________________________________________________17 Multimedia Abbildung 17.38: Laustärkeregelung in der Taskleiste anzeigen lassen
Der Link MIXER öffnet einen Dialog für eine differenzierte Steuerung der Lautstärke. Den Mixer erreichen Sie auch, wenn Sie mit der rechten Maustaste auf das Lautsprechersymbol klicken und aus dem Kontextmenü den Punkt L AUTSTÄRKEMIXER ÖFFNEN auswählen. Abbildung 17.39: Lautstärkemixer
Über die anderen Punkte des Kontextmenüs können Sie die AudioEinstellungen für Windows Vista selbst beeinflussen. Dies wird in Abschnitt 17.6.4 Audioeigenschaften ab Seite 1163 beschrieben.
17.6.3 Audiorecorder Vorrangig für die Aufnahme von analogen Audio-Quellen wie einem Mikrofon gedacht ist der Audiorecorder. Dieses antiquierte Programm von Microsoft stammt aus der Zeit von Windows 3.11. Unter Windows Vista ist es eigentlich obsolet geworden. Nur wenn Sie Sprache über ein Mikrofon aufnehmen wollen, kann es noch ganz nützlich sein. Erwarten Sie allerdings hinsichtlich der erreichbaren AufnahmeQualität nicht zu viel. Die Qualität der Aufnahme hängt in erster Linie von der Audio-Hard- und Software ab, die Sie benutzen. Gute Sprach-
17.6 Soundsystem ______________________________________________________1163 aufzeichnungen werden Sie nur über eine entsprechend teuere Mikrofon- und Soundkartenhardware erreichen. Der Audiorecorder von Vista speichert die Aufnahmen in Microsofts WMA (Windows Media Audio)-Format. Abbildung 17.40: Audiorecorder
Gehen Sie so vor, um Sprache aufzuzeichnen: Sprache über ein 1. Schließen Sie das Mikrofon am Eingang der Soundkarte oder dem Mikrofon aufzeichnen Onboard-Soundsystem an. Wenn Sie das Mikrofon anschließen und hineinsprechen, werden Sie noch nichts hören. Das liegt daran, dass die Sound-Ausgabe für den Mikrofon-Eingang standardmäßig ausgeschaltet ist. Wollen Sie kontrollieren, ob Ihr Mikrofon überhaupt funktioniert, öffnen Sie das Kontextmenü des Lautsprechersymbols. Über den Eintrag Aufnahmegeräte erreichen Sie die Registerkarte Aufnahme des Dialogs in Abbildung 17.41. Überprüfen Sie die Einstellungen des Mikrofons. 2. Starten Sie den Audiorecorder. Sie finden ihn über das Startmenü unter ALLE PROGRAMME | ZUBEHÖR. 3. Klicken Sie auf die Schaltfläche AUFNAHME BEGINNEN mit dem roten Aufnahme-Knopf. Die Aufnahme startet damit. 4. Wenn Sie die Aufnahme beenden wollen, klicken Sie auf AUFNAHME BEENDEN (schwarzes Rechteck). Ein Dialog zum Abspeichern der Aufnahme in eine WMA-Datei öffnet sich automatisch.
17.6.4 Audioeigenschaften Die Audioeigenschaften von Windows Vista lassen sich vielfältig einstellen. Allerdings ist das sicher eine Geschmacksfrage, ob bei jeder Aktion irgendein Geräusch ertönen soll. Sie erreichen das entsprechende Dialogfenster über die Systemsteuerung (klassische Ansicht), SOUNDS oder aus dem Kontextmenü der Lautstärkeregelung in der Taskleiste heraus. Auf der Registerkarte SOUNDS können Sie Windows-Ereignisse mit Sounds verknüpfen. Diese sollten im WAV-Format vorliegen. Wenn Sie selbst keine Sounds erstellen möchten, lohnt ein Blick ins Internet. Die folgenden Adressen sind eine gute Soundquelle und Ausgangs- WAV-Soundquellen punkte für die weitere Suche: www.soft-ware.net/multimedia/audio/wav/index.asp www.thefreesite.com/Free_Sounds/Free_WAVs/ www.wavsurfer.com
1164___________________________________________________________17 Multimedia Abbildung 17.41: Soundeigenschaften einstellen
17.7 Windows Vista als Spieleplattform Zu einem Computer-Betriebssystem gehört heute auch, dass es sich gut als Spiele-Plattform eignet. Erst so wird der Einsatz zu Hause richtig »rund«. Windows Vista bringt einige kleine Spiele mit, die kurz im nachfolgenden Abschnitt vorgestellt werden. Das dürfte aber gerade reichen, um im Büro mal ein paar Minuten zu entspannen. Zu Hause wird Sie ein Computer-begeistertes Kind dafür sicher nur mitleidig belächeln. Spannender sind da die Funktionen, die Windows Vista mitbringt, um selbst die neuesten 3D-Spiele exzellent zu unterstützen. Recht neu und nicht weniger spannend sind auch die Möglichkeiten, die sich beim Spielen über das Internet ergeben. Besitzer einer Xbox 360 können diese in das Netzwerk integrieren. Mit einem Vista-Computer, der das Media Center enthält, kann eine Verbindung zu der Xbox als so genanntes Media Center Extender-Gerät aufgebaut werden. Weitere Informationen zum Thema Media Center und Xbox können Sie der Windows-Hilfe entnehmen.
17.7.1 Mitgelieferte Spiele Die bereits erwähnten, bei Windows Vista mitgelieferten Spiele sind eine nette Beigabe. Sie finden Sie über das Startmenü unter ALLE PROGRAMME|SPIELE. Insgesamt neun Spiele werden mitgeliefert. Neben den bereits von früheren Windows-Versionen bekannten Spielen, wie Solitär, Spider Solitär, Hearts, Freecell und Minesweeper, gibt es ein Schachspiel, ein Mahjongg und zwei weitere Spiele. Wir wollen auf diese hier nicht näher eingehen. Sie finden ausführliche Informati-
17.7 Windows Vista als Spieleplattform_____________________________________1165 onen zur Bedienung in der Online-Hilfe zu jedem einzelnen Spiel. Mit dem Link SPIELEEXPLORER sehen Sie alle Spiele im Überblick. Der Link MICROSOFT WINDOWS SPIELEWEBSEITE in der Hilfe verweist auf folgende Seite: www.windowsgaming.com Diese englischsprachige Seite kann bestenfalls eine Übersicht geben, welche Spiele von Microsoft überhaupt angeboten werden.
17.7.2 Spielen im Internet: MSN Games Online-Spiele und Spieleserver gibt es im Internet unzählige. Für den Benutzer, der noch keine Erfahrung mit Internet-Spielen hat, sind die MSN Games ein praktikabler Startplatz. Auch wenn Microsoft hier wieder seine Stellung als Lieferant des Desktopbetriebssystems ausnutzt, bleibt dennoch ein positiver Eindruck, der vor allem aufgrund des leichten Einstiegs entsteht. Wenn Sie etwas mehr Erfahrung haben, sollten Sie unbedingt auch andere Server ausprobieren. Es entbehrt nicht einer gewissen Faszination, ein Spiel zu starten und praktisch sofort einen Gegner zu haben anonym und irgendwo auf der Welt. Letztlich leben Spiele-Server aber davon, jedem Mitspieler schnell passende Gegner zu liefern. Eine weltweite Community funktioniert damit zwangsläufig besser als eine lokale. Deshalb sind die meisten Seiten auf Englisch. Als erster Einstieg eignet sich folgende Seite: http://zone.msn.com Zur Anmeldung benötigen Sie ein LiveID-Konto. Wenn Sie LiveID bereits nutzen und dieses nicht für die Game Zone verwenden möchten, können Sie mit der Anmeldung ein weiteres LiveID-Konto eröffnen. Beim Start eines Spieles sind keine weiteren Eingaben notwendig, jedoch müssen Sie zulassen, dass Microsoft einmalig ein ActiveXSteuerelement auf Ihrem Rechner installiert.
17.7.3 DirectX Windows Vista eignet sich technisch hervorragend als Spieleplattform. Nicht zuletzt die hohe Verfügbarkeit von Spielen sorgt dafür, dass in Redmond so viele Einheiten von Desktopbetriebssystemen vom Band gehen.
Was ist DirectX? Technische Basis für Spiele unter Windows ist die DirectX-Schnittstelle; genauer gesagt, handelt es sich bei DirectX um eine Sammlung von Schnittstellen. Diese Schnittstellen-Sammlung ist inzwischen zum Standard bei der Spieleunterstützung in der Windows-Welt geworden. Die Arbeit der Spieleprogrammierer vereinfacht sich dabei spürbar, da diese nicht mehr die speziellen Funktionen der Grafik- und
1166___________________________________________________________17 Multimedia Sound-Hardware einsetzen müssen. Stattdessen können sie die Funktionen der DirectX-APIs ansprechen. API steht für Application Programming Interface. Für verschiedene Bereiche gibt es unterschiedliche APIs. Somit gliedert sich DirectX in folgende Einzelteile: Tabelle 17.11: DirectX-Komponenten
Bestandteil
Verwendungszweck
DirectX Graphics
Grafikunterstützung für 2D- und 3DAnwendungen. DirectX Graphics bietet einen schnellen Zugriff auf die Grafikkarte und ist der meistgebrauchte Teil.
DirectSound
Soundunterstützung. Entwickelt für die hardwareunabhängige Möglichkeit zur Wiedergabe und Aufnahme von Soundeffekten, bietet DirectSound einen guten Zugriff auf die Soundkarte. Raumklang und ähnliche Features werden angeboten.
DirectMusic
DierectMusic stellt einen einfachen SoftwareSynthesizer dar, der simple MIDI-Dateien abspielen kann.
DirectInput
Alle Eingabegeräte, egal ob digital oder analog, wie Tastatur, Joysticks oder Maus, werden unterstützt. Die enthaltene ForceFeedback-Technologie ermöglicht es, den Joystick seinerseits vibrieren zulassen, ein amüsantes Feature, was schon in vielen Action-Spielen Anwendung findet.
DirectPlay
Eigentlich für die Kommunikation in Multiplayer-Spielen gedacht, erwies es sich für Programmierer als zu umständlich. Es wird deshalb selten eingesetzt.
DirectShow
Erlaubte das Abspielen von MPG und AVIDateien und war somit mächtiger als DirectMusic. Vista bringt eigene Funktionen, die dafür verwendet werden können.
DirectSetup
Spiele-Programmierer können damit überprüfen, ob geeignete DirectX-Versionen auf dem System vorhanden sind, und gegebenenfalls für eine Installation neuerer Komponenten sorgen.
DirectX Media Objects Multimediale Datenströme (Streams) können mit DirectX Media Objects manipuliert werden. Hardwareunabhängigkeit
Ändert sich die Hardware, bleiben die Spiele davon weitgehend unberührt und laufen trotzdem noch. Schlimmstenfalls werden neue tech-
17.7 Windows Vista als Spieleplattform_____________________________________1167 nische Features, wie besondere 3D-Effekte bei der Grafikhardware, nicht unterstützt. DirectX bietet an dieser Stelle einen so genannten Hardware Abstraction Layer (HAL). Über die DirectX-Funktionen wird die verfügbare Hardware zwar unter Kontrolle des Betriebssystems, aber trotzdem ziemlich direkt und damit optimal angesteuert. Voraussetzung ist allerdings, dass entsprechende DirectX-fähige Treiber installiert worden sind. Hier ist auch die größte Schwachstelle zu suchen: Die mit Windows Vista standardmäßig mitgelieferten Treiber sollen in erster Linie eine möglichst hohe Stabilität garantieren. Optimale Performance oder überhaupt erst eine umfassende DirectX-Unterstützung bieten oft nur die aktuellen Treiber des Herstellers. DirectX wird ständig durch Microsoft weiterentwickelt und liegt mit der Auslieferung von Windows Vista in der Version 10.0 vor. Als Windows Vista-Benutzer brauchen Sie sich um ein Update Ihres DirectX-Moduls eigentlich keine Sorgen zu machen vorausgesetzt, Sie nutzen regelmäßig die Online-Updatefunktion. Benutzer älterer Windows-Versionen können die Version 10 nicht benutzen und demzufolge auch nicht auf Microsoft-Webseiten herunterladen. Für Windows XP bleibt damit die Entwicklung bei Version 9.0c stehen (Stand Dezember 2006). Allgemeine Informationen zu DirectX sowie zur Download-Möglichkeit der neuesten Version finden Sie auf der folgenden Website von Microsoft: www.microsoft.com/directx Mit Hilfe des Programms DXDIAG.EXE können Sie sich einen guten Überblick über den Status Ihres Systems verschaffen. Weitere Informationen finden Sie dazu in Abschnitt 9.2.5 DirectX-Diagnoseprogramm DXDIAG.EXE ab Seite 446.
17.7.4 Ältere Spiele zum Mitspielen überreden Mit dem Bruch der alten Windows 9x/Me-Produktlinie fällt auch das MS-DOS weg, welches genaugenommen die Basis dieser Versionen darstellt. Vista hat damit genauso »ein Problem« wie Windows XP. Nun dürfte es mittlerweile nicht mehr »an der Tagesordnung sein«, Spiele zu benutzen, die älter als zehn Jahre sind. Einem Abstecher in die Geschichte der PC-Spiele folgen Lösungswege für Ihr betagtes Lieblingsspiel.
Ein wenig Geschichte Als die Rechenleistung der PC-Technik noch durch 486-er und Pentium-Prozessoren bis circa 100 MHz Taktfrequenz bestimmt wurde, war das auch die einzige Möglichkeit, aufwändige Spiele, teilweise schon mit 3D-Animationen und Filmsequenzen, überhaupt auf dem PC ablaufen zu lassen. Die legendäre Engine des Ego-Shooters Doom von id
Optimale Ansteuerung der Hardware nur über richtige Treiber!
DirectX-Updates
Diagnose
1168___________________________________________________________17 Multimedia
Reine MS-DOSSpiele nicht oder nur eingeschränkt lauffähig
Software war seinerzeit ein Meilenstein in der Entwicklung. Erst relativ spät erkannte Microsoft, dass in dem aufkommenden Markt der PCSpiele viel Geld zu verdienen ist, wenn Windows-PC eine bessere Grafikunterstützung bekommen. In den Anfängen war eine direkte Programmierung mit den Windows-Grafikroutinen zwar schon möglich, allerdings gab es noch kein DirectX, mit dem dies in ausreichender Geschwindigkeit hätte umgesetzt werden können. Mit normaler Grafikprogrammierung wären aufwändige Spiele auf Zeitlupentempo gedrosselt worden. Aber auch mit Einführung der ersten DirectXVersionen stellten noch längst nicht alle Spielehersteller ihre Programme sofort um. Mit dem Wegfall von MS-DOS in Windows XP können Sie Spiele, die nur direkt unter diesem alten Betriebssystem ausgeführt werden können, nicht oder nur eingeschränkt ausführen. Unter Windows XP und Windows Vista ist es systembedingt nun einmal nicht möglich, dass ein Programm die Hardware des PCs selbst ansteuert. Diese bleibt immer unter Kontrolle des Betriebssystems. Damit wird letztlich sichergestellt, dass ein Programm nicht das komplette Betriebssystem lahmlegen kann.
Kompatibilitätsmodi in Windows Vista
Kompatibilitätsmodi
Zwei Wege
Für alte Windows-Spiele haben Sie mit Windows Vista aber eine Möglichkeit, diese zum Mitspielen zu bewegen: Sie können für ein solches Programm, welches übrigens nicht nur ein Spiel sein muss, einen Kompatibilitätsmodus einstellen. Damit wird diesem dann eine angepasste Software-Umgebung geboten, die ihm eine dieser älteren Windows-Versionen »vortäuscht«. Windows 95 Windows 98 Windows Me Windows NT 4.0 (ab Service Pack 5) Windows 2000 Windows XP (Service Pack 2) Windows Server 2003 (Service Pack 1) Für das Einstellen eines dieser Modi haben Sie zwei Möglichkeiten: Programmkompatibilitäts-Assistent Dieser Assistent führt Sie schrittweise zum Ziel und ist für all die Benutzer der optimale Weg, die nicht so geübt mit Systemeinstellungen unter Windows Vista sind. Der Assistent startet automatisch, sobald Vista eine Inkompatibilität feststellt. Sie können den Assistenten über das Windows-Hilfe- und Supportcenter (Abschnitt 3.6 Hilfe- und Supportcenter ab Seite 156) manuell starten. Suchen Sie die Seite AUSFÜHREN VON ÄLTEREN PROGRAMMEN IN DIESER VERSION VON W INDOWS und aktivieren Sie den Link KLICKEN SIE HIER, UM DEN PROGRAMMKOMPATIBILITÄTS-ASSISTENT ZU ÖFFNEN.
17.7 Windows Vista als Spieleplattform_____________________________________1169 Manuelles Einstellen eines Kompatibilitätsmodus Das Vorgehen dazu wird unter anderem in Abschnitt 3.9.7 Kompatibilität mit älteren Anwendungen ab Seite 172 beschrieben.
Alternative 1: Dualboot-Konfiguration Wenn Sie wirklich sichergehen wollen, dass alle Ihre alten Spiele und Windows 9x/Me und Programme uneingeschränkt lauffähig bleiben, sollten Sie Windows XP parallel betreiben Vista nur zusätzlich zu Ihrem bisher vorhandenen MS-DOS oder Windows 9x/Me betreiben. Sie können dann mit einer so genannten Dualboot-Konfiguration beim Start des PCs das Betriebssystem aussuchen, welches Sie starten wollen. Weitere Hinweise finden Sie dazu im Windows Hilfe- und Support unter dem Stichwort Dualboot oder Multiboot.
Alternative 2: Virtuellen PC nutzen Haben Sie ein Programm oder ein Spiel, welches wirklich nur direkt unter MS-DOS laufen will, können Sie noch eine andere Alternative nutzen: Es gibt Programme, die einen virtuellen PC unter Windows Vista einrichten. Dabei wird die Hardware natürlich nur emuliert. Das Programm kann dies nicht erkennen und »denkt«, es hat die Hardware nur für sich allein. Allerdings wird die Geschwindigkeit deutlich unter der liegen, die Sie unter MS-DOS auf Ihrem PC direkt erreichen könnten. Bei der Performance heutiger PCs wird ein solcher virtueller PC aber oft immer noch schneller ausgeführt als MS-DOS direkt auf PCs vergangener Tage, die mit Taktfrequenzen zwischen 100 und 200 MHz oder darunter auskommen mussten. Insofern kann eine solche Lösung wirklich interessant sein. Nachfolgend finden Sie eine Aufstellung von entsprechenden Lösungen mit der Angabe der Website, auf der Sie weiterführende Informationen erhalten: Microsoft Virtual PC www.microsoft.com/windowsxp/virtualpc VMWare Workstation www.vmware.com Bochs bochs.sourceforge.net Microsoft stellt den Virtual PC mittlerweile zum kostenfreien Download bereit nicht zuletzt, um gegen VMWare anzutreten und Marktanteile für ihren Virtual Server zu sichern. Die VMWare Workstation muss erworben werden. Allerdings gibt es die Möglichkeit, einen VMServer bei Registrierung herunterzuladen. Bochs ist ein kostenloser Emulator, der hinsichtlich der erreichbaren Leistung etwas zurücksteht. Auch brauchen Sie eine Menge Know-how und Erfahrung, um diesen korrekt einzurichten.
Emulation der Hardware
Produkte und weitere Infos
Index __________________________________________________________________1171
Index $ $ (Stammordner) ...................................... 554 $AttrDef ................................................... 553 $BadClus.................................................. 554 $Bitmap.................................................... 554 $Boot ....................................................... 554 $Extended ................................................ 554 $LogFile................................................... 553 $Mft ......................................................... 553 $MftMirr .................................................. 553 $Secure .................................................... 554 $Upcase.................................................... 554 $Volume .................................................. 553 6 64 Bit Festplatten............................................ 539 Einführung ....................................... 539 GPT-Disks ....................................... 539 8 802.11x (WLAN-Standards) .................... 795 A AAC (Advanced Audio Coding)............ 1090 Abmelden (im Startmenü)........................ 111 Accelerated Graphics Port ......................... 55 Access Control Entries............................. 560 Access Control List.................................. 826 ACE Siehe Access Control Entries Active Directory Benutzer ............................................... 823 Benutzerverwaltung ............................. 300 Client einbinden ................................... 898 Domäne................................................ 821 Domänenstruktur.................................. 820 Einführung ........................................... 809 Gesamtstruktur..................................... 819 Globaler Katalog.................................. 818 Gruppen ............................................... 823 Komponenten....................................... 817 Logische Struktur................................. 819 Organisatorische Einheit ...................... 821 Replikationsdienst................................ 818 Schema................................................. 818 Verzeichnis .......................................... 817
Active Server Pages..................... 1045, 1065 Andere Skriptsprachen....................... 1066 HTML-Seite....................................... 1066 VBScript ............................................ 1065 Address Resolution Protocol ................... 770 Adhoc-Modus (WLAN)........................... 797 Administrative Freigaben ........................ 708 ADMIN$.............................................. 708 C$, D$ etc. ........................................... 708 IPC$ ..................................................... 708 Administrative Vorlagen ......................... 313 Adressbuch ............................................ 1031 Advanced Configuration and Power Grundlage......................... 394 Advanced Encryption Standard ............... 801 Advanced Streaming Format ................. 1096 AERO Basis............................................. 103 AERO Glass ............................................ 103 AES Siehe Advanced Encryption Standard AGPSiehe Accelerated Graphics Port AIF Siehe Audio Interchange File Format American Registry for Internet Numbers. 769 Analysepunkte ......................................... 558 Anmelde-Bild ändern............................... 266 Anmeldedialog......................................... 132 Fliegender Benutzerwechsel ................ 135 Standarddialog ..................................... 133 Strg-Alt-Entf erzwingen ...................... 134 Anmelden ................................................ 132 Antwortdatei bei der Installation ................................. 73 Anwendungen.......................................... 162 Absturz ................................................ 180 Arten .................................................... 162 Programm aufrufen.............................. 164 Verknüpfungen .................................... 163 Anzeigedichte .......................................... 143 AOD Siehe Advanced Optical DiscKonsortium APIP Siehe Automatic Private IP Adressing APNIC Siehe Asia-Pacific Network Information Center Arbeitsplatz (Ordner im Startmenü) ........ 108 ARINSiehe American Registry for Numbers ARP Siehe Address Resolution Protocol Arp.exe .................................................... 878 ARPANET............................................... 754 Asia-Pacific Network Information Center769 ASP Siehe Active Server Pages
1172__________________________________________________________________ Index AT Attachment.........................................505 At.exe.......................................................243 ATASiehe AT Attachment ATA Packet Interface............................... 507 ATAPISiehe ATA Packet Interface Attrib.exe ................................................. 697 Attribute ...................................................556 residente ...............................................556 Audio Interchange File Format .............. 1091 Audio Video Interleave .......................... 1095 Audioeigenschaften................................1163 Sounds verknüpfen............................. 1163 Audio-Formate....................................... 1089 AAC ................................................... 1090 AIF .....................................................1091 MIDI .................................................. 1092 MP3.................................................... 1090 Ogg Vorbis......................................... 1091 WAV.................................................. 1091 WMA ................................................. 1089 Audiorecorder ........................................ 1162 Audio-Streaming.................................... 1095 Audio-Tools ...........................................1161 Aufgabenblockansichten erstellen............ 202 Auflösung.................................................137 Ausführen (im Startmenü) ....................... 110 Auslagerungsdatei (optimal einstellen) ......83 Ausschalten (im Startmenü) ..................... 111 Autochk....................................................721 Automatic Private IP Adressing............... 784 Adressbereich.......................................786 Deaktivierung.......................................786 Linklocal-Adressbereich ......................785 Standardisierung ..................................785 Automatisierte Installation .........................72 AVI Siehe Audio Video Interleave B Basisdatenträger Einrichtung........................................... 627 Erweiterte Partition .............................. 531 Logische Laufwerke.............................531 Partitionen ............................................530 Partitionstypen ..................................... 530 Primäre Partition ..................................531 Startpartition ........................................ 531 Systempartition ....................................531 Zugriff über Bereitstellungspunkte ...... 531 Zugriff über Laufwerkbuchstaben........531 Batch-Programme ....................................163 BCD-Speicher bearbeiten ........................619 BDA Siehe Blu-ray Disc Association
Beamer Anschluss............................................. 145 Netzwerktaugliche ............................... 147 Bedienung Maus .................................................... 126 Tastatur ................................................ 126 Begrüßungscenter .................................... 104 Behinderte (Eingabehilfen) ...................... 159 Benutzer Fliegender Benutzerwechsel ................ 135 Benutzerkonfiguration (Gruppenrichtl.) .. 306 Benutzername .......................................... 274 Benutzeroberfläche .................................. 104 Altes Startmenü ................................... 131 Altes Windows 2000-Design ............... 130 Aufbau der Fenster............................... 123 Begrüßungscenter ................................ 104 Farbschemata ....................................... 130 Flip 3D................................................. 125 Netzschalterreaktion ............................ 136 Optimierung......................................... 137 Quickinfos ........................................... 123 Startmenü............................................. 105 Symbolleisten ...................................... 121 Taskleiste ............................................. 117 Tastatur und Maus ............................... 126 Tastenkombinationen........................... 127 Benutzerprofile ........................................ 284 Alternative Speicherorte ...................... 291 Arten .................................................... 284 lokale ............................................... 285 servergespeicherte............................ 293 verbindliches.................................... 298 kopieren ............................................... 289 löschen ................................................. 290 Profil-Manager..................................... 289 Speicherort ........................................... 285 Standard-Profil anpassen ..................... 291 verschieben .......................................... 292 zwischen Computern kopieren............... 86 Offline-Übertragung .......................... 88 Online-Übertragung ........................... 92 Benutzerrechte Vererben .............................................. 682 Vererbung deaktivieren........................ 683 Benutzerverwaltung (erweitert) ............... 270 Anlegen und Löschen .......................... 274 Benutzer einrichten .............................. 271 Funktionen ........................................... 270 Gruppen ............................................... 276 Benutzerverwaltung (vereinfacht)............ 262 Anmelde-Bild ändern........................... 266 Benutzer anlegen.................................. 265
Index __________________________________________________________________1173 Benutzerkonto ändern .......................... 266 Funktionen ........................................... 262 Gastkonto ............................................. 264 Kennwort ändern.................................. 267 Kennwort erstellen ............................... 267 Kennwort-Diskette............................... 267 Kontotypen........................................... 264 Name ändern ........................................ 266 Standardrechte für Dateien................... 268 Bereitstellungspunkte............................... 558 Besitzrechte (NTFS) ................................ 691 Bildformate ............................................ 1097 BMP ................................................... 1099 GIF..................................................... 1098 JPEG .................................................. 1097 PCX.................................................... 1099 PNG ................................................... 1099 TIFF ................................................... 1098 Bildschirmeinstellungen .................. 137, 139 Anzeigedichte ...................................... 143 Auflösung............................................. 137 Beamer ................................................. 145 Bildschirmgröße kalibrieren ................ 144 Bildschirmschoner ............................... 149 Bildwiederholfrequenz......................... 138 Cleartype.............................................. 145 Farbqualität .......................................... 139 Hardware.............................................. 140 Mehrere Grafikkarten........................... 146 Mehrere Monitore ................................ 145 Monitor-Auswahl ................................. 141 Bill Gates ................................................... 37 BitLocker ................................................. 567 TP-Modul............................................. 570 Voraussetzungen .................................. 567 Wiederherstellungskonsole .................. 571 Bitmap-Schriften...................................... 336 Blowfish................................................... 840 Blue Book .............................................. 1105 Blue ScreenSiehe Stop-Meldungen Bluetooth Bluejacking .......................................... 809 Enhanced Data Rate (EDR) ................. 804 Funktionen in Vista.............................. 807 Geräte einbinden .................................. 867 Grundlagen........................................... 802 Haupteinsatzzweck .............................. 803 Klassen................................................. 804 Pairing.......................................... 808, 868 PAN ..................................................... 807 Profile .................................................. 804 Sicherheitsaspekte................................ 808 Standardisierung .................................. 803
Übertragungsraten................................ 802 Versionen............................................. 803 XP-Funktionen nutzen ......................... 867 Blu-ray Disc........................................... 1111 Bochs ..................................................... 1169 Boot.ini .................................................... 619 Bootcfg.exe.......................................... 622 Msconfig.exe ....................................... 621 Bootkonfiguration.................................... 622 BOOTP (Bootstrap Protocol)................... 787 Bootsektor-Sicherung .............................. 549 Brennen (CD) ........................................ 1106 Broadcast-Adresse ................................... 768 Brücke Siehe Netzwerkbrücke C CA Siehe Certificate Authority Cacls.exe.................................................. 692 CD ......................................................... 1100 Dateisysteme...................................... 1106 Kopierschutz...................................... 1112 Standards ........................................... 1100 CD brennen Audio-CDs......................................... 1120 CD-RW löschen................................. 1118 CloneCD ............................................ 1120 Disc At Once ..................................... 1107 DiscJuggler ........................................ 1120 Einstellungen ..................................... 1114 Fehlende Funktionen in XP ............... 1119 Installation ......................................... 1113 Integrierte Lösung.............................. 1113 Kleinserien......................................... 1117 Kopien herstellen............................... 1119 Livedateisystem ................................. 1116 Mastered ............................................ 1116 Methoden ........................................... 1106 MP3 ................................................... 1120 Multisession....................................... 1118 Packet Write ...................................... 1108 RAW CD Copy.................................. 1120 Session ............................................... 1106 Session At Once................................. 1108 Temporärer Speicher ......................... 1116 TOC ................................................... 1107 Track At Once ................................... 1107 Überlänge........................................... 1121 CDFS Siehe Compact Disc File System Certificate Authority.............................. 1073 CGI-Programme .................................... 1044 Chkdsk.exe .............................................. 719 Cipher.exe........................................ 572, 676
1174__________________________________________________________________ Index Cleartype..................................................145 CloneCD ................................................1120 Cluster (Festplatte)...................................547 Cluster-Remapping .................................. 549 Codec nachrüsten ...................................1088 Color ManagementSiehe Farbmanagement Compact Disc File System ....................... 546 Compact.exe ............................................ 657 Computerkonfiguration (Gruppenrichtl.) . 306 Computerviren Antivirensoftware.................................157 Buffer Overflow...................................180 in E-Mail ............................................1018 Spyware ...............................................158 Cookies Definition .............................................955 Setzen verhindern................................. 997 CP/M ..........................................................37 Cross-Over-Kabel ....................................747 CSMA/CD ...............................................744 D Data Encryption Standard ........................ 573 Data Execution Prevention Datenausführungsverhinderung Dateiattributen Siehe Attribute Dateierweiterungen ..................................176 bekannte anzeigen ................................152 zuordnen............................................... 176 Dateisystem NTFS....................................................550 Dateisysteme ............................................ 545 FAT......................................................545 FAT32..................................................545 Datenausführungsverhinderung Buffer Overflow...................................180 Konfiguration ....................................... 182 NX........................................................180 Probleme ..............................................181 Schalter in der Boot.ini ........................ 183 Datenaustausch .................268 Datensicherung ........................................245 Betriebssystem wiederherstellen .......... 253 Daten wiederherstellen.........................254 NTBackup ............................................ 245 Sicherungsstrategien ............................246 Wiederherstellung ................................253 Wiederherstellung von Sicherungen ....252 Datenträger Nutzung optimieren Auslagerungsdatei-Größe...................83
Defragmentierung .............................. 86 Systemwiederherstellung anpassen.... 85 Sektorfehler.......................................... 718 Datenträgerinformation............................ 557 Datenträgerkontingente.................... 576, 722 Ändern ................................................. 726 Einrichten............................................. 724 Ereignisprotokoll ................................. 724 Löschen................................................ 726 Standard-Kontingent ............................ 723 Datenträgername...................................... 558 Datenträgerverwaltung............................. 589 Ansichten ............................................. 593 Datenträger aktualisieren ..................... 596 Funktionen ........................................... 592 Deckblätter (Fax) ..................................... 388 Defragmentierung Auslagerungsdatei................................ 583 Software............................................... 583 Dekomprimierung.................................... 657 DEPSiehe Data Execution Prevention DES Siehe Data Encryption Standard DFÜ Clientverbindung ................................. 911 Clientverbindung konfigurieren........... 914 Rückruf-Nummer................................. 917 Verbindung aufbauen........................... 914 DFÜ-Server ............................................. 908 DHCP Siehe Dynamic Host Protocol Dialer (0190/0900)................................... 985 Erkennen .............................................. 987 Kosten.................................................. 987 Diashow ................................................. 1157 Dienste ..................................................... 463 Abhängigkeiten.................................... 465 Dienststeuerungs-Manager .................. 467 Diensttypen .......................................... 465 ErrorControl-Parameter ....................... 465 Kommandozeilenwerkzeuge................ 471 Net.exe................................................. 473 Process Explorer .................................. 468 Registrierungs-Zweig........................... 463 Sc.exe................................................... 471 Sitzungs-Manager ................................ 466 Snap-In Dienste ................................... 468 Speicherort der Dateien........................ 463 Starttyp................................................. 464 Svchost.exe .......................................... 467 TaskKill ............................................... 474 TaskList ............................................... 473 Diffie-Hellman......................................... 840 Digestauthentifizierung.......................... 1042
Index __________________________________________________________________1175 Digital Rights Management ................... 1089 Digitale Bilder........................................ 1149 Digitalkamera......................................... 1149 Bilder laden........................................ 1152 Direct Memory Access ............................ 506 Betriebsmodi ........................................ 506 Modus überprüfen................................ 513 Directory Information Tree...................... 813 DirectX .................................................. 1165 Diagnoseprogramm.............................. 446 Treiberprobleme................................... 447 Updates .............................................. 1167 Version prüfen ..................................... 446 Direkte Datenfernverbindung .................. 908 Direkte Einwahl ....................................... 908 DiscJuggler ............................................ 1120 Disk Quotas ............................................. 576 Diskeeper ................................................. 584 Disketten kopieren ................................... 590 Diskpart.exe ............................................. 600 Befehle ................................................. 600 Erweiterung von Datenträgern ............. 603 Fehlerstopp........................................... 604 Festplatte einbinden ............................. 602 Distinguished Name................................. 813 Distributionsserver..................................... 63 DIT Siehe Directory Information Tree DMASiehe Direct Memory Access DN Siehe Distinguished Name DNSSiehe Domain Name System DNS-Server.............................................. 790 Dokumente im Startmenü........................................ 110 Domain Name System Begriffe Domain ............................................ 789 Forwarder......................................... 790 FQDN .............................................. 789 in-addr.arpa ...................................... 790 Nameserver ...................................... 790 Root.................................................. 789 Root-Nameserver ............................. 790 SLD.................................................. 789 TLD.................................................. 789 Zone ................................................. 789 Grundlagen........................................... 787 Domäne Computer hinzufügen........................... 898 Domänen-Benutzerkonten ....................... 300 DOS Protected Mode Interface ................ 175 DOS-Anwendungen......................... 162, 174 Dots Per Inch ........................................... 138 DPISiehe Dots Per Inch
DPMI (DOS Protected Mode Interface) .. 175 Drive Image ............................................... 56 DRMSiehe Digital Rights Management Drucken Anschlussmonitore .............................. 327 aus MSDOS ......................................... 361 Drucker freigeben ................................ 349 Client-Treiber .................................. 351 Druckerinstallation .............................. 339 Druckertreiber...................................... 329 Postscript ......................................... 329 Systemdateien .................................. 330 Universell......................................... 329 PCL.............................................. 329 Druckleistungen überwachen............... 353 Druckprozessor .................................... 325 Druckserver-Konfiguration.................. 345 Formulare ............................................ 346 Grundprinzip........................................ 322 Gruppenrichtlinien............................... 353 Im Netzwerk ........................................ 343 IPP ................................................... 344 TCP/IP ............................................. 343 In Datei drucken .................................. 342 Interner Ablauf .................................... 324 Logische Drucker................................. 322 Lokaler Anschluss ............................... 331 IrDA................................................. 332 Parallel ............................................. 331 Seriell............................................... 333 USB ................................................. 332 mit Drag&Drop.................................... 362 Netzwerkdrucker einbinden ................. 354 Offline drucken.................................... 322 Physische Drucker ............................... 322 Spooldateien (Speicherort) .................. 326 Spool-Datenformate............................. 326 EMF ................................................. 326 Raw.................................................. 326 Text.................................................. 327 Spooler................................................. 324 Sprachmonitor ..................................... 325 Trennseiten definieren ......................... 365 Dualboot-Konfiguration ........................ 1169 Dual-Core .................................................. 53 Dual-Screen ............................................. 145 DV-Camcorder ...................................... 1143 DVD ...................................................... 1100 DVD-R .............................................. 1109 DVD-RAM ........................................ 1110 DVD-ROM ........................................ 1109 Formate.............................................. 1108 Kopieren ............................................ 1137
1176__________________________________________________________________ Index Regionalcode...................................... 1136 RW ..................................................... 1110 Wiedergabe ........................................1135 Dxdiag.exe ............................................... 446 Dynamic Host Configuration Protocol..... 787 Dynamische Datenträger Aufbau .................................................534 Datenträgerverwaltungsdatenbank .......534 Einfache ...............................................534 Erstellen ...............................................533 Gespiegelt ............................................ 535 RAID 5................................................. 535 Stripeset ............................................... 535 Übergreifende ......................................534 E EAP Siehe Extensible Protocol ECISiehe European Color Initiative ECI-RGB .................................................375 ECPSiehe Extended Capabilities Port EFI System Partition ................................540 EFS Siehe Encrypting File System Eigene Dateien Ordner anpassen................................... 150 Einfache Volumes Erstellen ...............................................636 Erweitern..............................................637 Festplatte auswählen ............................640 Größe ...................................................640 Eingabeaufforderung................................ 165 Eingabehilfen ...........................................159 Eingabegeräte.......................................160 Informationen.......................................161 Tastenkombinationen ...........................160 Einwahl (direkte) .....................................908 E-Mail ......................................................945 Netiquette........................................... 1023 Windows Mail.................................... 1012 EMF (Enhanced Metafile) .......................326 EMS (Expansionsspeicher) ...................... 175 Encrypting File System............................ 566 Aufbau .................................................572 Entschlüsselung.................................... 574 Maximale Absicherung ........................ 575 Verschlüsselung ................................... 573 Wiederherstellungsagent ......................575 Energiemanagement ACPI ....................................................394 ACPI-Deckel........................................395 ACPI-Einschaltknopf ...........................396 APM.....................................................394
Konfiguration....................................... 398 OnNow................................................. 394 Voraussetzungen.................................. 395 Enhanced Parallel Port............................. 331 EPP Siehe Enhanced Parallel Port Ereignisanzeige........................................ 217 Anwendungsprotokoll.......................... 218 Einstellungen ....................................... 224 Ereignismeldungen analysieren ........... 228 Listenanzeige ....................................... 222 Protokollarten ...................................... 218 Protokolle speichern ............................ 226 Protokoll-Meldungsarten ..................... 220 Sicherheitsprotokoll ............................. 219 Systemprotokoll ................................... 219 Ersetzungstabelle (Fonts)......................... 336 Erweiterungsspeicher............................... 175 ESP Siehe EFI System Partition ESSID/SSID ............................................ 798 Ethernet-Netzwerk ................................... 744 Hub ...................................................... 746 Switch .................................................. 746 EU-Richtlinie (Kopierschutz) ................ 1112 European Color Initiative......................... 370 Euro-Zeichen eingeben ............................ 128 Expansionsspeicher.................................. 175 Extended Capabilities Port....................... 331 Extended Capabilities Port (ECP)............ 331 Extensible Authentication Protocol ......... 841 Externe Datenträger ................................. 515 Kontrolle .............................................. 516 Oxford-Chipsätze................................. 516 Performance erhöhen ........................... 517 Schreibcache einschalten ..................... 518 F Farbmanagement...................................... 367 ECI....................................................... 370 Fogra.................................................... 370 Geschichte............................................ 369 Grundlagen .......................................... 367 ICC ...................................................... 371 ICC-Profile .......................................... 372 speichern .......................................... 377 zuweisen .......................................... 377 ICM...................................................... 370 Prinzip.................................................. 371 Rendering Intents................................. 373 Farbqualität .............................................. 139 Farbschemata einstellen ........................... 130 Fast Ethernet ............................................ 745 Fast-Infrared ............................................ 750
Index __________________________________________________________________1177 FAT Limitierungen....................................... 547 Faxdeckblatt-Editor.................................. 388 Deckblätter erstellen ............................ 388 Faxdienst Anwendung.......................................... 386 Deckblätter........................................... 387 Fdisk ........................................................ 627 Fernzugriff Experten einladen................................. 935 Möglichkeiten ...................................... 928 Remote-Assistent ................................. 935 Remotedesktop..................................... 931 Telnet ................................................... 929 Festplatten 64 Bit-XP ............................................. 539 einrichten ............................................. 625 Empfohlene Aufteilung.......................... 54 erkennen............................................... 625 Erkennungsprobleme ........................... 626 externe.................................................. 626 Festplattenmanager .................................. 627 File Transfer Protocol ...................... 775, 945 Authentifizierung ................................. 776 Datenstruktur ....................................... 778 Kommandos ......................................... 775 Passiver Modus .................................... 778 Statuscodes........................................... 778 Transfer-Modus ................................... 778 Finger.exe ................................................ 879 FIRSiehe Fast-Infrared FirewallSiehe Windows-Firewall Firewire.................................................... 509 Externe Festplatte................................. 515 Flip 3D ..................................................... 125 Fonts Siehe Schriftenverwaltung Format.com .............................................. 647 Formatieren.............................................. 643 Clustergröße......................................... 645 Dateisystem.......................................... 644 Datenträgerbezeichnung....................... 646 Dienstprogramm .................................. 643 Format.com .......................................... 647 Format-Werkzeug ................................ 643 Komprimierung.................................... 646 Quickformat ......................................... 645 Zuordnungseinheit ............................... 645 Forwarder................................................. 790 FQDN Siehe Fully Qualified Domain Name Fragmentierung ........................................ 580 Clustergröße......................................... 582 Dateien ................................................. 581 Datenträger........................................... 581
Grundlagen .......................................... 580 NTFS ................................................... 582 Freigaben Net.exe................................................. 712 Verbinden ............................................ 714 Verwalten............................................. 706 Fsutil.exe ................................................. 612 FTONLINE.EXE .......................................... 592 FTPSiehe File Transfer Protocol FTP-Server ............................................ 1061 Einrichtung ........................................ 1064 Protokolle .......................................... 1064 Schreibrechte ..................................... 1064 Virtuelle Verzeichnisse anlegen ........ 1064 Fully Qualified Domain Name ................ 789 G Gastkonto................................................. 264 Gemeinsame Dokumente......................... 268 Geplante Tasks Siehe Taskplaner Geräte-Manager ....................................... 438 Ansichten umschalten .......................... 440 Gerät neu installieren ........................... 439 Ressourcen konfigurieren .................... 440 Treiber-Leichen finden ........................ 439 Geschichte ................................................. 36 Historische Entwicklung........................ 37 Windows................................................ 38 Getsid.exe ................................................ 272 Gigabit-Ethernet ...................................... 745 Gpresult.exe............................................. 317 GPT-Disks ............................................... 539 Aufbau ................................................. 540 Grafik AERO Basis......................................... 103 AERO Glass ........................................ 103 Classic.................................................. 104 Grafikkarte............................................... 140 Green Book............................................ 1103 Gruppen ................................................... 276 Administratoren ................................... 276 anlegen................................................. 280 Benutzer............................................... 276 Gäste ............................................ 276, 277 Hauptbenutzer...................................... 276 Hilfedienstgruppe ................................ 277 löschen ................................................. 281 Netzwerkkonfigurations-Operatoren ... 277 Remotedesktopbenutzer....................... 277 Sicherungs-Operatoren ........................ 277 Vordefinierte........................................ 276 Gruppenrichtlinien................................... 303
1178__________________________________________________________________ Index Active Directory...................................305 Adminstrative Vorlagen .......................313 Anzeigefilter ........................................311 Bearbeitung ..........................................310 lokale....................................................304 Richtlinieneintrag.................................310 Struktur ................................................305 wirksame ermitteln............................... 314 H Hardlinks..................................................579 Hardware....................................................51 Ansprüche ..............................................51 Hardware-Stripeset ..................................538 Hauptspeicher ............................................53 HD DVD ................................................1111 Hilfe- und Supportcenter..........................154 Himem.sys ............................................... 175 Hinting (Fonts).........................................336 HKEY Siehe Windows-Registrierung HMAC ..................................................... 840 Hostname.exe...........................................882 Hosts-Datei ..............................................790 Syntax ..................................................791 HTSiehe Hyper-Threading HTML ......................................................944 Hyper-Threading........................................52 I IANASiehe Internet Assigned Numbers Authority IBM-PC......................................................37 ICacls.exe.................................................692 ICC-Profile...............................................372 ICMSiehe Image Color Management ICMP Siehe Internet Control Message Protocol IDE Siehe Integrated Device Electronics IDEA........................................................ 840 IEEE 802.11a (WLAN)............................ 796 IEEE 802.11b (WLAN) ...........................795 IEEE 802.11i (WLAN) ............................796 IEEE 802.1X (WLAN) ............................796 IEEE P1284..............................................331 IIS Anwendungsprogramme .................... 1044 FTP-Server......................................... 1061 Protokolle...........................................1056 Standardwebseite ...............................1047 Virtuelle Verzeichnisse ...................... 1048 Webseiten veröffentlichen ................. 1047
IIS (Internet Information Server) ........... 1040 IIS-Dienstmanager ................................. 1045 IIS-Zertifikatsspeicher ........................... 1043 Image ausbringen....................................... 82 Image Color Management ....................... 370 Image erstellen........................................... 79 ImageX ...................................................... 73 Abbild erzeugen..................................... 81 Index-Attribut .......................................... 659 Indexdienst............................................... 727 Arbeitsweise ........................................ 727 iFilter ................................................... 729 Kataloge............................................... 728 Indexstamm ............................................. 557 Infobereich............................................... 120 Informations- und Diagnosetools............. 438 Dxdiag.exe ........................................... 446 Geräte-Manager ................................... 438 Msinfo32.exe ....................................... 442 Systeminfo.exe..................................... 444 Infrared Data Association ........................ 750 Infrastruktur-Modus (WLAN) ................. 798 Installation Accelerated Graphics Port ..................... 55 automatisierte......................................... 72 mit bootfähigem CD-Laufwerk.............. 59 mit IDE-Interface................................... 59 mit SCSI-Interface ................................. 60 mit WINNT.EXE ................................... 61 mit WINNT32.EXE ............................... 61 Netzwerkhardware ................................. 54 Produktaktivierung................................. 70 über das Netzwerk ................................. 62 Verfahren ............................................... 57 Vorbereitung .......................................... 55 Installations-CD......................................... 56 Installationsschritte .................................... 63 Installationsverfahren................................. 57 Integrated Device Electronics .................. 505 Anschlusskabel .................................... 511 Geräte anschließen ............................... 510 Master und Slave ................................. 511 RAID-Adapter ..................................... 514 Zusätzlicher Adapter............................ 514 Internationaler Einsatz ............................. 404 Eingabeoptionen .................................. 405 Ländereinstellungen............................. 404 Internet Aufbau ................................................. 943 Chat...................................................... 945 E-Mail .................................................. 945 FTP ...................................................... 945 Funktionen in XP ................................. 945
Index __________________________________________________________________1179 HTML .................................................. 944 HTTP ................................................... 944 Surfen................................................... 946 Telnet ................................................... 944 WWW .................................................. 944 Internet Assigned Numbers Authority ..... 769 Internet Connection Sharing Aktivierung .......................................... 989 ISDN einrichten ................................... 989 Modem einrichten ................................ 989 Internet Control Message Protocol........... 771 Internet Explorer ...................................... 993 Add-Ons verwalten ............................ 1006 Anzahl paralleler Downloads............. 1004 AutoVervollständigen ........................ 1002 Cookies ................................................ 997 Download von Dateien....................... 1003 FTP-Clientfunktion ............................ 1004 Gruppenrichtlinien ............................. 1009 Inhalte kontrollieren........................... 1000 Java-Runtime installieren................... 1008 Konfigurationsskript ............................ 985 Popups blockieren ................................ 999 Proxykonfiguration .............................. 985 Seiten speichern ................................. 1005 Sicherheitsoptionen.............................. 995 Zertifikate........................................... 1001 Internet Information Server (IIS) ........... 1040 Internet Informationsdienste .................. 1039 Internet Protocol ...................................... 761 Broadcast ............................................. 764 Fragmentierung .................................... 763 Multicast .............................................. 765 Subnetze............................................... 766 Unicast ................................................. 765 Version 4.............................................. 765 Version 6.............................................. 766 Internet Relay Chat .................................. 945 Internet-Radio ........................................ 1132 Internetverbindung Netzwerkprotokoll ............................... 968 über DSL.............................................. 964 über ISDN oder Modem....................... 959 über Mobiltelefon................................. 967 Internetverbindungsfirewall Firewall ......................................... 871 IP-Adressen Adressversionen................................... 765 Automatische Vergabe......................... 784 Fest einstellen ...................................... 873 Ipconfig.exe ............................................. 882
IP-Namensauflösung Domain Name System ......................... 787 Hosts-Datei .......................................... 790 Windows Internet Name Service ......... 791 IPSec........................................................ 836 IPv4 (Internet Protocol Version 4)........... 765 IPv6 (Internet Protocol Version 6)........... 766 IrDASiehe Infrared Data Association ISAPI-Erweiterungen ............................ 1044 ISAPI-Filter ........................................... 1045 ISO/OSI-Referenzmodell ........................ 757 J Java.......................................................... 997 JavaScript ................................................ 997 Journaled File System.............................. 549 JScript .................................................... 1066 K Katodenstrahlröhre .................................. 138 Kennwortoptionen ................................... 275 Klasse-A-Netz ......................................... 767 Klasse-B-Netz.......................................... 767 Klasse-C-Netz.......................................... 767 Klasse-D-Netz ......................................... 767 Kommandozeilen-Tools Arp....................................................... 878 At ......................................................... 243 Attrib.................................................... 697 Bootcfg ................................................ 622 Calcs .................................................... 692 Chkdsk................................................. 719 Cipher .................................................. 676 Compact............................................... 657 Diskpart ............................................... 600 Finger................................................... 879 Fsutil .................................................... 612 FTONLINE ............................................. 592 Ftp........................................................ 880 Getsid................................................... 272 Gpresult ............................................... 317 Hostname ............................................. 882 ICalcs ................................................... 692 Ipconfig................................................ 882 Lpq....................................................... 884 Lpr ....................................................... 884 Mountvol ............................................. 653 Net ....................................................... 473 Netsh.................................................... 884 Netstat.................................................. 886 Nslookup.............................................. 887
1180__________________________________________________________________ Index Ping ......................................................889 Reg .......................................................486 Route....................................................890 Runas ...................................................167 Sc ......................................................... 471 Schtasks ............................................... 244 Systeminfo ...........................................444 TaskKill ............................................... 474 TaskList ............................................... 473 Tracert..................................................892 W32tm .................................................954 Whoami................................................272 Kommunikationsprogramme Faxdienst .............................................. 380 Kompatibilität ..........................................172 Design ..................................................173 Farben ..................................................172 Setup ....................................................173 Kompatibilitätsmodi...............................1168 Kompressionsrate..................................... 657 Komprimierung........................................646 Aktivieren ............................................ 655 Nachteile ..............................................656 Komprimierung (NTFS) .......................... 561 Kontextmenü............................................ 128 Kontingentüberschreitung ........................723 Konturschriftarten ....................................334 Konventioneller Speicher......................... 175 Kopierschutz ..........................................1112 EU-Richtlinie ..................................... 1112 L LANSiehe Local Area Network Ländereinstellungen .................................404 Zahlen ..................................................405 LAN-Verbindungen .................................857 Clients ..................................................861 Dienste ................................................. 861 Eigenschaften.......................................859 Konfiguration ....................................... 858 Netzwerkhardware ...............................862 Netzwerkkomponenten ........................866 Protokolle............................................. 860 Status....................................................859 Laufwerkbuchstaben ................................649 Ändern .................................................649 Zuweisen .............................................. 649 Laufwerkpfade ......................................... 649 Ändern .................................................652 Einrichten.............................................651 Hinzufügen...........................................651 Löschen ................................................652
Wechseldatenträger.............................. 652 Laufwerksverschlüsselung BitLocker ............................................. 567 Lautstärkeregelung ................................ 1161 LCD ......................................................... 139 LDAP....................................................... 812 Leerlaufoption (DFÜ-Verbindung)) ........ 963 Leistungsüberwachung ............................ 214 CPU ..................................................... 215 Datenträger .......................................... 215 Netzwerk.............................................. 216 Speicher ............................................... 216 Line Printer .............................................. 344 Livedateisystem (CD brennen) .............. 1116 Lmhosts ................................................... 791 Local Area Network................................. 741 Logged Tool Stream ................................ 557 Logische Laufwerke Partitionstabellen ................................. 532 Loopback ................................................. 768 Lpq.exe .................................................... 884 Lpr.exe..................................................... 884 M MAN Siehe Metropolitan Area Network Managementkonsole Managementkonsole Massenspeicher Kommandozeilen-Tools....................... 591 Verwaltungswerkzeuge........................ 589 Massenspeicher-Schnittstellen ................. 505 Master File Table Fragmentierung.................................... 582 Mastered (CD brennen) ......................... 1116 Maustasten ............................................... 129 Maximum Transmission Unit Größe anpassen .................................... 764 Path MTU Discovery ........................... 764 Maximum Transmission Unit .................. 763 MBR-Disks .............................................. 539 Metropolitan Area Network..................... 741 MFT-Datensatz ........................................ 554 Microsoft Managementkonsole ............... 193 Ansichten anpassen.............................. 209 Aufgabenblockansichten...................... 196 miteinander verknüpfen ................... 209 Aufgabenblockansichten erstellen ....... 202 Benutzermodi....................................... 212 Benutzerspezifische MMCs ................. 199 Snap-Ins ............................................... 193 Vorkonfigurierte MMCs ...................... 197 Microsoft Virtual PC ............................. 1169
Index __________________________________________________________________1181 Microsoft-reservierte Partition ................. 540 MIDI Siehe Musical Instrument Digital Interface MMC Siehe Microsoft Managementkonsole Mobiler Einsatz Call-by-Call ......................................... 412 .............. 871 Modem Hinzufügen........................................... 957 Optionen .............................................. 959 Monitoreinstellungen Bildschirmeinstellungen Mountvol.exe ........................................... 653 Movie Maker.......................................... 1138 Bedienoberfläche ............................... 1139 Camcorder.......................................... 1143 Datenimport ....................................... 1144 Funktionen ......................................... 1139 Nachvertonung................................... 1146 Projekte und Sammlungen ................. 1140 Qualität .............................................. 1141 Schnittfunktionen............................... 1145 Speichern des Films ........................... 1148 Sprache aufnehmen ............................ 1147 Videodaten einlesen ........................... 1142 Webcam ............................................. 1143 MP3 (MPEG 1 Layer 3)......................... 1090 MPEG .................................................... 1093 MPEG 1 Layer 3 .................................... 1090 MPEG-4................................................. 1094 Msconfig.exe............................................ 621 MS-DOS .................................................... 38 Msinfo32.exe ........................................... 442 MSN Games........................................... 1165 MSR Siehe Microsoft-reservierte Partition MTU Siehe Maximum Transmission Unit Multicore.................................................... 53 Multimedia............................................. 1085 Audio ................................................. 1085 Digitale Bilder.................................... 1086 Spiele ................................................. 1087 Video.................................................. 1086 Multi-Session CD .................................. 1104 Musical Instrument Digital Interface ..... 1092 N Nameserver .............................................. 790 Nero ....................................................... 1121 Net.exe (Dienste) ..................................... 473 Netiquette............................................... 1023 E-Mail ................................................ 1023 News .................................................. 1027
Netsh.exe ................................................. 884 Netstat.exe ............................................... 886 Nettoübertragungsrate.............................. 959 Network Time Protocol ........................... 952 Netzschalterreaktion definieren ............... 136 Netzwerk- und Freigabecenter................. 855 Netzwerkassistent .................................... 894 Netzwerkbrücke Funktionsweise .................................... 752 im ISO/OSI-Modell ............................. 759 STA (Spanning Tree Algoritmus)........ 752 Überblick ............................................. 751 Netzwerk-Drucken................................... 343 Netzwerkhardware................................... 862 Netzwerkomponenten .............................. 866 Netzwerksicherheit .................................. 828 Anmeldevorgang.................................. 828 Authentifizierung................................. 828 IPSec.................................................... 836 Kerberos .............................................. 833 LSA...................................................... 830 NTLM.................................................. 832 Rückruf ................................................ 841 SAM .................................................... 830 Verschlüsselung................................... 841 Winlogin .............................................. 830 Neuerungen................................................ 43 News-Netiquette .................................... 1027 Norton Ghost ............................................. 56 Norton Speeddisk .................................... 584 Notebook Netzwerkanschluss .............................. 406 Nslookup.exe ........................................... 887 NTFS ....................................................... 546 Access Control Entries......................... 559 Access Control List.............................. 559 Änderungsjournal ................................ 578 B-Baum................................................ 556 Benutzerrechte ..................................... 550 Berechtigungen .................................... 560 Besitzrechte ändern.............................. 691 Bootsektor............................................ 551 Clustergröße......................................... 547 Dateiattribute ....................................... 556 Dateien mit geringer Dichte................. 578 Dateien und Ordner überwachen ......... 689 Dateinamen.......................................... 550 Dateisystemsicherheit .......................... 548 Details.................................................. 546 Erweiterte Attribute ............................. 654 Fragmentierung.................................... 580 Index-Attribut ...................................... 659 Interner Aufbau.................................... 550
1182__________________________________________________________________ Index Komprimierung....................................561 Master File Table ......................... 551, 553 Merkmale .............................................547 MS-DOS-Namen.................................. 550 Organisationsstruktur ...........................556 Performanceverbesserung .................... 583 POSIX-Kompatibilität ......................... 550 Speicherkapazität ................................. 547 Transaktionen.......................................548 Überwachung verteilter Verknüpf........580 vererbbare Berechtigungen .................. 550 Verschlüsselndes Datesystem .............. 566 Zugriffsrechte einstellen.......................679 NTFS-Datenträger....................................551 NTPSiehe Network Time Protocol O Oberfläche Siehe Benutzeroberfläche Objektkennungen .....................................557 Ogg Vorbis.............................................1091 Oktett .......................................................765 Opentype..................................................334 Truetype-Outlines ................................335 Type 2-Outlines ...................................335 Optimierung nach Installation....................83 Orange Book .......................................... 1104 Ordnerfreigaben .......................................698 Oxford-Chipsätze .....................................516 P Paint ....................................................... 1160 Pairing (Bluetooth)........................... 808, 868 PAN Siehe Personal Area Network Partitionierungswerkzeuge.......................627 Partitionstabelle Erweiterte............................................. 532 Logische Laufwerke.............................532 Path ..........................................................169 PCIe Siehe PCI-Express PCI-Express ...............................................55 PCLSiehe Printer Control Language PCM Siehe Pulse Code Modulation Peer-to-Peer-Netzwerk............................. 742 Administration .....................................894 Adresseinstellungen .............................895 Computer-Namen ändern .....................897 ICS .......................................................896 Router...................................................896 Personal Area Network ....................741
PKISiehe Public Key Infrastruktur Port- und Protokollnummern ................... 781 Ports ......................................................... 781 Postscript Printer Description .................. 330 Postscript-Schriften.................................. 330 PPDSiehe Postscript Printer Description PPPoE ...................................................... 988 Printer Control Language......................... 329 Printer Control Language (PCL).............. 329 Printer Working Group ............................ 344 Private Benutzerordner ............................ 269 Process Explorer ...................................... 468 Produktaktivierung .................................... 68 Anzahl Aktivierungen............................ 72 Erinnerung ............................................. 70 Erneute Installation ................................ 70 Frist........................................................ 70 Interner Ablauf....................................... 70 Manuell .................................................. 70 Telefonisch ............................................ 71 ProfileSiehe Benutzerprofile Programmdateien erkennen ..................... 163 Programme 16-Bit ................................................... 173 Ausführen ............................................ 164 Dateierweiterungen zuordnen .............. 176 im Startmenü........................................ 106 Pfad-Angabe ........................................ 169 Registrierungseinträge ......................... 169 Starten unter and. Benutzerkonto......... 165 Tastenkombinationen........................... 170 Programmed In/Out ................................. 506 Programmsymbol..................................... 115 Protokollnummern ................................... 783 Prozess-ID ............................................... 236 Prozessliste (Task-Manager).................... 236 Prozessor Anzahl.................................................... 52 CPU-Zeit.............................................. 237 Dual-Core .............................................. 53 Hyper-Threading.................................... 52 Multicore ............................................... 53 Single-Core ............................................ 53 Public Key Infrastruktur ........................ 1072 Pulse Code Modulation.......................... 1091 Q QOS (Quality of Service) ......................... 861 Qualitätsstufen (WMA und MP3).......... 1092 Quality of Service .................................... 861 Quick ..............................................
Index __________________________________________________________________1183 R RAID Siehe Redundant Arrays of Inexpensive Disks Raw .......................................................... 326 RAW CD Copy...................................... 1120 RC4 .......................................................... 840 RDNSiehe Relative Distinguished Name Real Time Streaming Protocol ............... 1097 Rechteverwaltung .................................... 259 Red Book ............................................... 1101 Redundant Arrays of Inexpensive Disks.. 536 Überblick ............................................. 536 Reg TP (Regulierungsbehörde für Telekommunikation und Post) ............. 987 Reg.exe .................................................... 486 Regedit.exe (Windows-Registrierung)..... 478 Regedt32.exe (Windows-Registrierung) .. 478 Regionalcode ......................................... 1136 Registrierung Siehe Windows-Registrierung Registrierungsdateien Rücksicherung ..................................... 486 Sichern ................................................. 486 Registrierungsdatenbank.......................... 476 Registry Siehe Windows-Registrierung Relative Distinguished Name................... 813 Remote Desktop Clientbedienung ................................... 933 Remotedesktop......................................... 931 Remoteunterstützung ............................... 936 Remote-Zugriff ....... 928 Request for Comments Stufen ................................................... 755 Reseau IP Europeens................................ 769 Reservierte Adressen ............................... 768 RFCSiehe Request for Comments RFC 1510................................................. 831 RFC 1759................................................. 343 RFC 2131................................................. 787 RFC 2132................................................. 787 RFC 2236................................................. 768 RFC1350.................................................. 775 RFC1639.................................................. 780 RFC913.................................................... 775 RFC959.................................................... 775 Richtlinienergebnissatz ............................ 314 Gpresult.exe ......................................... 317 RIPE NCC (Reseau IP Europeens) .......... 769 Route.exe ................................................. 890
S SATA....................................................... 507 SATA2..................................................... 508 Sc.exe (Dienste)....................................... 471 Scanner .................................................. 1149 Bilder scannen ................................... 1155 Ordner für Bilder ............................... 1156 Schichtenmodell ...................................... 759 Schnellstartleiste.............................. 117, 121 Schreibweisen............................................ 31 Schriftenverwaltung................................. 333 Ersetzungstabelle ................................. 336 Font-Formate ....................................... 334 Bitmap ............................................. 336 Opentype.......................................... 334 Truetype........................................... 334 Type 1.............................................. 335 Type 3.............................................. 335 Type 42 ............................................ 334 Vektor .............................................. 336 Hinting ................................................. 336 Schriftarten entfernen .......................... 339 Schriftarten installieren........................ 338 Schtasks.exe............................................. 244 Script-Anwendungen ............................... 163 Scroll-Rad................................................ 129 SCSI (Small Computer System Interface) 510 Secpol.msc....................................... 278, 283 Secure Socket Layer .............................. 1042 Security Identifier Bedeutung............................................ 271 Ermitteln der SID................................. 271 Im Peer-to-Peer-Netzwerk ................... 273 Senden an-Menü erweitern ...................... 152 Serial ATA............................................... 507 Serial Infrared .......................................... 750 Service Packs............................................. 98 Sicherheitscenter...................................... 156 Active Directory-Clients...................... 159 Statusanzeige ....................................... 157 Warnungen anpassen ........................... 158 Sicherheitseinstellungen (NTFS) Berechtigungseinträge ......................... 685 Vererbung ............................................ 686 Zugriffsrechte ...................................... 684 Sicherheitsprinzipale................................ 278 Sicherheitsrisiken Internet................................................. 997 SideShow................................................. 148
1184__________________________________________________________________ Index SIGVERIF.EXE ............................................458 Single Bit RLE-Kompression .................. 331 Single-Core ................................................53 SIR (Serial Infrared)................................. 750 Sitzung beenden .......................................135 Sitzungs-Manager ....................................466 Small Computer System Interface ........... 510 Snap-Ins Dritthersteller .......................................200 Socket ......................................................781 Spiele ..................................................... 1164 Dualboot-Konfiguration..................... 1169 Kompatibilitätsmodi...........................1168 Mitgelieferte....................................... 1164 Virtueller PC ...................................... 1169 SPMSiehe Standard TCP/IP Port Monitor Spooler .....................................................348 SPP (Standard Parallel Port) ....................331 Spyware ................................................... 158 sRGB........................................................375 Standard Parallel Port (SPP) ....................331 Standard TCP/IP Port Monitor................. 343 Standard TCP/IP Port Monitor (SPM) .....343 Standardbeschränkung .............................723 Startmenü ................................................. 105 Aufbau .................................................105 Aussehen anpassen...............................111 Statische HTML-Seiten.......................... 1044 Storyboard.............................................. 1145 Streaming ............................................... 1096 Stripesetvolume................................ 536, 640 Aufbau .................................................537 Festplatte auswählen ............................641 Größe ...................................................642 Stromsparfunktionen ................................393 Subnetzmaske .......................................... 766 SVCDSiehe Video-CD Svchost.exe (Dienste)............................... 467 Symbolgröße (im Startmenü) ................... 113 Symbolgrößen beeinflussen .....................138 Symbolleisten........................................... 121 schwebende .......................................... 122 Systemdebugger WINDBG ........................459 Systemeinrichtung pro Benutzer......................................... 260 Systeminfo.exe......................................... 444 Systeminformationen gewinnen Informations- und Diagnosetools Systemregistrierung Struktur ................................................476 Systemsteuerung ......................................189 Ansichten ............................................. 189 Applets .................................................190
Applets entfernen ................................. 191 Gruppenrichtlinien ............................... 192 im Startmenü........................................ 110 Kategorieansicht .................................. 189 Kateorien-Zuordnung ändern............... 191 Klassische Ansicht............................... 190 Systemwiederherstellung ......................... 448 Konfigurieren....................................... 452 Nach Totalausfall ................................. 488 Wiederherstellung rückgängig machen 451 Wiederherstellungspunkte erzeugen .... 448 Wiederherstellungspunkte nutzen ........ 449 T TaskKill.exe............................................. 474 Taskleiste ................................................. 117 Anpassung ........................................... 119 Bediensymbole .................................... 118 Infobereich........................................... 120 Schnellstartleiste .................................. 117 Symbolleisten ...................................... 121 TaskList.exe (Dienste) ............................. 473 Task-Manager .......................................... 229 Anwendungsliste.................................. 230 Benutzerliste ........................................ 233 Einstellungen ....................................... 235 Netzwerkanzeige.................................. 233 Prozessliste .......................................... 231 Start...................................................... 229 Systemleistung ..................................... 232 Taskplaner ............................................... 239 At.exe................................................... 243 Schtasks.exe......................................... 244 Tastaturlayout umschalten ....................... 405 Tastatur-Maus.......................................... 161 Tastenkombination (für Programmstart).. 170 Tastenkombinationen............................... 127 TCPSiehe Transmission Control Protocol TCP/IP ..................................................... 753 Feste IP-Adresse einstellen .................. 873 Internetverbindung............................... 968 Kommandozeilen-Tools....................... 877 Konfiguration....................................... 872 TCP/IP-Tools Arp ....................................................... 878 Finger................................................... 879 Ftp........................................................ 880 Hostname ............................................. 882 Ipconfig................................................ 882 Lpq....................................................... 884 Lqr ....................................................... 884 Netsh .................................................... 884
Index __________________________________________________________________1185 Netstat .................................................. 886 Nslookup.............................................. 887 Ping ...................................................... 889 Route.................................................... 890 Tracert.................................................. 892 Telnet ............................................... 929, 944 Client.................................................... 929 Start...................................................... 929 Temporal Key Integrity Protocol ............. 801 TFT Thin Film Transistor Thin Film Transistor ................................ 138 TKIP Temporal Key Integrity Protocol Tracert.exe ............................................... 892 Transaktionsprotokollierung .................... 548 Transmission Control Protocol ................ 772 Treiberprobleme....................................... 455 Funktionsfähige Treiber reaktivieren ... 455 Treibereigenschaften anzeigen............. 457 Treibersignaturen prüfen...................... 457 Treiberüberprüfungs-Manager ............. 459 Trennseiten .............................................. 365 Truetype................................................... 334 TWAIN .................................................. 1150 Type 1 .............................................. 334, 335 Type 3 ...................................................... 335 U Übergreifende Volumes ........................... 639 Überwachungen (Dateien, Ordner) .......... 689 Überwachungsdienst ................................ 580 UDF Siehe Universal Disc Format UDMA Ultra Direct Memory Access UDP Siehe User Datagram Protocol UhrzeitSiehe Zeitsynchronisierung Ultra Direct Memory Access ................... 506 Umschalten (Benutzerwechsel)................ 135 Universal Disc Format ............................. 546 Universal Serial Bus ................................ 749 Memorysticks Sicherheitsrisiken............................. 518 Speichergeräte...................................... 518 UNIX-Druckdienste................................. 344 UNIX-Druckserver .................................. 344 Unterstützungsanforderung...................... 937 Update Automatische Updates ........................... 94 USBSiehe Universal Serial Bus User Datagram Protocol........................... 774 V VCD Siehe Video-CD
Vektor-Schriftarten .................................. 336 Verbindungsoptionen Leerlaufoption ..................................... 963 Sicherheitseinstellungen ...................... 964 Wahlwiederholung............................... 963 Verisign ................................................. 1075 Verkleinerung von Partitionen und ............................................... 603 Verknüpfungen ........................................ 579 Verschlüsselndes Dateisystem Encrypting File System Verschlüsselndes Dateisystem (EFS) Active Directory .................................. 664 Aktivieren ............................................ 660 EFS-Zertifikat ...................................... 673 Entschlüsselung ................................... 672 Netzwerktransport................................ 672 Standalone-PC ..................................... 662 Zertifikat erzeugen............................... 662 Verschlüsselung Aktivieren ............................................ 660 asymmetrische ................................... 1071 Websites ............................................ 1070 Versionen Vergleich ............................................... 43 Vista Business........................................ 42 Vista Enterprise ..................................... 43 Vista Home Basic .................................. 42 Vista Home Premium ............................ 42 Vista Starter ........................................... 42 Vista Ultimate........................................ 43 Video Streaming........................................... 1134 Video-CD erstellen ............................ 1121 Video-CD .............................................. 1105 Abspielen ........................................... 1138 Video-DVDs kopieren ........................... 1137 Video-Formate....................................... 1093 AVI .................................................... 1095 MPEG ................................................ 1093 MPEG-1............................................. 1093 MPEG-2............................................. 1094 MPEG-4............................................. 1094 Quicktime .......................................... 1095 WMV................................................. 1094 WMV HD .......................................... 1095 Video-Streaming.................................... 1095 Virtual Private Network Clientfunktion ...................................... 920 IPSEC .................................................. 923 Serverfunktion ..................................... 918 Verbindung .......................................... 918 Virtueller PC.......................................... 1169
1186__________________________________________________________________ Index Bochs .................................................1169 Microsoft Virtual PC.......................... 1169 VMWare Workstation........................ 1169 Vista-Neuerungen ......................................43 VMWare Workstation............................ 1169 VOB-Dateien ......................................... 1137 Volume Autochk................................................ 721 Bereinigen ............................................716 Defragmentieren................................... 590 Fehlerbehebung....................................717 Formatieren ..........................................642 Kommandozeilenwerkzeuge ................591 Laufwerkbuchstaben ............................649 Laufwerkpfade .....................................649 Stripesetvolume.................................... 640 Übergreifendes Volume .......................639 Überprüfen ...........................................590 Umbenennen ........................................715 Volume Management ...........................527 Zugriff ändern ......................................649 Volumenschattenkopien...........................564 Anwendung .......................................... 565 Complete PC Wiederherstellung .......... 565 Schnappschuss .....................................565 Überblick ............................................. 565 Wiederherstellung ................................566 VPN Siehe Virtual Private Network W W32tm.exe ............................................... 954 WAN Siehe Wide Area Network WAN-Verbindungen................................907 WAV Windows Audio-Format WECA Wireless Ethernet Compatibility Alliance Wechselmedienverwaltung ......................597 Magnetbänder verwalten...................... 599 Sichten .................................................597 WEP (Wired Equivalent Privacy) ............ 795 White Book ............................................ 1104 Whoami.exe ............................................. 272 WHQL .......457 WIA (Windows Image Acquisition) ...... 1149 Wide Area Network .................................741 Wiederherstellung Systemwiederherstellung Wiederherstellungskonsole Befehle Attrib................................................497 Cd, Chdir.......................................... 498
ChkDsk ............................................ 499 Copy................................................. 498 Del, Delete ....................................... 498 Dir.................................................... 498 DiskPart ........................................... 499 Expand ............................................. 498 Md, MkDir ....................................... 499 More................................................. 499 Rd, RmDir........................................ 499 Ren, Rename.................................... 499 Type ................................................. 499 Befehlsübersicht .................................. 496 Erweitern der Befehle .......................... 495 Wi-Fi Wireless Fidelity Wi-Fi Protected Access ........................... 801 William Henry Gates III ............................ 37 Windbg.exe (Systemdebugger)................ 459 Windows Audio-Format ........................ 1091 Windows beenden.................................... 135 Windows Defender .................................. 847 Windows DVD Maker ........................... 1122 Windows Internet Name Service ............. 791 Windows Mail ....................................... 1011 E-Mail senden .................................... 1018 E-Mail-Funktionen............................. 1012 E-Mail-Konto einrichten.................... 1012 E-Mail-Verschlüsselung .................... 1019 IMAP ................................................. 1021 Mail empfangen ................................. 1018 Newskonto einrichten ........................ 1022 Ordner ................................................ 1014 POP3.................................................. 1013 Regeln ................................................ 1016 SMTP-Server ..................................... 1013 Spam verhindern................................ 1017 Stammordner...................................... 1013 Usenet-News...................................... 1022 Windows Media Audio.......................... 1089 Windows Media Format (WMV)........... 1094 Windows Media Player Audiofunktionen ................................ 1125 CD kopieren....................................... 1130 Funktionen ......................................... 1124 Mobile Player..................................... 1132 Sound ................................................. 1130 Titeldatenbank ................................... 1128 Video abspielen ................................. 1134 Windows PE .............................................. 73 Abbild erzeugen..................................... 81 Medium herstellen ................................. 80 Windows Server Update Services.............. 97 Windows System Image Manager ............. 75 Windows Update ....................................... 93
Index __________________________________________________________________1187 automatisch ............................................ 94 beim Herunterfahren .............................. 95 Deaktivieren........................................... 96 Manuell .................................................. 95 WSUS .................................................... 97 Windows Vista Logo Programm................ 51 Windows-Explorer................................... 150 Dateierweiterungen anzeigen ............... 152 Eigene Dateien anpassen...................... 150 Fenster wiederherstellen ...................... 151 Gruppenrichtlinien ............................... 153 Senden an-Menü erweitern .................. 152 Versteckte Dateien anzeigen ................ 151 Windows-Firewall ................................... 843 Anwendungen blockieren .................... 845 Arbeitsweise......................................... 844 Ausnahmen definieren ......................... 972 Dienste anbieten................................... 845 Einsetzen .............................................. 969 Gruppenrichtlinien ............................... 980 Konfigurationswerkzeuge .................... 970 Protokoll auswerten ............................. 977 Protokollierung .................................... 846 Regeln .................................................. 845 SP2-Erweiterungen .............................. 846 Systemsteuerung .................................. 971 Testen................................................... 982 ShieldsUp!! ...................................... 982 Symantec.......................................... 983 Windows-Fotogalerie............................. 1158 Windows-Kontakte Einrichtung......................................... 1031 Einsatz................................................ 1033 Faxdienst ............................................ 1033 Funktionen ......................................... 1032 Importieren......................................... 1032 LDAP ................................................. 1032 Outlook Express................................. 1033 Visitenkarten...................................... 1033 Windows-Netzwerke Domänenbasiert ................................... 743 Peer-to-Peer ......................................... 742 Windows-Registrierung ........................... 475 Aufbau der Einträge............................. 477 Bearbeitung.......................................... 478 Registrierungseditor ............................. 478 Sicherung ............................................. 483 Speicherort der Dateien........................ 476 Struktur ................................................ 475 Wiederherstellung ................................ 485 Windows-Serverfamilie ............................. 46 Small Business Server............................ 47
Windows Server 2003 R2 Datacenter Edition ............................................... 47 Windows Server 2003 R2 Enterprise Edition ............................................... 46 Windows Server 2003 R2 Standard Edition ............................................... 46 WINNT.EXE ............................................. 61 WINNT32.EXE ......................................... 61 Kommandozeilenoptionen ..................... 61 WinOnCD.............................................. 1121 WINS Siehe Windows Internet Name Service Wireless Ethernet Compatibility Alliance 795 Wireless Fidelity...................................... 795 Wireless LAN Adhoc-Modus ...................................... 797 Administration ..................................... 901 Basisstation (AP) einrichten ................ 901 Betriebsarten........................................ 797 Clients einrichten ................................. 904 ESSID/SSID ........................................ 798 Grundlagen .......................................... 795 Infrastruktur-Modus............................. 798 Sicherheitsaspekte................................ 798 Standards ............................................. 795 WEP..................................................... 798 WEP am AP einrichten ........................ 902 Wi-Fi.................................................... 795 WPA .................................................... 801 WPA-PSK am AP einrichten ............... 903 WLAN Siehe Wireless-LAN WMA Windows Media Audio WMV..................................................... 1094 WMV HD .............................................. 1095 World Wide Web..................................... 944 WPA Wi-Fi Protected Access Write Combining ..................................... 142 WSUS Windows Server Update Services WWW (World Wide Web) ...................... 944 X X.500 ....................................................... 812 Attribute............................................... 812 Distinguished Name............................. 813 Grundelemente..................................... 812 Objektklassen....................................... 812 X.500-Directory Service...................... 813 X.509 ..................................................... 1072 Y Yellow Book.......................................... 1102
1188__________________________________________________________________ Index Z Zeitsynchronisierung................................952 bei alleinstehendem PC ........................952 in einer Domäne ...................................952 Net time................................................ 953 NTP......................................................952 W32tm.exe ...........................................954 Zeitsender............................................. 954 Zeitserver-Liste ....................................953 Zertifikate............................................... 1070 Domainnamen .................................... 1081
Entfernen ........................................... 1080 Serverzertifikat .................................. 1074 Typen ................................................. 1074 von Verisign....................................... 1075 X.509 ................................................. 1072 Zertifizierung ......................................... 1074 Zilog Z80 ................................................... 37 ZIP-komprimierte Ordner ........................ 563 Zonen ....................................................... 996 Zugriffsrechte .......................................... 549 Zuordnungseinheit Siehe Cluster (Festplatte)