Uwe Bünning Jörg Krause Dirk Larisch
Windows 2000 im Netzwerkeinsatz Konfiguration, Administration und Integration in Unternehmensnetze
Uwe Bünning Jörg Krause Dirk Larisch
Windows 2000 im Netzwerkeinsatz
Konfiguration, Administration und Integration in Unternehmensnetze
Die Autoren: Uwe Bünning, Berlin Jörg Krause, Berlin Dirk Larisch, Wuppertal
Internet: http://www.hanser.de
Alle in diesem Buch enthaltenen Informationen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor und Verlag übernehmen infolgedessen keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht, auch nicht für die Verletzung von Patentrechten, die daraus resultieren können. Ebenso wenig übernehmen Autor und Verlag die Gewähr dafür, dass die beschriebenen Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt also auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich.
Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2001 Carl Hanser Verlag München Wien Gesamtlektorat: Fernando Schneider Copy-editing: Manfred Sommer, München Herstellung: Monika Kraus Umschlaggestaltung: Zentralbüro für Gestaltung, Augsburg Datenbelichtung, Druck und Bindung: Kösel, Kempten Printed in Germany ISBN 3-446-21498-4
Vorwort
5
Vorwort Manche Autoren klagen über die Schwierigkeit, ein vernünftiges Vorwort zu schreiben – vermutlich unberechtigt –, weil es sowieso keiner liest. Aber weil es zum Stil eines guten Buches gehört, eine nette Einführung zu schreiben, soll auch in diesem Buch das Vorwort nicht fehlen. Dieses Vorwort entstand am Ende der Arbeiten. Es hat sich als leichteste Arbeit an diesem Buch erwiesen. Bei der Erarbeitung von Windows 2000 Server sind wir sehr tief in die Abgründe eines der komplexesten Softwareprodukte unserer Zeit eingestiegen. Dem Forscherdrang des Fachautors sind hier fast keine Grenzen gesetzt. Es ist schon faszinierend, hinter jedem Dialog, jeder Aktion und jedem Feature eine Fülle weiterer Möglichkeiten zu entdecken. Wir haben versucht, in diese unüberschaubare Vielfalt eine praxisorientierte Struktur zu bringen. Dabei wurden rigoros häufig benötigte Funktionen in den Vordergrund gerückt und exotische Programme weniger beachtet. Einiges erschien uns auch unfertig oder in einem so frühen Entwicklungsstadium, dass eine ausführliche Betrachtung nicht gerechtfertigt wäre. Wir haben versucht, in diesem Buch konsequent durch die Brille des Administrators zu schauen. Es ist nicht einfach, ein derart komplexes System gut zu administrieren. Auf der einen Seite nehmen Ihnen viele Automatismen Arbeit ab, auf der anderen Seite verstecken sich Funktionen so tief in Dialogfeldern, dass sie nur schwer zu entdecken sind. Manche Perle ist aber durchaus dabei. In diesem Sinne haben wir weitestgehend auf die »Bordmittel« von Windows 2000 Server gesetzt. Wo sie nicht ausreichen, wo Software von Drittanbietern oder die zum eingesetzten Programm passende Vollversion sinnvoll ist, wird darauf hingewiesen. Auf diese Produkte wird jedoch nicht eingegangen. Was immer Sie in diesem Buch finden, Sie benötigen nicht mehr als die zum Lieferumfang gehörenden CDs. Zur Einrichtung eines Netzwerks mit Windows 2000 Server gehört als eine der wichtigsten Funktionen Active Directory. Dieser Teil nimmt breiten Raum ein – einschließlich umfangreicher Hinweise zur Planung. Wenn Sie »nur« einen Server installieren wollen, werden Sie diese Kapitel vielleicht überlesen wollen. Tun Sie es nicht. Auch dieser Teil entstand erst im Laufe der Arbeit an diesem Buch. Nach und nach wird einem klar, dass Active Directory nicht irgendein weiteres Feature von Windows 2000, sondern praktisch völlig mit dem System verzahnt ist. Ohne Active Directory nutzen Sie nur einen Bruchteil der Möglichkeiten. Es lohnt sich also, auch in einem kleineren Netzwerk, dies einzusetzen und sich damit alle Funktionen zu erschließen. Die Darstellung hebt in diesem Buch auch deshalb ganz bewusst nicht auf riesige Netzwerke mit hunderttausend Benutzern ab. Dies ist vielleicht eine Zielgruppe für das Microsoft-Marketing, nicht jedoch für ein Fachbuch. Wir denken, dass Windows 2000 Server im kleinen Netzwerk besonders stark ist – von einigen wenigen bis zu einigen Tausend Arbeitsplätzen. Mit der umfangreichen Softwarebestückung und der guten Integration der BackOffice-Produkte bietet es alles, was der Administrator im täglichen Umgang benötigt. Dieser Zielgruppe möchten wir mit diesem Buch auch ein vernünftiges Arbeitsmittel in die Hand geben. Dies gilt im Übrigen auch im Hinblick auf andere Verzeichnissysteme, die für sich genommen sicher sehr gut sind und vielleicht in der einen oder anderen Hinsicht ausgereifter. Die Integration in andere Betriebs-
6
Vorwort
systemfunktionen – Datei-, Druck- und Applikationsserverdienste – bieten sie jedoch nicht. Und gerade diese Integration macht Windows 2000 so stark. Grundlagen werden, soweit sie zum Verständnis notwendig sind, kurz und kompakt dargestellt. In die endlosen Weiten der Protokolle, Datenströme und Netzwerkgrundlagen haben wir uns zugunsten praxisnaher Darstellungen nicht begeben. Wir müssen niemandem beweisen, dass wir das wissen – offensichtlich glauben andere Autoren, diesen Beweis permanent antreten zu müssen. Wenn Sie Informatik studieren, werden Ihnen solche Darstellungen helfen. Als Administrator können Sie aber anschließend immer noch nicht den richtigen Dialog zur Einrichtung des Protokolls finden. Solche Auswalzungen theoretischer Grundlagen sind also zugunsten der Klicktipps drastisch gekürzt worden. Wir versichern Ihnen, dass wir die Grundlagen sehr gut beherrschen – das sollte ausreichen. Dafür hatten wir auch etwas mehr Zeit, die Dinge, die beschrieben wurden, in der Praxis zu testen. Bei allen Lesern, die schon einige Zeit auf dieses Buch warten, möchten wir uns für die Geduld bedanken. Wir haben hartnäckig jede Funktion, jedes Feature und jeden Ansatz in der Praxis nachvollzogen und sind dabei auf manche Ungereimtheit gestoßen, die wir Ihnen nicht vorenthalten möchten. Auf der anderen Seite erklären sich viele in der Online-Hilfe und der Technischen Referenz verklausulierten Darstellungen bei praktischen Tests. Darauf kam es uns letztlich an: Auch sehr komplexe Details in eine les- und verstehbare Form zu bringen. Windows steht – wie praktisch jedes Microsoft-Produkt – unter hartnäckiger Kritik der anderen Betriebssystemlager. Windows 2000 macht da keine Ausnahme. In der Summe kann man die Kritik vielfach leicht vom Tisch wischen, wenn man die entsprechenden Techniken wirklich verstanden hat. Nach diesem Buch können wir guten Gewissens behaupten, ein sehr tiefgehendes Verständnis für Windows 2000 Server zu haben. Damit verbunden ist auch das Verständnis der Produktphilosophie, die vieles, was auf den ersten Blick unlogisch oder inkonsistent erscheint, in einem anderen Licht erscheinen lässt. Tatsächlich hat sich Windows 2000 als sehr gut bedienbar, extrem stabil, funktionsreich und praxisnah erwiesen. Es gibt keine ernsthaften Gründe (außer politische natürlich), Windows 2000 Server nicht als Serverbetriebssystem in kleinen, mittelständischen oder großen Unternehmen einzusetzen. Auch die Stimme der Anwender scheint bei Microsoft gehört zu werden. Viele Kritikpunkte an NT wurden konsequent ausgeräumt. Manchmal ist es aber etwas zu viel des Guten – dann taucht an Stelle eines fehlenden Features ein Konglomerat aus Funktionen auf, das selbst hartnäckige Forscher zur Verzweiflung treibt. Dann bleibt nur die Erkenntnis, dass dies irgendwie sicher sehr genial ist, sich dem Verständnis aber auf Grund der unglaublichen Komplexität entzieht. Genial im positiven Sinne fanden wir dagegen, dass ein derart umfangreiches Produkt so gut funktioniert. Auf der Basis dieser Darstellungen – die im Grundlagenteil breiten Raum einnehmen – entstanden sehr praxisnahe »Klickanleitungen«. Das eine oder andere drängende Problem können Sie so sicher sehr effizient lösen.
Berlin, im März 2001 Uwe Bünning
Jörg Krause
Inhaltsverzeichnis Vorwort ................................................................................................................... 5 Inhaltsverzeichnis................................................................................................. 7
Teil I – Einführung........................................................................................23 1
Einführung ..................................................................................................... 27
1.1
Über das Buch ........................................................................................................... 27
1.1.1
Die Buchreihe ......................................................................................................... 27
1.1.2
Die Herausforderung .............................................................................................. 28
1.1.3
Die Konzeption....................................................................................................... 28
1.1.4
Zielgruppe............................................................................................................... 29
1.1.5
Struktur und Aufbau ............................................................................................... 30
1.1.6
Verwendete Symbole.............................................................................................. 31
1.1.7
Schreibweise........................................................................................................... 32
1.1.8
Entstehung .............................................................................................................. 32
1.2 2
Danksagung ............................................................................................................... 32
Windows 2000 Server im Überblick.......................................................... 37
2.1
Mehr als eine neue Version ....................................................................................... 37
2.1.1
Hoher Funktionsumfang......................................................................................... 37
2.1.2
Hardwareanforderungen ......................................................................................... 38
2.2
Einsatzmöglichkeiten................................................................................................. 39
2.2.1
Datei- und Druckdienste......................................................................................... 39
2.2.2
Webserver............................................................................................................... 41
2.2.3
Applikationsserver.................................................................................................. 41
2.2.4
Infrastrukturserver .................................................................................................. 42
2.2.5
Kommunikationsserver........................................................................................... 42
2.3
Die Funktionen im Überblick .................................................................................... 43
2.3.1
Neue Funktionen .................................................................................................... 43
2.3.2
Die fünf neuen Kerntechnologien .......................................................................... 45
2.4
Produktfunktionen ..................................................................................................... 46
8
Inhaltsverzeichnis 2.4.1
Mehrprozessor- und Clusterfähigkeit ..................................................................... 46
2.4.2
Upgrade-Pfade für die Serverversionen.................................................................. 47
Teil II – Grundlagen .................................................................................... 49 3
Massenspeicher..............................................................................................53
3.1
Das Volume Management.......................................................................................... 53
3.1.1
Aufbau des Volume Managements......................................................................... 53
3.1.2
Festplatten und Datenträger .................................................................................... 54
3.1.3
Dateisysteme ........................................................................................................... 56
3.1.4
Datenträgerverwaltung............................................................................................ 56
3.2
Basisfestplatten und Partitionen................................................................................. 56
3.2.1
Partitionen und Partitionstypen............................................................................... 57
3.2.2
Aufbau einer Basisfestplatte im Detail ................................................................... 58
3.2.3
MBR und Partitionstabelle im Detail...................................................................... 60
3.2.4
Logische Laufwerke und erweiterte Partitionstabelle ............................................ 63
3.2.5
Die Datei BOOT.INI ................................................................................................. 63
3.3
Dynamische Festplatten ............................................................................................. 69
3.3.1
Aufbau und Funktionen dynamischer Festplatten .................................................. 70
3.3.2
Einschränkungen für dynamische Festplatten ........................................................ 71
3.3.3
Einfache Datenträger und ihre Erweiterung ........................................................... 72
3.3.4
Stripesetdatenträger ................................................................................................ 73
3.4
Fehlertolerante Datenspeicherung ............................................................................. 76
3.4.1
Die RAID-Spezifikation ......................................................................................... 76
3.4.2
Gespiegelte Datenträger.......................................................................................... 80
3.4.3
RAID 5-Datenträger ............................................................................................... 82
3.5
Konvertieren von Basisfestplatten ............................................................................. 84
3.5.1
Wie die Konvertierung funktioniert........................................................................ 84
3.5.2
Zurückkonvertieren in eine Basisfestplatte............................................................. 85
3.5.3
Änderungen an konvertierten dynamischen Datenträgern ..................................... 85
3.5.4
System- und Bootdatenträger konvertieren ............................................................ 86
3.6
Der Wechselmediendienst ......................................................................................... 87
Inhaltsverzeichnis
9
3.6.1
Grundprinzip des Wechselmediendienstes ............................................................. 87
3.6.2
Medienpools............................................................................................................ 89
3.6.3
Datensicherung ....................................................................................................... 92
3.6.4
Remotespeicher ...................................................................................................... 96
3.7
Der Indexdienst.......................................................................................................... 98
3.7.1
Überblick zur Indizierung....................................................................................... 99
3.7.2
Der Indizierungsvorgang ...................................................................................... 100
4
Dateisysteme................................................................................................ 107
4.1
Unterstützte Dateisysteme ....................................................................................... 107
4.2
Merkmale von NTFS ............................................................................................... 108
4.2.1
Maximale Speicherkapazität ................................................................................ 108
4.2.2
Clustergröße.......................................................................................................... 109
4.2.3
Dateisystemsicherheit bei NTFS .......................................................................... 110
4.2.4
Zugriffsrechte für Dateien und Ordner................................................................. 111
4.3
Fragmentierung........................................................................................................ 112
4.3.1
Was ist Fragmentierung? ...................................................................................... 112
4.3.2
Clustergröße und Fragmentierung........................................................................ 113
4.3.3
Besonderheiten bei NTFS..................................................................................... 114
4.3.4
Defragmentierungsverfahren und -strategien ....................................................... 115
4.3.5
Tipps zur Verbesserung der Performance ............................................................ 117
4.3.6
Defragmentierungsprogramme............................................................................. 118
4.4
NTFS im Detail ....................................................................................................... 121
4.4.1
Dateinamen........................................................................................................... 121
4.4.2
Der interne Aufbau von NTFS ............................................................................. 122
4.4.3
Analysepunkte und Bereitstellungen.................................................................... 130
4.4.4
NTFS-Zugriffsrechte für Dateien und Ordner...................................................... 132
4.4.5
Das verschlüsselnde Dateisystem (EFS) .............................................................. 133
4.4.6
Komprimierung .................................................................................................... 137
4.4.7
Datenträgerkontingente ........................................................................................ 140
4.4.8
Weitere besondere Merkmale von NTFS ............................................................. 141
4.4.9
Kompatibilität von Windows NT 4 mit NTFSv5 ................................................. 143
10
Inhaltsverzeichnis 4.5
Verteiltes Dateisystem (DFS).................................................................................. 144
4.5.1
Überblick über das DFS ....................................................................................... 144
4.5.2
Domänenbasiertes und eigenständiges DFS ......................................................... 146
4.5.3
Aufbau des DFS.................................................................................................... 147
4.5.4
DFS-Clients .......................................................................................................... 149
5
Netzwerkgrundlagen ..................................................................................153
5.1
Einige Begriffe und Standards ................................................................................. 153
5.1.1
ISO/OSI-Referenzmodell...................................................................................... 153
5.1.2
Standards und die RFCs........................................................................................ 155
5.1.3
Die IPS-Entstehungsgeschichte ............................................................................ 157
5.2
Die Internetprotokolle im Detail.............................................................................. 160
5.2.1
Abbildung der Internetprotokolle im OSI-Modell................................................ 160
5.2.2
Address Resolution Protocol (ARP) ..................................................................... 161
5.2.3
Internet-Protokoll (IP)........................................................................................... 162
5.2.4
Internet Control Messaging Protocol (ICMP) ...................................................... 166
5.2.5
Transmission Control Protocol (TCP) .................................................................. 167
5.2.6
User Datagramm Protocol (UDP)......................................................................... 167
5.3
Port- und Protokollnummern ................................................................................... 168
5.3.1
Ports ...................................................................................................................... 168
5.3.2
Protokollnummern ................................................................................................ 170
5.4
IP-Adressen.............................................................................................................. 171
5.4.1
IP-Adressversionen ............................................................................................... 171
5.4.2
Subnetze................................................................................................................ 172
5.4.3
Netzklassen ........................................................................................................... 173
5.4.4
Spezielle IP-Adressen ........................................................................................... 174
5.4.5
IP-Adressvergabe im Internet ............................................................................... 175
5.5
Automatische IP-Adressvergabe.............................................................................. 176
5.5.1
APIPA ................................................................................................................... 176
5.5.2
IP-Adressvergabe mit DHCP................................................................................ 178
5.6 5.6.1
Domain Name System (DNS).................................................................................. 185 Einführung ............................................................................................................ 185
Inhaltsverzeichnis
11
5.6.2
Einige Begriffe rund ums DNS............................................................................. 187
5.6.3
Alternative Verfahren zur IP-Namensauflösung .................................................. 188
5.6.4
Aufbau des Domain Name Systems (DNS) ......................................................... 191
5.6.5
Zonen .................................................................................................................... 193
5.6.6
Aufbau von DNS-Servern .................................................................................... 194
5.6.7
Dynamisches DNS................................................................................................ 197
5.7
Weitere unterstützte Netzwerkprotokolle................................................................ 199
5.7.1
NetBIOS und NetBEUI ........................................................................................ 199
5.7.2
IPX/SPX ............................................................................................................... 200
5.7.3
AppleTalk und die Macintosh-Services ............................................................... 201
5.8
Routing und RAS..................................................................................................... 204
5.8.1
Einführung in das Routing.................................................................................... 205
5.8.2
Einige Grundlagen zum Routing .......................................................................... 211
5.8.3
Die Routing-Funktionen im Überblick................................................................. 220
5.8.4
Windows 2000 als Internetverbindungsserver ..................................................... 221
5.8.5
Windows 2000 als RAS-Server............................................................................ 226
5.8.6
Windows 2000 als VPN-Server............................................................................ 237
5.8.7
Windows 2000 als IPX-Netzwerkrouter .............................................................. 243
5.8.8
Windows 2000 als Appletalk-Netzwerkrouter ..................................................... 246
5.9
Sicherheit im Netzwerk ........................................................................................... 251
5.9.1
Sichere Authentifizierung mit Kerberos............................................................... 251
5.9.2
Sicherung der Übertragungswege mit IPSec........................................................ 259
6
Grundlagen Active Directory ................................................................... 265
6.1
Einführung ............................................................................................................... 265
6.1.1
Bedeutung von Verzeichnisdiensten .................................................................... 265
6.1.2
X.500 .................................................................................................................... 267
6.1.3
LDAP.................................................................................................................... 281
6.2
Aufbau des Active Directory................................................................................... 285
6.2.1
Überblick über die Komponenten ........................................................................ 286
6.2.2
Verzeichnis ........................................................................................................... 287
6.2.3
Schema.................................................................................................................. 288
12
Inhaltsverzeichnis 6.2.4
Replikationsdienst ................................................................................................ 288
6.2.5
Globaler Katalog .................................................................................................. 289
6.3
Physische Struktur des Active Directory ................................................................. 290
6.3.1
Probleme mit der Trennung der Modelle.............................................................. 290
6.3.2
Domänencontroller ............................................................................................... 291
6.3.3
Globaler Katalog................................................................................................... 293
6.3.4
Standorte ............................................................................................................... 296
6.3.5
Replikation............................................................................................................ 302
6.4
Logische Struktur des Active Directory .................................................................. 306
6.4.1
Gesamtstruktur...................................................................................................... 307
6.4.2
Domänenstruktur .................................................................................................. 308
6.4.3
Domäne ................................................................................................................. 312
6.4.4
Organisatorische Einheit....................................................................................... 313
6.4.5
Objekte.................................................................................................................. 313
6.5
Praktische Strukturierung einer Domäne ................................................................. 314
6.5.1
Die Domäne als oberste Instanz der Organisationseinheiten ............................... 318
6.5.2
Planung der Organisationseinheiten ..................................................................... 319
6.5.3
Design der OU-Modelle........................................................................................ 323
6.5.4
Planung der Struktur ............................................................................................. 330
6.6
Benutzer und Gruppen ............................................................................................. 337
6.6.1
Benutzer- und Gruppenmanagement .................................................................... 337
6.6.2
Einführung in die Benutzerverwaltung................................................................. 338
6.6.3
Elemente der Systemsicherheit............................................................................. 339
6.6.4
Gruppen................................................................................................................. 343
6.6.5
Gruppen im Detail ................................................................................................ 344
6.6.6
Die integrierten Gruppen ...................................................................................... 347
6.6.7
Strategien zur Verwendung von Gruppen ............................................................ 350
6.7
Gruppenrichtlinien ................................................................................................... 355
6.7.1
Einführung ............................................................................................................ 355
6.7.2
Hintergrundinformationen .................................................................................... 358
6.7.3
Strategische Planung............................................................................................. 361
Inhaltsverzeichnis
13
6.7.4
Entwurf des Richtlinienmanagements .................................................................. 363
6.7.5
Praktischer Richtlinienentwurf ............................................................................. 368
6.8
Migration von Windows NT 4................................................................................. 372
6.8.1
Kompatibilität zu Windows NT 4 ........................................................................ 372
6.8.2
Die Modi einer Domäne ....................................................................................... 374
7
Drucken ........................................................................................................ 379
7.1
Neue Funktionen...................................................................................................... 379
7.2
Grundprinzipien der Druckansteuerung .................................................................. 381
7.2.1
Logische und physische Drucker.......................................................................... 382
7.2.2
Interner Ablauf im Server..................................................................................... 384
7.2.3
Anschlussmonitore ............................................................................................... 388
7.2.4
Druckertreiber....................................................................................................... 390
7.3
Druckserver-Funktionen im Netzwerk .................................................................... 392
7.3.1
Windows-Netzwerk und Active Directory........................................................... 392
7.3.2
TCP/IP-Druckunterstützung ................................................................................. 394
7.3.3
Drucken mit dem Internet Printing Protocol ........................................................ 395
7.3.4
Netware-Druckunterstützung ............................................................................... 397
7.3.5
Appletalk-Druckunterstützung ............................................................................. 398
7.4
Weitere Druckserverfunktionen .............................................................................. 399
7.4.1
Druckerpools ........................................................................................................ 399
7.4.2
Servercluster ......................................................................................................... 400
7.5
Sicherheit und Verwaltung von Druckern ............................................................... 400
7.5.1
Allgemeine Berechtigungen ................................................................................. 400
7.5.2
Richtlinien in Active Directory ............................................................................ 401
8
Softwareverteilung und Remoteinstallation......................................... 407
8.1 8.1.1 8.2
IntelliMirror ............................................................................................................. 407 Die Kerntechnologien von IntelliMirror .............................................................. 409 Benutzerprofile ........................................................................................................ 411
8.2.1
Arbeitsweise von Benutzerprofilen ...................................................................... 411
8.2.2
Anwendungsfälle für Benutzerprofile .................................................................. 414
8.3
Softwareverteilung................................................................................................... 415
14
Inhaltsverzeichnis 8.3.1
Prinzipien der Softwareverteilung........................................................................ 415
8.3.2
Voraussetzungen für die Software-Installation .................................................... 417
8.3.3
VERITAS WinInstall LE...................................................................................... 419
8.3.4
Einrichten der Gruppenrichtlinie .......................................................................... 423
8.3.5
Clientinstallation mit IntelliMirror ....................................................................... 423
8.4
Die Remoteinstallationsdienste................................................................................ 424
8.4.1
Einleitende Überlegungen..................................................................................... 424
8.4.2
Das Grundprinzip.................................................................................................. 426
8.4.3
Technische Voraussetzungen................................................................................ 427
Teil III – Installation und Administration............................................. 429 9
Installation ....................................................................................................433
9.1
Vorüberlegungen...................................................................................................... 433
9.1.1
Einsetzbare Hardware ........................................................................................... 433
9.1.2
Upgrade-Möglichkeiten ........................................................................................ 436
9.1.3
Zum Vorgehen bei einer Neuinstallation.............................................................. 437
9.2
Inhalt der Installations-CDs ..................................................................................... 442
9.3
Installation durchführen ........................................................................................... 446
9.3.1
Checkliste vor der Installation .............................................................................. 446
9.3.2
Grundsätzliche Installationsschritte...................................................................... 447
9.3.3
Installation von HAL und Massenspeichertreibern .............................................. 448
9.3.4
Kommandozeilen-Parameter von WINNT.EXE und WINNT32.EXE ....................... 449
9.4
Installation der Verwaltungsprogramme ................................................................. 453
10 Windows-Verwaltungsinstrumente.........................................................457 10.1
Grundlagen .............................................................................................................. 457
10.1.1
Web-Based Enterprise Management .................................................................... 457
10.1.2
Aufbau der WMI................................................................................................... 459
10.2
Die Managementkonsole (MMC)............................................................................ 461
10.2.1
Das Prinzip der Managementkonsole ................................................................... 462
10.2.2
Benutzerspezifische Managementkonsolen.......................................................... 465
10.3
Terminaldienste ....................................................................................................... 474
Inhaltsverzeichnis
15
10.3.1
Einführung ............................................................................................................ 474
10.3.2
Terminalserver installieren ................................................................................... 475
10.3.3
Terminaldiensteclients installieren ....................................................................... 483
10.3.4
Client konfigurieren.............................................................................................. 485
10.3.5
Funktionen des Clients ......................................................................................... 487
10.3.6
TSAC – Advanced Terminal Services ................................................................. 489
10.4
Telnet-Server ........................................................................................................... 493
10.4.1
Einrichten des Telnet-Servers............................................................................... 493
10.4.2
Der Telnet-Client.................................................................................................. 496
10.5
Einführung in Scripting ........................................................................................... 497
10.5.1
Einführung in Script-Technologien...................................................................... 497
10.5.2
Die Scripting-Hosts .............................................................................................. 499
10.5.3
Aufbau der Skripte ............................................................................................... 503
11 Administration der Massenspeicher....................................................... 509 11.1
Die Verwaltungswerkzeuge im Überblick .............................................................. 509
11.1.1
Grafische Verwaltungswerkzeuge........................................................................ 509
11.1.2
Kommandozeilen-Tools ....................................................................................... 510
11.2
Die Datenträgerverwaltung im Detail ..................................................................... 511
11.2.1
Funktionsumfang der Datenträgerverwaltung...................................................... 511
11.2.2
Aufbau der Benutzeroberfläche............................................................................ 512
11.2.3
Datenträger aktualisieren und neu einlesen.......................................................... 513
11.3
Basisfestplatten einrichten....................................................................................... 514
11.3.1
Partitionierungswerkzeuge ................................................................................... 514
11.3.2
Anlegen von primären und erweiterten Partitionen.............................................. 515
11.3.3
Logische Laufwerke erstellen............................................................................... 518
11.4
Dynamische Festplatten einrichten ......................................................................... 519
11.4.1
Einfache Datenträger und ihre Erweiterung ......................................................... 520
11.4.2
Stripesetdatenträger einrichten ............................................................................. 524
11.5
Fehlertolerante Datenspeicher einrichten................................................................ 526
11.5.1
Gespiegelte Datenträger einrichten ...................................................................... 526
11.5.2
RAID 5-Datenträger einrichten ............................................................................ 529
16
Inhaltsverzeichnis 11.5.3 11.6
Reparieren von fehlertoleranten Datenträgern ..................................................... 530 Verwaltung von Wechselmedien............................................................................. 531
11.6.1
Einrichten von Medienpools................................................................................. 531
11.6.2
Datensicherung einrichten und verwenden........................................................... 535
11.7
Datenträger formatieren........................................................................................... 546
11.7.1
Wahl des Format-Werkzeuges.............................................................................. 547
11.7.2
Formatieren mit einem grafischen Dienstprogramm ............................................ 547
11.7.3
Das Kommandozeilen-Programm FORMAT .......................................................... 550
11.8 11.8.1 11.9
Umwandeln von FAT/FAT32 in NTFS................................................................... 551 Das Tool CONVERT.EXE ........................................................................................ 552 Datenträgerzugriff ändern........................................................................................ 553
11.9.1
Vorgehen in der Datenträgerverwaltung............................................................... 553
11.9.2
Das Kommandozeilen-Tool MOUNTVOL.EXE....................................................... 555
11.10 Erweiterte NTFS-Attribute ...................................................................................... 557 11.10.1 Aktivieren der Komprimierung ............................................................................ 557 11.10.2 Setzen des Index-Attributs.................................................................................... 559 11.10.3 Aktivieren der Verschlüsselung............................................................................ 560 11.11 NTFS-Zugriffsrechte einstellen ............................................................................... 563 11.11.1 Setzen von Benutzerrechten.................................................................................. 563 11.11.2 Erweiterte Einstellungen und Überwachung ........................................................ 565 11.11.3 Das Kommandozeilen-Tool CACLS.EXE ............................................................... 568 11.12 Weitere Eigenschaften von Datenträgern ................................................................ 570 11.12.1 Überprüfung eines Datenträgers auf Fehler.......................................................... 570 11.12.2 Datenträgerkontingente festlegen ......................................................................... 573 11.13 Indexdienst einrichten.............................................................................................. 577 11.13.1 Indexdienst aktivieren........................................................................................... 578 11.13.2 Indexdienst anpassen ............................................................................................ 579 11.13.3 Kataloge einrichten und konfigurieren ................................................................. 582 11.13.4 Dateien, die nicht indiziert werden ....................................................................... 585 11.13.5 Meldungen des Indexdienstes............................................................................... 585 11.13.6 Erweiterung des Indexdienstes mit ASP............................................................... 587
Inhaltsverzeichnis
17
11.14 DFS einrichten und verwalten ................................................................................. 597 11.14.1 Einen neuen DFS-Stamm erstellen ....................................................................... 598 11.14.2 DFS-Verknüpfungen einrichten............................................................................ 601 11.14.3 DFS-Replikation einrichten.................................................................................. 601 12 Administration des Active Directory...................................................... 607 12.1
Installation und Erweiterung ................................................................................... 607
12.1.1
Neuinstallation...................................................................................................... 607
12.1.2
Einrichtung eines Domänencontrollers ................................................................ 608
12.1.3
Administration von Betriebsmastern.................................................................... 620
12.1.4
Übergang in den einheitlichen Modus.................................................................. 624
12.2
Die physische Struktur administrieren .................................................................... 625
12.2.1
Anpassung des Globalen Katalogs ....................................................................... 626
12.2.2
Administration von Standorten und Replikation.................................................. 628
12.2.3
Schaffung einer Domänenstruktur........................................................................ 637
12.2.4
Erstellung einer Gesamtstruktur ........................................................................... 640
12.3
Die logische Struktur administrieren....................................................................... 643
12.3.1
Administration der Organisationseinheiten.......................................................... 643
12.3.2
Organisationseinheiten per Skript bearbeiten....................................................... 650
12.4
Benutzer und Gruppen............................................................................................. 657
12.4.1
Das Benutzerkonto ............................................................................................... 657
12.4.2
Vor der Anmeldung .............................................................................................. 657
12.4.3
Grundlagen zu Benutzerkonten ............................................................................ 658
12.4.4
Benutzerkonten Informationen zuweisen ............................................................. 663
12.4.5
Benutzerprofile ..................................................................................................... 665
12.4.6
Clients anmelden .................................................................................................. 672
12.4.7
Anlegen von Benutzern ........................................................................................ 678
12.4.8
Einrichtung von Gruppen ..................................................................................... 684
12.4.9
Leistungsprobleme ............................................................................................... 687
12.5
Anlegen weiterer Objekte........................................................................................ 687
12.5.1
Anlegen von Computerobjekten........................................................................... 688
12.5.2
Drucker im Active Directory bereitstellen ........................................................... 692
18
Inhaltsverzeichnis 12.5.3
Kontakte................................................................................................................ 695
12.5.4
Freigaben .............................................................................................................. 696
12.6
Administration per ADSI ........................................................................................ 698
12.6.1
Programmierumgebung ........................................................................................ 698
12.6.2
Programmierschnittstellen .................................................................................... 699
12.6.3
Administration des Active Directory mit ADSI ................................................... 705
12.7
Gruppenrichtlinien................................................................................................... 711
12.7.1
Bearbeiten der Standardrichtlinie ......................................................................... 712
12.7.2
Gruppenrichtlinien anwenden............................................................................... 716
12.7.3
Gruppenrichtlinien im Detail ................................................................................ 718
12.7.4
Auswahl des Richtlinientyps ................................................................................ 726
12.7.5
Filtern der Gruppenrichtlinien .............................................................................. 727
12.7.6
Delegation der Administration.............................................................................. 729
12.7.7
Verwaltungsrechte ................................................................................................ 732
12.8
Benutzerkonfiguration mit Richtlinien .................................................................... 735
12.8.1
Software-Installation............................................................................................. 735
12.8.2
Windows-Einstellungen........................................................................................ 735
12.8.3
Administrative Einstellungen ............................................................................... 743
12.9
Computerkonfiguration mit Richtlinien .................................................................. 745
12.9.1
Software-Installation............................................................................................. 745
12.9.2
Windows-Einstellungen........................................................................................ 745
12.9.3
Administrative Einstellungen ............................................................................... 748
13 Weitere Netzwerkfunktionen ...................................................................753 13.1
DHCP einrichten und verwalten.............................................................................. 753
13.1.1
Installation eines DHCP-Servers .......................................................................... 753
13.1.2
DHCP-Server aktivieren ....................................................................................... 754
13.1.3
Definieren von IP-Bereichen ................................................................................ 755
13.1.4
DHCP-Optionen.................................................................................................... 757
13.1.5
Verwendung von Klassenoptionen ....................................................................... 759
13.2 13.2.1
DNS einrichten und verwalten................................................................................. 762 DNS-Server installieren ........................................................................................ 762
Inhaltsverzeichnis
19
13.2.2
Konfiguration des DNS-Servers ........................................................................... 762
13.2.3
Einrichten von Zonen............................................................................................ 764
13.2.4
Dynamisches DNS einrichten............................................................................... 766
13.3
FTP-Server .............................................................................................................. 768
13.3.1
FTP-Server installieren......................................................................................... 769
13.3.2
FTP-Server einrichten .......................................................................................... 770
13.4
Kommandozeilen-Tools für TCP/IP ....................................................................... 772
13.4.1
Übersicht über die erläuterten Befehle ................................................................. 772
13.4.2
Die Netzwerkbefehle im Detail ............................................................................ 773
13.5
Administration von Routing und RAS .................................................................... 782
13.5.1
RRAS-Server einrichten und verwalten ............................................................... 782
13.5.2
Internetverbindungsserver einrichten ................................................................... 787
13.5.3
RAS-Server einrichten.......................................................................................... 804
13.5.4
VPN-Server installieren........................................................................................ 817
13.5.5
IP-Netzwerkrouter einrichten ............................................................................... 829
13.5.6
IPX-Netzwerkrouter einrichten ............................................................................ 832
13.5.7
Einrichten eines Appletalk-Routers...................................................................... 834
13.6
Dateiserver für MAC-Clients einrichten ................................................................. 838
13.6.1
Installation des AFP-Dateiservers ........................................................................ 838
13.6.2
Netzwerkfreigaben einrichten .............................................................................. 839
13.6.3
Konfiguration des AFP-Dateiservers ................................................................... 843
13.6.4
Konfiguration der Macintosh-Clients................................................................... 844
14 Drucker einrichten und verwalten .......................................................... 853 14.1
Netzwerk-Drucksysteme installieren ...................................................................... 853
14.1.1
TCP/IP-Druckansteuerung ................................................................................... 853
14.1.2
Appletalk-Drucker einbinden ............................................................................... 857
14.2
Einrichten der Druckserverfunktionen .................................................................... 858
14.2.1
Druckserver für Windows-Netzwerke einrichten................................................. 859
14.2.2
LPD-Druckserverfunktion.................................................................................... 860
14.2.3
IPP-Druckserver einrichten .................................................................................. 861
14.2.4
Druckserver für Apple Macintosh-Clients ........................................................... 862
20
Inhaltsverzeichnis 14.3
Weitere Druckserverfunktionen .............................................................................. 862
14.3.1
Einrichten eines Druckerpools ............................................................................. 862
14.3.2
Druckserver anpassen ........................................................................................... 863
14.4
Druckfunktionen für Clients .................................................................................... 867
15 Administration von Softwareverteilung und Remoteinstallation.....871 15.1
Installation mit RIS.................................................................................................. 871
15.1.1
Einrichtung des RIS-Servers................................................................................. 871
15.1.2
Modifizieren der Installationsverzeichnisse ......................................................... 876
15.1.3
Erstellen der Antwortdatei .................................................................................... 877
15.1.4
Automatisierte Installation mit Disc Images ........................................................ 896
15.1.5
Erstellen einer RIS-Bootdiskette .......................................................................... 899
15.1.6
Starten der RIS-Installation über das Netzwerk ................................................... 900
15.1.7
Der RIS-Installationsprozess ................................................................................ 901
15.2
Softwareverteilung................................................................................................... 902
15.2.1
Ablauf der Installation mit VERITAS LE ............................................................ 902
15.2.2
Einrichten der Gruppenrichtlinie .......................................................................... 906
15.2.3
Clientinstallation mit IntelliMirror ....................................................................... 911
16 Systemsicherheit..........................................................................................915 16.1
Sicherheitsmechanismen.......................................................................................... 915
16.1.1
Typische Sicherheitsanforderungen...................................................................... 915
16.1.2
Sicherheitsrelevante Systemkomponenten ........................................................... 916
16.2
Anmeldevorgang und Zugriffssicherheit................................................................. 917
16.2.1
Authentifizierung .................................................................................................. 917
16.2.2
Kurzzeitiges Ändern der Ausführungsrechte........................................................ 918
16.2.3
Berechtigungen und der ACL-Editor.................................................................... 919
16.2.4
Konfiguration von Kerberos ................................................................................. 923
16.3
Einrichtung und Administration von IPSec............................................................. 924
16.3.1
Richtlinie für IP-Sicherheit................................................................................... 925
16.3.2
Verbindungstest mit IPSec.................................................................................... 929
16.3.3
Einrichten eigener Sicherheitsrichtlinien.............................................................. 930
16.4
Sicherheitsrichtlinien und -vorlagen........................................................................ 937
Inhaltsverzeichnis
21
16.4.1
Einrichten von Sicherheitsrichtlinien.................................................................... 937
16.4.2
Sicherheitsrichtlinien im Detail ............................................................................ 938
16.4.3
Verwendung von Sicherheitsvorlagen .................................................................. 944
16.4.4
Durchführen einer Sicherheitsanalyse.................................................................. 947
16.5
Ereignisanzeige ....................................................................................................... 949
16.5.1
Protokollarten ....................................................................................................... 950
16.5.2
Richtlinien für Ereignisprotokolle........................................................................ 952
16.5.3
Aktivieren und Konfigurieren des Sicherheitsprotokolls ..................................... 955
16.5.4
Meldungsarten ...................................................................................................... 956
16.5.5
Die Ereignisanzeige im Detail.............................................................................. 958
16.5.6
Einstellungen der Ereignisanzeige ....................................................................... 962
16.5.7
Protokolle speichern und weiterverarbeiten ......................................................... 963
16.6
Wiederherstellung verschlüsselter Dateien ............................................................. 967
16.6.1
Der Wiederherstellungsagent ............................................................................... 967
16.6.2
Die Wiederherstellungsrichtlinie.......................................................................... 968
17 Reparatur und Wiederherstellung........................................................... 971 17.1
Schutz und Sicherung wichtiger Systemkomponenten ........................................... 971
17.1.1
Schutz der Verzeichnisdatenbank......................................................................... 971
17.1.2
Sicherung der Systemregistrierung....................................................................... 972
17.1.3
Schutz und Überprüfung von Systemdateien ....................................................... 974
17.1.4
Bedeutung digitaler Signaturen für Treiber.......................................................... 975
17.1.5
Zur Installation von Service Packs ....................................................................... 976
17.2
Die Systemregistrierung .......................................................................................... 976
17.2.1
Grundlegende Struktur ......................................................................................... 976
17.2.2
Bearbeiten der Registrierung ................................................................................ 978
17.3
Systemwiederherstellung nach Totalausfall............................................................ 982
17.3.1
Übersicht der wichtigsten STOP-Meldungen....................................................... 982
17.3.2
Überblick über Mittel und Wege zur Reparatur ................................................... 985
17.3.3
Startmenü und abgesicherte Modi ........................................................................ 985
17.3.4
Wiederherstellungskonsole................................................................................... 987
17.3.5
Notfallreparaturkonsole ........................................................................................ 997
22
Inhaltsverzeichnis
17.3.6
Wiederherstellung der Systemregistrierung ............................................................... 999
17.3.7
Bekämpfung von Computerviren ............................................................................. 1002
17.3.8
Totalausfall eines Domänencontrollers .................................................................... 1002
Teil IV – Anhang ....................................................................................... 1005 A Hilfe aus dem Internet..............................................................................1007 A.1
Webadressen .......................................................................................................... 1007
A.2
Newsgroups............................................................................................................ 1010
B Abkürzungen..............................................................................................1015 C Kurzreferenz Kommandozeilenbefehle................................................1019 C.1
Der Netzwerkbefehl net ......................................................................................... 1019
C.2
Weitere Kommandozeilenbefehle.......................................................................... 1022
D Index.............................................................................................................1030 D.1
Erläuterungen zum Index....................................................................................... 1030
D.2
Index ...................................................................................................................... 1031
E An die Autoren...........................................................................................1051
1.1 Über das BuchEinführung
Teil I – Einführung
Einführung
23
1.1 Über das BuchEinführung
Kapitel 1 Einführung
1.1
Über das Buch ....................................................... 27
1.2
Danksagung........................................................... 32
25
1.1 Über das Buch
1 Einführung In diesem Kapitel erfahren Sie einiges über den Aufbau des Buches, wie Sie effizient darin navigieren und welche Besonderheiten bei der Schreibweise zu berücksichtigen sind.
1.1
Über das Buch
Dieses Buch ist der zweite Teil einer aus insgesamt drei Bänden bestehenden Reihe. Damit soll dem Umstand Rechnung getragen werden, dass Windows 2000 mehr an Leistungsfähigkeit und Einsatzmöglichkeiten mitbringt als jedes andere derzeit verfügbare Betriebssystem. Allein für den Serverbetrieb gibt es drei Versionen, die abhängig vom geplanten Einsatzzweck und der geforderten Performance ein extrem breites Spektrum vom Arbeitsgruppenserver bis zum Datenbankserver abdecken können. Das stellt natürlich hohe Ansprüche an die Einsatzplanung und die Kenntnisse der Administratoren. Dieses Buch soll helfen, die Planung und den Einsatz von Windows 2000 als Serverbetriebssystem zu erleichtern und dabei die wichtigsten theoretischen Grundlagen und praktischen Tipps vermitteln.
1.1.1
Die Buchreihe
Die drei Bände widmen sich bestimmten Einsatzgebieten von Win- Drei Bände dows 2000: • Band I Windows 2000 im professionellen Einsatz behandelt Windows 2000 Professional – alleinstehend und im kleinen Netzwerk. • Band II Windows 2000 im Netzwerkeinsatz widmet sich dem Einsatz von Windows 2000 Server in typischen Umgebungen. • Band III Internet Information Server 5 behandelt die Internetdienste mit Schwerpunkt auf dem Internet Information Server 5. Brauchen Sie alle Bände? Die Bücher bauen aufeinander auf und sollen ein Gesamtbild eines außerordentlich komplexen Produkts ergeben. Ohne Abstriche am Inhalt oder an der Qualität zu machen, wäre deshalb ein Gesamtumfang weit jenseits von 2 000 Seiten kaum zu vermeiden. Für einen kompletten Abriss über Windows 2000 sollten Sie alle drei Bände erwerben.
27
28
1 Einführung
1.1.2
Die Herausforderung
Zum Vorgängerbuch
Dieses Buch entstand unter der Maßgabe, ein ebenbürtiger Nachfolger für die erfolgreiche zweibändige Ausgabe »Windows NT 4.0 im professionellen Einsatz« zu sein. Die Autoren hatten damals versucht, auch hinter die Kulissen der Oberfläche zu schauen und die vielen komplexen Vorgänge transparent werden zu lassen, die im Hintergrund ablaufen. Mangels technischer Referenz ist dabei vieles im »Selbstversuch« und mit hohem persönlichen Aufwand getestet und beschrieben worden. Eine solche persönliche Erfahrung trägt wesentlich zum Erfolg eines Fachbuches bei, denn der künftige Anwender der Software wird zwangsläufig in ähnliche Fallen stolpern und dankbar die Informationen aus dem Buch aufnehmen.
Der Auftrag
Da die Autoren des Vorgängerwerkes aus beruflichen Gründen nicht länger zur Verfügung standen, haben wir den Auftrag mit Freude übernommen – wohl wissend, welche enorme Aufgabe vor uns lag. Zwar stand inzwischen die technische Referenz zur Verfügung, die viele tiefergehende Fragen beantwortet, aber auch diese ist eben ein Handbuch und kein Fachbuch.
1.1.3
Die Konzeption
Ein neues Konzept
Wir haben uns deshalb ein neues Konzept für dieses Buch überlegt. Zum einen sind theoretische Grundlagen enthalten. Administratoren und Anwendern fällt der Umgang mit dem Gesamtsystem erfahrungsgemäß deutlich leichter, wenn die Hintergründe und Motivationen erkennbar werden, die hinter den Funktionen stecken. Wir haben auch versucht, dies kritisch zu sehen und nicht nur die Argumentation von Microsoft zu übernehmen. Offensichtlich sind einige »Erfindungen« nicht nur technisch motiviert. Andere sehr spannende Entwicklungen sind weniger bekannt und werden entsprechend nur selten verwendet – mit der bekannten Flut von alten und neuen Funktionen war das Marketing sichtlich überfordert.
Theorie muss sein...
Die theoretischen Ausführungen sind dennoch bewusst nicht bis zum Exzess getrieben worden. Sie sind allgemeinverständlich und soweit vereinfacht dargestellt, dass die grundlegende Überlegung, die dahinter steckt, sichtbar wird. Darin unterscheidet sich die Darstellung wesentlich von jener in technischen Handbüchern und geht zugleich weit über die bekannten »Oberflächenbeschreibungen« hinaus. Wir hoffen, dass technisch interessierte Leser dies auch als spannend empfinden.
...wenn sie von praktischen Ausführungen ergänzt wird
Einen mindestens äquivalenten Anteil nehmen die technischen Handlungsanleitungen ein. Hier geht es um die konkrete Lösung von Aufgaben. Je nach Grad der Komplexität erfolgt die Darstellung in längeren, streng gegliederten Abschnitten oder in einfachen nummerierten
1.1 Über das Buch
29
Schrittfolgen. Dabei wurde nicht mit Bildmaterial gespart – auch Fachbücher werden nicht immer direkt vor dem Bildschirm gelesen. Das Lesen sollte natürlich ebenfalls nicht zu kurz kommen. Das Thema ist sicher ernst, aber dennoch (hoffentlich) so dargestellt, dass ein flüssiges Lesen möglich ist. Sie können abschnittsweise lesen oder sich gezielt einzelne Kapitel herausziehen. Damit das funktioniert, wurden intensiv Querverweise gesetzt. Erwähnenswert ist ferner, dass die Form der Darstellungen stark Für Experten: strukturiert ist. So beginnen wir nach einer kompakten Einführung im Hohes Niveau ersten Teil mit den (nicht nur theoretischen) Grundlagen (Teil II). Den Schwerpunkt bildet Teil III mit der Beschreibung der Administration, sehr praktisch und anschaulich dargestellt. Hier gehen wir so weit, wie es in der Praxis erforderlich ist – neben den üblichen Assistenten wird auch ein Zugriff auf die Registrierung nicht ausgespart. An einigen Stellen werden Skripte eingesetzt – ein überall verfügbares und nur selten genutztes Hilfsmittel. Windows 2000 hat ein breites Einsatzspektrum als Serverbetriebssys- Auf das tem. Wir konzentrieren uns auf die häufigsten Einsatzfälle und typi- Wesentliche sche Probleme. Sie erhalten vor allem für die alltägliche Arbeit weit- kommt es an reichende Unterstützung. Zur Konzeption gehört nicht zuletzt eine klare Ausrichtung auf die In deutscher deutsche Sprache, die neue Rechtschreibung in der verlagsüblichen Sprache Form und die Vermeidung englischer Worte, wo es sinnvoll und möglich ist. Manches Wort hat sich inzwischen aber unseres Erachtens fest etabliert und sollte nicht krampfhaft übersetzt werden. Diese Inkonsequenz ist also gewollt und soll nicht diskutiert werden. Wenn es dagegen um die Bezeichnung von Dialogfeldern, Schaltflächen und Systemnamen ging, war unser Leitfaden ganz klar die offizielle Notation von Microsoft. Auch wenn die eine oder andere Übersetzung eher unglücklich erscheint, erleichtert Ihnen diese Vorgehensweise das Auffinden weiterer Informationen in der Dokumentation.
1.1.4
Zielgruppe
Dieser Band ist vor allem für Administratoren, Techniker und IT- Wer es lesen sollte Berater konzipiert und soll für die Planung und Umsetzung von Windows 2000 Serversystemen theoretische und praktische Hilfestellung geben. Daneben liefert es auch für EDV-bewanderte und technisch interessierte Leser wertvolle Informationen und erlaubt mit der ausführlichen Darstellung des neuen Verzeichnisdienstes Active Directory von Microsoft einen Blick auf eine führende Netzwerktechnologie von morgen.
30 Server und Advanced Server
1 Einführung Dieses Buch behandelt die Windows 2000 Versionen Server und Advanced Server. Nicht betrachtet werden die speziellen Anwendungsfälle und Planungsaspekte für einen Datacenter Server. Dies würde den Rahmen dieses Bandes sprengen und wäre nur für eine kleine Gruppe von Spezialisten interessant. Wenn im Text nur von Windows 2000 Server gesprochen wird, ist auch immer der Advanced Server gemeint. Dieser verfügt gegenüber der einfacheren Servervariante über Erweiterungen, die dann jeweils explizit erwähnt werden.
1.1.5 Die vier Teile
Struktur und Aufbau
Das Buch ist in vier Teile gegliedert: • Teil I: Einführung Hier werden vor allem im Überblick die wichtigsten Neuerungen von Windows 2000 Server gegenüber dem Vorgänger Windows NT 4 aufgeführt sowie die ganze Windows 2000 Betriebssystemfamilie vorgestellt. • Teil II: Grundlagen Dieser Teil vermittelt theoretische Grundlagen der wichtigsten verwendeten Technologien der Windows 2000 Serversysteme. • Teil III: Installation und Administration Angefangen von der Installation eines Servers geht es bis zur Einrichtung und Administration der wesentlichen Betriebssystemfunktionen. • Teil IV: Anhänge Im letzten Teil finden Sie die Anhänge, Befehlsbeschreibungen der Kommandozeilenbefehle und weitere Navigationshilfen wie Glossar und Index.
Kapitelübersicht Die folgende Übersicht zeigt alle Kapitel der ersten Ordnung auf einen Blick. Kapitel umfassen immer ein bestimmtes Thema, das dann vollständig abgehandelt wird. Wegen der Komplexität sind einige Kapitel recht umfangreich. Sie finden deshalb am Anfang jedes Kapitels eine Übersicht über die Abschnitte zweiter Ordnung. So können Sie auch zwischen den Kapiteln navigieren, ohne immer wieder das Inhaltsverzeichnis bemühen zu müssen.
1.1 Über das Buch 1
Einführung ...........................................................................27
2
Windows 2000 Server im Überblick .................................37
3
Massenspeicher....................................................................53
4
Dateisysteme ......................................................................107
5
Netzwerkgrundlagen........................................................153
6
Grundlagen Active Directory ..........................................265
7
Drucken...............................................................................379
8
Softwareverteilung und Remoteinstallation .................407
9
Installation ..........................................................................433
10
Windows-Verwaltungsinstrumente ...............................457
11
Administration der Massenspeicher...............................509
12
Administration des Active Directory .............................607
13
Weitere Netzwerkfunktionen ..........................................753
14
Drucker einrichten und verwalten..................................853
15
Administration von Softwareverteilung und Remoteinstallation.............................................................871
16
Systemsicherheit ................................................................915
17
Reparatur und Wiederherstellung ..................................971
1.1.6
Verwendete Symbole
Hinweise kennzeichnen Stellen, die den betrachteten Kontext etwas verlassen oder besonders wichtig sind. Diese Absätze sind zusätzlich grau hinterlegt. Tipps vermitteln Ihnen die eine oder andere Information für eine bessere oder schnellere praktische Handhabung einer bestimmten Administrationsaufgabe. An einigen Stellen im Buch wird auf den Inhalt der beiliegenden CD hingewiesen. Dies wird durch das CD-Symbol gekennzeichnet.
31 Kapitelübersicht mit Querverweisen
32
1 Einführung
1.1.7 Hinweise zum Satz
Schreibweise
Im Buch werden folgende Schreibweisen verwendet, um Befehle und Anweisungen, Bezeichnungen von Dialogen und selbst gewählte Ersatznamen unterscheiden zu können. Dialogfelder und Schaltflächen werden wie bei HINZUFÜGEN in Kapitälchen gesetzt. Befehle wie net use werden in nicht proportionaler Schrift gesetzt.
Befehlszeilen
Befehlszeilen, die eingegeben werden können, stehen allein auf einer Zeile und sind grau hinterlegt: c:>ftp
Ebenso werden Ausschnitte aus Konfigurationsdateien dargestellt. Selbstgewählte Namen wie win98pc werden dagegen kursiv gesetzt.
1.1.8
Entstehung
Den einen oder anderen Leser mag es interessieren, wie dieses Buch entstanden ist. Es ist zugegeben schon faszinierend festzustellen, dass große Bücher über bekannte Textverarbeitungsprogramme unter Windows auf Macintosh-Computern gesetzt werden. Auf der anderen Seite schreiben viele Autoren ihre Linux-Bücher auf Windows. In der Praxis hat es sich als hilfreich erwiesen, auf dem Computer zu schreiben, der auch als Informationsquelle und Testumgebung dient. Deshalb entstand dieses Buch auf einer Windows 2000 ProfessionalWorkstation. Als Schreib- und Satzprogramm kam Microsoft Word 2000 zum Einsatz. Lediglich das Aufbereiten der Druckdaten übernahm der Adobe Distiller – die Druckerei wurde direkt mit PDFDateien beliefert. Gegenüber vielen anderen Varianten erwies sich dies als relativ produktiv – auch im Hinblick auf die Zusammenarbeit der Autoren auf dem Weg zum gemeinsamen Dokument.
1.2
Danksagung
An dieser Stelle haben wir einen klaren Vorteil gegenüber allen anderen Danksagungen. Wir können uns zuallererst bei unseren Lesern bedanken. Dies liegt im Wesentlichen am Erfolg des ersten Bandes, der uns darin bestärkte, diese Art der Strukturierung und Aufbereitung trotz höheren Arbeitsaufwands fortzusetzen. Vielen Dank also an
1.2 Danksagung die zahlreichen positiven »Rückmeldungen« und die konstruktiven Hinweise. Der enorme Arbeitsaufwand ging leider auch zu Lasten unserer Familien, bei denen wir uns für die Geduld und umfangreiche Unterstützung bedanken möchten. Es ist sicher nicht selbstverständlich, monatelang fast jeden Tag und viele Nächte am Computer zuzubringen, ohne daran erinnert zu werden, dass es auch »normale Jobs« gibt. Bedanken möchten wir uns beim Carl Hanser Verlag, insbesondere bei unseren Lektoren, Herrn Franz Domaschke und Herrn Fernando Schneider, die viel Geduld bewiesen und uns die Freiheit ließen, zugunsten der Qualität dieses Buches den ursprünglichen Terminplan zu kippen.
33
1.2 Danksagung
35
Kapitel 2 Windows 2000 Server im Überblick
2.1
Mehr als eine neue Version................................ 37
2.2
Einsatzmöglichkeiten .......................................... 39
2.3
Die Funktionen im Überblick............................ 43
2.4
Produktfunktionen............................................... 46
2.1 Mehr als eine neue Version
2 Windows 2000 Server im Überblick Windows 2000 Server ist der direkte Nachfolger der Serverversion von Windows NT 4. Dieses Betriebssystem hat in kleineren und mittleren Netzwerkumgebungen in den letzten Jahren eine weite Verbreitung gefunden und sich als stabile und leistungsfähige Plattform bewährt. Um mit der weiteren Entwicklung Schritt zu halten, wurden allerdings Fortschritte in vielen Bereichen notwendig. Das reicht von einer leistungsfähigeren Verwaltung von Massenspeichern bis zur Ablösung des in die Jahre gekommenen Domänenmodells. In diesem Kapitel werden die wichtigsten inhaltlichen Neuerungen von Windows 2000 Server und Advanced Server vorgestellt.
2.1
Mehr als eine neue Version
Windows 2000 ist nicht nur eine neue Version eines bereits bekannten Produkts. Es ist eigentlich ein neues Betriebssystem. Vielleicht mögen Sie in diesem Buch nach umfangreichen Migrationskapiteln und Upgradeanweisungen gesucht haben oder dies noch vorhaben. Wir haben nach der Erarbeitung der Software uns nicht dazu durchringen können hierauf einzugehen. Die Installation von Windows 2000 Server ist nicht so kompliziert, dass sich eine Testinstallation auf einem neuen Server nicht lohnen würde. Auf der anderen Seite sind die Unterschiede zu Windows NT so gravierend, dass eine echte Migration nie vollkommen gelingt. Bei der Umstellung muss man dann auch mit einer Mischung aus alten und neuen Welten leben und bekommt spätestens beim nächsten Updaten auf Windows.NET Probleme. Ein konsequenter »Shift« zur neuen Version ist deshalb klar unser Favorit. Viele Funktionen sind nur verfügbar oder optimal nutzbar, wenn Windows 2000 mit Active Directory und in einer reinrassigen Windows 2000-Umgebung installiert wird. Einige dieser Funktionen sind gut geeignet, die IT-Kosten tatsächlich zu reduzieren und damit das Budget nachhaltig zu entlasten. An Stabilität und Funktionalität besteht übrigens kein Zweifel mehr. Kritiken in diesen Punkten ließen sich fast immer auf konfuse Migrationsversuche zurückführen oder hatten ihre Ursache im mangelnden Verständnis der Programme.
2.1.1
Hoher Funktionsumfang
Der Funktionsumfang von Windows 2000 hat gegenüber NT um ungefähr 150% zugenommen. Dies ist nicht auf den ersten Blick erkennbar, außer vielleicht in den etwas höheren Hardwareanforderungen.
37
38
2 Windows 2000 Server im Überblick Allerdings wuchs das Angebot an Prozessorleistung und Speicher seit der Einführung von NT 4 ziemlich stark, sodass es keine Probleme gibt, Windows 2000 auf aktuellen Systemen zu installieren und respektable Antwortzeiten zu erzielen. Ältere Server, die vor drei Jahren Windows NT gut bedienten, dürften allerdings keine Freude mehr bereiten. Auch dies ist ein guter Grund, Upgrades zu unterlassen und Windows 2000 auf neuer Hardware zu installieren.
2.1.2
Hardwareanforderungen
Für einen Windows 2000 Server gibt Microsoft folgende minimale Hardwareanforderungen an: Minimalanforderung Server
• 133 MHz Pentium CPU • 128 MB RAM (256 MB empfohlen) • 500 MB Festplattenspeicher Grundsätzlich funktioniert das. Wir haben Testsysteme installiert, die mit Webserver, SQL Server 7, verschiedenen Erweiterungen und Active Directory versehen waren und mit weniger Hardware liefen. Lediglich die Administration mit der Managementkonsole ließ wenig Freude aufkommen – hier waren Verzögerungen spürbar. Die Optimierung für Dienste und Hintergrundprozesse war deutlich zu bemerken.
Minimalkonfiguration Datacenter Server
Der Datacenter-Server benötigt folgende Minimalhardware (in Klammern die maximalen bzw. empfohlenen Werte): • 8-Wege-Mehrprozessorsystem (32 CPUs maximal) • CPU Pentium Xeon III • 256 MB RAM • 2 GByte freier Festplattenspeicher
Praxis für Server/Advanced Server
In der Praxis sollten Sie trotzdem aufrüsten. Aktuelle Computer haben etwa folgende Ausstattung: • 1–2 Prozessoren mit 1 bis 1,5 GHz • 256 MB RAM (bei zwei Prozessoren 512 MByte) • 2 GByte freier Festplattenspeicher Damit ist Windows 2000 durchgehend ausgesprochen flüssig bedienbar und hat kaum Probleme mit dem Antwortverhalten trotz multiplen Einsatzes. Windows 2000 verfügt mit Active Directory und DFS (Distributed File System) über zwei Funktionen, die eine Skalierung auf Serverebene
2.2 Einsatzmöglichkeiten direkt unterstützen. Durch neue Managementwerkzeuge ist es relativ einfach, ein paar Dutzend kleinere Server zentral zu verwalten, ohne allen Systemen einen eigenen Bildschirm spendieren zu müssen. Im Sinne von Ausfallsicherheit und einfacherer Serverausstattung kann dieser Weg nur unterstützt werden. Wächst der Bedarf weiter, kann mit den Clusterservices und der IP-Lastverteilung des Advanced Servers weiter aufgerüstet werden.
2.2
Einsatzmöglichkeiten
Viele Betriebssysteme sind stark auf einen bestimmten Zweck zugeschnitten. Windows 2000 unterscheidet sich davon durch einen relativ überzeugenden Breitbandansatz. Der Umfang ist zwar enorm, dafür werden aber auch spezielle Aufgaben gut erfüllt. Eingesetzt werden kann Windows 2000 als: • Serverbetriebssystem. Dies umfasst folgende Serverleistungen: -
Datei- und Druckserver
-
Webserver
-
Applikationsserver (beispielsweise SQL Server)
-
Infrastrukturdienste (speziell durch Active Directory)
-
Kommunikationsdienste (beispielsweise Mailserver)
• Arbeitsplatzsystem. Hier kann der Einsatz überall erfolgen: -
Am Desktop als Windows 2000 Professional
-
Einsatz auf Laptops (mit PC-Card und ACPI)
-
Entwicklungsumgebung für Softwareentwickler (Robuste Umgebung für Tests)
-
Grafische Workstation für Designer und Layouter (hervorragende Grafikengine und umfangreiche Druckunterstützung einschließlich Farbmanagement)
2.2.1
Datei- und Druckdienste
Windows 2000 bietet viele Funktionen, die den Einsatz als Datei- und Druckserver anbieten.
39
40
2 Windows 2000 Server im Überblick Dateidienste • Einfacher Zugriff auf Informationen: -
Verwaltung von Freigaben im Active Directory
-
Indizierung von Dateien mit dem Indexserver
-
Verteiltes Dateisystem (DFS)
• Deutlich verbesserter Umgang mit Massenspeichern: -
Datenträgerkontingente
-
Hierarchisches Speichermanagement
-
Dynamische Datenträger
• Verbesserte Systemleistung und erhöhte Zuverlässigkeit: -
Schnellerer Dateizugriff
-
Verbesserte Sicherheit durch NTFS-Änderungsjournal
• Dateisicherheit: -
Verschlüsselndes Dateisystem (EFS)
-
Integrierte Backup-Funktionen
Druckdienste Windows war schon immer sehr stark, was die Unterstützung von Druckern betrifft. Auch die Verwaltung von Druckdiensten im Netzwerk ist mit Windows 2000 Server sehr komfortabel: • Einfaches Bereitstellen von Druckern: -
Drucker werden im Active Directory verwaltet
-
Erweiterte Benutzerschnittstelle und Administration
• Bessere Unterstützung von Druckprotokollen: -
Internet Printing Protocol (IPP)
-
Neues Postscript-Drucksystem
-
Unterstützung für mehr als 2 500 Drucker
• Verbesserte Systemleistung: -
Schnelleres Drucken
-
Effizienteres Warteschlangenmanagement
-
Netzwerkdruckfunktionen
2.2 Einsatzmöglichkeiten
2.2.2
Webserver
Windows 2000 Server hat viele Funktionen, die auch den Einsatz als Webserver nicht nur im Intranet realistisch erscheinen lassen. Zu den herausragenden Funktionen gehören: • Robuste Webserverumgebung: -
Hohe Systemleistung
-
Verteilung auf bis zu 32 CPUs
-
Umfangreiche Skriptuntersützung
• Verbesserte Verwaltung: -
Scripting auf Kommandozeilenebene
-
Zugriff per Telnet
-
Scripting der IIS-Metabasis
• Unterstützung neuester Standards: -
Distributed Authoring and Versioning (DAV)
-
Authentifizierung, 128-Bit-SSL (mit High Encryption Pack)
-
HTTP 1.1, HTTP-Komprimierung
2.2.3
Applikationsserver
Windows 2000 ist auch eine ausgereifte Plattform für Applikationsserver. Hier kommen im Wesentlichen der Windows 2000 Advanced Server und der Datacenter Server zum Einsatz: • Bessere Systemleistung und Skalierbarkeit: -
Speicherarchitektur für große Server
-
Bessere Mehrprozessorunterstützung
-
Intelligente I/O-Unterstützung (I2O)
• Höhere Verfügbarkeit: -
Weniger Neustarts
-
Clusterdienste
• Verbessertes Management für Rechenzentren: -
Terminaldienste für die Remote-Administration
-
Telnet-Serverdienste
41
42
2 Windows 2000 Server im Überblick -
Scripting aller Systemfunktionen
• Unterstützung verteilter Applikationen -
Komponenten- und Transaktions-Dienste
-
Nachrichtendienste für Applikationen (Message Queue Services)
-
Streaming Media (Real Video/Audio)
2.2.4
Infrastrukturserver
Mit Windows 2000 Server wird Windows in neuen Geschäftsfeldern platziert. Dazu gehören auch Infrastrukturserver. Diese zeichnen sich durch folgende Funktionen aus: • Physische Verteilung der Daten bei logischer Zentralisierung: -
Active Directory
-
Softwareverteilung mit IntelliMirror
-
Gruppenrichtlinien als einheitliches Steuerungssystem
-
Scripting aller Funktionen
• Erweiterte Sicherheitsfunktionen: -
Authentifizierung über Kerberos
-
Ausstellung öffentlicher Schlüssel (PKI - Public Key Infrastructure)
-
Unterstützung für Smartcards
• Dienstekontrolle -
Jobobjekte
-
Clusterkontrolle
2.2.5
Kommunikationsserver
Der Fokus Kommunikationsserver ist ebenfalls neu in Windows 2000 Server. Dazu gehören die vielfältigen Netzwerk- und Sicherheitsfunktionen, die in diesem Umfang in NT 4 nicht verfügbar waren: • Richtlinien im Netzwerk: -
Richtlinien für die Verwaltung der Clients
-
Komplette Verwaltung des Netzwerks über einen Verzeichnisdienst
2.3 Die Funktionen im Überblick -
43
Sicherung der Dienstverfügbarkeit (Quality of Service)
• Netzwerksicherheit: -
Verschlüsseltes Verbindungen)
-
Integrierte Firewall-Funktionen (Paketfilter)
-
Verbesserte Funktionen für virtuelle private Netzwerke
IP
(IPSec),
auch
über
L2TP
(WAN-
• Umfangreiche Kommunikationsdienste: -
Integrierte Routingfunktionen
-
Netzwerkadressübersetzung (NAT - Network Adress Translation)
-
Dynamisches DNS
-
ATM und Gigabit-Ethernet
-
Telefoniedienste (TAPI)
2.3
Die Funktionen im Überblick
Die folgende Tabelle zeigt die wichtigsten neuen Funktionen im Überblick. Dabei wird nur auf Windows 2000 Server eingegangen, nicht aber auf Windows 2000 Professional. Einige Funktionen stehen nur in den Versionen Windows 2000 Advanced Server und Windows 2000 Datacenter Server zu Verfügung.
2.3.1
Neue Funktionen
Wenn eine Funktion bereits mit dem Option Pack von NT4 verfügbar war, finden Sie einen entsprechenden Hinweis in der Spalte »O4«. Unter »AS« sind Funktionen gekennzeichnet, die nur ab Windows 2000 Advanced Server zur Verfügung stehen.
Funktion
O4 AS Beschreibung
Active Directory
Verzeichnisdienst zur zentralen Verwaltung verteilter Informationen
Dynamisches DNS (DDNS)
Ersatz des WINS-Dienstes und verbesserte Integration von DHCP, DNS und Active Directory. Erlaubt die dynamische Registrierung von Clients im DNS.
Kerberos
Sicherheitsprotokoll für die Authentifizierung von Benutzern
Tabelle 2.1: Funktion von Windows 2000 Server
44
2 Windows 2000 Server im Überblick
Funktion
O4 AS Beschreibung
Installationsdienste
Erlaubt die Verteilung von Software an Arbeitsstationen unter Windows 2000 Prof.
Verteiltes Dateisystem (DFS)
Aufbau eines virtuellen Dateisystems über mehrere Server (auch andere als Windows 2000) mit Fehlertoleranzfunktionen
Qualitätssicherung (QoS)
Erlaubt es Applikationen, die Verfügbarkeit des eigenen Dienstes durch Reservierung von Bandbreite zu sichern
IP-Sicherheit (IPSec)
Verschlüsselung von IP-Paketen mit IPSec
Richtlinien
Spezieller Richtlinieneditor für die Bearbeitung und Bereitstellung im Active Directory für Computer oder Benutzer
Remote Speicher (RSS)
Hierarchisches Massenspeichermanagement, womit länger unbenutzte Daten auf Bandwechsler ausgelagert werden können
Wechselmediendienst (Removable Storage Manager, RSM)
Unterstützung vieler Wechselmedien durch neue API
Terminaldienste
Terminaldienste erlauben den Betrieb von Thin-Clients und die Remote-Administration
Internet Informationsdienste (IIS)
Webserver mit Mehrprozessorunterstützung, Skriptfunktionen, ISAPI, WebDAV, HTTP 1.1 und HTTP-Kompression
Transaktionsdienste (MTS)
Unterstützt Transaktionen auf Komponentenebene
Message Queuing Services (MMQS)
Nachrichtendienste für DCOMKomponenten zur Entwicklung verteilter Anwendungen
Indexservices
Indizierung von Dateien auf dem Server und Bereitstellung von Skript-Schnittstellen
Public Key Infrastructure (PKI)
Erzeugung und Verteilung öffentlicher Schlüssel für die Sicherung von Zugriffen über SSL/TLS usw.
Routing and Remote Access Services (RRAS)
Erweiterung gegenüber RAS, um als vollwertiger IP- und IPX-Router eingesetzt zu werden. Einschließlich NAT (Netzwerkadressübersetzung), L2TP (Layer 2 Tunneling Protocol)
2.3 Die Funktionen im Überblick
Funktion
45
O4 AS Beschreibung
Windows Internet Name Service (WINS)
Namensauflösung für NetBIOS-Clients. Erweiterte Funktionalität gegenüber NT 4
Jobobjekte
Erweiterung des Prozessmodells, die es erlaubt, Gruppen von Prozessen zusammenzufassen und als Einheit zu betrachten. Erleichtert den Umgang mit mehreren CPUs.
WMI (Windows Management Instrumentation)
Umsetzung des Web-based Enterprise Management (WBEM), eines Standards zur einheitlichen Administration von Komponenten mit dem Kernprodukt Managementkonsole (MMC)
Enterprise Memory Architecture (EMA)
Unterstützung für mehr RAM im Server
Mehrprozessorfähigkeit
Symmetrisches Multiprocessing
Cluster Service
2-Server-Cluster und Clusterfähigkeit für wichtige Dienste (DHCP, WINS, DNS usw.). Dient vor allem der Systemverfügbarkeit.
Load Balancing (Lastverteilung)
Lastverteilung von TCP/IP-Diensten. Verteilt Anfragen aus dem Netzwerk auf beide Server eines Clusters.
2.3.2
Mehr dazu finden Sie in Tabelle 2.2.
Die fünf neuen Kerntechnologien
Echte Gründe, die Anschaffung von Windows 2000 Server ernsthaft in Erwägung zu ziehen, liefern die folgenden fünf Kerntechnologien: • Active Directory (AD)
Verzeichnisdienst
Auch im Vergleich mit Wettbewerbern, die schon länger am Markt sind (Novells NDS 8, Banyan Street Talk, Sun Directory Service 3.1) ist AD ein auffällig leistungsfähiger Verzeichnisdienst. Der Vorteil ist aber vor allem – und hier hat Microsoft natürlich einen klaren Vorsprung – die nahtlose Integration der Windows 2000-Clients und der übrigen Serverfunktionen. • Zentrale Administration mit der Microsoft Managementkonsole Management (MMC) Selbst wenn die MMC oft als nettes Feature abgetan wird – es ist Revolution, wenn der Administrator sich seine eigene Administrationsoberfläche zusammenstellen und diese anderen zur Verfü-
46
2 Windows 2000 Server im Überblick gung stellen kann. Hersteller von Zusatzsoftware können ihre Verwaltungswerkzeuge nahtlos einpassen und so den Lernaufwand drastisch senken.
Softwareverteilung
• IntelliMirror Softwareverteilung, Remote Installation und Unterstützung für Benutzer mobiler Geräte sind nur einige Stichworte. Die Verwaltung kann weiter zentralisiert werden, obwohl weiter »Fat-Clients« eingesetzt werden. Hier liegt endlich eine Antwort von Seiten eines Betriebssystems auf die weiterhin umfassende Ignoranz der von SUN und anderen beschworenen »Thin-Clients« vor.
Sicherheit
• Wirkliche Sicherheit Windows 2000 Server bietet nun ein geschlossenes und vollständiges Sicherheitskonzept, in das auch alle anderen Technologien eingebunden sind. Zu den Hauptfunktionen gehört der erweiterte Editor für Sicherheitseinstellungen, Kerberos, Schlüsselserver, Smartcard-Unterstützung, IPSec und EFS.
Verteilte Anwendungen
• Unterstützung verteilter Anwendungen Auch wenn es sich nicht in umfangreichen Dialogfeldern oder langen Funktionslisten äußert – auch dies ist eine Revolution. Dazu gehören Funktionen wie DCOM (Distributed COM), DFS (Distributed File System), der Transaktionsserver, Nachrichtendienste (Message Queuing Services) und nicht zuletzt als Oberbau Active Directory. Viele Funktionen sind nur für Entwickler interessant. Es ist aber für Anwender wichtig zu wissen, dass ihr neues Betriebssystem hier viel bietet, denn es ist damit zu rechnen, dass schnell interessante Applikationen auf den Markt kommen.
2.4
Produktfunktionen
In diesem Kapitel werden einige Produktfunktionen vorgestellt, die speziell die Serverversionen betreffen und bei der Hardwareauswahl eine Rolle spielen.
2.4.1
Mehrprozessor- und Clusterfähigkeit
Die Mehrprozessorfähigkeit ist eine Funktionalität, deren Skalierung und Abbildung in den Produktversionen gegenüber NT 4 geändert wurde. Für die Auswahl der richtigen Windows 2000-Version konsultieren Sie die folgende Tabelle.
2.4 Produktfunktionen
47 Anzahl Hauptspeicher Failover- Tabelle 2.2: CPU Cluster Mehrprozessor-
Produkt Windows 2000 Professional
2
4 GB
Windows 2000 Server
4
4 GB
Windows 2000 Advanced Server
8
8 GB
2
Windows 2000 Datacenter Server
32
64 GB
4
tauglichkeit der verschiedenen Windows 2000Versionen
Darüber hinaus kann der Advanced Server für die Lastverteilung auf bis zu 32 parallel installierten Computern eingesetzt werden.
2.4.2
Upgrade-Pfade für die Serverversionen
Die folgende Tabelle zeigt, von welchen Betriebssystemen Sie auf Windows 2000 upgraden können. Existiert kein Upgrade-Pfad, bleibt nur die Sicherung der vorhandenen Daten und eine Neuinstallation.
Windows NT Server-Version
Upgrade möglich
Windows NT 3.51
Windows NT 4.0 Server
Windows NT 3.51 mit Citrix
Windows NT 4.0 Enterprise Edition
Windows NT 4.0 Terminal Server Edition
Microsoft Backoffice Small Business Server
Tabelle 2.3: Upgrade-Pfade für die Serverversionen
2.4 Produktfunktionen
Teil II – Grundlagen
Grundlagen
49
2.4 Produktfunktionen
51
Kapitel 3 Massenspeicher
3.1
Das Volume Management .................................. 53
3.2
Basisfestplatten und Partitionen ....................... 56
3.3
Dynamische Festplatten ...................................... 69
3.4
Fehlertolerante Datenspeicherung.................... 76
3.5
Konvertieren von Basisfestplatten.................... 84
3.6
Der Wechselmediendienst.................................. 87
3.7
Der Indexdienst .................................................... 98
52
2 Windows 2000 Server im Überblick
3.1 Das Volume Management
53
3 Massenspeicher Windows 2000 Server verfügt über ausgefeilte Mechanismen und Systemwerkzeuge zur Einrichtung und Verwaltung von Massenspeichern wie Festplatten oder Wechseldatenträgern. Gegenüber Windows NT wurden zahlreiche Verbesserungen vorgenommen sowie neue Technologien implementiert. Für die Einrichtung von Festplatten wurde beispielsweise die neue Neu: Dynamische Technologie der Dynamischen Festplatten eingeführt, welche Beschrän- Festplatten kungen des bisherigen partitionsorientierten Ansatzes aufhebt. Damit Sie die Vorteile dieser neuen Technologie richtig nutzen können, ist ein Verständnis der grundlegenden Zusammenhänge notwendig. Bei der Einrichtung dynamischer Festplatten gibt es einiges zu beachten, beispielsweise, dass für den System- und Bootdatenträger von Windows 2000 Einschränkungen gelten. Stark erweitert wurde mit Windows 2000 auch die Unterstützung von Neue Funktionen externen Speichermedien. An die Stelle des starren geräte- und appli- für externe kationsorientierten Ansatzes tritt nun ein universelles Gesamtkonzept, Speichermedien welches eine einheitliche Schnittstelle zu vielen verschiedenen Speichermedien bietet. Damit lassen sich deutlich einfacher leistungsfähige Speichersubsysteme aufbauen. Dazu kommen neue Funktionen des Betriebssystems selbst, wie die zur Implementierung eines hierarchischen Speichersystems oder die stark erweiterte integrierte Datensicherungslösung. In diesem Kapitel werden alle grundlegenden Systembestandteile mit Administration in ihren Funktionen für die Massenspeicherverwaltung vorgestellt. Lesen Kapitel 11 Sie in Kapitel 11 ab Seite 509, wie die konkreten administrativen Schritte aussehen, um die Massenspeicherfunktionen von Windows 2000 effektiv nutzen zu können.
3.1
Das Volume Management
Das Volume Management beinhaltet alle Systembestandteile, die für die Einrichtung und Verwaltung der Massenspeicher unter Windows 2000 verantwortlich sind.
3.1.1
Aufbau des Volume Managements
Die grundsätzliche Struktur des Volume Managements ist in Logischer DiskAbbildung 3.1 dargestellt. Neu ist der Logische Diskmanager (Logical manager Disk Manager – LDM), mit dem die dynamischen Festplatten mit ihren dynamischen Datenträgern verwaltet werden. Er stellt auch die Funk-
54
3 Massenspeicher tionalität für Einfache Datenträger sowie für Übergreifende, Stripeset- und Gespiegelte Datenträger bereit. Hier werden auch die FehlertoleranzFunktionen für übernommene Partitionsgruppen (von Windows NT) ausgeführt, die durch FT Disk bereitgestellt wurden.
Abbildung 3.1: Bestandteile des Volume Management
Offene Schnittstellen
Die Schnittstellen, über die der Logische Diskmanager implementiert wurde, sind offen gelegt und damit auch anderen Herstellern zugänglich, die damit eigene professionelle Massenspeicherlösungen für Windows 2000 entwickeln können.
3.1.2
Festplatten und Datenträger
Im folgenden Text werden immer wieder die Begriffe Festplatten und Datenträger benutzt. Zum besseren Verständnis der Ausführungen folgt hier zunächst eine kurze Definition dieser und der damit verbundenen Begriffe. Festplatten
Mit Festplatten werden die physischen Geräte zur Datenspeicherung bezeichnet, welche im betreffenden Computersystem eingebaut sind und unter Windows 2000 als Ganzes über die Datenträgerverwaltung eingerichtet werden können. Dabei wird zwischen dynamischen Festplatten und Basisfestplatten unterschieden (siehe weiter unten).
Datenträger
Datenträger werden als logische Einheiten auf den Festplatten eingerichtet und können sowohl nur einen Teil einer Festplatte belegen o-
3.1 Das Volume Management
55
der sich sogar über mehrere Festplatten erstrecken (beispielsweise Stripesetdatenträger). Dynamische Festplatten verfügen nicht mehr über Partitionstabellen, Dynamische Festsondern werden über eine Datenträgerdatenbank verwaltet. Vorteil ist platten eine deutlich höhere Flexibilität und Sicherheit. Die meisten Konfigurationsänderungen benötigen deshalb keinen Neustart des gesamten Systems mehr. Die Neueinrichtung von Datenträgersätzen und fehlertoleranten Festplattenspeichersystemen wird unter Windows 2000 nur noch auf dynamischen Festplatten unterstützt. In Abschnitt 3.3 Dynamische Festplatten ab Seite 69 werden dynamische Festplatten ausführlich behandelt. Basisfestplatten stellen die Kompatibilitätsschnittstelle zum altherge- Basisfestplatten brachten partitionsorientierten Ansatz dar. Hier finden Sie auch den aus Windows NT bekannten Fault Tolerant Disk Manager (FT Disk) wieder, welcher in veränderter Form in Windows 2000 integriert worden ist. Aus Windows NT übernommene Partitionsgruppen können Sie unter Windows 2000 weiter nutzen und im Fehlerfall reparieren. Eine Neuanlage auf Basisfestplatten ist allerdings nicht möglich. Die Bedeutung von Basisfestplatten, die über eine Partitionstabelle verwaltet werden, geht über die Sicherstellung einer reinen Kompatibilität zu Windows NT hinaus. Die dynamische Festplattenverwaltung arbeitet erst, nachdem Windows 2000 geladen worden ist. Für den Systemstart wird eine Festplatte mit einer Partitionstabelle und einem Master Boot Record inklusive Bootcode benötigt. Sie können zwar prinzipiell jede Basisfestplatte in eine dynamische Festplatte konvertieren, müssen allerdings bei diesen konvertierten Festplatten einiges beachten (siehe dazu auch Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84). Ferner lässt sich Windows 2000 ausschließlich auf einer Festplatte installieren, die über eine Partitionstabelle verfügt. Sie erfahren mehr zur Installation von Windows 2000 Server in Kapitel 9 ab Seite 433. Auf dynamischen Festplatten können Sie dynamische Datenträger anle- Dynamische Datengen, welche sich flexibel erweitern lassen oder beispielsweise zu feh- träger lertoleranten Datenträgerkonfigurationen zusammengefasst werden können. Als Basisdatenträger werden unter Windows 2000 auf Basisfestplatten Basisdatenträger angelegte Datenträger bezeichnet, die über Partitionen oder logische Laufwerke in erweiterten Partitionen erzeugt worden sind.
56
3 Massenspeicher
3.1.3 FAT16, FAT32 und NTFS
Dateisysteme
Über FT Disk und dem Logischen Diskmanager liegt das Dateisystem. Logische Datenträger können mit jedem der unterstützten Dateisysteme FAT16, FAT32 oder NTFS betrieben werden. Für die Nutzung der Sicherheitsfunktionen und eine optimale Performance empfiehlt sich der konsequente Einsatz von NTFS. Insbesondere durch die Erweiterungen der Version 5 sind unter NTFS eine Reihe neuer Merkmale verfügbar, die ein flexibleres Datenmanagement erlauben. Windows 2000 unterstützt jetzt auch das FAT32-Dateisystem, welches mit Windows 95 OSR2 eingeführt worden ist und einen effektiveren Umgang mit großen Datenträgern erlaubt. Beachten Sie, dass Basisdatenträger, die Sie mit dem FAT32-Dateisystem anlegen, nicht mehr unter Windows NT genutzt werden können.
NTFS in Kapitel 4 ab Seite 107
Für den Einsatz auf einem Server sollten Sie jedoch von Beginn an auf NTFS setzen. Neben der höheren Sicherheit bietet es auch eine bessere Performance, insbesondere bei großen Festplatten, sowie eine höhere Wiederherstellbarkeit bei einem Systemausfall. Das Dateisystem NTFS wird eingehend in Kapitel 4 ab Seite 107 behandelt.
3.1.4
Datenträgerverwaltung
MassenspeicherverwaltungsInterface
Über das Massenspeicherverwaltungs-Interface greifen Sie als Administrator auf die einzelnen Komponenten des Volume Management zu. Mit dem Snap-In Datenträgerverwaltung für die Managementkonsole stellt Microsoft dazu ein umfassendes Werkzeug bereit. Sie können damit Basisfestplatten und Dynamische Festplatten erstellen sowie Datenträger auf ihnen einrichten.
Administration ab Seite 509
Zu den konkreten Administrationsschritten finden Sie weitergehende Informationen in Kapitel 11 Administration der Massenspeicher ab Seite 509.
3.2
Basisfestplatten und Partitionen
Standardmäßig wird unter Windows 2000 eine neue Festplatte als Basisfestplatte eingerichtet. Die Partitionierung unterscheidet sich dabei nicht grundsätzlich vom Vorgehen unter Windows NT, bis auf die Tatsache, dass Sie das jetzt mit der Managementkonsole Datenträgerverwaltung ausführen müssen. Zum besseren Verständnis der inneren Zusammenhänge werden die Grundlagen der Partitionierung sowie der Aufbau der Basisfestplatten in den folgenden Abschnitten behandelt.
3.2 Basisfestplatten und Partitionen
3.2.1
57
Partitionen und Partitionstypen
Eine leere Festplatte wird normalerweise vor der Nutzung durch ein Aufteilung der Betriebssystem eingerichtet. Bis zum Erscheinen von Windows 2000 Festplatte durch mussten Sie, egal ob unter MS-DOS, Windows 9x/ME oder Linux, die Partitionieren Festplatte mit einem speziellen Dienstprogramm partitionieren. Dabei wird die Festplatte in einen oder mehrere Bereiche (Partitionen) fest aufgeteilt. Das bedeutet, dass Sie sich vor der Einrichtung einer Festplatte Gedanken machen müssen, wie diese strukturiert werden soll. Die einfachste Variante besteht darin, die gesamte Festplatte am Stück einzurichten und zu formatieren. Das bietet allerdings keine besondere Flexibilität und Sicherheit. Besser ist es, logische Bereiche zu trennen und beispielsweise das Betriebssystem und die Anwendungsprogramme separat in einer Partition zu speichern und die Daten in einer anderen. Bei der Partitionierung wird zwischen zwei verschiedenen Partitionstypen unterschieden: Primäre und Erweiterte Partition. Für Wechseldatenträger wird eine Partitionierung nicht unterstützt. Diese können Sie lediglich vollständig mit einem der unterstützten Dateisysteme formatieren. Auf einer Festplatte können Sie bis zu vier primäre Partitionen anlegen. Primäre Partition Eine primäre Partition kann nicht weiter unterteilt werden. Mit Hilfe Systempartition des Partitionierungstools können Sie auf einer der installierten Festplatten genau eine der primären Partitionen als aktiv markieren. Von dort beginnt der Startvorgang des Betriebssystems. Die aktive primäre Partition nennt man auch Systempartition. Reicht die Unterteilung in vier primäre Partitionen nicht aus, können Erweiterte Partition Sie statt einer primären eine erweiterte Partition erstellen. Diese ist al- und logische Lauflein noch nicht weiter benutzbar. In einer erweiterten Partition können werke Sie dann Logische Laufwerke anlegen. Diese sind genau wie primäre Partitionen nicht weiter teilbar. Ein logisches Laufwerk kann allerdings nicht als aktiv gekennzeichnet werden und demzufolge auch nicht als Systempartition dienen. Als Bootpartition wird die Partition bezeichnet, welche die Betriebssys- Bootpartition temdateien enthält. Unter Windows 2000 wird das betreffende Verzeichnis in %SystemRoot% hinterlegt (beispielsweise D:\WINNT) und muss nicht auf der Systempartition liegen. Es kann sich auch auf einer anderen primären oder in der erweiterten Partition in einem logischen Laufwerk befinden. Windows NT und Windows 2000 unterstützen bis zu vier primäre Partitionen oder drei primäre mit einer erweiterten Partition. MS-DOS und Windows 95/98 unterstützen nur genau eine primäre und eine erweiterte Partition. Unter Windows NT/2000 angelegte weitere primäre Partitionen werden nicht erkannt.
58 Zugriff über Laufwerkbuchstaben...
... und Bereitstellungspunkte
3 Massenspeicher Der Zugriff auf primäre Partitionen und logische Laufwerke erfolgt normalerweise über die Vergabe von Laufwerkbuchstaben. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden und es sind nur Buchstaben des englischen Alphabets erlaubt. Damit ist die maximale Anzahl von Laufwerken, die Sie über Buchstaben ansprechen können, in einem System auf 241 beschränkt. Mit dem Datenträgermanagement (siehe dazu auch Abschnitt 11.9 Datenträgerzugriff ändern ab Seite 553) können Sie, außer für die Systempartition, die Laufwerksbuchstaben beliebig ändern. Unter Windows 2000 haben Sie eine weitere Möglichkeit, mehr Übersichtlichkeit in Ihre Datenorganisation zu bringen, indem Sie ein Laufwerk als Bereitstellungspunkt innerhalb eines anderen Laufwerks einbinden. Ein Bereitstellungspunkt ist dabei für den Benutzer nichts anderes als ein Ordner, der sich an einer beliebigen Stelle innerhalb eines NTFS-formatierten Laufwerks befinden kann.
3.2.2
Aufbau einer Basisfestplatte im Detail
Der Aufbau einer Basisfestplatte unter Windows 2000 mit der Einteilung in eine oder mehrere primäre und gegebenenfalls eine erweiterte Partition entspricht der einer Festplatte unter Windows NT. In Abbildung 3.2 ist als Beispiel eine Basisfestplatte dargestellt, die drei primäre und eine erweiterte Partition enthält, in der zwei logische Laufwerke angelegt sind. Das gewählte Beispiel zeigt eine Festplattenaufteilung, die nur mit Windows NT und Windows 2000 kompatibel ist. Beachten Sie, dass hier die Zuordnung der Laufwerksbuchstaben C: und D: nachträglich nicht geändert werden kann (das gilt generell für den System- und den Bootdatenträger). Master Boot Record
Der Master Boot Record (MBR) befindet sich im ersten physischen Sektor einer Basisfestplatte. Er enthält den für den Start eines Computers wichtigen Masterbootcode sowie die Partitionstabelle. Beim Systemstart wird der Masterbootcode vom BIOS gestartet und durchsucht als erste Aktion die Partitionstabelle nach einer aktiven Partition . Als aktiv setzen Sie eine primäre Partition mit Hilfe des Partitionstools des Betriebssystems. Unter MS-DOS ist das FDISK, unter Windows 2000 die Datenträgerverwaltung (siehe auch Abschnitt 11.3 Basisfestplatten einrichten ab Seite 514).
Systempartition
Die aktive primäre Partition wird auch als Systempartition bezeichnet. Wurde beim Start die aktive Partition identifiziert, im Beispiel die primäre Partition 1 (siehe Abbildung 3.2), wird aus dem ersten Sektor 1
A und B sind für Diskettenlaufwerke vorgesehen, die restlichen 24 Buchstaben stehen dann für weitere Datenträger zur Verfügung.
3.2 Basisfestplatten und Partitionen
59
dieser Partition der Bootsektor ausgelesen und ausgeführt . Dieser enthält die Information, welches Programm, auch Urlader genannt, von der Systempartition geladen werden soll. Bei Windows 2000 ist dies Ntldr. Dieser installiert ein Minidateisystem, um die Datei BOOT.INI auszulesen und die verfügbaren Betriebssysteme anzuzeigen. Abbildung 3.2: Aufbau einer Basisfestplatte
Über die Datei BOOT.INI wird schließlich das Betriebssystem von der Bootpartition darin spezifizierten Partition gestartet . Im Beispiel ist die primäre Partition 2 (als Laufwerk D:) die Bootpartition, auf der sich der Ordner \WINNT (das Basisverzeichnis von Windows 2000, auch mit %SYSTEMROOT% bezeichnet) befindet. Die Bootpartition muss nicht mit der Systempartition übereinstimmen, sie kann sich sogar auf einer anderen physischen Festplatte befinden. Meist wird jedoch Windows 2000 auf der ersten primären Partition installiert, dann sind Systemund Bootpartition identisch. Für den Fall, dass auf die Bootfestplatte nicht mit INT 13h über das BIOS des Computers oder des SCSI-Adapters zugegriffen werden kann, ist Ntldr auch für das Laden eines Gerätetreibers verantwortlich. Dieser verbirgt sich in der Datei NTBOOTDD.SYS und ist eine Kopie des entsprechenden Treibers, beispielsweise AIC78XX.SYS für den SCSI-Controller Adaptec 2940 UW.
60
3 Massenspeicher Windows 2000 kann nur auf Festplatten gestartet und installiert werden, die über eine Partitionstabelle verfügen. Damit kommen nur Basisdatenträger auf Basisfestplatten in Frage oder Basisdatenträger auf Dynamischen Festplatten, die aus Basisfestplatten konvertiert worden sind. Für diese Konvertierung sind einige Besonderheiten zu beachten. Weiterführende Informationen finden Sie dazu in Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84.
Bootsektor
Der Aufbau des Bootsektors ist abhängig vom verwendeten Dateisystem. Für den Aufbau desselben unter NTFS lesen Sie den Abschnitt Der NTFS-Bootsektor ab Seite 123.
3.2.3
MBR und Partitionstabelle im Detail
Der Master Boot Record (MBR) wird durch das Partitionsprogramm in den ersten physischen Sektor der Festplatte geschrieben und besteht aus drei Hauptbestandteilen: • Masterbootcode • Datenträgersignatur • Partitionstabelle Abgeschlossen wird der MBR durch eine 2 Byte große Kennung, die immer den Wert 0x55AA enthält und auch Signaturwort oder Ende der Sektormarkierung genannt wird. In Tabelle 3.1 finden Sie die Bestandteile des MBR und deren Speicherorte auf der Festplatte durch Angabe des Adressoffsets. Tabelle 3.1: Aufbau des MBR
Offset Wert / Bezeichnung
Beschreibung
000h
Masterbootcode
Ermittelt die aktive Partition, auch Systempartition genannt, und lädt von dieser den Bootsektor
1B8h
Datenträgersignatur
Eindeutige Nummer zur Identifizierung der Festplatte im System
1BEh
Eintrag für 1. Partition
1CEh
Eintrag für 2. Partition
Enthält die vier Einträge für die Partitionstabelle mit je 16 Bytes (insgesamt 64 Bytes)
1DEh
Eintrag für 3. Partition
1EEh
Eintrag für 4. Partition
1FEh
0x55AA
Signaturwort, auch Ende der Sektormarkierung genannt – kennzeichnet das Ende des MBR
3.2 Basisfestplatten und Partitionen
61
Die Partitionstabelle im MBR besteht aus einer 64 Byte großen Struktur und folgt einem betriebssystemunabhängigen Standard. Jeder der 4 Einträge ist 16 Byte lang. Die Struktur eines Eintrags der Partitionstabelle im MBR ist in der folgenden Tabelle dargestellt:
Offset Feldlänge Bezeichnung 00h
Byte
Bootanzeige
(8 Bit)
Tabelle 3.2: Aufbau eines PartitionsGibt an, ob die Partition aktiv ist: tabelleneintrages
Erklärung
0x80 – Partition aktiv 0x00 – Partition nicht aktiv
01h
Byte
Startkopf
Nummer des ersten Kopfes der Partition
02h
6 Bit
Startsektor
Nummer des ersten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Startzylinder.
10 Bit
Startzylinder
Nummer des Startzylinders Mit 10-Bit können Werte von 0 bis 1 023 (insgesamt 1 024 Zustände) gesetzt werden.
04h
Byte
Systemkennung
Mit diesem Feld wird der Partitionstyp definiert. In Tabelle 3.3 sind die Partitionstypen aufgeführt.
05h
Byte
Endkopf
Nummer des letzten Kopfes der Partition
06h
6 Bit
Endsektor
Nummer des letzten Sektors Es werden nur die Bits 0 bis 5 des vollen Bytes verwendet. Bit 6 und 7 sind Bestandteil des Feldes Endzylinder
10 Bit
Endzylinder
Nummer des Endzylinders Mit den 10-Bit können Werte von 0 bis 1 023 (insgesamt 1 024 Zustände) gesetzt werden.
08h
DWORD (32 Bit)
0Ch
DWORD
Relative Sektoren Mit dieser 32-Bit-Nummer wird der Offset vom Anfang der physischen Festplatte angegeben. Gesamtsektoren
Gesamtzahl an Sektoren dieser Partition
62
3 Massenspeicher Dieser Aufbau trifft nur für die Partitionstabelle im MBR zu, mit der vier primäre Partitionen oder drei primäre und eine erweiterte Partition definiert werden können. Werden weniger als vier Partitionen angelegt, so ist der Rest der Partitionstabelle mit Nullen überschrieben. Der Aufbau der erweiterten Partitionstabelle der logischen Laufwerke ist in Abschnitt 3.2.4 Logische Laufwerke und erweiterte Partitionstabelle ab Seite 63 beschrieben. Die einzelnen Partitionstypen, die durch MS-DOS, Windows 9x, ME, NT und Windows 2000 verwendet werden, sind in Tabelle 3.3 aufgeführt. Mit ihnen wird festgelegt, mit welchem Dateisystem (siehe auch Kapitel 4 Dateisysteme ab Seite 107) der Datenträger formatiert ist und ob er Teil einer Partitionsgruppe ist.
Tabelle 3.3: Partitionstypen
Typ
Beschreibung
0x01
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT12-Dateisystem
0x04
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem FAT16-Dateisystem (bis 32 MB-Partitionen)
0x05
Erweiterte Partition
0x06
Primäre Partition oder logisches Laufwerk in einer erweiterten Partition unter dem BIGDOS FAT16-Dateisystem (32 MB bis 4 GBPartitionen)
0x07
Partition oder logisches Laufwerk unter NTFS
0x0B
Partition oder logisches Laufwerk unter FAT32
0x0C
Partition oder logisches Laufwerk unter FAT32 mit BIOS Int 13hErweiterungen (LBA)
0x0E
Partition oder logisches Laufwerk unter BIGDOS FAT16 mit BIOS Int 13h-Erweiterungen (LBA)
0x0F
Erweiterte Partition mit BIOS Int 13h-Erweiterungen (LBA)
0x12
EISA-Partition
0x42
Dynamischer Datenträger
0x86
mit FT Disk verwalteter FAT16-Datenträger, der Teil einer Partitionsgruppe ist
0x87
mit FT Disk verwalteter NTFS-Datenträger, der Teil einer Partitionsgruppe ist
0x8B
mit FT Disk verwalteter FAT32-Datenträger, der Teil einer Partitionsgruppe ist
0x8C
mit FT Disk verwalteter FAT32-Datenträger mit BIOS Int 13hErweiterungen, der Teil einer Partitionsgruppe ist
3.2 Basisfestplatten und Partitionen
63
Andere Betriebssysteme können hiervon abweichende Partitionstypen verwenden.
3.2.4
Logische Laufwerke und erweiterte Partitionstabelle
Die logischen Laufwerke in einer erweiterten Partition werden durch eine verkettete Liste von so genannten erweiterten Partitionstabellen beschrieben. Diese Liste ist so aufgebaut, dass jede erweiterte Partitionstabelle einen Eintrag auf die Tabelle des nächsten logischen Laufwerks enthält. Beim letzten logischen Laufwerk endet diese Liste, indem der Zeiger auf das nächste Laufwerk leer bleibt. Die folgende Tabelle zeigt die Grundstruktur einer erweiterten Partitionstabelle. Die vier Einträge sind wie bei der primären Partitionstabelle je 16 Byte groß und enthalten die gleichen Felder wie diese (siehe Tabelle 3.2 auf Seite 61). Es werden allerdings nur die ersten beiden Einträge benutzt, Nummer drei und vier bleiben leer.
Tabelleneintrag Inhalt 1
Daten des aktuellen logischen Laufwerks
2
Daten des nächsten logischen Laufwerks; ist keins mehr vorhanden, bleibt der Eintrag leer
3
nicht verwendet
4
nicht verwendet
Durch diese Konstruktion können Sie theoretisch beliebig viele logische Laufwerke anlegen – zumindest solange die 24 Buchstaben zur Vergabe eines Laufwerksbuchstabens ausreichen. Unter Windows 2000 haben Sie aber auch die Möglichkeit, auf Laufwerksbuchstaben zu verzichten und die logischen Laufwerke über Bereitstellungspunkte in NTFS-Datenträger einzubinden (siehe dazu auch Abschnitt 4.4.3 Analysepunkte und Bereitstellungen ab Seite 130).
3.2.5
Die Datei BOOT.INI
Die Datei BOOT.INI liegt im Stammverzeichnis auf der Systempartition und wird beim Start durch Ntldr ausgelesen (siehe auch Abschnitt 3.2.2 Aufbau einer Basisfestplatte im Detail ab Seite 58). Sie wird bei der Installation von Windows NT oder Windows 2000 im Stammverzeichnis angelegt und dient dazu, die Liste der verfügbaren Betriebssysteme beim Start anzubieten. Verfügt Ihr System nur über eine einzige Windows 2000 Server-Installation, erscheint beim Start keine Auswahl.
Tabelle 3.4: Struktur der erweiterten Partitionstabelle
64
3 Massenspeicher Die Datei ist eine normale Textdatei und lässt sich mit jedem Texteditor bearbeiten. Allerdings ist sie mit den Attributen System und Versteckt versehen, so dass Sie über EXTRAS | ORDNEROPTIONEN | ANSICHT im Explorer-Fenster die Option Alle Dateien und Ordner anzeigen aktivieren müssen, damit die Datei angezeigt wird.
Abbildung 3.3: Beispiel einer BOOT.INI für Dualboot
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT="W2K Server" /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT="NT Server 4.0"
Die oben dargestellte BOOT.INI enthält beispielsweise eine Dual-Boot Konfiguration für Windows 2000 und Windows NT (beides Server). Startreihenfolge und Timeout festlegen
Für die Festlegung der Standard-Startreihenfolge und die Dauer des Timeouts brauchen Sie keinen Texteditor zu bemühen. Über START | SYSTEMSTEUERUNG | SYSTEM können Sie dies neben anderen Einstellungen zum Systemverhalten in ERWEITERT | STARTEN UND WIEDERHERSTELLEN festlegen.
Abbildung 3.4: Systemstart- und Wiederherstellungsoptionen
Automatischen Start verhindern
Das Timeout können Sie auch in der Datei BOOT.INI auf einen Wert von –1 einstellen. Dann bleibt das Menü so lange stehen, bis Sie eine Auswahl treffen.
3.2 Basisfestplatten und Partitionen
65
Im Teil [operating systems] sind die startbaren Betriebssysteme mit [operating ihrer Startposition, dem Verweis auf die Bootpartition, hinterlegt. In systems] Windows 2000 wird die erweiterte RISC-Namenskonvention benutzt, um einen Pfad zu der Windows Bootpartition bzw. -datenträger zu beschreiben. Diese auch ARC-Pfadnamen (ARC - Advanced RISC Computing) ge- ARC-Pfadnamen nannten Verweise werden in drei Syntax-Klassen eingeteilt: • Multi-Syntax • SCSI-Syntax • Signature-Syntax Die für die Installation eines Windows 2000-Systems meistgenutzte Multi-Syntax Syntax ist die Multi-Syntax. multi(a)disk(b)rdisk(c)partition(d)
Die einzelnen Parameter haben die folgende Bedeutung:
Parameter Bedeutung a
Nummer des Adapters (beginnend bei 0)
b
bei Multisyntax immer 0
c
Nummer der Festplatte am Adapter (0 bis 3)
d
Nummer der Partition (beginnend mit 1)
Tabelle 3.5: Parameter der Multi-Syntax
Die Multi-Syntax wird für alle Bootfestplatten durch das SetupProgramm von Windows 2000 eingerichtet, die das Booten über einen INT 13h-Aufruf durch das BIOS des Computers beziehungsweise des SCSI-Adapters ermöglichen. Damit wird diese Syntax nur unter den folgenden Bedingungen eingerichtet: • Im Computer wird ein IDE-Festplatteninterface mit bis zu zwei Kanälen und maximal 2 Festplatten pro Kanal benutzt. • Benutzen Sie einen Computer mit SCSI-Interface, so wird die Multi-Syntax für die ersten beiden Festplatten am ersten Adapter eingerichtet. Bedingung ist, dass der SCSI-Adapter ein eigenes BIOS mit INT 13h-Erweiterung zum Booten einsetzt. • Besitzt Ihr Computer sowohl IDE- als auch SCSI-Adapter, wird die Multi-Syntax nur für die Bootfestplatten eingerichtet, die am ersten IDE-Adapter beziehungsweise am ersten SCSI-Adapter angeschlossen sind. Die SCSI-Syntax wird für den Zugriff auf die Bootfestplatte mittels SCSI-Syntax Gerätetreiber (ohne INT 13h-Unterstützung) durch das SetupProgramm eingerichtet. scsi(a)disk(b)rdisk(c)partition(d)
66
3 Massenspeicher Die einzelnen Parameter haben die folgende Bedeutung:
Tabelle 3.6: Parameter der SCSI-Syntax
Parameter Bedeutung a
Nummer des SCSI-Adapters (beginnend bei 0)
b
Nummer der physischen Festplatte (beginnend bei 1) Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer).
c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die SCSI-Syntax wird meist dann verwendet, wenn Ihr Computersystem über einen SCSI-Adapter ohne eigenes BIOS verfügt. Von der Systempartition bzw. dem Systemdatenträger oder der Bootdiskette wird zum Zugriff der entsprechende SCSI-Gerätetreiber geladen. Signature-Syntax
Eine spezielle Form des Zugriffs auf Bootfestplatten mit SCSI-Interface stellt die Verwendung der Signature-Syntax dar. Dabei wird unabhängig von einer Adapter-Nummer die Bootfestplatte mit Hilfe ihrer eindeutigen Signature identifiziert. Diese Signature ist Bestandteil des Master Boot Records jeder Festplatte (siehe Abschnitt 3.2.3 MBR und Partitionstabelle im Detail ab Seite 60). Der grundsätzliche Aufbau einer Signature-Syntax lautet: signature(a)disk(b)rdisk(c)partition(d)
Die einzelnen Parameter haben die folgende Bedeutung: Tabelle 3.7: Parameter der Signature-Syntax
Parameter Bedeutung a
eindeutige Signatur der Festplatte (als hexadezimale Zahl)
b
Nummer der physischen Festplatte (beginnend bei 1) Achtung: Hierbei werden auch andere SCSI-Geräte mit in die Zählung einbezogen (beispielsweise Streamer).
c
die SCSI-LUN (Logical Unit Number) der Bootfestplatte (meist 0)
d
Nummer der Partition (beginnend mit 1)
Die Signature-Syntax wird beispielsweise dann durch das SetupProgramm eingerichtet, wenn zwar ein INT 13h-BIOS für IDEFestplatten vorhanden ist, die Installation jedoch auf einer SCSIFestplatte vorgenommen wird. Der SCSI-Controller für diese Festplatte verfügt dabei über kein BIOS (beziehungsweise wurde deaktiviert). Optionen nach den ARC-Pfadnamen
Hinter den ARC-Pfadnamen können Sie über Optionen das Startverhalten von Windows 2000 beeinflussen. Allerdings müssen Sie einige der wichtigsten Optionen nicht manuell in der Datei BOOT.INI setzen,
3.2 Basisfestplatten und Partitionen sondern können diese über das F8-Menü (PROBLEMBEHEBUNG ERWEITERTE WINDOWS 2000-STARTOPTIONEN) aktivieren.
67 UND
Abbildung 3.5 Erweiterte Windows 2000 StartOptionen (F8Menü)
In der folgenden Tabelle werden die durch das F8-Menü gesetzten Optionen erläutert:
Option /SAFEBOOT:
Tabelle 3.8: F8 Menü-Optionen Startet Windows 2000 im abgesicherten Modus. Die in der BOOT.INI
Bedeutung
folgenden Varianten bestehen durch Setzen eines zusätzlichen Parameters (direkt hinter dem Doppelpunkt):
MINIMAL Windows 2000 wird mit einer minimalen Anzahl an Gerätetreibern im VGA-Grafikmodus (16 Farben bei einer Auflösung von 640 x 480) gestartet.
NETWORK Zusätzlich zur MINIMAL-Konfiguration werden die Netzwerktreiber geladen.
MINIMAL (ALTERNATESHELL) Es wird zwar in den VGA-Grafikmodus (mit 16 Farben bei einer Auflösung von 640 x 480) umgeschaltet, allerdings als einzige Anwendung nur CMD.EXE in einem Eingabeaufforderungs-Fenster gestartet.
/BOOTLOG
Beim Start wird eine Protokolldatei im Verzeichnis %SystemRoot%\NTBTLOG.TXT angelegt, in der das Laden aller Treiber festgehalten wird. Dies kann für die Fehlersuche nützlich sein.
68
3 Massenspeicher Option
Bedeutung
/BASEVIDEO
Lädt beim Umschalten in den Grafikmodus nur den Standard VGA-Treiber mit 16 Farben bei 640 x 480.
/DEBUG
Startet Windows 2000 im Debug-Modus mit der Standardeinstellung für COM-Port 1 bei einer Übertragungsrate von 19200 Baud.
Neben den in Tabelle 3.8 erläuterten Optionen gibt es weitere, die für die Administration und Fehlersuche für Windows 2000 wichtig sein können und die Sie manuell in der BOOT.INI setzen. Tabelle 3.9: Andere wichtige Optionen in der Boot.ini
Option
Bedeutung
/3GB
Aktiviert das 4GT (4 GB RAM Tuning) genannte Verfahren auf einem Windows 2000 Advanced Server, der zwischen 2 und 4 GB physikalischen RAM verfügt (siehe auch Band III Internet Information Server 5)
/BAUDRATE=
Kann alternativ zu /DEBUG angewandt werden, um den Debug-Modus zu starten. Dazu kann eine andere Baudrate eingestellt werden (Standard bei Verwendung von /DEBUG ist eine Baudrate von 19 200)
/BURNMEMORY=
Limitiert den Speicher wie /MAXMEM, nur dass Sie hier angeben, um wie viel MB der physische Hauptspeicher für die Nutzung durch Windows 2000 reduziert werden soll
/CRASHDEBUG
Startet Windows ebenfalls im Debug-Modus. Der Debugger bleibt jedoch so lange inaktiv, bis ein KernelFehler auftritt.
/DEBUGPORT=
Startet Windows auch im Debug-Modus. Es lässt sich der gewünschte serielle Port angeben, beispielsweise COM2 (Standard bei Verwendung von /DEBUG ist COM1).
/FASTDETECT
Mit /fastdetect wird das Programm NTDETECT.COM, welches beim Systemstart ausgeführt wird, angewiesen, auf die Erkennung von parallelen und seriellen Geräten zu verzichten, da unter Windows 2000 dies spezielle Plug&Play-Gerätetreiber übernehmen. Unter Windows NT 4 gibt es diese Plug&Play-Gerätetreiber nicht (ist Aufgabe von NTDETECT.COM) und diese Option hat keine Wirkung. Diese Option wird prophylaktisch durch das SetupProgramm gesetzt und berücksichtigt damit eine eventuelle Dual-Boot-Konfiguration, bei der NTDETECT.COM sowohl von Windows 2000 als auch von Windows NT benutzt wird.
3.3 Dynamische Festplatten Option
Bedeutung
/MAXMEM=
Limitiert den Hauptspeicher, den Windows nutzen soll, auf den Wert, den Sie (in MB) für diese Option eintragen.
/NOGUIBOOT
Veranlasst Windows 2000, ohne grafische Ausgabe über den VGA-Treiber zu starten. Es werden keine Meldungen über den Boot-Fortgang gegeben, allerdings auch keine Blue Screens erzeugt, falls das System beim Start zusammenbricht.
69
/NUMPROC= Veranlasst Windows 2000, bei einer MehrprozessorMaschine nur die mit angegebene Anzahl an Prozessoren zu verwenden. /PAE
Aktiviert bei einem Windows 2000 Advanced Serversystem die Physical Address Extension (PAE; siehe auch Band III Internet Information Server 5).
Einen Teil der Optionen benötigen Sie nur, wenn Sie für Windows 2000 entwickeln. Für den Fall eines Ausfalls Ihres Systems oder bei Startschwierigkeiten finden Sie weitere Informationen in Kapitel 17 Reparatur und Wiederherstellung ab Seite 971.
3.3
Dynamische Festplatten
Die entscheidende Neuerung im Bereich der Festplattenverwaltung Höhere Sicherheit stellen die dynamischen Festplatten dar. Rein dynamische Festplatten und Verfügbarkeit verfügen nicht mehr über eine Partitionstabelle im herkömmlichen Sinne. Diese wurde durch eine Datenträgerdatenbank abgelöst, die zur Erhöhung der Sicherheit zwischen den Datenträgern repliziert wird. Hinzu kommt, dass die meisten Datenträgeraktionen des Administrators keinen Neustart des Systems mehr erfordern, was insbesondere einer höheren Verfügbarkeit von Serversystemen dient. Allerdings können nicht alle Festplatten in einem Windows 2000 Ser- Einschränkungen versystem rein dynamisch verwaltet werden. So kann Windows 2000 beachten generell nur auf einem Datenträger installiert werden, der über eine Partitionstabelle geführt wird. Die dazu benutzten Festplatten werden als Basisfestplatten (siehe Abschnitt 3.2 Basisfestplatten ab Seite 56) bezeichnet und können auch in dynamische Datenträger konvertiert werden. Allerdings sind diese danach noch immer keine vollwertigen dynamischen Festplatten. Lesen Sie in Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84, wie Sie das durchführen und welche Einschränkungen dabei zu beachten sind.
70
3 Massenspeicher
3.3.1
Aufbau und Funktionen dynamischer Festplatten
Wenn Sie eine neue Festplatte in Ihr System einbinden wollen, können Sie sich zwischen den zwei grundlegenden Typen Basisfestplatte und Dynamische Festplatte entscheiden. Standardmäßig richtet Windows 2000 eine neue Platte als Basisfestplatte ein. Über die Datenträgerverwaltung können Sie die neue, leere Basisfestplatte in eine dynamische überführen. Achtung: Dynamische und konvertierte dynamische Festplatten
Alle hier folgenden Erläuterungen beziehen sich auf leere Festplatten, die erst nach der Überführung in eine dynamische Festplatte in logische Einheiten, die dynamischen Datenträger, eingeteilt worden sind. Sie können über die Datenträgerverwaltung auch bereits bestehende Basisfestplatten mit eingerichteten Partitionen und logischen Laufwerken in dynamische Festplatten konvertieren. Die dabei entstehenden dynamischen Festplatten unterscheiden sich aber in ihren Eigenschaften deutlich von einer neu erstellten. Was Sie bei der Konvertierung bestehender Basisfestplatten beachten sollten, ist Inhalt des Abschnitts 3.5 Konvertieren von Basisfestplatten ab Seite 84. Dynamische Festplatten verfügen zur Verwaltung der auf ihnen eingerichteten dynamischen Datenträger über eine Datenträgerverwaltungsdatenbank. Diese ist am physischen Ende der Festplatte untergebracht und wird zwischen mehreren dynamischen Festplatten automatisch repliziert. Im Falle einer Beschädigung der Datenträgerinformationen kann diese so besser durch die Windows 2000-eigenen Mechanismen wiederhergestellt werden. Für Windows 2000 nicht zertifizierte Reparaturprogramme für Datenträger von Drittherstellern unterstützen in der Regel keine dynamischen Festplatten. Ihre Anwendung kann zu Datenverlusten führen! Dynamische Datenträger, die Sie auf dynamischen Festplatten mit Hilfe der Datenträgerverwaltung anlegen, können in die folgenden Gruppen eingeteilt werden:
Speicherung ohne Fehlertoleranz
• Einfacher Datenträger Entspricht der kleinsten Einheit eines logischen Laufwerks auf einer dynamischen Festplatte. Einfache Datenträger können erweitert werden. Liegt dabei der neue Bereich auf einer anderen physischen Festplatte, entsteht ein übergreifender Datenträger (siehe auch Abschnitt 3.3.3 Einfache Datenträger und ihre Erweiterung ab Seite 72). • Übergreifender Datenträger Ein übergreifender Datenträger entsteht, wenn mindestens zwei freie Bereiche zusammengefasst oder ein einfacher Datenträger
3.3 Dynamische Festplatten
71
erweitert wird. Logisch verhält sich dieser Datenträger wie eine einzige größere Einheit. • Stripesetdatenträger Für eine Erhöhung der Performance können Sie mindestens zwei gleich große freie Bereiche, die sich auf verschiedenen physischen Festplatten befinden müssen, zu einem logischen Stripesetdatenträger verbinden. Die Daten werden zwischen diesen Bereichen aufgeteilt, sodass die Transferraten und Antwortzeiten beider Festplatten gebündelt zur Datenspeicherung genutzt werden können (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 73). • RAID 5-Datenträger Diese besondere Form des Stripesetdatenträgers verfügt neben der annähernden Lese-Performance eines normalen Stripesetdatenträgers über eine hohe Fehlertoleranz (siehe auch Abschnitt RAID 5Datenträger ab Seite 82). • Gespiegelter Datenträger Maximale Fehlertoleranz für Festplatten erreichen Sie über die Einrichtung gespiegelter Datenträger. Dabei werden die eingesetzten Festplatten redundant zur Speicherung der Daten genutzt (siehe auch Abschnitt Gespiegelte Datenträger ab Seite 80).
3.3.2
Einschränkungen für dynamische Festplatten
Dynamische Festplatten werden für die folgenden Systeme nicht unterstützt: • Wechseldatenträger Wechseldatenträger wie beispielsweise Medien für große SCSIWechselplattenlaufwerke können Sie nicht als dynamische Festplatten einrichten. Diese unterliegen der Wechselmedienverwaltung von Windows 2000 (siehe auch Abschnitt 3.6 Der Wechselmediendienst ab Seite 87). • Externe Speichermedien Festplatten, die beispielweise über den USB oder FireWire an den Computer angeschlossen sind, können Sie nicht als dynamische Festplatten einrichten. Dies betrifft nicht externe SCSI-Festplatten. • Notebooks Ein Serverbetriebssystem hat sicher kaum etwas auf einem Notebook zu suchen. Darüber hinaus wird die Einrichtung dynamischer Festplatten hier nicht unterstützt.
Speicherung mit Fehlertoleranz
72
3 Massenspeicher Unter bestimmten Umständen kann es vorkommen, dass Sie die oben genannten Einschränkungen für die Einrichtung dynamischer Datenträger umgehen können. So wäre es beispielsweise denkbar, dass Sie Wechselmedien, die aufgrund technischer Inkompatibilitäten als Festplatten erkannt werden, als dynamische Festplatten einrichten. Für diese Fälle ist das Verhalten von Windows 2000 allerdings nicht vorhersehbar und kann Datenverluste zur Folge haben.
3.3.3
Einfache Datenträger und ihre Erweiterung
Einfache dynamische Datenträger können Sie während des laufenden Betriebes über die Datenträgerverwaltung erweitern. Dazu muss ein freier Bereich auf derselben oder einer anderen dynamischen Festplatte zur Verfügung stehen. Erweiterter Datenträger
Liegt der Bereich auf derselben physischen Festplatte, spricht man von einem Einfachen erweiterten dynamischen Datenträger.
Übergreifender Datenträger
Wird der einfache Datenträger über einen Bereich erweitert, der auf einer anderen physischen Festplatte liegt, entsteht ein übergreifender Datenträger. Dieser kann sich über maximal 32 physische Festplatten erstrecken. Die Verknüpfung der physischen Teilbereiche zu einem logischen Datenträger wird transparent für den Benutzer in der Datenträgerverwaltungsdatenbank eingetragen. Die Einbindung des neuen Datenträgers erfolgt dynamisch bei laufendem Betrieb, ein Neustart ist nicht notwendig. Die folgenden Bedingungen müssen erfüllt sein, damit Sie einen einfachen Datenträger erweitern können: • Nur einfache Datenträger, die neu auf einer dynamischen Festplatte erstellt worden sind, lassen sich erweitern. Aus Basisdatenträgern konvertierte Datenträger sind nicht erweiterbar. Das betrifft auch System- und Bootdatenträger. • Als Dateisystem für eine Erweiterung wird nur NTFS unterstützt. FAT- und FAT32-formatierte dynamische Datenträger lassen sich nicht erweitern.
Löschen von Erweiterungen
Erweiterungen von Datenträgern werden durch die Datenträgerverwaltung separat angezeigt. Trotzdem können Sie diese Erweiterungen nicht einzeln löschen, sondern nur den gesamten Datenträger. Möchten Sie den Datenträger nachträglich wieder verkleinern, bleibt nur die Sicherung aller Daten und die Neuerstellung des komplett gelöschten Datenträgers.
3.3 Dynamische Festplatten
73
Unter Windows NT 4 werden Datenträger, die sich aus Partitionen auf einer oder mehreren (bis zu 32) physischen Festplatten zusammensetzen, mit Datenträgersatz bezeichnet. Aus NT übernommene Datenträgersätze können Sie unter Windows 2000 weiterhin verwalten und im Bedarfsfall reparieren, allerdings nicht erweitern. Wollen Sie die neue Funktionalität dynamischer Datenträger nutzen, müssen Sie alle Daten sichern, die Datenträger löschen und neu in freien Bereichen auf dynamischen Festplatten anlegen. Die entsprechenden Administrationsschritte finden Sie in Abschnitt 11.4.1 Einfache Datenträger und ihre Erweiterung ab Seite 520.
3.3.4
Stripesetdatenträger
Stripesetdatenträger in Windows 2000 entsprechen der RAID- RAID 0 Spezifikation Level 0 (siehe Tabelle 3.10 auf Seite 76). Wie übergreifende Datenträger setzt sich ein Stripesetdatenträger aus Teilbereichen über mehrere physische (maximal 32) Festplatten zusammen. Die Teilbereiche müssen allerdings alle exakt gleich groß sein, da die Bereiche nicht nacheinander, wie beim übergreifenden Datenträger, sondern gleichzeitig mit Daten gefüllt werden. Die Datenpakete werden durch den Logischen Diskmanager in gleich große Stripes (Streifen – daher auch der Name Stripeset) aufgeteilt und nacheinander auf alle verbundenen Festplatten gespeichert.
Erreichbare Performance Die Größe der Stripes wird in der Fachliteratur auch chunk size ge- chunk size und nannt, die Anzahl der Festplatten im Set mit stripe width angegeben. stripe width Eine übliche, auch unter Windows 2000 verwendete chunk size beträgt 64 KB. Hauptvorteil gegenüber den normalen übergreifenden Datenträgern Hohe Performance ist die höhere Performance des Stripesetdatenträgers. Daten, deren bei großen Dateien Größe die chunk size übersteigen, werden von mehreren der angeschlossenen Festplatten verarbeitet. Beim Schreiben und Lesen dieser Daten kann die Datentransferrate der Festplatten gebündelt werden. Dies macht sich umso mehr bemerkbar, je größer die Daten sind. Insbesondere bei hohen Datenmengen, beispielsweise große Bilddateien bei einem Bildverarbeitungsarbeitsplatz, lassen sich signifikante Performance-Steigerungen gegenüber der herkömmlichen Speicherung auf einer Festplatte erzielen. Die Abspeicherung und das Auslesen der chunks erfolgt über die angeschlossenen Festplatten sequentiell. Das erste Teilstück geht zur ersten Platte, das zweite zur zweiten usw. Damit müssen sich die Schreib-/Leseköpfe der einzelnen Festplatten bei einem großen Da-
74
3 Massenspeicher tenstrom nicht weit bewegen und die Latenzzeiten der Festplatten bleiben sehr klein.
Keine Steigerung bei kleinen Dateien im Einzelzugriff
Speichern Sie auf dem Stripesetdatenträger vor allem kleine Dateien, welche die chunk size nicht übersteigen, kommt die höhere Performance nicht zum Tragen, wenn auf die Dateien nur vereinzelt zugegriffen wird. Das Lesen sowie das Schreiben dieser Dateien dauert dann genauso lange, wie wenn Sie eine einzelne Festplatte im System einsetzen.
Anders bei transaktionsorientierten Anwendungen
Anders sieht das schon wieder aus, wenn Sie Datenbankanwendungen haben, die ein schnelles Antwortverhalten für viele Zugriffe auf verschiedene, relativ kleine Datensätze zur gleichen Zeit benötigen. Können diese Datensätze jeweils in einem Stripe abgelegt werden, steigt mit der Anzahl der Festplatten im Set die Wahrscheinlichkeit, dass sich zwei parallel angeforderte Datensätze auf zwei verschiedenen physischen Festplatten befinden. Beide Festplatten bekommen dann praktisch gleichzeitig die E/A-Anforderung und können diese jede für sich separat abarbeiten. Das steigert natürlich die Gesamtperformance im Vergleich zu einer einzelnen Festplatte deutlich.
Auf richtige Anwendung achten
Durch die integrierte RAID-0–Unterstützung von Windows 2000 können Sie bei den richtigen Anwendungen mit preiswerten, durchschnittlichen Festplatten ein Massenspeichersystem hoher Leistung aufbauen. Dabei muss es nicht immer SCSI sein. Kleinere Arbeitsgruppenserver mit einem IDE-Interface und Ultra-DMAUnterstützung erreichen heute bereits mit handelsüblichen, preiswerten Festplatten, die Sie in einem Stripesetdatenträger bündeln, sehr gute Leistungswerte.
Prinzipieller Aufbau In Abbildung 3.6 sehen Sie den prinzipiellen Aufbau eines Stripesetdatenträgers unter Windows 2000, der sich über zwei dynamische Festplatten erstreckt. So könnte beispielsweise eine Konfiguration aussehen, die aus einer Systemfestplatte von 46 GB Kapazität (die gleichzeitig Bootfestplatte ist) und zwei weiteren Festplatten von 40 GB und 48 GB besteht. Für das Betriebssystem Windows 2000 Server ist ein 6 GB großer Bereich abgeteilt, der jetzt auf einer konvertierten dynamischen Festplatte als ehemalige primäre Partition vorhanden ist (siehe auch Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84).
3.3 Dynamische Festplatten
75 Abbildung 3.6: Prinzip eines Stripesetdatenträgers
Der Rest von 40 GB wird zusammen mit zwei gleich großen freien Bereichen auf HDD1 und HDD2 zu einem 120 GB Stripesetdatenträger verbunden. Der für diese Konfiguration nicht nutzbare Rest verbleibt als ein Teilstück von 8 GB, hier eingerichtet als einfacher Datenträger E:.
Keine Fehlertoleranz Die Aufteilung der Daten in chunks über mehrere Festplatten bei RAID 0 erfolgt ohne Fehlertoleranz. Fällt eine der eingebundenen Festplatten eines Stripesetdatenträgers aus, sind alle Daten auf diesem verloren. Zwar zeichnen sich heutige Festplatten durch eine lange durchschnittliche fehlerfreie Funktionsdauer (MTBF – Mean Time Between Failure) aus, allerdings wird durch ein Stripeset mit zwei Festplatten die Ausfallwahrscheinlichkeit schon verdoppelt, bei drei Festplatten verdreifacht usw. Die Datensicherung gewinnt also bei der Verwendung von Stripesets an Bedeutung. Fehlertoleranz für ein Stripeset erreichen Sie erst mit RAID Level 5 Fehlertoleranz in Stripesets nur bei (siehe auch Tabelle 3.10 auf Seite 76). Diese Datenträger werden unter RAID 5 Windows 2000 Server mit RAID 5-Datenträger bezeichnet und sind unter anderem Gegenstand des nachfolgenden Abschnitts 3.4 Fehlertolerante Datenspeicherung.
Einrichten und Ändern Durch die neue dynamische Datenträgerverwaltung müssen Sie nach Verfügbar ohne dem Einrichten eines Stripesetdatenträgers keinen Neustart vorneh- Neustart men. Nach der Formatierung (es werden FAT, FAT32 und NTFS unterstützt) ist der Stripesetdatenträger sofort einsetzbar.
76 Ändern von Stripesetdatenträgern
3 Massenspeicher Stripesetdatenträger können Sie generell nach ihrer Erstellung nicht mehr verändern. Wollen Sie weitere Festplatten zu einem bestehenden Stripesetdatenträger hinzufügen, bleibt Ihnen nur die Sicherung aller Daten, die Löschung und Neuanlage des Stripesetdatenträgers. Das gilt auch, wenn Sie eine der Festplatten aus dem Stripeset entfernen möchten.
Stripe Sets von NT 4.0
In Windows NT 4 werden diese Datenträger als Stripe Sets bezeichnet. In Windows 2000 übernommene Stripe Sets auf Basisfestplatten können Sie weiter benutzen und im Bedarfsfall reparieren. Die Neuanlage von Stripesetdatenträgern wird aber nur noch auf dynamischen Festplatten unterstützt.
Administration ab Seite 524
Alle notwendigen Schritte zum Einrichten und Administrieren von Stripesetdatenträgern finden Sie in Abschnitt 11.4.2 Stripesetdatenträger ab Seite 524.
3.4 Fehlertoleranz
Fehlertolerante Datenspeicherung
Die Datenspeicherung eines Computersystems wird dann als fehlertolerant bezeichnet, wenn der Ausfall oder die Störung eines Teilsystems des Datenspeichers die Gesamtfunktionalität nicht beeinträchtigt. Umgesetzt wird dies durch den redundanten Einsatz wichtiger Teilsysteme, beispielsweise mit mehreren physischen Festplatten.
3.4.1
Die RAID-Spezifikation
Redundant Array of Bei der Implementierung fehlertoleranter Datenspeicherung folgt Independend Disks Microsoft der systemübergreifenden RAID-Spezifikation. RAID ist die
Abkürzung von Redundant Array of Independend Disks (Redundante Gruppen von unabhängigen Platten) und beschreibt die Funktionen, die durch den Zusammenschluss von Festplatten zu logischen Gruppen erreicht werden.
Die RAID-Level im Überblick RAID ist in verschiedenen Levels definiert. Diese Level sind in Tabelle 3.10 aufgeführt und jeweils kurz erläutert.
3.4 Fehlertolerante Datenspeicherung Level
Beschreibung
RAID 0
Dieses auch als Disk Striping bezeichnete Level beschreibt den Zusammenschluss von mindestens zwei physischen Festplatten zur Erhöhung der Performance zu einem so genannten Stripesetdatenträger. Die Daten werden zwischen den Platten durch das Betriebssystem in gleich große Streifen aufgeteilt, wodurch praktisch gleichzeitig die Performance mehrerer Platten gebündelt zur Verfügung steht. Dieses Level bietet allerdings keine Fehlertoleranz. Das bedeutet, dass bei Ausfall einer Festplatte alle Daten des gesamten Stripesetdatenträgers verloren sind. Allerdings können Sie diese Datenträger auch unter Windows 2000 Professional einsetzen und sich so die hohe erreichbare Performance bei Arbeitsplatzrechnern nutzbar machen.
RAID 1
Level 1 wird auch als Mirroring (Spiegelung) bezeichnet. Dabei werden die Daten parallel auf zwei oder mehr physischen Festplatten gehalten. Bei Ausfall einer Festplatte wird der Betrieb mit den verbleibenden fortgesetzt. Dieses Level wird nur von den Windows 2000-Serverversionen unterstützt. Für jeden dynamischen Datenträger kann eine Spiegelung auf genau einer anderen dynamischen Festplatte eingerichtet werden.
RAID 2
Diese 1988 vorgeschlagene Spezifikation sah vor, ein einfaches Stripeset mit Mechanismen zum Datenschutz auszustatten. So sollte über eine ECC-Methode (Error Checking and Correction) die Datenintegrität gewährleistet werden. Da allerdings die damals verfügbaren Festplatten ECC nicht unterstützten, kam RAID 2 nicht zum kommerziellen Einsatz.
RAID 3
Wie RAID 2 beschreibt dieses Level eine besondere Form von Stripeset mit einer zusätzlichen Methode zum Schutz vor Datenverlusten. Die Parity-Informationen zur Wiederherstellung von Daten bei einem Fehlerfall sind hier jedoch auf eine separate Festplatte ausgelagert. So besteht ein RAID-3Datenträgersatz aus mindestens zwei Festplatten für das Stripeset sowie einer für die Parity-Informationen. Windows 2000 unterstützt dieses RAID-Level nicht.
RAID 4
Dieses Level entspricht weitgehend RAID 3, geht aber von einer anderen chunk size aus. Während RAID 3 auf Byte-Ebene arbeitet, ist diese unter RAID 4 größer (Block-basiert). Damit eignet sich dieses Level eher für transaktionsorientierte Datenbankanwendungen, bei denen es auf ein gutes Antwortverhalten bei vielen kleinen parallelen Zugriffen ankommt. Dieses Level wird von Windows 2000 ebenfalls nicht unterstützt.
77 Tabelle 3.10: RAIDLevel im Überblick
78
3 Massenspeicher Level
Beschreibung
RAID 5
Bei Level 5 wird Mirroring und Striping kombiniert. Der Fehlerkorrekturcode wird über alle angeschlossenen Festplatten gleichmäßig verteilt. RAID 5 wird auch als Striping mit Parität bezeichnet. RAID Level 5 wird von den Windows 2000-Serverversionen unterstützt.
RAID 6
Level 6 stellt eine Erweiterung von Level 5 dar mit der Generierung zweier separat abgespeicherter Parity-Informationen. Diese Lösungen sind komplexer und kostenintensiver als RAID 5-Datenträger und damit einem begrenzteren PremiumKreis mit einem hohen Bedarf nach maximaler Absicherung vorbehalten. Hauptvorteil ist nämlich, dass selbst der Ausfall zweier Festplatten nicht zu Datenverlusten führt. Auch dieses Level wird standardmäßig nicht von Windows 2000 unterstützt.
Hybrid RAID Level
Neben diesen gibt es noch die so genannten Hybrid RAID Level. Bei diesen werden die verschiedenen in Tabelle 3.10 gezeigten Level miteinander in Lösungen kombiniert. RAID 10 beispielsweise verbindet RAID 1 und 0 miteinander. So entsteht ein Datenträger, bei dem zwei Festplatten jeweils zu einem Spiegelsatz zusammengefasst sind. Mehrere dieser Spiegelsätze werden dann wiederum zu einem Stripeset miteinander verbunden. So erreicht man eine hohe Performance bei einer guten Fehlertoleranz. Entsprechend gibt es auch weitere Konstellationen wie beispielsweise RAID 30 und 50. Mehr Informationen zur Implementierung von RAID 0 unter Windows 2000 finden Sie in Abschnitt 3.3.4 Stripesetdatenträger ab Seite 73. Datenträger gemäß RAID 1 und RAID 5 werden in den folgenden Abschnitten ab Seite 80 besprochen.
Fehlerkorrektur mit Parity-Informationen Immer wieder ist von Parity-Informationen im Zusammenhang mit einer fehlertoleranten Datenspeicherung die Rede. Die Darstellung in Tabelle 3.11 zeigt, wie eine solche Parity-Information entstehen kann. Summe der DatenBits
Aus den Datenbits der drei dargestellten Beispiel-Bytes wird die Parity-Information gewonnen. Dabei wird die Summe der jeweiligen Bits benutzt. Ist diese gerade, wird das Parity-Bit 0 gesetzt, bei einer ungeraden Summe entsprechend auf 1.
Datenwiederherstellung
Fällt ein Stripe aus, können mit Hilfe der Parity-Bits trotzdem die Daten wiederhergestellt werden. Ist die Summe der verbleibenden Bits gerade, obwohl das Parity-Bit »ungerade« anzeigt, muss das verlorene Bit auf 1 gesetzt gewesen sein. Stimmt hingegen die Summe (bei-
3.4 Fehlertolerante Datenspeicherung
79
spielsweise »gerade«) mit der Aussage des Parity-Bits überein (ebenfalls »gerade« beziehungsweise auf 0 gesetzt), entspricht das verlorene Bit dem Wert des Parity-Bits.
Stripe Werte
Bits
Dez
Hex
7
6
5
4
3
2
1
0
#1
112
70
0
1
1
1
0
0
0
0
#2
42
2A
0
0
1
0
1
0
1
0
#3
220
DC
1
1
0
1
1
1
0
0
Summe der Bits Parity Werte
odd even even even even odd 1
0
0
0
0
1
Tabelle 3.11: Bildung von ParityInformationen
odd even 1
0
Wo diese Parity-Information letztlich gespeichert wird, hängt von der Parity-Speicherort Implementation des jeweiligen RAID-Levels ab. Bei Level 3 erfolgt die Speicherung auf einer separaten Festplatte, welche nur die ParityInformationen hält. Bei Level 5 wird die Parity-Information gleichmäßig über alle im Set verwendeten Platten verteilt. Der für die Parity-Information benötigte Speicherplatz ist immer ge- Parity-Speichernau so groß wie ein einziger Datenträger im RAID-Stripeset. Das re- größe sultiert logischerweise daraus, dass sich für jede einzelne Bitfolge, welche über alle Datenträger verteilt wird, eine eindeutige Summe ergibt, aus deren Wert ein einziges Bit entsteht (mit der Information »Summe ist gerade« oder »Summe ist ungerade«). Damit stellt die fehlertolerante Speicherung mit Zuhilfenahme der Vor- und Nachteile Parity-Information eine effiziente Lösung dar, wenn es um die Minimierung des Hardware-Aufwands geht. Die Errechnung des ParityBits sowie die Unterbringung desselben im Datenträger erzeugt jedoch Overhead, der zulasten der Performance geht. Kommen dazu auch noch Daten, welche mit der verwendeten chunk size nicht im richtigen Verhältnis stehen und somit die Vorteile von Stripesets nicht ausnutzen können (siehe auch Seite 73), ergeben sich im Vergleich zur einfachen Spiegelung von Datenträgern signifikante Performance-Nachteile.
Hardware versus Software-RAID Windows 2000 Server bringen von Haus aus RAID-Unterstützung zur Implementierung preiswerter fehlertoleranter Softwarelösungen mit. Allerdings muss bemerkt werden, dass spezielle Hardwarelösungen von Drittherstellern mehr Funktionalität und Performance (siehe vorhergehender Abschnitt) mitbringen können. So ist eine Hot-PlugLösung, bei der Festplatten während des laufenden Betriebs ausge-
80
3 Massenspeicher tauscht werden können, allein mit einer Softwarelösung nicht realisierbar.
Kombination verschiedener Level
In professionellen Hardware-Lösungen sind neben der Hot-PlugFähigkeit oft auch mehrere RAID-Level gemeinsam implementiert sowie andere, als von Windows 2000 standardmäßig unterstützt werden (beispielsweise auch RAID Level 3). Die in Windows 2000 implementierten Features für Software-RAID sind somit vorrangig eher für kleinere Serversysteme einsetzbar. Interessant werden hingegen wieder Lösungen von Drittherstellern, die ihre eigenen HardwareLösungen auf das neue Konzept der dynamischen Datenträger und -Festplatten von Windows 2000 abstimmen und somit die Vorteile beider Ansätze miteinander verbinden.
3.4.2 Maximale Fehlertoleranz
Gespiegelte Datenträger
Eine maximale Fehlertoleranz mit einer standardmäßig verfügbaren Softwarelösung unter Windows 2000 ermöglichen gespiegelte Datenträger. Dabei werden genau 2 Festplatten zu einem logischen Datenträger verbunden. Alle Daten werden parallel auf beiden Festplatten gehalten, wodurch sich natürlich die maximal nutzbare Kapazität auf die Größe einer Platte beschränkt. Fällt eine Festplatte aus, kann der Betrieb mit der verbleibenden nahtlos fortgesetzt werden.
Prinzipieller Aufbau In Abbildung 3.7 sehen Sie den prinzipiellen Aufbau eines gespiegelten Datenträgers. Abbildung 3.7: Prinzip eines gespiegelten Datenträgers
Zwei Controller
Die Spiegelung der Festplatten kann auch über zwei getrennte Festplatten-Controller implementiert werden. Damit kann das Risiko eines
3.4 Fehlertolerante Datenspeicherung
81
Controllerausfalls (welches in der Praxis allerdings eher als gering einzustufen ist) minimiert werden. Es ist theoretisch sogar möglich, zwei verschiedene Systemwelten, wie beispielsweise IDE und SCSI, zusammenzubringen. Allerdings sollte beachtet werden, dass die erreichbare Performance durch die schwächste Komponente bestimmt wird.
Performance Im Vergleich zu einem einfachen Datenträger verschlechtert sich in der Praxis die Performance beim Schreiben geringfügig, was sich durch den Einsatz von zwei Controllern vermindern lässt. Beim Lesen wird dagegen ein Geschwindigkeitsvorteil erzielt, da die Leseanforderungen auf beide Festplatten verteilt werden.
Einrichtung und Entfernung Die Einrichtung eines gespiegelten Datenträgers kann auf zwei ver- Neuanlage oder Hinzufügen schiedenen Wegen erfolgen: 1. Sie richten einen neuen gespiegelten Datenträger ein, der sich aus zwei Teilbereichen auf zwei dynamischen Festplatten zusammensetzt. 2. Sie richten die Spiegelung für einen bestehenden einfachen dynamischen Datenträger ein. Eine Einschränkung für konvertierte Basisfestplatten besteht übrigens nicht (siehe auch Abschnitt 3.5.4 System- und Bootdatenträger konvertieren ab Seite 86). Somit lassen sich auch System- und Bootdatenträger von Windows 2000 mit einer Spiegelung versehen. Das Einrichten eines gespiegelten Datenträgers erfordert keinen Neustart, benötigt jedoch abhängig von der Größe der Festplatten einige Zeit. Haben Sie eine Spiegelung für einen Systemdatenträger (enthält Systemdatenträger NTLDR und BOOT.INI) eingerichtet, können Sie in der Datei BOOT.INI spiegeln festlegen, von welcher physischen Festplatte Windows 2000 Server gestartet werden soll. Es empfiehlt sich, bei der Einrichtung der Spiegelung eines Systemdatenträgers jeweils für beide Festplatten einen Booteintrag in der BOOT.INI vorzunehmen, damit im Falle eines Fehlers an einer Festplatte von der anderen gestartet werden kann. Lesen Sie dazu auch die Hinweise in Abschnitt 3.2.5 Die Datei BOOT.INI ab Seite 63.
82 Spiegelung entfernen
3 Massenspeicher Eine einmal eingerichtete Spiegelung können Sie jederzeit wieder entfernen, ohne dass ein Neustart notwendig wird. Nach Entfernen der Spiegelung arbeitet das System normal mit dem verbleibenden einfachen Datenträger weiter.
Spiegelsätze von NT 4.0
Unter Windows NT 4 wurden gespiegelte Datenträger mit Spiegelsätze bezeichnet. Sie können diese Datenträger unter Windows 2000 auf Basisfestplatten weiterhin nutzen und warten. Eine Neuanlage ist allerdings nur auf dynamischen Festplatten möglich.
Administration ab Seite 526
Die Administrationsschritte zum Einrichten und Verwalten von gespiegelten Datenträgern finden Sie in Abschnitt 11.5.1 Gespiegelte Datenträger einrichten ab Seite 526.
3.4.3
RAID 5-Datenträger
Bei RAID 5-Datenträgern werden mindestens drei physische Festplatten zur Datenspeicherung benutzt (siehe auch Tabelle 3.10 auf Seite 76). Dabei wird die errechnete Parity-Information (siehe auch Tabelle 3.11 auf Seite 79) auf alle angeschlossene Datenträger gleichmäßig verteilt.
Prinzipieller Aufbau In Abbildung 3.8 ist ein RAID 5-Datenträger dargestellt, der sich über drei physische Festplatten erstreckt. Im Gegensatz zu einem gespiegelten Datenträger (siehe vorhergehender Abschnitt) geht nicht die Hälfte der Gesamtkapazität verloren, sondern in diesem Fall nur ein Drittel. Dies reduziert sich prozentual gesehen umso mehr, je mehr Festplatten Sie zu solchen Datenträgern zusammenfassen. Abbildung 3.8: Verteilung der Datenblöcke bei einem RAID 5-Datenträger
Bei vier Festplatten beträgt demzufolge der Verlust nur noch 25 Prozent, bei fünf dann entsprechend 20 Prozent usw. (siehe auch Abschnitt Fehlerkorrektur mit Parity-Informationen ab Seite 78).
3.4 Fehlertolerante Datenspeicherung
83
Performance Die Performance einer reinen RAID 5-Softwarelösung, wie standardmäßig in Windows 2000 implementiert, ist eher als nicht besonders hoch einzustufen. Die Leseperformance kann bei der richtigen Anwendungs- und Datenstruktur durchaus mit jener von reinen Stripesetdatenträgern mithalten (siehe auch Seite 73). Beim Schreiben gerät sie im Vergleich mit diesen und auch den gespiegelten Datenträgern schnell ins Hintertreffen. Die Errechnung und Unterbringung der Parity-Informationen auf den Datenträgern kostet Zeit und damit Gesamtperformance. Bei den heutigen Preisen für Festplatten empfiehlt sich deshalb, wenn nur eine Standard-Softwarelösung in Frage kommen soll, gespiegelte Datenträger (siehe vorhergehender Abschnitt) einzusetzen. Diese bieten eine im Vergleich sehr ausgewogene bis gute Performance bei einer sehr hohen Fehlertoleranz.
Einrichtung und Änderungen RAID 5-Datenträger können Sie ausschließlich auf mindestens drei dynamischen Datenträgern unter einer der Windows 2000 ServerVersionen einrichten. Dabei können allerdings System- oder Bootdatenträger nicht mit eingeschlossen werden. Diese könnten Sie, wenn RAID 5 für die Datenlaufwerke zum Einsatz kommen soll, separat über Spiegelungen absichern (siehe auch Abschnitt 3.4.2 Gespiegelte Datenträger ab Seite 80). Einmal zu einem RAID 5-Datenträger zusammengeschlossene Daten- Ändern von RAID träger können Sie nicht wieder voneinander lösen. Sie könnten aller- 5-Datenträgern dings, Hot-Plug-fähige Hardware vorausgesetzt, während des laufenden Betriebes eine Festplatte entfernen und durch eine neue ersetzen. Der betreffende RAID 5-Datenträgerteil wird dann von Windows 2000 neu auf dieser Platte aufgebaut. Das geht natürlich auch, wenn Sie keine Hot-Plug-fähige Hardware einsetzen, nur müssen Sie dann zuvor den Server herunterfahren. Stripe Sets mit Parity, die unter Windows NT 4 angelegt worden sind, Stripe Sets mit können Sie mit der Windows 2000 Datenträgerverwaltung weiterhin Parity unter NT 4 verwenden und im Bedarfsfall reparieren lassen. Neu anlegen können Sie hingegen solch einen NT-kompatiblen Datenträger nicht. Die notwendigen Administrationsschritte zur Einrichtung und Ver- Administration ab waltung finden Sie in Abschnitt 11.5.2 RAID 5-Datenträger einrichten Seite 529 ab Seite 529.
84
3 Massenspeicher
3.5
Konvertieren von Basisfestplatten
Erst mit Nutzung dynamischer Festplatten und Datenträger profitieren Sie von den erweiterten Möglichkeiten der neuen Datenträgerverwaltung von Windows 2000. Was aber, wenn Sie diese auch für Festplatten nutzen wollen, die bisher in Ihrem System als Basisfestplatten eingerichtet sind? Sie haben grundsätzlich die Möglichkeit, aus vorhandenen Basisfestplatten mit ihren Partitionen und logischen Laufwerken dynamische Festplatten mit dynamischen Datenträgern zu machen. Allerdings ergeben sich dabei einige Besonderheiten und auch Einschränkungen bei der Konvertierung von Basisfestplatten in dynamische, die in diesem Abschnitt gezeigt werden.
3.5.1
Wie die Konvertierung funktioniert
Mit Hilfe der Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte konvertieren. Aus den angelegten primären Partitionen und den ggf. vorhandenen logischen Laufwerken in einer erweiterten Partition werden Einfache Datenträger. In Abbildung 3.9 sehen Sie, wie die Konfiguration der Basisfestplatte aus dem Beispiel von Seite 59 nach einer Konvertierung aussehen würde. Abbildung 3.9 Beispiel der Konvertierung einer Basisfestplatte
3.5 Konvertieren von Basisfestplatten
85
Aus den drei primären Partitionen sind nun drei Einfache Datenträger geworden, ebenso aus den beiden logischen Laufwerken in der vormals vorhandenen erweiterten Partition. Eine Besonderheit bei der Umwandlung einer vorhandenen Basisfest- Partitionstabelle platte in eine dynamische besteht darin, dass die Partitionstabelle er- bleibt erhalten halten bleibt. Die Partitionseinträge in der Tabelle (siehe auch Seite 60) sind nun hinsichtlich ihres Partitionstyps als Dynamische Datenträger gekennzeichnet und werden unter Windows 2000 auch durch die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte verwaltet. Andere Betriebssysteme wie MS-DOS, Windows 9x/ME oder NT können nach einer Konvertierung einer Basisfestplatte in eine dynamische auf diese nicht mehr zugreifen. Dies sollten Sie unbedingt berücksichtigen, bevor Sie beispielsweise eine System- oder Bootpartition, die auch eines der o.g. anderen Betriebssysteme enthält, in eine Konvertierung einbeziehen. Bedenken Sie auch, dass Datenträger-Reparaturprogramme von Drittherstellern in der Regel dynamische Datenträger nicht unterstützen oder bei ihrem Einsatz unter Umständen Schaden anrichten können.
3.5.2
Zurückkonvertieren in eine Basisfestplatte
Ein Zurückkonvertieren einer dynamischen in eine Basisfestplatte ist Zurückkonvertieren nur für eine leere Festplatte möglich. Das bedeutet, dass Sie zuerst alle nicht wirklich mögDaten sichern müssen, alle dynamischen Datenträger löschen und lich! dann die Zurückkonvertierung vornehmen können. Einen wirklichen Weg zurück gibt es also nicht.
3.5.3
Änderungen an konvertierten dynamischen Datenträgern
Änderungen an den konvertierten dynamischen Datenträgern werden Löschen wird in in der Partitionstabelle der konvertierten dynamischen Festplatte nicht Partitionstabelle mehr vollständig berücksichtigt. Wenn Sie einen konvertierten Basis- berücksichtigt datenträger, der vormals eine primäre Partition oder ein logisches Laufwerk in der erweiterten Partition war, in der dynamischen Festplatte löschen, wird dies in der intern noch vorhandenen Partitionstabelle eingetragen. Das erkennen Sie beispielsweise daran, wenn Sie sich das Beispiel für eine konvertierte Festplatte (siehe Abbildung 3.9 auf Seite 84) mit einer Windows 2000-Installation im einfachen Datenträger 5 vorstellen. Wenn Sie nun den einfachen Datenträger 4 löschen, wird Windows trotzdem noch starten können. Das ist der Be-
86
3 Massenspeicher weis, dass Windows für den Fall des Löschens die Partitionstabellen pflegt.
Neuanlagen nur noch in Datenträgerdatenbank
Anders sieht es aus, wenn Sie im freien Bereich einer dynamischen Festplatte, der beispielsweise entstanden ist, weil Sie einen konvertierten Basisdatenträger gelöscht haben, einen neuen einfachen (jetzt richtig) dynamischen Datenträger erstellen. Dieser wird nicht mehr in den intern noch geführten Partitionstabellen berücksichtigt, sondern nur noch in die Datenträgerverwaltungsdatenbank am Ende der physischen Festplatte eingetragen. Deshalb hat dieser neue Datenträger dann alle Eigenschaften eines richtigen dynamischen Datenträgers. So können Sie diesen beispielsweise zu einem Übergreifenden Datenträger erweitern, was mit einem konvertierten Basisdatenträger nicht möglich wäre (siehe auch Abschnitt 3.3 Dynamische Festplatten ab Seite 69).
Achtung bei System- und Bootdatenträgern
Dies ist bedeutsam für die Installation und den Betrieb von Windows 2000. Das Betriebssystem kann nur dann auf richtige dynamische Datenträger zugreifen, das heißt auf solche, die nur noch in der Datenträgerverwaltungsdatenbank gehalten werden, wenn es vollständig gestartet ist. Weder das Setup-Programm noch die Startroutinen von Windows 2000 erkennen vorher dynamische Datenträger. Windows 2000 kann nur auf dynamischen Datenträgern installiert oder von diesen ausgeführt werden (System- und Bootdatenträger), die zuvor auf einer Basisfestplatte bestanden haben und von dieser konvertiert worden sind. Das bedeutet, dass Sie vor der Installation von Windows 2000 die Einrichtung der Festplatte gut planen müssen.
3.5.4
System- und Bootdatenträger konvertieren
Bei all den Einschränkungen, die beim Konvertieren von System- oder Bootdatenträgern zu beachten sind, stellt sich Ihnen vielleicht die nicht unberechtigte Frage, warum Sie dies überhaupt vornehmen sollten. Schließlich verhalten sich konvertierte dynamische Festplatten keinen Deut anders als ganz normale Basisfestplatten – solange Sie nicht doch einen neuen dynamischen Datenträger in einem freien Bereich auf ihnen erstellen. Konvertierung eines reinen Windows 2000Systems
Unter folgenden Umständen ist eine Konvertierung von System- und Bootdatenträger bei einem Windows 2000-Serversystem sinnvoll: • Windows 2000 ist das einzige Serverbetriebssystem auf der Maschine. • Das Betriebssystem befindet sich auf einer eigenen Partition.
3.6 Der Wechselmediendienst
87
• Eine oder mehrere Bereiche auf der Festplatte sind frei und werden als neue dynamische Datenträger nach der Konvertierung angelegt. Nach der Installation des Betriebssystems auf einem Teil der Festplatte (einer primären Partition) kann der restliche Teil nach der Konvertierung dynamisch angelegt und damit gegenüber der klassischen Vorgehensweise – erweiterte Partition und logische Laufwerke - viel flexibler gehandhabt werden. Dynamische Datenträger können Sie sehr viel flexibler handhaben, als wenn Sie klassisch mit weiteren primären oder logischen Laufwerken in einer erweiterten Partition arbeiten würden. Diese neuen Datenträger können Sie beispielsweise leicht zu Übergreifenden Datenträgern erweitern oder zum Teil eines Stripesetdatenträgers machen.
3.6
Der Wechselmediendienst
Die Verwaltung von Wechselmedien ist auch einer der Bereiche, die einer starken Überarbeitung im Vergleich zum Vorgänger NT unterzogen worden sind. Zentrale Verwaltungsinstanz ist jetzt der Wechselmediendienst, welcher über das Managementkonsolen-Snap-In WECHSELMEDIENVERWALTUNG administriert werden kann. Die konkreten Administrationsschritte sind Inhalt des Abschnitts Administration ab Seite 531 11.6 Verwaltung von Wechselmedien ab Seite 531.
3.6.1
Grundprinzip des Wechselmediendienstes
Beim Umgang mit Wechselmedien ist unter Windows 2000 kein Stein auf dem anderen geblieben. Zum besseren Verständnis macht deshalb an dieser Stelle ein direkter Vergleich mit den zugrundeliegenden Verfahren beim Vorgänger NT Sinn.
Windows NT: Geräteorientierter Ansatz In Abbildung 3.10 sehen Sie den geräteorientierten Ansatz, wie er unter NT Verwendung findet. Die einzelnen Speichermedien wie Magnetbänder oder Wechselplattenlaufwerke werden jeweils über herstellerspezifische Treiber eingebunden.
88
3 Massenspeicher
Abbildung 3.10: Wechselmedienverwaltung unter Windows NT
Jede Anwendung muss ihrerseits wiederum über die geeigneten Schnittstellen zu diesen Treibern verfügen, um auf die Medien zugreifen zu können.
Windows 2000: Anwendungsorientierter Ansatz Einheitliche API
Mit Windows 2000 wurde dieser Ansatz radikal über Bord geworfen. Über den Wechselmediendienst werden alle Geräte integriert und über eine einheitliche API (Application Programming Interface) allen anderen Anwendungen zur Verfügung gestellt (siehe Abbildung 3.11). Hersteller von Speicherlösungen brauchen deshalb nicht mehr eigene, hardwarenahe Gerätetreiber programmieren oder auf diese direkt zugreifen. Vielmehr können sie sich jetzt verstärkt auf das Design ihrer Anwendungen konzentrieren.
Abbildung 3.11: Windows 2000 Wechselmediendienst
So wurde beispielsweise die aufwändige Programmierung von Treibern für große Magnetbandwechsler von der Anwendungsschnittstel-
3.6 Der Wechselmediendienst le getrennt. Das Ansprechen der einzelnen Bänder bis hin zur Aufforderung an den Administrator für einen manuellen Eingriff kann nun das Betriebssystem selbstständig übernehmen. Eine Ausnahme liefert Microsoft selbst mit: Bei der Anwendung Remo- Ausnahme Retespeicher wird genau dieses Konzept nicht vollständig umgesetzt. Die- motespeicher se greift auf die Bandgeräte zur Auslagerung von Dateien nicht über die API des Wechselmediendienstes zu, sondern benutzt die Windows 2000-Gerätetreiber auf Kernelebene. Allerdings ermöglicht die Zusammenarbeit mit dem Wechselmediendienst die gemeinsame Nutzung von bestimmten Hardwareressourcen. Mehr zu diesem Thema erfahren Sie in Abschnitt 3.6.4 Remotespeicher ab Seite 96.
Anwendung: Datensicherung Windows 2000 liefert mit dem neuen Datensicherungsprogramm NTBACKUP eine Anwendung mit, welche direkt auf den Wechselmediendienst aufsetzt. Das Programm wurde gegenüber dem Vorgänger in Windows NT stark überarbeitet und erweitert. Näher eingegangen wird auf diese Anwendung in Abschnitt 3.6.3 Datensicherung ab Seite 92. Sie sollten sich allerdings von der durchaus gebotenen umfangreichen Kein Ersatz für Funktionalität dieser Anwendung nicht blenden lassen. Eine wirklich professionelle professionell einsetzbare Datensicherungslösung kann diese nicht er- Lösungen setzen. Allerdings haben es deren Hersteller mit dem neuen Ansatz von Einheitliche API Microsoft nun leichter und können direkt auf die API für die Ansteue- verfügbar rung der Geräte und den transparenten Zugriff auf beliebige Medien zugreifen. Mitgeliefert sein sollten dann auch Verwaltungswerkzeuge, welche die Managementkonsole nutzen und sich somit nahtlos in die unter Windows 2000 gebräuchlichen Administrationskonzepte einordnen.
3.6.2
Medienpools
Die Verwaltung von Wechselmedien stellt eine besondere Herausforderung an die Administratoren dar, insbesondere dann, wenn umfangreiche Bibliotheken mit einer hohen Anzahl an Medien bestehen. Windows 2000 liefert mit dem Snap-In WECHSELMEDIENVERWALTUNG ein Werkzeug, das direkt auf den Wechselmediendienst (siehe vorhergehenden Abschnitt) aufsetzt und eine Grundfunktionalität für die Administration mitbringt.
89
90
3 Massenspeicher
Abbildung 3.12: MMC Wechselmedienverwaltung
Vorrangig Bandwechsler
Das Snap-In WECHSELMEDIENVERWALTUNG ist in erster Linie für die Verwaltung von Bandwechslern konzipiert worden, wie sie auch bei großen Serversystemen sinnvoll sind. Allerdings sollten Sie beachten, dass dieses Tool nicht ohne Weiteres für die professionelle Verwaltung komplexer Bibliotheken mit einer hohen Anzahl an Medien ausreichend ist. Hier müssen die Hersteller entsprechender Hard- und Softwarelösungen eigene Verwaltungswerkzeuge mitliefern, die sich aber in die vorgegebene Struktur der Wechselmedienverwaltung einordnen und direkt auf die API des Wechselmediendienstes zugreifen sollten. Aus diesem Grund werden wir im Folgenden nicht näher auf die mitgebrachten Funktionen für die Bandwechselsysteme eingehen und verweisen auf die Dokumentationen professioneller Lösungen.
Grundfunktionalität Für alleinstehende Bandlaufwerke steht eine Grundfunktionalität zur für alleinstehende Verfügung. Allerdings müssen Sie mit bestimmten Einschränkungen Bandlaufwerke rechnen, wenn Sie Ihre Datensicherung allein mit den mitgebrachten
Softwarewerkzeugen (siehe auch Abschnitt 3.6.3 Datensicherung ab Seite 92) erledigen wollen. Ein Effekt, den auch Microsoft beschreibt, besteht beispielsweise darin, dass ein Bandwechsel in einem alleinstehenden Bandlaufwerk nicht immer sofort erkannt wird. So kann es dann zum Abbruch der Sicherung mit der Meldung »Kein Medium verfügbar« kommen, obwohl scheinbar alles in Ordnung ist. Professionelle Lösungen vorziehen
Wollen Sie also die Datensicherung im Unternehmen auf solide Füße stellen, kommen Sie doch nicht um den Erwerb professioneller Sicherungslösungen herum. Da sich die Rahmenbedingungen für die Entwickler gebessert haben (siehe auch Abschnitt Windows 2000: Anwendungsorientierter Ansatz ab Seite 88), können Sie mit einer guten Auswahl am Markt rechnen.
3.6 Der Wechselmediendienst
91
Arten von Medienpools Es wird grundsätzlich zwischen zwei verschiedenen Arten von Medienpools unterschieden: • Systemmedienpools In der Wechselmedienverwaltung finden Sie die folgenden Systemmedienpools: -
Systemmedienpools
Freie Medien Hier werden frei verfügbar gekennzeichnete Medien geführt. Das sind Medien, die keine durch eine der Anwendungen verwalteten Daten enthalten beziehungsweise derzeit nicht in Benutzung sind. Auf diese Medien kann durch alle Anwendungen zugegriffen werden, welche die API des Wechselmediendienstes benutzen.
-
Importmedien Medien in diesem Pool sind durch die Wechselmedienverwaltung als benutzt erkannt worden. Es steht jedoch am konkreten System keine Anwendung für die weitere Verwendung zur Verfügung.
-
Nicht erkannte Medien Diese Medien werden zwar als existent erkannt, jedoch kann nicht auf sie zugegriffen werden. Dies kann durch ein unbekanntes Format oder durch Defekte verursacht sein. Sie können solche Medien über die Wechselmedienverwaltung vorbereiten und dann in einen anderen Pool verschieben.
• Anwendungsmedienpools Anwendungen, die direkt die API des Wechselmediendienstes benutzen, können eigene Medienpools anlegen. So finden Sie beispielsweise die durch NTBACKUP benutzten Medien hier wieder (siehe dazu auch Abschnitt 11.6.2 Datensicherung einrichten und verwenden ab Seite 535 im Administrationsteil).
Verschieben von Medien zwischen Pools Neben den automatischen Zuweisungen von Medien an bestimmte Pools können Sie auch manuell eingreifen und Medien zwischen diesen verschieben. So ist es beispielsweise möglich, dass Sie die durch eine Anwendung gehaltenen Medien wieder in den Pool freier Medien verschieben und damit allen anderen Anwendungen ebenfalls zur Verfügung stellen.
Anwendungsmedienpools
92
3 Massenspeicher Anlegen eigener Medienpools
Hierarchische Strukturen möglich
Für die Katalogisierung von Medienbeständen können Sie auch selbst Medienpools anlegen. Dabei lassen sich hierarchische Strukturen aufbauen. Medienpools können so weitere Medienpools enthalten und verhalten sich dann wie normale Verzeichnisstrukturen, welche Sie allerdings nur über die Wechselmedienverwaltung administrieren können.
Administration ab Seite 531
Weitere Hinweise zur den konkreten Administrationsschritten finden Sie in Abschnitt 11.6.1 Einrichten von Medienpools ab Seite 531.
3.6.3 NTBACKUP
Datensicherung
Das neue standardmäßige Datensicherungsprogramm von Windows 2000 hat mit dem unter NT bekannten NTBACKUP nur noch den Namen gemeinsam. Es wurde stark erweitert und bietet jetzt unter anderem die folgenden Funktionen: • Assistenten für die einfache Einrichtung von Sicherungs- und Wiederherstellungsaufgaben • Zulassung von Dateien neben Bandlaufwerken als Sicherungsorte • Sicherung der wichtigsten Systemdateien sowie Erstellung der Notfalldiskette • Sicherung der Systemstatusdateien • Bestimmung von Sicherungstypen • Integrierte komfortable Zeitplanungsfunktion Die Datensicherung kann nur von Benutzern durchgeführt werden, die Mitglieder in den Gruppen Administratoren oder SicherungsOperatoren sind.
Administration ab Seite 535
Die wichtigsten dieser Funktionen werden in den folgenden Abschnitten näher erläutert. Die grundlegenden Administrationsschritte finden Sie in Abschnitt 11.6.2 Datensicherung einrichten und verwenden ab Seite 535.
Sicherung in Dateien Neben den üblichen Sicherungsmedien wie Bandlaufwerke unterstützt NTBACKUP jetzt auch die Sicherung in Dateien. Die dabei angelegte Sicherungsdatei können Sie sowohl lokal als auch über das Netzwerk ablegen. Damit lassen sich einfach Sicherungsszenarien entwickeln, bei denen Daten von Arbeitsstationen (NTBackup läuft
3.6 Der Wechselmediendienst
93
auch unter Windows 2000 Professional) in regelmäßigen Abständen im Netzwerk gespeichert werden. Abbildung 3.13: Sicherung in Datei
Die mit NTBACKUP angelegten Sicherungsdateien können nur mit dieser Software (und nur mit der Windows 2000 Version) wieder geöffnet werden. NTBACKUP von Windows NT kann dieses Format nicht lesen.
Sicherung der Registrierungsdateien und die Notfalldiskette Die Schaltfläche NOTFALLDISKETTE in NTBACKUP erzeugt mehr als nur Sicherung der eine Diskette mit den wichtigsten Dateien für eine Datenträgerrepara- Registrierung tur. Zusätzlich werden auch die Dateien der Systemregistrierung an den folgenden Speicherort kopiert: %Systemroot%\Repair\RegBack
Beachten Sie dazu ebenfalls die weitergehenden Hinweise in Abschnitt 17.3.5 Notfallreparaturkonsole ab Seite 997.
Sicherung der Systemstatusdateien Die Systemstatusdateien umfassen bestimmte Dateien, welche für das Funktionieren von Windows 2000 eine besondere Rolle spielen: • Registrierungsdateien • COM+ Klassen-Registrierungsdatenbank
Inhalt Systemstatus
• Dateien für den Systemstart • Verzeichnis SYSVOL bei Domänencontrollern im Active Directory • Datenbank für die Zertifikatsdienste bei Zertifikatsservern Die Sicherung dieser ausgewählten Dateien können Sie mit Hilfe des Sicherungsassistenten auf Knopfdruck veranlassen (siehe auch Seite 537 im Administrationsteil). Anders als die Online-Hilfe glauben machen will, können Sie die Sys- Auch auf Remotetemstatusdateien auch in eine Sicherungsdatei (siehe Abschnitt computer Sicherung in Dateien ab Seite 92) auf einem Remotecomputer (über das Netzwerk oder eine andere Datenfernverbindung) speichern.
94
3 Massenspeicher Sicherungstypen Sie können sich bei der Sicherung von Daten zwischen diesen fünf Sicherungstypen entscheiden: • Normal Die ausgewählten Dateien werden zum Sicherungsort (Datei oder Band) kopiert und das Archiv-Attribut wird deaktiviert. Damit sind diese Dateien als »gesichert« markiert. • Kopieren Die Dateien werden ebenfalls kopiert, wobei allerdings das ArchivAttribut nicht verändert wird. • Inkrementell Es werden nur die seit der letzten normalen Sicherung veränderten Dateien gesichert und über Deaktivierung des Archiv-Attributs entsprechend markiert. • Differenziell Wie Inkrementell, nur dass das Archiv-Attribut nicht zurückgesetzt wird. • Täglich Es werden nur die Dateien gesichert, die an diesem Tag verändert worden sind. Das Archiv-Attribut wird nicht deaktiviert. Beachten Sie, dass Sie im Falle der Verwendung der letzten drei Methoden für die Wiederherstellung auch die letzte normale Sicherung benötigen. Bei der inkrementellen Sicherung benötigen Sie darüber hinaus alle inkrementellen Sicherungssätze.
Integrierte Zeitplanungsfunktion Mit Hilfe der integrierten Zeitplanungsfunktion können Sie auf einfache Art und Weise die Datensicherung periodisch durchführen lassen.
3.6 Der Wechselmediendienst
95 Abbildung 3.14: Komfortable Zeitplanung
Die so erstellten Vorgänge werden ganz normal durch das Betriebssystem geführt und können beispielsweise auch über das Netzwerk verwaltet werden. Abbildung 3.15: Verwaltung von Tasks über das Netzwerk
Die konreten Administrationsschritte werden in Abschnitt 11.6.2 Datensicherung einrichten und verwenden ab Seite 535 behandelt.
96
3 Massenspeicher Wechselmedien- und Remotespeicherdatenbanken sichern Benutzen Sie die Anwendung Remotespeicher (siehe auch Abschnitt 3.6.4 Remotespeicher ab Seite 96), sollten Sie die Dateien in den folgenden Ordnern mit sichern: %Systemroot%\System32\Ntmsdata %Systemroot%\System32\Remotestorage
Nur so kann sichergestellt werden, dass Sie alle Daten der Wechselmedien- und Remotespeicherdatenbanken korrekt wiederherstellen können. Dies betrifft sowohl angelegte Medienpools als auch die Dateien, die durch den Remotespeicher ausgelagert worden sind.
Sicherungsprotokoll Das Sicherungsprotokoll kann im Umfang durch den Administrator in drei Stufen festgelegt werden (von keiner bis zur detaillierten Protokollierung). Es wird für jede Sicherung automatisch neu erzeugt und im folgenden Verzeichnis abgelegt: Pfad Sicherungsprotokoll
backupxx.log
%SystemLW% \Dokumente und Einstellungen \ \Lokale Einstellungen \Anwendungsdaten \Microsoft \Windows NT \NTBackup \data %SystemLW% steht dabei für das Systemlaufwerk (beispielsweise C:). Die Protokolldateien selbst heißen backupxx.log, wobei xx für einen Zähler
steht, der mit jeder Sicherung um eins erhöht wird.
3.6.4 Auslagerung weniger benötigter Dateien
Remotespeicher
Mit dieser Anwendung können Sie ein hierarchisches Speichermanagement für ein Windows 2000 Serversystem aufbauen. Ziel ist dabei die möglichst effektive Ausnutzung von Speicherplatz bei Sicherstellung einer hohen Verfügbarkeit der Daten. In diesem Abschnitt finden Sie eine Einführung in die Grundprinzipien dieser Anwendung. Zur konkreten Implementierung auf einem Serversystem finden Sie weitere Hinweise in der Online-Hilfe von Windows 2000 Server sowie in den Dokumentationen zu den entsprechenden automatischen Magnetband-Bibliotheken.
3.6 Der Wechselmediendienst
97
Grundsätzlicher Aufbau Realisiert wird dies, indem wenig benötigte Dateien auf ein Band- NTFS-Bereitstellaufwerk ausgelagert werden. Über das NTFSv5-Dateisystem und die lungspunkte hier verfügbaren Bereitstellungspunkte (siehe auch Abschnitt 4.4.3 Analysepunkte und Bereitstellungen ab Seite 130) bleiben diese Dateien aber weiterhin mit allen Eigenschaften für den Benutzer sichtbar. Abbildung 3.16: Prinzip Remotespeicher
Wird auf eine der ausgelagerten Dateien durch einen Benutzer oder eine Anwendung zugegriffen, wird diese über den Remotespeicherdienst angefordert und vom betreffenden Medium wieder physisch auf den Datenträger kopiert. Der Benutzer merkt von diesem Vorgang nichts, sieht man einmal von der längeren Wartezeit ab, die dieser Vorgang in Anspruch nimmt. Der Administrator kann die Auslagerung über zwei grundsätzliche Kriterien für Auslagerung Kriterien steuern: • Freier Speicherplatz Sie können angeben, wie viel Speicherplatz auf den betreffenden Festplatten noch frei bleiben soll. Erst wenn diese Grenze erreicht wird, beginnt das System Dateien wirklich auszulagern und Speicherplatz auf der Festplatte freizugeben. • Auszulagernde Dateien Sie können festlegen, welche Dateien überhaupt ausgelagert werden dürfen.
Hardware-Voraussetzungen Wie schon auf Seite 88 dargelegt, greift die Anwendung Remotespeicher Direkter Zugriff auf direkt auf die Gerätetreiber für die Bandlaufwerke zu. Dabei werden Gerätetreiber die folgenden Systeme unterstützt:
98
3 Massenspeicher • 4 und 8 mm DAT-Bandlaufwerke • DLT-Bandlaufwerke Andere Bandsysteme, beispielsweise QIC-Streamer, werden nicht unterstützt.
Zertifizierte Treiber
Grundsätzlich gilt, dass für diese Bandsysteme Windows 2000 zertifizierte Treiber benötigt werden. Wichtig ist, dass nur ein einziger Medientyp verwendet wird. Soll die Remotespeicher-Kapazität nachträglich um weitere Geräte erweitert werden, muss darauf geachtet werden, dass identische Hardware zum Einsatz kommt.
Hardwareressourcen teilen
Bei der Verwendung einer großen automatischen MagnetbandBibliothek können Sie die Remotespeicher-Anwendung so konfigurieren, dass nur bestimmte Gerätesteckplätze verwendet werden. Verbleibende Steckplätze können dann durch den Wechselmediendienst anderen Anwendungen zur Verfügung gestellt werden.
3.7
Der Indexdienst
Die steigende elektronische Datenflut auf Arbeitsplatzcomputern und im Netzwerk, auch ausgelöst durch die immer weitere Verlagerung von Brief- und Fax-Schriftverkehr ins Internet, machen effiziente Methoden zum Finden von abgelegten Informationen notwendig. Dabei geht es um mehr als nur die Suche nach Dateinamen – wer erinnert sich schon an den Namen eines Briefes, den er vor Monaten vielleicht an einen Geschäftspartner geschrieben hat? Suche auch nach Inhalten
Mit Hilfe des Windows 2000-Indexdienstes können Sie auf Datenträgern abgelegte Informationen katalogisieren lassen. Mit einbezogen werden dabei auch weitergehende Informationen wie der Dateiinhalt. So können Sie über Schlüsselworte aus dem Inhalt nach Dateien suchen.
Anpassungen notwendig
Um den Indexdienst effektiv einsetzen zu können, ist es notwendig, diesen benutzerspezifisch anzupassen. Es ist meist wenig sinnvoll, auf einem Server alle Festplatten zu indizieren. Da der Index selbst Festplattenkapazität benötigt und die Erstellung Rechenzeit in Anspruch nimmt, sollten nur jene Dateien und Ordner indiziert werden, für die Suchanfragen Sinn machen.
Administration ab Seite 577
Die grundlegende Funktionsweise und die wesentlichen Komponenten des Indexdienstes werden in diesem Abschnitt behandelt. Wie Sie den Indexdienst als Administrator individuell anpassen können, erfahren Sie in Abschnitt 11.13 Indexdienst einrichten ab Seite 577.
3.7 Der Indexdienst
99
Bei der ersten ausgelieferten Version von Windows 2000 (Professional und Server) gab es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt: http://www.microsoft.com/windows2000/downloads/critical/ q253934/default.asp
3.7.1
Patch
Überblick zur Indizierung
Unter Indizierung von Dateien versteht man die systematische Kata- Was ist Indizielogisierung nach bestimmten Eigenschaften. Diese werden zusammen rung? mit der Angabe des Dokumentenpfades in einem Katalog gespeichert. Bei der Suche wird dann auf diesen Katalog zugegriffen. Die Art des Aufbaus des Kataloges entscheidet darüber, wie effizient die Suche durchgeführt wird und wie viele relevante Informationen zu den verwalteten Daten enthalten sind. Der Windows 2000-Indexdienst wird standardmäßig mit installiert. Er Windows 2000muss für die Nutzung allerdings aktiviert werden (siehe auch Ab- Indexdienst schnitt 11.13.1 Indexdienst aktivieren ab Seite 578). Voreingestellt ist ein Katalog System, in dem die Indizes aller Dateien der installierten festen Datenträger zusammengefasst sind. Die Aktivierung und Konfiguration des Indexdienstes ist Administratoren vorbehalten. Über die Gruppenrichtlinie Indexdienst können Sie festlegen, welchen Benutzern Zugriff auf die Einstellungen des Indexdienstes über das entsprechende Snap-In gewährt wird. Die Indizierung erfolgt unter Windows 2000 als Prozess im Hinter- Indizierung im grund. Inwieweit der Server dabei beansprucht wird, hängt in erster Hintergrund Linie von der Leistungsfähigkeit der eingesetzten Hardware und der Anzahl der zu indizierenden Dateien ab. Der Indexdienst sollte an die jeweiligen Anforderungen angepasst werden (siehe auch Abschnitt 11.13 Indexdienst einrichten ab Seite 577). Sie können bestimmen, wie hoch die Performance des Indexdienstes sein soll und wie oft oder wie schnell Veränderungen an Dateien im Index aktualisiert werden sollen. Nach Installation des Indexdienstes werden zunächst alle Dateien der Was wird indiziert? existenten Festplatten indiziert. Sie können allerdings selbst bestimmen, welche Dateien und Ordner in die Indizierung einbezogen werden sollen. Meist ist es sinnvoll, nur ausgewählte Verzeichnisse zu
100
3 Massenspeicher indizieren. Das Dateisystem eines zu indizierenden Datenträgers spielt nur eine untergeordnete Rolle.
Vorteil bei Nutzung von NTFS
Die maximale Performance und mehr Einflussmöglichkeiten bietet allerdings NTFSv5 (siehe auch Kapitel 4 Dateisysteme ab Seite 107). Nur hier ist das NTFS-Änderungsjournal verfügbar, mit dem Änderungen an Dateien schnell auf Dateisystemebene erfasst werden. Dadurch kann der Indexdienst besonders bei großen Datenbeständen sehr schnell auf Änderungen reagieren. Entscheidend für die Performance ist hier nicht mehr, wie viele Dateien auf dem Datenträger existieren, sondern wie viele geändert worden sind.
Indexattribut
Als zweiter wichtiger Unterschied zu den FAT-Dateisystemen ist das Vorhandensein eines Attributes für die Indizierung (siehe auch Seite 128). Sie können damit beispielsweise bestimmen, welche Dateien und Ordner durch die Indizierung ausgenommen werden, obwohl diese im Katalog zunächst aufgenommen worden sind.
Verschlüsselung kontra Indizierung
Dateien, die durch das verschlüsselnde Dateisystem (EFS; siehe auch Abschnitt 4.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 133) chiffriert sind, werden nicht in den Index aufgenommen. Nachträglich verschlüsselte Dateien werden automatisch aus dem Index entfernt. Für eine maximale Sicherheit sollten Sie den Indexdienst deaktivieren. Sie können auch gezielt nur bestimmte Kataloge indizieren beziehungsweise ganze Verzeichnisse aus der Indizierung herausnehmen.
Kataloge
Endergebnis der Indizierung sind der aktuelle Katalog System beziehungsweise ein oder mehrere benutzerspezifische Kataloge, die einen kompletten Index mit den Verweisen und allen gewünschten Informationen zu den entsprechenden Dateien enthalten. Die Suche über das Suchen-Dialogfenster im Windows Explorer wird dann automatisch auf die Kataloge ausgedehnt, die für den oder die betreffenden Datenträger existieren. Für den Benutzer läuft der Vorgang transparent ab; bei einer aufwändigeren Suche wird er nur deutlich schneller ein Ergebnis präsentiert bekommen. Eine Suche nach einem Textauszug aus dem Inhalt beispielsweise wird dann im aktuellen Katalog durchgeführt. Steht kein Katalog zur Verfügung beziehungsweise ist der Indexdienst inaktiv, erfolgt die Suche herkömmlich mit dem Durchforsten jeder einzelnen Datei. Das dauert länger und hat deutlich mehr Datenträgerzugriffe zur Folge.
3.7.2
Der Indizierungsvorgang
Abbildung 3.17 zeigt schematisch die einzelnen Schritte beim Indizieren einer Datei. Im Hintergrund liest der Indexdienst, wenn er neu gestartet wurde oder neue Dateien hinzukommen, jedes einzelne Dokument ein.
3.7 Der Indexdienst
101 Abbildung 3.17: Indizierung einer Datei
Bei der Indizierung werden die folgenden Schritte durchgeführt: 1. Es wird der Typ des Dokuments ermittelt. Existiert ein Dokumentfilter (siehe unten) für das Dateiformat, werden damit der Inhalt sowie die Dokumenteigenschaften extrahiert. Wird kein spezifischer Dokumentfilter gefunden, wird je nach Einstellung für den Katalog die Datei trotzdem in den Index aufgenommen oder davon ausgeschlossen. Bei Aufnahme einer solchen Datei in den Index werden über einen allgemeinen Filter nur die Merkmale extrahiert, die gewonnen werden können. Eine umfassende Volltextsuche kann dann allerdings nur eingeschränkt möglich sein. 2. Die Dokumenteigenschaften sowie der Pfad werden im Index gespeichert. 3. Der Inhalt des Dokuments wird analysiert und die verwendete Sprache ermittelt. Es wird eine Einzelwortliste erstellt, die um die Wörter aus der Ausnahmewortliste (siehe unten) bereinigt wird. Die verbliebene Wortliste zu dem Dokument wird im Index gespeichert. 4. Die ermittelten Dokumenteigenschaften werden im Eigenschaftencache abgelegt. Da die eingesetzten Dateifilter die verschiedensten
Ablauf der Indizierung
102
3 Massenspeicher Eigenschaften je Dateityp extrahieren können, gibt es damit die Möglichkeit zu bestimmen, welche Eigenschaften im Suchdialog für Abfragen benutzt werden können. 5. Die gewonnenen Informationen zu den Eigenschaften und zum Inhalt werden zunächst temporär im Arbeitsspeicher in so genannten Wortlisten gehalten. Diese werden dann in temporären Indizes auf dem Datenträger abgelegt. Nach einer definierten Zeitspanne (meist einmal am Tag) oder einer bestimmten Menge an Wortlisten und temporären Indizes werden diese zu einem so genannten Masterindex zusammengeführt. Diese Zusammenführung können Sie auch manuell vornehmen, wenn Sie eine schnellere Aktualisierung des Masterindex wünschen.
Masterindex
Der Masterindex stellt die effizienteste Form des Index dar. Die Daten sind hier hochkomprimiert und für die Suchfunktionen optimiert. Die Zusammenführung kann insbesondere bei umfangreichen Indizes einige Zeit in Anspruch nehmen und macht nur Sinn, wenn die Wortlisten beziehungsweise die gespeicherten temporären Indizes aktuell sind.
Dokumentfilter
Der Indexdienst in Windows 2000 extrahiert die Eigenschaftswerte von Dateien über Dokumentfilter, die auch als IFilter bezeichnet werden. Für die folgenden Dateitypen werden mit Windows 2000 Dokumentfilter mitgeliefert: • HTML • Text (ASCII, ANSI, Unicode) • Microsoft Office Dokumente (Word, Excel etc.; ab Office 95) • Microsoft Outlook Dokumente (E-Mails, News etc.) Sollen andere als die oben genannten Dokumente mit in den Index einbezogen werden, so benötigen Sie Dokumentfilter der entsprechenden Hersteller für den Indexdienst. Die Schnittstellen dazu hat Microsoft offen gelegt und bietet die Informationen dazu im Platform Software Development Kit an.
Index ohne Dokumentfilter
Ist kein spezieller Dokumentfilter verfügbar, können die betreffenden Dokumente trotzdem in den Index aufgenommen werden. Es werden durch einen allgemeinen Filter die maximal möglichen Informationen extrahiert. Allerdings kann die Suche nach bestimmten Eigenschaften und Textinhalten stark eingeschränkt sein. Sie können aber auch festlegen, dass ausschließlich Dokumente indiziert werden, für die ein Dokumentfilter verfügbar ist.
Ausnahmewortlisten
Für die Extrahierung des Dateiinhaltes in Text-Schlüsselwortlisten macht es sicher wenig Sinn, alle Wörter eines Textes zu erfassen. Es gibt in jeder Sprache allgemeine Wörter wie Artikel, Pronomen oder
3.7 Der Indexdienst Verbindungsworte, die natürlich nicht in die Schlüsselwortlisten gehören. Diese so genannten Ausnahmewörter werden in Textdateien zusammengefasst und je nach unterstützter Sprache angelegt. Die allgemeine Syntax dieser Dateien mit den Ausnahmewortlisten lautet: %Systemroot%\system32\Noise.xxx
Für xxx steht die entsprechende Sprachen-Kennung. Die Datei %Systemroot%\system32\Noise.deu beispielsweise enthält die Ausnahmewortliste für die deutsche Sprache. Sie kann als normale Textdatei mit einem Editor bearbeitet und damit einfach erweitert werden.
103
3.7 Der Indexdienst
105
Kapitel 4 Dateisysteme
4.1
Unterstützte Dateisysteme................................ 107
4.2
Merkmale von NTFS.......................................... 108
4.3
Fragmentierung................................................... 112
4.4
NTFS im Detail ................................................... 121
4.5
Verteiltes Dateisystem (DFS) ........................... 144
106
3 Massenspeicher
4.1 Unterstützte Dateisysteme
4 Dateisysteme Für den Zugriff auf Datenträger bietet das Dateisystem eines Betriebssystems eine definierte Schnittstelle. Windows 2000 unterstützt eine Reihe von Dateisystemen für den Zugriff auf Festplatten, Wechseldatenträger wie CD/DVD, Diskettenlaufwerke u.a., wobei allerdings beim Servereinsatz dem Dateisystem NTFS eine besondere Bedeutung zukommt.
4.1
Unterstützte Dateisysteme
Ein Windows 2000 Serversystem unterstützt verschiedene Dateisysteme für die Speicherung von Dateien auf Festplatten und Wechseldatenträgern.
FAT, FAT32 und NTFS Das sind die Standarddateisysteme für die Verwaltung von Festplatten und den meisten wiederbeschreibbaren Wechseldatenträgern. Außer bei Disketten und eventuell anderen externen Datenträgern sollte bei einem Windows 2000 Serversystem immer NTFS zum Einsatz kommen. Nur dieses Dateisystem bietet ausreichende Sicherheit und Skalierbarkeit, um wachsenden Anforderungen genügen zu können. Dieses Kapitel geht deshalb nur auf NTFS ein. Zu den anderen Dateisystemen finden Sie weitergehende Informationen in Band I Windows 2000 im professionellen Einsatz.
CDFS Das Compact Disc File System ist das Standardformat nach ISO-9660 für die Verwendung von CD-ROMs unter Windows 2000. Es unterstützt lange Dateinamen entsprechend ISO 9660 Level 2.
UDF Das Universal Disc Format (ISO 13346) ist ein neues Standardformat für austauschbare Wechseldatenträger allgemein und wird direkt von Windows 2000 unterstützt. Mit UDF formatierte CD-ROMs, MOs (Magnetooptische Medien) oder DVDs sollen so zwischen den verschiedensten Plattformen und Betriebssystemen kompatibel sein. Die-
107
108
4 Dateisysteme ser Standard gilt als Nachfolger des CDFS und ist heute in den Versionen 1.02 und 1.50 verbreitet.
4.2 NTFSv5
Merkmale von NTFS
NTFS wurde mit Windws 2000 in einer neuen Version herausgebracht und auch als NTFSv5 bezeichnet. Zum Vorgänger NT ist aber weitgehende Abwärtskompatibilität gegeben. In Abschnitt 4.4.9 Kompatibilität von Windows NT 4 mit NTFSv5 ab Seite 143 wird darauf näher eingegangen.
4.2.1
Maximale Speicherkapazität
In der folgenden Tabelle sind die wesentlichen technischen Merkmale zur Speicherkapazität von NTFSv5 aufgeführt: Tabelle 4.1: Speicherkapazität von NTFS
Merkmal Maximale Datenträgergröße
Wert 2 TB (adressierbar: 16,7 Mio TB)
Maximale Dateigröße
wie Datenträgergröße
Dateien je Datenträger
232-1 = 4 294 967 295
Einträge im Stammverzeichnis
unbegrenzt
Datenträgergröße
Wie Sie der Tabelle entnehmen können, sind beeindruckend große Datenträger mit NTFS nutzbar. Hier hat Microsoft aus der Vergangenheit gelernt und von vornherein auf eine ausreichende Reserve geachtet. Wenn Sie sich vor Augen halten, dass bereits Einsteiger-PCs mit Festplatten jenseits der 30 GB ausgeliefert werden, kann dies nur begrüßt werden.
Begrenzung auf 2 TB
Die theoretische Größe von 16,7 Millionen Terabyte für NTFS ergibt sich aus der 64 Bit breiten Adresse, mit der 18 446 744 073 709 551 616 Cluster adressiert werden können. Die Beschränkung auf 2 TB liegt weniger an Windows 2000 oder Microsoft, sondern mehr an der heute üblichen Sektorgröße bei Festplatten von 512 Byte. Hinzu kommt die derzeitige Limitierung der Datenträgertabellen auf 232 Sektoren (als Industriestandard verankert). Damit ergibt sich eine maximale Größe von 232 x 512 Byte = 2 TB. Durch eine Vergrößerung der Sektorgröße beziehungsweise der Datenträgertabelle könnten hier in Zukunft noch Reserven aufgedeckt werden. Ob wir bis dahin aber noch konventionelle Festplattenspeicher benutzen, ist fraglich.
4.2 Merkmale von NTFS
4.2.2
109
Clustergröße
Die kleinste adressierbare Einheit auf einer Festplatte wird auch Zuordnungseinheit oder Cluster genannt. In Tabelle 4.2 sind die Clustergrößen von NTFS und FAT32 gegenübergestellt. Mit Hilfe der Windows 2000-Formatprogramme (siehe Abschnitt 11.7 Datenträger formatieren ab Seite 546) können Sie diese Clustergrößen an spezielle Bedürfnisse anpassen. Die Limitierungen, insbesondere des FAT32Dateisystems, können Sie damit natürlich trotzdem nicht überwinden. Das bedeutet auch, dass die minimale Clustergröße ab einer bestimmten Datenträgerkapazität nicht unterschritten werden kann.
Datenträgergröße
FAT32
NTFS
33 – 64 MB
512 Byte
512 Byte
65 – 128 MB
1 KB
512 Byte
129 – 256 MB
2 KB
512 Byte
257 – 512 MB
4 KB
512 Byte
513 – 1 024 MB
4 KB
1 KB
1 GB – 2 GB
4 KB
2 KB
2 GB – 4 GB
4 KB
4 KB
4 GB – 8 GB
4 KB
4 KB
8 GB – 16 GB
8 KB
4 KB
16 GB – 32 GB
16 KB
4 KB
---
4 KB
32 GB – 2 TB
Tabelle 4.2: Standard-Clustergrößen von FAT32 und NTFS
Aus der Tabelle wird deutlich, dass für die Verwaltung großer Datenträger ab 16 GB die Verwendung von FAT32 als Dateisystem mit einer Clustergröße von 16 KB zu einer sehr ineffizienten Ausnutzung des Speicherplatzes führt. Dies wird besonders deutlich, wenn Sie auf so einem Datenträger viele kleine Dateien speichern, beispielsweise kurze Texte, die allesamt nur wenige KB groß sind. Jede Datei belegt dabei mindestens einen Cluster. Bei einer Dateigröße von 2 KB bleiben mit Clustern von 16 KB glatte 14 KB ungenutzt. Die effizienteste Speicherung auch kleiner Dateien weist NTFS auf. Effiziente SpeicheKleine Dateien bis ca. 1 500 Bytes werden sogar komplett mit den zu- rung mit NTFS gehörigen Indizierungsattributen in der Master File Table (MFT) untergebracht (siehe auch Abschnitt Die Master File Table (MFT) ab Seite 124).
110
4 Dateisysteme
4.2.3
Dateisystemsicherheit bei NTFS
Eine wichtige Funktion eines Dateisystems beim Einsatz in einem Serverbetriebssystem besteht in der sicheren Speicherung der Daten und einer möglichst hohen Fehlertoleranz. Nach einem Systemausfall sollten Daten wiederhergestellt werden können beziehungsweise die Datenkonsistenz trotzdem gewahrt bleiben. In diesem Abschnitt werden die Hauptmerkmale von NTFS in dieser Hinsicht erläutert. Auf die FAT-Dateisysteme wird, da sie in einem Serverumfeld nicht zu empfehlen sind, hier nicht weiter eingegangen. Sie finden dazu detaillierte Informationen in Band I Windows 2000 im professionellen Einsatz.
Transaktionsorientierte Arbeitsweise Wiederherstellbares Dateisystem
Das NTFS-Dateisystem bietet in Sachen Datensicherheit bedeutende Erweiterungen gegenüber FAT und FAT32. NTFS wird in diesem Zusammenhang auch als wiederherstellbares Dateisystem bezeichnet.
Transaktionen
Grundlage der Wiederherstellbarkeit ist die Verwendung von Standardmethoden zur Transaktionsprotokollierung, wie sie auch in Datenbanksystemen Anwendung finden. Jeder Datenträgervorgang wird dabei als Transaktion betrachtet. Vor einer Aktion, das kann beispielsweise das Lesen einer Datei oder das Schreiben einer bestimmten Anzahl von Datenblöcken sein, wird ein Starteintrag im Transaktionsprotokoll eingetragen. Dann wird die Transaktion durchgeführt und der erfolgreiche Abschluss wiederum protokolliert. Wird die Transaktion aufgrund eines Hardware-Fehlers oder Programmabsturzes nicht bis zu Ende geführt, wird mit Hilfe des Transaktionsprotokolls und spezieller Prüfpunkte die Datenträgerkonsistenz wiederhergestellt. Die Transaktionsprotokollierung ist übrigens nicht zu verwechseln mit dem Änderungsjournal (siehe Seite 142), welches ein neues Merkmal des NTFSv5 darstellt.
Journaled File System
Die transaktionsorientierte Arbeitsweise unter NTFS entspricht im Prinzip dem Journaled File System, wie es auch in verschiedenen UNIXVersionen zum Einsatz kommt.
Cluster-Remapping NTFS ist in der Lage, die Auswirkungen von auftretenden Sektorfehlern bei Datenträgern zu minimieren. Wird während des Betriebes ein defekter Sektor entdeckt, wird der entsprechende Cluster als defekt in der Datei $BADCLUS markiert und die zu schreibenden Daten werden auf einen unbeeinträchtigten Cluster umgeleitet. Tritt ein Sektorfehler bei einem Lesevorgang auf, sind die betreffenden Daten allerdings
4.2 Merkmale von NTFS
111
nicht wiederherstellbar und werden verworfen, da sie nicht mehr konsistent sein könnten. Für FAT und FAT32 werden defekte Sektoren nur beim Neuformatie- Defekte Sektoren ren eines Datenträgers erkannt und berücksichtigt. Treten Sektorfehler bei FAT hier während des Betriebes auf, können auch Schreiboperationen beeinträchtigt werden beziehungsweise die zu schreibenden Daten verloren gehen.
Bootsektor-Sicherung Für den Bootsektor wird im Gegensatz zu FAT und FAT32 am Ende des Datenträgers eine Sicherungskopie angelegt. Im Falle einer Inkonsistenz zwischen Original und Sicherung wird automatisch der gesicherte Bootsektor verwendet und damit trotzdem noch ein Startvorgang ermöglicht.
4.2.4
Zugriffsrechte für Dateien und Ordner
Für die Dateisysteme FAT und FAT32 lassen sich für Dateien und FAT und FAT32: Ordner lediglich bestimmte Attribute setzen: Schreibgeschützt, Ver- lediglich Attribute steckt, Archiv und System. Diese Attribute lassen sich durch alle Benutzer setzen und löschen und stellen damit keinen wirksamen Schutz dar. Zugriffsrechte auf Benutzerebene werden von diesen Dateisystemen nicht unterstützt. Lediglich für die Freigaben in einem WindowsNetzwerk lassen sich verbindliche Attribute festlegen, die dann nicht mehr durch jeden Benutzer über das Netzwerk geändert werden können. Unter NTFS lassen sich Dateiberechtigungen für Dateien und Ordner NTFS: festlegen, die den Zugriff genau für die angelegten Benutzer und Benutzerrechte Gruppen regeln. Sie können festlegen, wer überhaupt Zugriff erhält, und wenn, welche Aktionen im Detail zugelassen sind. Diese Dateiberechtigungen gelten sowohl lokal als auch für Benutzer, die über das Netzwerk angemeldet sind. Neu unter NTFSv5 sind vererbbare Berechtigungen, die standardmä- Vererbbare ßig aktiviert sind. Durch die Festlegung der Berechtigungen für über- Berechtigungen geordnete Ordner können Sie Berechtigungen für Dateien und Ordner, die in diesem enthalten sind, leicht ändern. Dies führt zu einer erheblichen Zeiteinsparung und zu drastisch verminderten Datenträgerzugriffen bei der Änderung der Berechtigungen für eine hohe Zahl von Dateien und Ordnern. Weitere Ausführungen zu diesem Thema finden Sie bei der detailiierteren Beschreibung von NTFS in Abschnitt 4.4.4 NTFS-Zugriffsrechte für Dateien und Ordner ab Seite 132.
112
4 Dateisysteme
4.3 Auswirkung auf Performance
Fragmentierung
Neben der Effizienz der Speicherung von Daten spielt auch die Fragmentierung hinsichtlich der erreichbaren Performance eine entscheidende Rolle. Beim ständigen Öffnen und Zurückschreiben von Dateien kommt es mit der Zeit zu einer fortschreitenden Fragmentierung der Dateien und Datenträger. Das ist übrigens unabhängig vom verwendeten Dateisystem. Sowohl unter FAT, FAT32 als auch NTFS ist diese performancehemmende Eigenschaft zu verzeichnen. In diesem Abschnitt wird gezeigt, wie es zur Fragmentierung kommt und was Sie dagegen unternehmen können.
4.3.1
Was ist Fragmentierung?
Unter Fragmentierung wird die physische Speicherung von Dateien in mehreren Teilstücken (Fragmenten) auf dem Datenträger verstanden. Normalerweise wird eine Datei als zusammenhängende Clusterkette auf dem Datenträger gespeichert. So liegen die Daten übrigens vor, wenn Sie Dateien auf einem leeren Datenträger speichern. Voraussetzung ist allerdings, dass die Dateien hintereinander geschrieben werden und zwischendurch nichts gelöscht wird. In Abbildung 4.1 wird der Vorgang der Fragmentierung deutlich. DatenträgerFragmentierung
Durch ständiges Löschen von Dateien entstehen immer mehr nicht zusammenhängende freie Bereiche auf dem Datenträger. Man spricht dann von der Fragmentierung des Datenträgers. Dateien werden übrigens nicht ausschließlich durch Benutzereingriff gelöscht. Auch viele Anwendungsprogramme gehen so vor, dass sie geöffnete Dateien zunächst temporär zwischenspeichern. Beim Sichern wird die Originaldatei dann durch eine neue Kopie ersetzt und die temporären Arbeitsdateien werden gelöscht.
Datei-Fragmentierung
Fragmentierte Dateien entstehen nur bei Schreiboperationen auf einen Datenträger. Steht für das Speichern einer Datei nicht genügend zusammenhängender freier Speicherplatz zur Verfügung, wird der nächste freie Bereich mit benutzt. Eine größere Datei kann so leicht in vielen Fragmenten über den gesamten Datenträger verteilt liegen.
Performanceverlust
Festplatten erreichen ihren maximalen Datendurchsatz beim Lesen und Schreiben, wenn die betreffenden Daten hintereinander gelesen oder geschrieben werden können. Dann können auch intelligente Cache- und Speichermechanismen der Hardware voll zum Zuge kommen, wie beispielsweise Block-Mode oder Vorausschauendes Lesen. Wird eine fragmentierte Datei gelesen, ist mehr als eine Kopfpositionierung notwendig.
4.3 Fragmentierung
113 Abbildung 4.1: Schematische Darstellung der Fragmentierung
Anstelle eines zusammenhängenden Datenstroms, der mit maximaler Geschwindigkeit von der Hardware geliefert werden kann, zerfällt der Transfer in mehrere komplette Teilübertragungen. So wird selbst die schnellste Festplatte ausgebremst.
4.3.2
Clustergröße und Fragmentierung
Die Geschwindigkeit, mit der ein Datenträger fragmentiert wird, ist Kleine Clusterneben der Häufigkeit der Veränderung der Dateien auf ihm auch di- größen = mehr rekt abhängig von der Größe der Cluster. Kleinere Cluster erlauben Fragmente zwar eine effizientere Ausnutzung des Speicherplatzes gerade für kleinere Dateien, führen aber bei größeren Dateien zu deren Zerlegung in viele Einzelteile. Das begünstigt natürlich die Bildung von Fragmenten, wenn diese Dateien wieder gelöscht beziehungsweise verändert werden. In Abschnitt 4.3.5 Tipps zur Verbesserung der Performance ab Seite 117 finden Sie auch Hinweise, wie Sie mit einer manuellen Einstellung der Clustergröße die Fragmentierung und damit die Performance beeinflussen können.
114
4 Dateisysteme
4.3.3
Besonderheiten bei NTFS
Für NTFS-Datenträger gibt es hinsichtlich der Fragmentierung einige Besonderheiten zu beachten:
NTFS-Datenträger fragmentieren auch NTFS fragmentiert auch!
Mit Einführung von Windows NT und dem Dateisystem NTFS kam die Mär in Umlauf, dass NTFS nicht fragmentieren würde. Das ist definitiv falsch. Richtig ist, dass bei Vorliegen einer geringen Anzahl fragmentierter Dateien aufgrund der effizienten Speicherung mit Hilfe von Datenläufen und B-Baumstrukturen (siehe auch Abschnitt 4.4.2 Der interne Aufbau von NTFS ab Seite 122) weniger Performanceverluste zu verzeichnen sind als unter FAT oder FAT32.
Fragmentierung der MFT Die Master File Table (MFT) ist die wichtigste Datei im NTFSDateisystem (siehe Abschnitt 4.4.2 Der interne Aufbau von NTFS ab Seite 122). Für die MFT wird ein Bereich von ca. 12% auf dem Datenträger reserviert. Füllt sich der Datenträger, wird auch die MFT zunehmend fragmentiert. Das hat deutliche Auswirkungen auf die Performance. Wird die MFT zu stark fragmentiert, kann es möglicherweise sogar Windows 2000 nicht mehr starten (siehe auch unter support.micosoft.com die FAQ Q228734). Defragmentierung der MFT
Für die Vermeidung der Fragmentierung der MFT bleibt Ihnen nichts weiter übrig, als immer genügend Speicherplatz auf dem NTFSDatenträger frei zu lassen (ca. 20%) oder eine DefragmentierungsSoftware einzusetzen, die auch die Defragmentierung der MFT beherrscht (siehe Abschnitt 4.3.6 Defragmentierungsprogramme ab Seite 118).
Datenträgerkontingente
Ein hilfreiches Instrument zur Steuerung der Ausnutzung des Speicherplatzes durch Benutzer sind die Datenträgerkontingente (siehe Abschnitt 4.4.7 Datenträgerkontingente ab Seite 140).
NTFS-Komprimierung Die unter NTFS verfügbare Komprimierung hat neben der geringen Effizienz (siehe Abschnitt 4.4.6 Komprimierung ab Seite 137) auch den Nebeneffekt, dass es dabei zu einer erheblichen Fragmentierung von Dateien kommt.
4.3 Fragmentierung
115 Abbildung 4.2: Auswirkungen der Komprimierung
Nach der Komprimierung kommt es zu einer starken Fragmentierung Starke Fragmentieder Dateien und des Datenträgers. Der Grund dafür liegt in der Ar- rung durch blockbeitsweise der NTFS-Komprimierung. Es werden immer nur einzelne weises Arbeiten physische Blöcke auf dem Datenträger für sich genommen komprimiert. Der entstehende freie Platz bleibt dann leer und bildet ein Datenträgerfragment. Da die Komprimierung nicht dateiorientiert arbeitet, werden auch nicht fragmentierte Dateien auseinandergerissen und liegen danach in einzelnen Fragmenten gespeichert vor. Werden durch die Komprimierung zudem noch die falschen Dateity- Ergebnis: pen behandelt, für die keine oder nur eine geringe Kompressionsrate Schlechte Perforerreicht werden kann, bleibt als einzige Auswirkung ein in der Per- mance formance deutlich eingebrochener Datenträger. Beim heutigen Preisverfall sehr großer Speichermedien macht eine Online-Komprimierung, vor allem wenn sie wie in NTFS implementiert ist, kaum Sinn.
4.3.4
Defragmentierungsverfahren und -strategien
Für die Wiederherstellung und Sicherung einer hohen Performance Ihrer Datenträger gibt es eine Reihe von Dienstprogrammen. Diese unterscheiden sich hinsichtlich ihrer Strategien und Verfahren sowie der letztlich erreichbaren Optimierung.
Strategien Bei der Defragmentierung kommen unterschiedliche Strategien zum Einsatz, die auch weitere Optimierungen umfassen können. Die folgenden Arbeitsmodi von Defragmentierungsprogrammen können unterschieden werden: • Zeitoptimierte Zusammenführung fragmentierter Dateien
Schnell...
116
4 Dateisysteme Die Software versucht, innerhalb kürzester Zeit die Fragmente der Dateien zusammenzuführen. Dabei verbleibt immer noch eine gewisse Fragmentierung des Datenträgers, was wiederum zu einer baldigen neuen Fragmentierung der Dateien führt.
...oder gründlich ?
• Reorganisation der Datenspeicherung Für die Herstellung nicht fragmentierter Dateien und die Vermeidung einer baldigen neuen Fragmentierung werden die Datenstrukturen auf dem Datenträger umstrukturiert. Meist wird so vorgegangen, dass alle nicht veränderbaren Dateien wie Anwendungsprogramme, Hilfedateien etc. an den Anfang des Datenträgers verlegt werden. Alle veränderbaren Dateien wie Dokumente, Konfigurationsdateien usw. gelangen an das physische Ende. So kann später eine neue Defragmentierung effektiver arbeiten, da nur noch ein begrenzter Teil des Datenträgers bearbeitet werden muss.
Verfahren Unter MS-DOS ist die Defragmentierung noch verhältnismäßig einfach zu bewerkstelligen. Während die Defragmentierungssoftware arbeitet, kann der PC nicht verwendet werden. Die Software hat vollen Zugriff auf den gesamten Datenträger und kann auch Dateien des Betriebssystems bearbeiten beziehungsweise verschieben. Bei einem modernen Multitasking-Betriebssystem wie Windows 2000 sieht das vollkommen anders aus. Die Defragmentierungssoftware läuft parallel zu anderen Anwendungen und Prozessen. Darüber hinaus gibt es geschützte Dateien, auf die nur das Betriebssystem selbst Zugriff hat. Damit kommen zwei grundsätzlich verschiedene Verfahren in Frage: Online
• Online-Defragmentierung Der Datenträger bleibt während der Defragmentierung im Zugriff durch andere Anwendungen und das Betriebssystem. Dadurch können sich permanent wieder Dateien ändern, wodurch die Effektivität der Defragmentierung leidet. Dateien, die sich im Zugriff durch andere Anwendungen oder unter Kontrolle des Betriebssystems befinden, sind für den Zugriff gesperrt und können nicht defragmentiert beziehungsweise verschoben werden. Durch die nichtexklusive Verfügung des Datenträgers können immer nur kleinere Datenmengen bewegt werden. Das führt dazu, dass freie Bereiche auf der Festplatte schlechter zusammengefasst werden können. Eine Online-Defragmentierung sollten Sie am besten dann durchführen, wenn möglichst wenig Anwendungen oder Benutzer auf
4.3 Fragmentierung
117
den Server und die betreffenden Datenbereiche zugreifen. Damit bieten sich die Nachtstunden oder das Wochenende an, auf die moderne Defragmentierungsprogramme zum automatischen Start eingestellt werden können. • Offline-Defragmentierung
Offline
Bei der Offline-Defragmentierung hat die Defragmentierungssoftware die volle Kontrolle über den Datenträger. Unter Windows 2000 muss diese Software dann vor dem Betriebssystem zum Zuge kommen, beispielsweise während des Bootprozesses. So kann dann neben der Defragmentierung auch eine komplette Optimierung des Datenträgers durch Reorganisation der Datenstrukturen (siehe oben) erfolgen. Nachteil ist die Nichtverfügbarkeit des Systems während des Programmablaufs. Für Server sollte die OfflineDefragmentierung einmal gründlich bei Inbetriebnahme erfolgen (inklusive kompletter Reorganisation) und dann durch regelmäßige Online-Defragmentierung ergänzt werden.
4.3.5
Tipps zur Verbesserung der Performance
Performance-Einbußen durch stark fragmentierte Server-Datenträger können sich durch schlechteres Antwortverhalten bemerkbar machen. Die folgenden Tipps sollen Ihnen helfen, die Performance Ihrer Datenträger dauerhaft zu sichern:
Auslagerungsdateigröße festlegen Die Auslagerungsdatei wird standardmäßig durch das System als eine Hauptspeicher + in der Größe variable Datei PAGEFILE.SYS geführt. Legen Sie die Größe 11 MB der Datei über das Programm SYSTEM in der SYSTEMSTEUERUNG (Registerkarte ERWEITERT | SYSTEMLEISTUNGSOPTIONEN | VIRTUELLER ARBEITSSPEICHER) fest. Als ein guter Richtwert für die Größe der Datei gilt Hauptspeichergröße + 11 MB. Sie erreichen übrigens eine maximale Geschwindigkeit beim Zugriff Auslagerungsdatei auf die Auslagerungsdatei, wenn sich diese am physischen Anfang am Festplattenaneiner Festplatte befindet. Für die Planung einer Installation von Win- fang dows 2000 auf einem System mit einer Festplatte kann es sinnvoll sein, eine separate Partition für die Auslagerungsdatei anzulegen, die sich am Anfang der Festplatte befindet. Für die Sicherung einer späteren Erweiterbarkeit des Hauptspeichers und damit der Auslagerungsdatei sollte eine Partitionsgröße von ein bis zwei GB für die meisten Fälle ausreichend sein. Haben Sie mehr als eine Festplatte im Computer installiert, können Sie die Auslagerungsdatei auch auf einer anderen als der Bootfestplatte anlegen. Zu empfehlen ist dabei natürlich die Auswahl der schnellsten Festplatte im System. Weitere Hinweise dazu
118
4 Dateisysteme finden Sie in Abschnitt 9.1.3 Zum Vorgehen bei einer Neuinstallation ab Seite 437.
Auslagerungsdatei auf Stripesetdatenträger
Haben Sie einen Stripesetdatenträger im Einsatz (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 73), können Sie die Auslagerungsdatei auf diesem erstellen. Die hohe Performance dieses dynamischen Datenträgers ist dann direkt für die Auslagerungsdatei nutzbar.
Defragmentierung und Optimierung nach der Installation Führen Sie eine grundlegende Optimierung des Datenträgers nach der Installation des Betriebssystems und zusätzlicher Softwarepakete auf dem Server durch. Dabei sollten mit Hilfe einer Offline- Defragmentierungssoftware statische Dateien wie Anwendungsprogramme, DLLs etc. an den physischen Anfang des Datenträgers verschoben werden.
Regelmäßige Online-Defragmentierung Zur Sicherung der Performance sollten Sie regelmäßig OnlineDefragmentierungen der Datenträger durchführen. Effektiv ist der Einsatz der entsprechenden Defragmentierungssoftware allerdings nur dann, wenn dabei möglichst wenig Dateien geöffnet sind. Als gute Zeitpunkte für eine Defragmentierung eignen sich meist die Nachtstunden oder das Wochenende.
Genug Speicherkapazität freilassen Betreiben Sie insbesondere NTFS-Datenträger nicht an ihrer maximalen Kapazitätsgrenze. Als guter Wert können 20% der Gesamtkapazität gelten, die frei bleiben sollten. Richten Sie für die Benutzer Datenträgerkontingente ein, um die »Speicherwut« von Daten etwas zu steuern. Sie wissen, es gibt auf Dauer prinzipiell keine ausreichend großen Festplatten.
4.3.6
Defragmentierungsprogramme
Windows 2000 verfügt im Gegensatz zum Vorgänger NT über eine integrierte Defragmentierungs-Software der Firma Executive Software. Daneben gibt es aber auch eine Reihe von Programmen anderer Anbieter. Eines der bekanntesten Programme ist dabei Norton Speeddisk (www.symantec.de). Erst seit 1998 auf dem Markt und trotzdem schon sehr erfolgreich ist auch die umfassende Defragmentierungslösung der Berliner Firma O&O Software GmbH (www.oo-software.de).
4.3 Fragmentierung
119
Für das Durchführen des Defragmentierungsprozesses benötigen alle Lösungen genügend freien Speicherplatz auf dem Datenträger. Als Richtwert gelten hier ca. 15% der Gesamtkapazität. Der konkret benötigte freie Speicherplatz hängt von der jeweiligen Defragmentierungssoftware ab. Steht nicht genügend Platz zur Verfügung, bricht das Programm entweder mit einer Fehlermeldung ab oder kann kein optimales Ergebnis erreichen.
Integrierte Lösung Das in Windows 2000 integrierte Programm von Executive Software (www.diskeeper.com) ist eine im Funktionsumfang beschränkte Version des Produkts Diskeeper. Dieses können Sie erwerben, um beispielsweise auch über das Netzwerk Datenträger auf anderen Windows 2000Systemen defragmentieren zu können. Abbildung 4.3: Integrierte Defragmentierungslösung
Intern arbeitet dieser Online-Defragmentierer nach der Sliding Win- Hohe Geschwindow-Methode. Dabei wird immer nur ein kleiner Teil der Festplatte digkeit behandelt. Der Vorteil ist die damit erreichbare hohe Geschwindigkeit beim Defragmentieren. Eine weitergehende Optimierung erfolgt allerdings nicht. Möchten Sie eine umfassende Optimierung des Datenträgers vornehmen lassen, benötigen Sie die Vollversion Diskeeper oder eine andere Defragmentierungssoftware.
120
4 Dateisysteme O&O® Defrag Eine der möglichen Alternativen ist die Softwarelösung der Berliner Firma O&O Software GmbH (www.oo-software.de). Als kostenlose Alternative können Sie hier übrigens ebenfalls eine abgespeckte Variante der Vollversion von O&O® Defrag herunterladen. Vorteil gegenüber der mitgelieferten Lösung von Executive Software ist die bereits sehr gute Optimierung mit der frei verfügbaren Version O&O® Defrag Free. Der Vorgang nimmt zwar mehr Zeit in Anspruch, es werden aber die fragmentierten Dateien und der Datenträger ganzheitlich betrachtet. Volle Kontrolle über den Defragmentierungsprozess erlangen Sie allerdings auch hier erst mit der Vollversion.
Abbildung 4.4: O&O® Defrag
Offline-Defragmentierung verfügbar
Eine Besonderheit dieser Lösung ist die Möglichkeit, damit auch eine Offline-Defragmentierung durchzuführen, die dann beim Systemstart erfolgt. Damit hat die Software volle Kontrolle über den Datenträger und kann weitreichende Optimierungen und Umschichtungen der Dateien vornehmen. Neben anderen Tools von O&O-Software finden Sie das frei verfügbare Programm O&O® Defrag Free sowie eine 30-Tage-Testversion von O&O® Defrag V.2 auf der beiliegenden CD.
O&O® Defrag/MFT Ein spezielles Defragmentierungsprogramm für die MFT liefert O&O Software mit O&O® Defrag/MFT.
4.4 NTFS im Detail
121 Abbildung 4.5: O&O® Defrag/MFT
Das Programm ist frei verfügbar und kann kostenlos bezogen und benutzt werden. Wird die MFT beschädigt, beispielsweise beim Versuch der Defragmentierung, kann das zu umfassenden Datenverlusten auf dem betreffenden Datenträger führen. Beachten Sie deshalb insbesondere bei Defragmentierungssoftware für die MFT die Hinweise des Herstellers. Die derzeit aktuelle Version von O&O® Defrag/MFT finden Sie auf der beiliegenden CD.
4.4
NTFS im Detail
Im folgenden Abschnitt wird das NTFS-Dateisystem näher betrachtet. Dabei werden interne Zusammenhänge und Eigenschaften erläutert, soweit sie für die Arbeit eines Administrators nützlich sein könnten.
4.4.1
Dateinamen
Das NTFS-Dateisystem ermöglicht die Nutzung langer Dateinamen bis zu einer Länge von 255 Zeichen. Durch die Verwendung des 16 Bit-Unicode-Zeichensatzes können Sie auch bedenkenlos Umlaute wie ä, ö, ü, ß usw. verwenden. Nicht zulässig sind in Dateinamen die folgenden Zeichen: \/:*?"|
122
4 Dateisysteme Leerzeichen sind ebenfalls erlaubt. Wollen Sie über die Eingabeaufforderung auf eine Datei zugreifen, deren Name Leerzeichen enthält, müssen Sie den Namen in Anführungszeichen setzen: type "Das ist eine Beispiel-Textdatei.txt"
Groß- und Kleinschreibung
Aufgrund der in NTFS implementierten POSIX-Kompatibilität wird grundsätzlich auch zwischen Groß- und Kleinschreibung unterschieden. Für das Erkennen der Dateien spielt dies aber keine Rolle. Die normalen 32-Bit-Applikationen unter Windows können die Unterschiede nicht wahrnehmen.
Mitführung kurzer 8.3-Dateinamen
Für die Anzeige der Dateinamen für ältere Anwendungen erstellt Windows 2000 automatisch MS-DOS kompatible Namen im 8.3Format. Diese kurzen Dateinamen werden standardmäßig immer erzeugt und mit den langen Namen gemeinsam für eine Datei abgespeichert. Dies hat im Serverbetrieb in der Regel keine Bedeutung. In Band I Windows 2000 im professionellen Einsatz wird auf die Erzeugung kurzer Dateinamen gesondert eingegangen.
4.4.2
Der interne Aufbau von NTFS
Der folgende Abschnitt beschäftigt sich mit dem internen Aufbau von NTFS. Informationen zu FAT12/16 und FAT32 finden Sie in Band I Windows 2000 im professionellen Einsatz.
Layout eines NTFS-Datenträgers Bis auf Bootsektor ist alles variabel
Die Grundstruktur eines NTFS-Datenträgers ist in der Abbildung 4.6 schematisch dargestellt. Bis auf den Bootsektor selbst können alle anderen Organisationsdaten des NTFS variabel auf dem Datenträger abgelegt sein. Die Master File Table (MFT) als wichtigste Organisationsstruktur des NTFS-Dateisystems befindet sich an einer Position, deren Adresse im NTFS-Bootsektor hinterlegt ist Die logische Organisationsstruktur von NTFS ist sehr flexibel. Es gibt bis auf den Bootsektor keine festen Positionen für bestimmte systemspezifische Daten. Dadurch kann es nicht dazu kommen, dass ein Datenträger aufgrund eines physischen Fehlers an einer bestimmten Stelle unbrauchbar wird. Das betrifft insbesondere Datenträgerfehler am Beginn eines physischen Mediums. Während das FAT-Dateisystem hier durchaus nicht mehr lauffähig sein kann, ist solch ein Medium unter NTFS vielleicht noch nutzbar. Stellen Sie physische Fehler auf einer Festplatte in Ihrem Serversystem fest, sollten Sie diese sicherheitshalber sofort ersetzen. Auch das NTFS-Dateisystem bietet letztlich keine Garantie vor Datenverlusten.
4.4 NTFS im Detail
123 Abbildung 4.6: Layout eines NTFSDatenträgers
MFT-Datensätze $Mft $MftMirr $LogFile $Volume $AttrDef $ (Stammverzeichnis) $Bitmap $Boot $BadClus $Secure $Upcase $Extended
Der NTFS-Bootsektor Offset Beschreibung
Länge
00h
Sprunganweisung
3 Byte
03h
OEM Name (Hersteller der Festplatte bzw. des Mediums)
8 Byte
0Bh
Bytes pro Sektor (in der Regel 512)
2 Byte
0Dh
Sektoren pro Cluster
1 Byte
0Eh
Anzahl reservierter Sektoren
2 Byte
10h
immer 0 gesetzt
3 Byte
13h
Reserviert
2 Byte
15h
Medienbeschreibung (Festplatten: F8h)
1 Byte
16h
immer 0 gesetzt
2 Byte
18h
Sektoren pro Spur
2 Byte
1Ah
Anzahl der Köpfe
2 Byte
1Ch
Anzahl der versteckten Sektoren (Sektoren vor dem Bootsektor; dient der Offset-Berechnung der tatsächlichen Adressierung)
4 Byte
20h
reserviert
4 Byte
24h
reserviert
4 Byte
Tabelle 4.3: Aufbau des NTFS-Bootsektors
124
4 Dateisysteme
Offset Beschreibung
Länge
28h
Anzahl der Gesamtsektoren des Datenträgers
8 Byte
30h
Adresse (log. Clusternummer) der Datei $Mft
8 Byte
38h
Adresse (log. Clusternummer) für $MftMirr
8 Byte
40h
Anzahl der Cluster pro Mft-Datensatz
4 Byte
44h
Anzahl der Cluster pro Indexblock
4 Byte
48h
Seriennummer des Datenträgers (zufällig generiert beim Formatieren)
4 Byte
50h
Prüfsumme
4 Byte
54h
Bootstrapcode
1FEh
Ende der Sektormarkierung 0x55AA
426 Byte 2 Byte
Der Bootstrapcode ist nicht nur auf die 426 Byte im Bootsektor beschränkt, sondern wird auch als Eintrag in der Master File Table (MFT) geführt.
Die Master File Table (MFT) Alle NTFS-Strukturen sind Dateien
Alle Strukturbestandteile des NTFS-Dateisystems sind selbst originäre NTFS-Dateien, ohne natürlich durch den Benutzer direkt im Zugriff zu stehen. Wichtigste Organisationseinheit ist die so genannte MFT – Master File Table. Diese stellt für jede Datei einen Datensatz bereit. Die ersten 16 Datensätze sind dabei für die Dateien reserviert, welche die Dateisystemstruktur abbilden. Diese Dateien werden auch unter dem Begriff Metadaten zusammengefasst.
Metadaten
Der erste Datensatz, die Datei $Mft, beschreibt den Aufbau der MFT selbst. Der zweite MFT-Datensatz enthält eine Sicherung der MFT, allerdings nur mit den wichtigsten Einträgen. Diese Datei hat den Namen $MftMirr. Die Speicherorte dieser beiden Dateien sind im Bootsektor des NTFS-Datenträgers eingetragen, sodass im Falle einer Beschädigung der MFT auf die Sicherungskopie zugegriffen werden kann. Je nach Größe des Datenträgers können übrigens noch weitere Sicherungen der MFT existieren. Tabelle 4.4 enthält die Liste der Metadaten eines NTFS-Datenträgers.
4.4 NTFS im Detail
Datensatz Dateiname
125
Beschreibung
0
$Mft
Das ist der Basisdatensatz der Master File Table selbst.
1
$MftMirr
Verweis auf die Sicherungs-MFT
In der Datei $MftMirr werden die ersten vier Datensätze der MFT (0 bis 3) aus Sicherheitsgründen gespiegelt. 2
$LogFile
Transaktions-Protokolldatei
Enthält eine Liste der Transaktionsschritte für die Wiederherstellung eines NTFS-Datenträgers. 3
$Volume
Datenträgerinformationen
Weitergehende Informationen zum Datenträger wie Bezeichnung etc. 4
$AttrDef
Attributdefinitionen
Eine Beschreibungstabelle mit den für den NTFS-Datenträger gültigen Attributen. 5
$
Stammordner
Enthält den Stammordner des Datenträgers (Stamm-Index der Dateinamen). 6
$Bitmap
Volume- oder Clusterbitmap
Zeigt die Cluster-Belegung des Datenträgers an. 7
$Boot
Bootsektor
Enthält den Bootsektor des NTFSDatenträgers. 8
$BadClus
Fehlerhafte Cluster
Eine Tabelle mit dem Verzeichnis der fehlerhaften Cluster dieses Datenträgers. 9
$Secure
Sicherheitsdatei Enthält die Datenbank mit den eindeutigen Sicherheitsbeschreibungen für alle Dateien und Ordner des Datenträgers.
10
$Upcase
Umwandlung Klein-/Großschreibung
Tabelle 4.4: Metadaten der MFT
126
4 Dateisysteme
Datensatz Dateiname
Beschreibung In dieser Tabelle stehen die Vorschriften zur Umwandlung der Kleinbuchstaben in langen Dateinamen in Großbuchstaben der 8.3-Notation.
11
$Extended
NTFS-Erweiterungen
Datei mit dem Verzeichnis der NTFSErweiterungen wie beispielsweise den Datenträgerkontingenten oder Analysepunkten (für Bereitstellungen). 12-15
reserviert
Raum für zukünftige Erweiterungen
ab 16
Beginn der Einträge für Dateien und Ordner
Der Beginn der MFT wird als Verweis im Bootsektor der Festplatte geführt und ist so nicht auf einen bestimmten Sektor festgelegt. Für den Bootsektor selbst gibt es eine Sicherungskopie am Ende des NTFSDatenträgers. MFT-Datensätze für Jeder MFT-Datensatz besitzt eine Größe von 2 KB. Für jede Datei und Dateien und Ordner jeden Ordner auf dem Datenträger wird so ein MFT-Datensatz einge-
richtet. Kleine Dateien bis ca. 1 500 Bytes passen dabei direkt in einen einzelnen Datensatz. Das spart Platz und sorgt für einen sehr schnellen Zugriff, da lediglich der erste Datensatz verfügbar sein muss. Man spricht hier auch von der residenten Speicherung der Daten. Die folgende Abbildung zeigt den schematischen Aufbau eines MFT-Datensatzes für eine solche kleine Datei. Abbildung 4.7: MFT-Datensatz einer kleinen Datei
Nichtresidente Speicherung
Externe Attribute
Einer Datei, die größer ist, als ein Datensatz aufnehmen kann, werden weitere Datensätze zugeordnet. Der erste Datensatz, Basisdatensatz genannt, speichert die Zeiger auf die Speicherorte der weiteren, zugeordneten Datensätze. Diese Daten werden auch als nicht resident gespeichert bezeichnet. Für große oder stark fragmentierte Dateien, für welche die Größe eines Basisdatensatzes zur Verwaltung der Zeiger nicht ausreicht, werden ein oder mehrere MFT-Datensätze für die Speicherung der entsprechenden Zeiger angelegt. Diese werden als so genannte externe Attribute im Basisdatensatz bezeichnet, der dann die Funktion eines Stammverzeichnisses im Datenbaum übernimmt.
4.4 NTFS im Detail
127 Abbildung 4.8: Nichtresidente Speicherung einer Datei
Aufgrund dieser Baumstruktur ist eine Suche nach Dateien auch bei Effektive Suche einer starken Fragmentierung des Datenträgers noch vergleichsweise auch bei Fragmenschnell. Nur der sequenzielle Zugriff auf die Datei kann durch die tierung Fragmentierung verlangsamt werden, da dann viele Kopfneupositionierungen der Festplatte notwendig werden. Abbildung 4.9: Speicherung großer Dateien
Organisationsstruktur von Verzeichnissen Ordner sind grundsätzlich nichts anderes als spezielle Dateien. Kleine Ordner bis ca. 1 500 Byte Größe belegen ebenso wie kleine Dateien nur einen MFT-Datensatz. Im Datensatz wird der entsprechende (residente) Ordner-Index gehalten. Der Index-Aufbau ist übrigens unter NTFS sehr flexibel. Statt des Dateinamens kann grundsätzlich auch ein anderes Dateiattribut verwendet werden. Neben dem Indizierungsattribut, meist der Dateiname, wird im Index der Zeiger auf den entsprechen-
128
4 Dateisysteme den Eintrag der Datei in der MFT gespeichert (auch Dateinummer genannt).
Abbildung 4.10: MFT-Datensatz bei kleinen Verzeichnissen
B-Bäume bei größeren Verzeichnissen
Für größere Verzeichnisse, die nicht komplett in einen MFT-Datensatz passen, wird eine B-Baumstruktur aufgebaut. In einem Knoten des Baumes, welcher wiederum ein MFT-Record ist, sind dann sowohl Indexeintragungen als auch die Zeiger auf weitere Knoten enthalten. Mit diesem Schema können beliebig große Verzeichnisstrukturen aufgebaut werden, bei denen Sie nur bedenken sollten, die logische Übersicht nicht zu verlieren. Eine Suche nach Dateien in dem Baum erfolgt dadurch aber in jedem Fall sehr schnell und effektiv.
NTFS-Dateiattribute Alles ist Attribut
Attribute sind auf einem NTFS-Datenträger zentrales Organisationsmittel. Jede Datei oder jeder Ordner wird hier als Gruppierung von Dateiattributen betrachtet. Attribute sind beispielsweise der Dateioder Ordnername, die Sicherheitsinformationen über Besitzverhältnisse oder Zugriffsmöglichkeiten bis hin zu den Daten selbst.
Residente und nichtresidente Attribute
Attribute, die vollständig in den MFT-Datensatz einer Datei passen, werden auch residente Attribute genannt. Von einer nichtresidenten Speicherung von Attributen wird dann gesprochen, wenn diese in weiteren MFT-Datensätzen abgelegt werden. In der folgenden Tabelle sind die möglichen Typen von NTFSDateiattributen aufgeführt, die derzeit für NTFSv5 definiert sind. Aufgrund der flexiblen und erweiterbaren Struktur von NTFS können hier zukünftig weitere Attribute hinzukommen.
4.4 NTFS im Detail
129
NTFS-Attribut
Beschreibung
Standard-Informationen
Enthält Standardattribute wie Zeitstempel, Verbindungszähler (Anzahl der Referenzierungen auf die Datei) sowie Felder für die Sicherstellung von Transaktionen
Attributliste
Liste der Attributdatensätze, die extern, also nichtresident gespeichert sind.
Dateiname
Der Name der Datei oder des Ordners; es werden die normale Lang- als auch die Kurzform in der 8.3-Notation gespeichert.
Sicherheitsbeschreibung
Hier werden die Besitzrechte (Eigentümer der Datei) und die Zugriffsberechtigungen gespeichert.
Daten
Enthält die eigentlichen Daten. Jede Datei kann ein oder mehrere Datenattribute enthalten.
Objektkennung
Eine vom Dateinamen unabhängige Objektkennung, die beispielsweise vom Überwachungsdienst für verteilte Verknüpfungen benutzt wird.
Logged Tool Stream
Eine spezielle Form eines Datenstroms, der auch der Protokollierung in der NTFSProtokolldatei unterliegt und beispielsweise durch das verschlüsselnde Dateisystem (EFS) benutzt wird.
Analysepunkt
Kennzeichnet die Datei für spezielle Funktionen. Dies wird beispielsweise für Bereitstellungspunkte verwendet, die dadurch spezielle Verzeichnisse für die Einbindung kompletter Datenträgerstrukturen in das Verzeichnissystem darstellen.
Indexstamm,
Dient bei Ordnern der Implementierung des Verzeichnisindex oder anderer Indizes.
Indexzuweisung und Bitmap Datenträgerinformation
Wird nur von der NTFS-Systemdatei $Volume zur Speicherung von Informationen zum Datenträger benutzt.
Datenträgername
Wird nur von der NTFS-Systemdatei $Volume zur Speicherung der Datenträgerbezeichnung benutzt.
Tabelle 4.5: Dateiattribut-Typen in NTFSv5
130
4 Dateisysteme
4.4.3 Analyseattribute und Dateisystemfilter
Analysepunkte und Bereitstellungen
Analysepunkte im NTFS-Dateisystem sind Dateien beziehungsweise Ordner, die über spezielle Analyseattribute verfügen. Diese werden durch spezifische Dateisystemfilter ausgewertet, mit deren Hilfe diese Dateien und Ordner bestimmte besondere Funktionen erhalten können. Der Funktionsumfang des Dateisystems kann so erweitert werden. Dabei werden die Funktionen so implementiert, dass die Nutzung transparent für Benutzer und Anwendungen möglich ist. So können beispielsweise über Ordner ganze Datenträger in eine Verzeichnisstruktur eingebunden werden (über Bereitstellungspunkte), ohne dass Benutzer oder Anwendungen davon etwas merken. Zwei Anwendungen der Analysepunkte im NTFS-Dateisystem sind Bereitstellungspunkte und Remotespeicher.
Bereitstellungspunkte Über einen Bereitstellungspunkt können Sie einen Ordner in einer Verzeichnisstruktur eines NTFS-Datenträgers direkt mit einem anderen Datenträger verbinden. Dabei gibt es keine logischen Begrenzungen. Mit dieser Funktion können Sie theoretisch beliebig viele Datenträger unter einem Verzeichnisbaum miteinander verknüpfen und so über einen einzigen Laufwerksbuchstaben ansprechen. Abbildung 4.11: Über Bereitstellungspunkte verbundene Datenträger
4.4 NTFS im Detail
131
In der Abbildung 4.11 sehen Sie an einem Beispiel, wie drei Datenträ- Beliebige Stelle im ger zu einer Verzeichniseinheit miteinander verbunden worden sind. Verzeichnissystem Dabei spielt es keine Rolle, in welcher Verzeichnistiefe sich die Bereitstellungen befinden. Sie können einen Datenträger an einer beliebigen Stelle im Dateisystem wie einen normalen Ordner einbinden. Als Bereitstellungspunkt kann nur ein leerer NTFS-Ordner eingerich- Alles lässt sich tet werden. Der einzubindende Datenträger kann allerdings mit einem einbinden! beliebigen, von NTFS unterstützten Dateisystem formatiert sein. Somit können Sie auch folgende Datenträger einbinden: • NTFS, FAT32 und FAT-formatierte Datenträger • beliebige Wechseldatenträger (allerdings keine Disketten) • CD- und DVD-Laufwerke Datenträger oder Laufwerke lassen sich ausschließlich mit ihrem Einbindung nur mit Stammverzeichnis über einen Bereitstellungspunkt einbinden. Der Stammverzeichnis Ordner selbst, über den die Bereitstellung erfolgt, kann sich wie ein normaler Ordner an einer beliebigen Stelle in der Verzeichnisstruktur des NTFS-Datenträgers befinden. Im Falle eines Zugriffs auf einen Bereitstellungspunkt, der auf einen Stabil gegenüber entfernten Datenträger zeigt, erhalten Sie eine Fehlermeldung. Der Geräteänderungen Bereitstellungspunkt behält allerdings seine logische Zuordnung bei, bis Sie ihn löschen. Ändern lassen sich Zuordnungen in den Bereitstellungspunkten nicht. Bereitstellungen Wollen Sie einem Ordner einen anderen Datenträger zuweisen, müs- ändern sen Sie zuerst über die Datenträgerverwaltung den Laufwerkpfad für den zuerst eingebundenen Datenträger löschen. Zurück bleibt ein leerer Ordner auf dem NTFS-Datenträger, der um sein AnalysepunktAttribut beraubt jetzt wieder ein ganz normales leeres Verzeichnis ist. Dieses können Sie einem anderen Datenträger als neuem Laufwerkpfad zuordnen und damit eine neue Bereitstellung am gleichen Ort erzeugen.
Remotespeicher Eine andere Anwendung der Analysepunkte stellen Remotespeicher Auslagerung von dar. Dateien und Ordner, die entsprechend gekennzeichnet sind, kön- Dateien nen vom Server ausgelagert werden. Zurück bleiben nur Verweise auf die ausgelagerten Daten. Für den Benutzer oder die Anwendung ist dieser Vorgang transparent. Diese sehen die ausgelagerten Dateien genauso wie die nicht ausgelagerten mit allen Angaben zu Dateigröße, Datum und den anderen Attributen. Beim Aufruf einer solchen Datei sorgt der Remotespeicherdienst für ein automatisches Zurückladen der physischen Daten an den Speicherort im NTFS-Dateisystem.
132
4 Dateisysteme Windows 2000 unterstützt für die Auslagerung ausschließlich bestimmte Typen von Bandlaufwerken. Weitergehende Informationen zu dem gesamten Thema finden Sie in Abschnitt 3.6.4 Remotespeicher ab Seite 96.
4.4.4
NTFS-Zugriffsrechte für Dateien und Ordner
Unter NTFS können Sie die Zugriffsrechte für Benutzer und Gruppen auf Dateien gezielt festlegen. Die NTFS-Zugriffsberechtigungen gelten sowohl lokal als auch für über das Netzwerk angemeldete Benutzer.
Das Attribut Sicherheitsbeschreibung ACL
Das NTFS-Dateiattribut Sicherheitsbeschreibung beinhaltet die so genannte Access Control List (ACL). In dieser sind die Access Control Entries (ACE) enthalten, die einzelne Berechtigungen explizit erteilen oder entziehen. Dabei kommt es auf die Reihenfolge der ACE an. Mehr Grundlageninformationen zu Sicherheitsattributen finden Sie in Abschnitt 6.6.3 Elemente der Systemsicherheit ab Seite 339 und unter Access Control Entries (ACE) ab Seite 341.
Abbildung 4.12: Erteilen von Zugriffsberechtigungen
4.4 NTFS im Detail
133
So werden die ACE einer Datei ausgewertet: 1. Auswertung der negativen ACE, das heißt: welche Berechtigungen sind entzogen? 2. Auswertung der positiven ACE: Welche Berechtigungen sind zugelassen? Das bedeutet, dass das Entziehen von Berechtigungen Vorrang vor Entziehen von dem Zulassen hat. Haben Sie beispielsweise den Vollzugriff auf eine Berechtigungen Datei für alle Benutzer entzogen, können keine anderen Berechtigun- hat Vorrang gen mehr greifen. Das wird auch so durch die neue Oberfläche zur Einstellung der Sicherheitsbeschreibung abgebildet. Ist Vollzugriff erlaubt oder verweigert, können logischerweise keine anderen Optionen mehr gesetzt werden. Das erleichtert den Umgang mit der Sicherheitsbeschreibung erheblich, da das Setzen unlogischer Kombinationen verhindert wird (beispielsweise zugelassener Vollzugriff mit verweigertem Leserecht).
Vererbung und Beibehaltung von Berechtigungen Neu in NTFSv5 sind die vererbbaren übergeordneten Berechtigungen. Das Übernehmen der übergeordneten Berechtigungen für Dateien ist standardmäßig aktiv. Wenn Sie neue Dateien erstellen, werden die Berechtigungen des übergeordneten Ordners übernommen. Das funktioniert auch, wenn Sie Dateien in einen Ordner kopieren. Verschieben Sie Dateien zwischen NTFS-Ordnern desselben Datenträgers, behalten diese ihre ursprünglich eingestellten Sicherheitseinstellungen bei. Beim Verschieben zwischen unterschiedlichen Datenträgern hingegen wird dieser Prozess wiederum wie das Kopieren behandelt und die Berechtigungen werden übernommen. Für das Kopieren von Dateien und Ordnern zwischen NTFSDatenträgern lokal oder über das Netzwerk empfiehlt sich die Nutzung des Tools ROBOCOPY.EXE, welches auf der Begleit-CD der Technischen Referenz zu Windows 2000 Server zu finden ist. Wie Sie die Sicherheitseinstellungen für Ordner und Dateien auf NTFS-Datenträgern richtig einsetzen, ist Inhalt des Abschnitts 11.11 NTFS-Zugriffsrechte einstellen ab Seite 563.
4.4.5
Das verschlüsselnde Dateisystem (EFS)
Für den zuverlässigen Schutz von Daten reicht das Betriebssystem allein nicht aus. Nicht erst seit dem Auftauchen des DOS-Tools
134
4 Dateisysteme NTFSDOS.EXE ist klar, dass die Sicherheit von auf NTFS-Datenträgern abgelegten Dateien spätestens dann nicht mehr gewährleistet ist, wenn die physischen Datenträger in die Hände unbefugter Personen gelangen. Leider lassen sich Datenträger, gerade in kleineren Unternehmen oder Filialen, nicht immer hundertprozentig verschließen. Server stehen nicht selten wenig abgeschirmt in Großraumbüros oder in kleinen Kammern, die mit normalen Türen gesichert sind. Ganz zu schweigen von Notebooks, die sensible Daten beherbergen können.
Der grundsätzliche Aufbau Dateisystemfilter
Mit dem verschlüsselnden Dateisystem (EFS – Encrypting File System) können Sie diese Datenschutzprobleme lösen. Das verschlüsselnde Dateisystem ist als eine Erweiterung des NTFS implementiert. Diese Erweiterungen – im Übrigen gilt dies auch für die Komprimierungsfunktionalität – werden auch als Dateisystemfilter (siehe Abbildung 4.13) bezeichnet.
Transparente Verschlüsselung der Dateien
Der Dateisystemfilter des verschlüsselnden Dateisystems arbeitet völlig transparent. Die Verschlüsselungs- und Entschlüsselungsvorgänge laufen unsichtbar im Hintergrund ab. Der Anwender wird nicht mit störenden Unterbrechungen, wie etwa der Aufforderung zur Eingabe von Kennwörtern, konfrontiert. Die direkte Integration in den Windows Explorer gestattet eine einfache Nutzung der Datenverschlüsselungsfunktion: Das Aktivieren des entsprechenden Kontrollkästchens reicht aus, um einen Ordner oder eine einzelne Datei von Windows 2000 verschlüsseln zu lassen. Alternativ steht auf Betriebssystemebene der Befehl CIPHER zur Verfügung.
Abbildung 4.13: Das verschlüsselnde Dateisystem als Dateisystemfilter
4.4 NTFS im Detail
135
Eine verschlüsselte Datei kann nur noch durch den berechtigten Benutzer geöffnet, umbenannt, kopiert oder verschoben werden. Alle anderen Benutzer werden abgewiesen. Der berechtigte Benutzer erhält über das Dateisystem den vollen Zugriff auf die entschlüsselte Datei. Beim Abspeichern einer solchen Datei wird sie automatisch wieder verschlüsselt. Beim Kopieren einer verschlüsselten Datei über das Netzwerk wird sie entschlüsselt und im Zielordner wieder verschlüsselt. Sie ist damit auf dem Transportweg über das lokale Netzwerk oder die Datenfernverbindung prinzipiell lesbar. Für einen sicheren Netztransfer gibt es beispielsweise mit IPSec geeignete Schutzmechanismen (siehe Abschnitt 5.9.2 Sicherung der Übertragungswege mit IPSec ab Seite 259). Verloren geht die Verschlüsselung einer Datei selbstverständlich auch, Keine Verschlüswenn Sie diese auf einen FAT- oder FAT32-Datenträger kopieren. Das selung: FAT und gilt prinzipiell auch für Datensicherungs-Programme. Nur spezielle FAT32 Windows 2000-Datensicherungssoftware ist in der Lage, die korrekten NTFS-Attribute einschließlich der Verschlüsselung mit abzuspeichern und wiederherzustellen.
EFS im Detail Das verschlüsselnde Dateisystem (EFS) basiert auf einem Hybridverfahren, bei dem mehrere Verschlüsselungsverfahren nacheinander zum Einsatz gelangen. Zusätzlich zu einer symmetrischen Verschlüsselung findet auch eine Chiffrierung mit öffentlichen und privaten Schlüsseln statt. Betrachten wir zunächst den Verschlüsselungsvorgang: Dabei wird Verschlüsselung die betreffende Datei zuerst mit Hilfe eines DES-Algorithmus symmetrisch verschlüsselt. Der Schlüssel dazu, File Encryption Key (FEK) genannt, wird per Zufallsgenerator erzeugt. Die Verschlüsselung der Datei mit einem generierten symmetrischen Schlüssel als FEK wird aus Performancegründen einer Verschlüsselung durch öffentlich zertifizierte Schlüssel vorgezogen. Der FEK selbst wird wiederum mit dem öffentlichen Schlüssel aus Data Decryption dem öffentlichen/privaten Schlüsselpaar des Anwenders verschlüs- Field (DDF) selt. Der so chiffrierte FEK wird als EFS-Attribut der Datei im Data Decryption Field (DDF) abgelegt. Um eine Wiederherstellung verschlüsselter Daten auch ohne den pri- Data Recovery vaten Schlüssel des Anwenders zu ermöglichen, beispielsweise nach Field (DRF) einem Verlust des Schlüssels oder um an Daten ausgeschiedener Mitarbeiter zu gelangen, wird der zufällig generierte FEK auch mit dem öffentlichen Schlüssel des öffentlichen/privaten Schlüsselpaars des Wiederherstellungsagenten verschlüsselt. Dieser so chiffrierte FEK wird dann als EFS-Attribut im Data Recovery Field (DRF) abgelegt.
136
4 Dateisysteme
Abbildung 4.14: Die Verschlüsselung
Entschlüsselung
Bei der Abspeicherung im NTFS-Dateisystem werden also zur symmetrisch verschlüsselten Datei noch zwei chiffrierte Schlüssel mit abgespeichert. Diese mit den öffentlichen Schlüsseln des Anwenders beziehungsweise des Wiederherstellungsagenten chiffrierten Schlüssel müssen für eine Entschlüsselung zunächst selbst wieder mit den dazugehörigen privaten Schlüsseln dechiffriert werden. Zugriff erhalten also nur der berechtigte Anwender sowie der Wiederherstellungsagent.
Wiederherstellungsagent
Als Wiederherstellungsagent wird standardmäßig unter Windows 2000 der Administrator eingesetzt. Dieser besitzt das Zertifikat mit dem dazugehörigen privaten Schlüssel, um auf die verschlüsselten Dateien aller Benutzer des seiner Verwaltung unterstehenden Systems zugreifen zu können. Lesen Sie dazu auch Abschnitt 16.6 Wiederherstellung verschlüsselter Dateien ab Seite 967.
Sicherheit vor dem Administrator
Für eine höhere Sicherung von verschlüsselten Dateien vor dem Zugriff des Administrators (standardmäßig der Wiederherstellungsagent) könnten Sie das Wiederherstellungs-Zertifikat des Administrators löschen. Dann sind die verschlüsselten Dateien eines Benutzers nur noch mit dessen Zertifikat zu entschlüsseln. Geht dieses verloren, bleiben auch die Daten für immer verschlossen. Da der Administrator aber Benutzerkennwörter jederzeit zurücksetzen kann, ist dieser Weg untauglich.
4.4 NTFS im Detail
137 Abbildung 4.15: Die Entschlüsselung
Weitergehende Hinweise zur maximalen Absicherung lokaler Datenbestände mittels EFS finden Sie in Band I Windows 2000 im professionellen Einsatz.
4.4.6
Komprimierung
Unter NTFS können Sie für Dateien die integrierte Komprimierung aktivieren. Diese wird wie ein normales Dateiattribut betrachtet. Damit kann die Komprimierungsfunktion für bestimmte Dateien, Ordner oder ganze Datenträger separat eingestellt werden.
Der grundsätzliche Aufbau Wie das verschlüsselnde Dateisystem (siehe Seite 134) ist auch die Komprimierungsfunktion als Dateisystemfilter implementiert. Die Kompression der Dateien erfolgt für den Benutzer oder das Anwendungsprogramm transparent. Beim Zugriff auf eine entsprechende Datei wird diese zuerst dekomprimiert und dann an die Anwendung übergeben. Beim Speichern erfolgt vor dem Schreiben auf den Datenträger wiederum die Kompression. Das trifft genauso auf die Nutzung komprimierter Dateien über das Kompression und Netzwerk zu. Vor dem Netzwerktransfer werden die Dateien auf dem Netzwerk Server dekomprimiert und dann versendet. Das bedeutet natürlich
138
4 Dateisysteme einerseits, dass die Leistung für Kompression und Dekompression auf dem Server zu erbringen ist. Andererseits verhilft die NTFSKompression nicht zu einer Verringerung der Netzwerklast – über das Netzwerk bewegen sich immer (NTFS-)unkomprimierte Dateien.
Abbildung 4.16: Komprimierung als Dateisystemfilter
Verfahren
Das Kompressionsverfahren ähnelt dem in den Kompressionstools unter MS-DOS verwendeten DoubleSpace. Dabei handelt es sich auch um eine Lauflängencodierung, wobei statt des 2-Byte-Minimums ein 3-Byte-Minimumsuchlauf verwendet wird. Dieses Verfahren ist etwa doppelt so schnell wie unter DoubleSpace bei einer minimalen Verschlechterung der Kompressionsrate. Die Komprimierung wird nur für eine Clustergröße bis 4 KB unterstützt.
Erreichbare Kompressionsraten Die durchschnittlich erreichbaren Kompressionsraten hängen stark von den verwendeten Dateitypen ab. In der folgenden Tabelle sind typische Dateien den in der Praxis durchschnittlich erreichbaren Kompressionsraten gegenübergestellt. Tabelle 4.6: Beispiele Dateityp für erreichbare Kompressionsraten Textdateien
Größe nach Kompression in % 30 – 60 %
Microsoft Word-Dateien
30 – 60 %
Microsoft Excel-Tabellen
30 – 60 %
Layout-Dateien (Pagemaker)
25 – 50 %
Bilddateien
10 – 100 %
Ausführbare Dateien (EXE)
50 – 60 %
4.4 NTFS im Detail
139
Die angegebenen Werte dienen nur als grobe Richtlinie. Generell lässt sich sagen, dass einfache Textdokumente oder Dateien aus Tabellenkalkulationsprogrammen wie Excel eine durchschnittlich gute Kompression ermöglichen. Allerdings sind diese Dateien meist verhältnismäßig klein und belegen damit auch in einer hohen Anzahl relativ wenig Speicherplatz. Sinnvoller ist der Einsatz einer wirkungsvollen Komprimierung bei Schwachstelle: großen Dateien, üblicherweise vor allem bei Bilddateien. Hier liegt Komprimierung aber genau die Schwachstelle der einfachen Komprimierungsalgo- von Bilddateien rithmen, die bei NTFS zum Einsatz kommen. Hohe Kompressionsraten lassen sich hier nur dann erreichen, wenn die Bilddaten von ihren Inhalten her sehr homogen sind. Bilder mit vielen Details lassen sich so gut wie gar nicht komprimieren. Ein entsprechender Test mit 140 unkomprimierten Bilddateien der Typen TIFF und EPS, wie sie vor allem in Werbeagenturen und der Bildverarbeitung vorkommen, brachte bei einer unkomprimierten Gesamtkapazität von 640 MB keine nennenswerte Ersparnis an Speicherplatz. Ein zum Vergleich herangezogenes ZIP-Komprimierungstool erbrachte bei diesen Dateien immerhin eine Verkleinerung auf 85%. Wesentlich besser sah es hingegen bei einer größeren Sammlung von Screenshots aus. Diese Dateien waren gemischt als BMP und TIFDateien (ohne LZW-Komprimierung) abgelegt und brachten unter der NTFS-Komprimierung eine Verringerung auf 20% des ursprünglich benötigten Platzes. Das wieder zum Vergleich benutzte ZIPKomprimierungstool brachte es allerdings auf 5%. Die Online-Komprimierung, die sich für NTFS-Dateien aktivieren Fazit lässt, hat den Vorteil, für den Benutzer und die Anwendungen transparent zu arbeiten. Es werden keine weiteren externen Tools benötigt. Nachteil ist die im Vergleich zu speziellen Komprimierungsprogrammen erheblich schlechtere Leistung. Für große komplexe Bilddateien, wie sie beispielsweise in Werbeagenturen oder Verlagen anfallen, eignet sich die NTFS-Komprimierung kaum. Hinzu kommt, dass moderne Grafikprogramme in der Windows-Welt – wie beispielsweise CorelDraw – die Dateien selbst effizient komprimieren. Das trifft im Übrigen auch auf Microsoft PowerPoint zu. Die Präsentationsdateien können durch die Verwendung vieler Grafiken und Bilder sehr groß werden. Aufgrund der guten Komprimierung, die in PowerPoint standardmäßig auf alle damit erzeugten Dateien beim Speichern angewandt wird, können diese durch die NTFSKomprimierung nicht weiter verkleinert werden. Diese Tatsachen sowie die stetige Weiterentwicklung im Bereich der Festplattentechnologien lassen den Einsatz der NTFS-Komprimierung auf einem Serversystem als nicht lohnend erscheinen.
140
4 Dateisysteme
4.4.7
Datenträgerkontingente
Datenträgerkontingente, in anderen Betriebssystemen schon länger verbreitet und teilweise, wie auch in der englischen Fassung von Windows 2000, Disk Quotas genannt, dienen der Zuteilung des verfügbaren Speicherplatzes auf Datenträgern an Benutzer. Kontingente gelten je Datenträger
Datenträgerkontingente können Sie beliebig je Benutzer auf NTFSDatenträgern einrichten. Die Kontingente gelten dabei je logischem Datenträger, unabhängig davon, über wie viele Freigaben dieser verfügt.
Anzeige von Speicherplatz
Ist für einen Benutzer ein Kontingent eingerichtet, erfährt dieser nicht mehr die wahre Größe des betreffenden Datenträgers. Stattdessen wird als Gesamtspeicherkapazität die Größe des Datenträgerkontingents angezeigt. Als belegter Speicherplatz erscheint die Gesamtsumme der Größe der Dateien, die dem jeweiligen Benutzer zugeordnet sind. Dateien, die sich vor der Zuweisung eines Kontingents auf dem Datenträger befunden haben, werden in die Zählung des in Anspruch genommenen Speicherplatzes nicht einbezogen und haben somit keinen Einfluss auf das Kontingent. Damit sollten Sie die Einrichtung von Kontingenten vornehmen, bevor Sie den betreffenden Datenträger Benutzern zur Verfügung stellen.
Achtung bei Bereit- Datenträgerkontingente haben keine Wirkung auf über Bereitstelstellungen! lungspunkte (siehe Abschnitt 4.4.3 Analysepunkte und Bereitstellungen
ab Seite 130) eingebundene Datenträger. Das Kontingent gilt nur für die Dateien und Ordner, die sich physisch auf dem betreffenden Datenträger befinden. Bereitgestellte Datenträger, auch wenn sie mit dem NTFS-Dateisystem formatiert sind, werden nicht berücksichtigt. Für diese müssten Sie wiederum eigene Kontingenteinträge definieren, wenn Sie eine Beschränkung des verwendeten Speichers benötigen. NTFS-Komprimierung wirkungslos
Die Nutzung der NTFS-Komprimierung hat keinen Einfluss auf die Ausnutzung eines Kontingents. Bei der Berechnung des verwendeten Speicherplatzes wird immer die Größe der unkomprimierten Datei zugrundegelegt.
Besser: Externe Komprimierung
Anders sieht es aus, wenn Sie externe Komprimierungsprogramme wie beispielsweise WinZIP benutzen. Die damit erstellten Archive, die übrigens wesentlich höhere Komprimierungsraten erreichen, werden als normale Dateien im NTFS-Dateisystem abgelegt und für die Ausnutzung des Kontingents mit ihrer (komprimierten) tatsächlichen Größe berücksichtigt.
4.4 NTFS im Detail Für die Erkennung einer baldigen Erreichung eines Kontingents durch einen Benutzer oder eine Gruppe können Sie eine Warnschwelle definieren, ab der ein Eintrag in das Ereignisprotokoll erfolgen soll. Wird das Kontingent erreicht, kann der Benutzer keine weiteren Dateien auf dem Datenträger speichern. Er kann nur noch Dateien löschen oder durch Bearbeitung verkleinern, oder Sie erhöhen als Administrator die Kontingentgrenze.
141 Warnschwelle und Verweigerung weiteren Speicherplatzes
Zur Verwaltung und Einrichtung von Datenträgerkontingenten erhalten Sie weitergehende Informationen in Abschnitt 11.12.2 Datenträgerkontingente festlegen ab Seite 573.
4.4.8
Weitere besondere Merkmale von NTFS
In diesem Abschnitt werden einige weitere Merkmale von NTFS beschrieben, die Auswirkungen auf die Arbeitsweise und den internen Ablauf haben, für den Benutzer aber weitgehend transparent bleiben. Teilweise werden diese erst durch spezielle Anwendungsprogramme ausgenutzt und können dann zu einer Erhöhung der Leistungsfähigkeit des Gesamtsystems führen.
Unterstützung für Dateien mit geringer Datendichte Eine so genannte Datei mit geringer Dichte verfügt über ein spezielles Ausschluss von Attribut, welches das I/O-System des NTFS-Dateisystems bei der Nulldaten Speicherung der Datei veranlasst, nur nichtleeren Daten physischen Speicherplatz zuzuweisen. Alle Nulldaten werden durch entsprechende Einträge ausgewiesen. Beim Aufruf der Datei durch ein Anwendungsprogramm werden dann die tatsächlichen Datenmengen wiederhergestellt, indem automatisch die Nulldaten als leerer Datenstrom erzeugt und übergeben werden. Sinn und Zweck dieses Verfahrens ist die drastische Einsparung von Speicherplatz bei dieser Art von Dateien. Die Anwendung ist allerdings sehr speziell und das NTFS-Attribut nur durch entsprechend programmierte Applikationen setzbar. Eine praktische Anwendung ist beispielsweise das Änderungsjournal Anwendung beim (siehe nächster Abschnitt), welches die Änderungen von Dateien mit Änderungsjournal Hilfe der Abbildung der logischen Struktur des gesamten Datenträgers verfolgt. Die hohe Effizienz dieses Journals auch bei sehr großen Datenträgern mit vielen Dateien wird dadurch erreicht, dass eine Datei gebildet wird, welche die gesamte Struktur widerspiegelt. Die nichtleeren Daten, die physisch gespeichert werden, sind die Änderungseinträge. Der Zugriff auf die Datei erfolgt aber, als wäre die gesamte Struktur abgebildet. Da aber immer nur ein relativ kleiner Teil
142
4 Dateisysteme der Dateien Änderungen unterworfen ist, kann die Speicherung des Journals auf physisch kleinem Raum erfolgen.
Änderungsjournal Über das Änderungsjournal werden im NTFS-Dateisystem die Änderungen an Dateien ständig protokolliert. Die APIs dazu sind von Microsoft offen gelegt und können durch Softwareanbieter beispielsweise für die Entwicklung von Programmen für die Datensicherung oder Antivirenchecks genutzt werden. Der Microsoft Indexdienst benutzt als eine der ersten Applikationen das NTFS-Änderungsjournal für die schnelle Aktualisierung der Indizes. Verfahren
Jede Änderung an einer Datei oder einem Ordner wird automatisch im NTFS-Änderungsjournal erfasst. Das ermöglicht die effizientere Ausführung von Programmen, die Änderungen am Datenträger auswerten müssen. Pro Änderungsdatensatz fallen ca. 80 bis 100 Byte an Daten an, die dem Journal hinzugefügt werden. Da das Journal in seiner Größe begrenzt ist, verfallen bei dem Erreichen der maximalen Kapazität die ersten Einträge und werden durch neue überschrieben. Hauptvorteil bei der Nutzung des NTFS-Änderungsjournals durch Anwendungsprogramme ist die hohe Performance auch bei sehr großen Datenträgern mit vielen Dateien, mit der Änderungen an Dateien erfasst werden. Die Geschwindigkeit der Bearbeitung der Änderungen hängt nicht von der Anzahl der Dateien ab, sondern von der Anzahl der Änderungen.
Überwachung verteilter Verknüpfungen Überwachung über Objektkennung
Unter Windows 2000 stellt der Dienst zur Überwachung verteilter Verknüpfungen sicher, dass auf NTFS-Datenträgern Änderungen an den Quelldateien verfolgt und bei den Verknüpfungen berücksichtigt werden. Grundlage dieser Überwachung ist die eindeutige Objektkennung, mit der Dateien unabhängig von ihren Dateinamen geführt werden. Der Überwachungsdienst verteilter Verknüpfungen kann in den folgenden Fällen sicherstellen, dass die Verknüpfungen weiterhin korrekt auf die zugeordneten Quelldateien verweisen: • Sie haben die Quelldatei umbenannt. • Sie haben die Quelldatei innerhalb der Datenträger in der Arbeitsgruppe oder Domäne verschoben.
4.4 NTFS im Detail
143
• Die Netzwerkfreigabe beziehungsweise der freigebende Computer, der die Quelldatei enthält, wurden umbenannt.
4.4.9
Kompatibilität von Windows NT 4 mit NTFSv5
Auf einen NTFS v5-Datenträger kann prinzipiell auch von Windows NT aus zugegriffen werden. Voraussetzung ist dabei, dass unter NT mindestens das Service Pack 4 installiert ist. Die folgenden NTFSv5Funktionen sind unter Windows NT 4 nicht verfügbar beziehungsweise werden ignoriert: • Datenträgerkontingente Unter Windows 2000 definierte Datenträgerkontingente, die Benutzern und Gruppen zugewiesen sind, werden unter NT nicht erkannt beziehungsweise das entsprechende NTFS-Attribut wird ignoriert. Damit haben alle Benutzer hinsichtlich des Speicherplatzes keine Limitierung auf dem betreffenden Datenträger.
Datenträgerkontingente
Wird das Kontingent überschritten und der Datenträger wieder unter Windows 2000 bereitgestellt, kann der entsprechende Benutzer nur noch Daten verkleinern oder löschen, bis die Kontingentgrenze wieder unterschritten wird. • Objektkennungen für Dateien und Ordner
Objektkennungen für Dateien und Windows NT und 2000 kennen beide eindeutige Objektkennungen Ordner
für Dateien und Ordner. Unter Windows 2000 wird allerdings zusätzlich die Kennung im Datenträgerindex mit verwaltet. Wird ein entsprechendes Objekt unter Windows NT gelöscht, muss Windows 2000 beim erneuten Bereitstellen des Datenträgers die Objektkennung nachträglich aus dem Index entfernen. • Änderungsjournal
Änderungsjournal
Windows NT 4 kennt das Änderungsjournal nicht. Damit werden auch die Änderungen an Dateien und Ordnern nicht berücksichtigt, die während der Bereitstellung eines NTFSv5-Datenträgers unter NT vorgenommen werden. Beim erneuten Bereitstellen des Datenträgers unter Windows 2000 wird das Journal verworfen und neu aufgesetzt. • Analysepunkte und Bereitstellungen Windows NT erkennt keine Analysepunkte. Damit sind auch Bereitstellungen von Datenträgern über Laufwerkpfade, die unter Windows 2000 eingerichtet worden sind, nicht nutzbar. • Verschlüsselte Dateien
Analysepunkte und Bereitstellungen
Verschlüsselte Dateien
144
4 Dateisysteme Das verschlüsselnde Dateisystem (EFS) ist als spezieller Dateisystemfilter unter Windows 2000 für die Erweiterung des NTFSDateisystems implementiert und damit unter NT nicht nutzbar. Verschlüsselte Dateien können deshalb hier nicht entschlüsselt werden.
Dateien mit geringer Datendichte Aufräumaktionen unter Windows 2000
• Dateien mit geringer Datendichte Dateien mit geringer Datendichte werden unter Windows NT nicht erkannt und sind dort nicht zugänglich. Für die Sicherstellung der NTFSv5-Funktionen, die unter Windows NT umgangen werden können, wie beispielsweise das Änderungsjournal oder die Datenträgerkontingente, werden unter Windows 2000 automatisch Aufräumaktionen durchgeführt. Sie brauchen sich deshalb um die Konsistenz der Datenträger, auch wenn sie zeitweise unter NT eingesetzt werden, keine Sorgen zu machen. Die Festplattentools von Windows NT 4 ab Service Pack 4, CHKDSK und AUTOCHK, arbeiten nicht auf NTFSv5-Datenträgern. Reparaturund Wiederherstellungsarbeiten sollten deshalb nur unter Windows 2000 durchgeführt werden.
4.5
Verteiltes Dateisystem (DFS)
Kein Dateisystem wie NTFS oder FAT
Beim verteilten Dateisystem (Distributed File System – DFS) handelt es sich nicht um ein Dateisystem im Sinne von NTFS oder FAT, sondern um einen speziellen Dienst, den die Serverversionen von Windows 2000 für die verteilte Speicherung von Daten im Netzwerk ausführen können. In diesem Abschnitt werden die grundlegenden Aspekte der Nutzung des verteilten Dateisystems erörtert.
DFS
Der Einfachheit halber wird in den folgenden Abschnitten nur noch die Abkürzung DFS verwendet. Dies entspricht der in der Fachwelt und auch in der Online-Hilfe sowie weiteren Dokumentationen von Microsoft verbreiteten Terminologie.
Administration ab Seite 597
Die konkreten Schritte zur Einrichtung und Administration des verteilten Dateisystems finden Sie in Abschnitt 11.14 DFS einrichten und verwalten ab Seite 597.
4.5.1 Vielzahl an Freigaben
Überblick über das DFS
In gewachsenen Netzwerkstrukturen mit mehreren Servern kommt es mit der Zeit fast zwangsläufig dazu, dass sich Benutzer und Administratoren gleichermaßen mit einer zunehmenden Anzahl an Netzwerkfreigaben konfrontiert sehen. Die jeweils korrekten Zuweisungen be-
4.5 Verteiltes Dateisystem (DFS)
145
stimmter Datenbereiche im gesamten Netzwerk zu den Benutzern ist zwar beherrschbar, bedeutet aber in der Regel einiges an Administrationsaufwand. Der kann noch bedeutend umfangreicher sein, wenn womöglich verschiedene Systemwelten, beispielsweise auch UNIXoder Netware-Server, im Netzwerk existieren. Mittels DFS können alle Freigaben eines Netzwerks in einem einheitli- Einheitlicher chen Namensraum zusammengeführt werden. Das können alle Frei- Namensraum gaben sein, für die auf dem Windows 2000 Server eine Clientsoftware existiert. Neben der Einbindung von SMB-konformen Freigaben im Windows-Netzwerk lassen sich so beispielsweise auch NFS-Volumes oder Serverlaufwerke von Novell Netware-Servern einbinden. Abbildung 4.17: Eine DFS-Beispielkonfiguration
Der Benutzer »sieht« dann nicht mehr verschiedene Server mit den jeweils für ihn zulässigen Netzwerkfreigaben, die sich oft auch schwer merken lassen, sondern greift nur noch auf eine einzige Instanz zu. Wie diese aussieht, hängt von der konkreten Implementierung des DFS ab und wird im nächsten Abschnitt behandelt. Ändern sich Freigaben auf Servern oder werden andere Server mit in Stabil gegenüber das DFS integriert, bedeutet das nicht zwangsläufig, dass auch auf Änderungen Clientebene administrativer Aufwand entsteht. Das DFS schirmt die Sicht des Benutzers vor der konkreten technischen Struktur ab. So kann beispielsweise eine Netzwerkfreigabe von einem Server auf einen anderen übertragen werden, ohne dass der Benutzer etwas davon bemerkt. Benutzen Sie DFS in einem Active Directory, können Sie es so einrich- Hohe Verfügbarkeit ten, dass der gesamte oder Teile des damit verwalteten Datenbestandes auf mehrere Server verteilt (repliziert) werden. Damit können Sie eine hohe Verfügbarkeit sicherstellen. Fällt ein Server aus oder muss er wegen Wartungsarbeiten abgeschaltet werden, kann auf die Daten im Netzwerk trotzdem zugegriffen werden. Damit eignet sich das DFS auch besonders für den Einsatz von Windows 2000 als Webserverbetriebssystem (siehe auch Band III Internet Information Server 5).
146 Lastenausgleich
4 Dateisysteme Neben einer hohen Verfügbarkeit ermöglicht die Replikation von Datenbeständen auf mehreren Servern auch einen Lastenausgleich. Häufig benötigte Anfragen nach Daten können dann von mehreren Servern parallel beantwortet werden. So kommen beispielsweise bei der Anwendung der automatisierten Softwareverteilung unter Nutzung von Intellimirror beachtliche Datenmengen zusammen, die übertragen werden müssen. Die gleichzeitige Anforderung durch mehrere Clients kann zu einer starken Belastung des RIS-Servers führen. Durch Bereitstellung dieser Datenbestände im DFS können Sie die Last wirkungsvoll zwischen mehreren Servern aufteilen (siehe dazu auch Kapitel 8 Softwareverteilung und Remoteinstallation ab Seite 407).
Zugriffsrechte im DFS
Die Zugriffsrechte für die einzelnen Serverfreigaben bleiben bei Verwendung des DFS unangetastet. Das DFS ersetzt nicht irgendwelche Sicherheitseinstellungen oder tritt stellvertretend für Benutzer bei den angebundenen Serversystemen auf, sondern stellt wie eine Sammlung von Links nur die direkte Verbindung der Clients mit den dahinter liegenden konkreten Servern her (siehe Abschnitt 4.5.4 DFS-Clients ab Seite 149).
Windows NT 4 und DFS
DFS gibt es übrigens auch als Erweiterung für Windows NT 4. Mehr Informationen bekommen Sie dazu auf der folgenden MicrosoftWebsite: www.microsoft.com/ntserver/nts/downloads/winfeatures/NTSDistrFile
Unter NT wird allerdings nur der Aufbau eines Eigenständigen DFS (siehe nächster Abschnitt) ermöglicht.
4.5.2
Domänenbasiertes und eigenständiges DFS
Für die Implementierung des DFS wird zwischen zwei grundsätzlich verschiedenen Ansätzen unterschieden, welche in diesem Abschnitt näher betrachtet werden.
Domänenbasiertes DFS Maximale Funktionalität
Mit dem domänenbasierten DFS wird die maximale Funktionalität für den Einsatz im Netzwerk geboten. Dabei wird das Active Directory benutzt, um alle Informationen zum eingerichteten DFS zu speichern. Für die Sicherstellung einer hohen Verfügbarkeit im Netzwerk können die Daten auf mehrere Server repliziert werden. Der Client sieht im Netzwerk ein domänenbasiertes DFS als eine Art freigegebene Ressource, die direkt unter dem Domänennamen erreichbar ist, beispielsweise in der folgenden Form: \\comzept-gmbh.de\Dokumente
4.5 Verteiltes Dateisystem (DFS)
147
Auf welchen Servern sich die Daten tatsächlich befinden, ist dabei für den Client nicht sichtbar.
Eigenständiges DFS Ein eigenständiges DFS kann nur für einen konkreten Windows 2000 Eingeschränkte Server definiert werden und verwendet nicht das Active Directory. Funktionalität Eine Replikation von Daten ist damit nicht möglich. Der Client sieht diese Art von DFS als Freigabe eines konkreten Servers, beispielsweise so: \\svr12w2k\Dokumente
Fällt der betreffende Server aus, stehen damit auch die Daten im DFS nicht mehr zur Verfügung.
Anwendungsbereiche Beide Formen können beliebig miteinander kombiniert werden. Wenn Beide Arten Active Directory eingesetzt wird, können Sie bei Bedarf ein eigenstän- kombinierbar diges DFS aufsetzen. Die Definition eines DFS-Stammes (siehe nächster Abschnitt) erfolgt generell pro Server. Legen Sie einen eigenständigen, nicht über Active Directory geführten DFS-Stamm an, können Sie allerdings keine Replikation von Daten anwenden. Die Verwendung eines eigenständigen DFS ist im Zusammenhang mit Umgebungen ohne der konsequenten Verwendung von Active Directory kaum sinnvoll. AD: eigenständiges Allerdings bietet Windows 2000 damit eine Möglichkeit, DFS in Um- DFS gebungen zu Einsatz zu bringen, wo Active Directory nicht verwendet werden soll. Die Funktionalität entspricht dabei der unter Windows NT 4 bekannten DFS-Erweiterung.
4.5.3
Aufbau des DFS
Der Aufbau eines DFS, auch DFS-Topologie genannt, gliedert sich in mehrere logische Bereiche, die nachfolgend erläutert werden. Die konkreten administrativen Schritte zur Implementierung finden Sie in Abschnitt 11.14 DFS einrichten und verwalten ab Seite 597 im Administrationsteil.
DFS-Stamm Der DFS-Stamm stellt die oberste Instanz in einem DFS dar und kann Oberste Instanz nur einmal pro Windows 2000 Server eingerichtet werden. Diesen richten Sie entweder als Domänenbasierten DFS-Stamm oder als Eigen-
148
4 Dateisysteme ständigen DFS-Stamm ein und bestimmen damit die grundsätzliche Art des DFS (siehe auch vorigen Abschnitt).
Mehrere DFSStämme
Stehen im Netzwerk mehrere Windows 2000 Serversysteme zur Verfügung, können Sie maximal einen DFS-Stamm für jeden Server einrichten. Allerdings sollte das dann auch nachvollziehbare Gründe haben, damit sich der Administrationsaufwand nicht unnötig erhöht. In der Regel fahren Sie besser, wenn Sie einen oder wenige DFS-Stämme implementieren und dann die Replikation bei einem domänenbasierten DFS entsprechend einrichten.
DFS-Stammreplikat Sie können bei einem domänenbasierten DFS den kompletten DFS-
Stamm zwischen mehreren Windows 2000 Servern replizieren, wobei dann von einem DFS-Stammreplikat gesprochen wird. Sie können einen DFS-Stamm auf bis zu 256 Server replizieren.
DFS-Verknüpfung Unterhalb eines DFS-Stammes können Sie die freigegebenen Netzwerkbereiche der betreffenden Serversysteme einbinden. Diese werden auch als DFS-Verknüpfung bezeichnet. Verweise auf Netzwerkfreigaben...
Beim Zugriff eines Clients auf einen DFS-Stamm werden diese angezeigt und stehen abhängig von den konkreten Zugriffsrechten des Benutzers beim jeweiligen dahinterstehenden Serversystem zur Verfügung.
...und andere DFSStämme
Neben dem Verweis auf freigegebene Netzwerkbereiche können DFSVerknüpfungen auch auf weitere DFS-Stämme zeigen und lassen damit eine weitgehende Strukturierung zu. Für den Client erscheinen diese Struktureinheiten immer wie normale freigegebene Netzwerkordner.
Replikate
Auch von DFS-Verknüpfungen können Replikate auf anderen Servern erstellt werden. Gegenüber der Verwendung von Stammreplikaten lassen sich damit gezielter bestimmte Bereiche im Netzwerk verteilen.
Replikation im DFS Die Replikation von Daten im DFS kann auf DFS-Stammebene oder auf Ebene der DFS-Verknüpfungen eingerichtet werden. Es wird dann von DFS-Stammreplikaten beziehungsweise Replikaten gesprochen (siehe auch vorige Abschnitte). Realisiert wird der Replikationsvorgang im Hintergrund durch den Dateireplikationsdienst, welcher ebenfalls für die Replikation im Active Directory verantwortlich ist. Replikationsrichtlinien
Das Verhalten des Systems können Sie dabei über die Replikationsrichtlinien steuern (siehe zur konkreten Einrichtung Abschnitt 11.14.3 DFS-Replikation ab Seite 601).
4.5 Verteiltes Dateisystem (DFS)
149
Zum Aktivieren der automatischen Replikation im domänenbasierten DFS ist es notwendig, dass Sie die Replikationsrichtlinien aufrufen und entsprechend konfigurieren. Darüber hinaus wird die Replikation nur auf NTFS-formatierten Datenträgern unterstützt, welche sich auf Windows 2000 Servern befinden. Andernfalls findet die automatische Replikation nicht statt. Es bleibt dann nur der Abgleich über eine »manuelle Replikation« der Daten.
4.5.4
DFS-Clients
Als Clients können, abhängig vom verwendeten Typ des DFS, die Microsoft-Betriebssysteme dienen, welche in Tabelle 4.7 aufgeführt sind. Grundsätzlich erscheinen die Ordner im DFS für den Client wie nor- Clientsoftware für male Netzwerkfreigaben. Allerdings ist zu beachten, dass diese nur Zugriff auf Server Links auf die tatsächlichen Speicherorte auf den konkret dahinterstehenden Servern darstellen. So benötigt ein PC für den Zugriff auf eine Ressource eines Netware-Servers auch die entsprechende Clientsoftware mit dem richtigen Netzwerkprotokoll (beispielsweise IPX).
Client-Betriebssystem
DFS Domänenbasiert
Eigenständig
Windows 98/ME
mit AD-Client
Windows NT 4 ab Service Pack 3
mit AD-Client
Windows 2000
Tabelle 4.7: Microsoft DFSClients
Die Fähigkeit eines Betriebssystems, als DFS-Client aufzutreten, ist DFS-Client-Fähignur dadurch gekennzeichnet, dass die Sichtweise auf den DFS- keit Namensraum und damit auf eine einheitliche Benutzerschnittstelle realisiert werden kann.
4.5 Verteiltes Dateisystem (DFS)
Kapitel 5 Netzwerkgrundlagen
5.1
Einige Begriffe und Standards......................... 153
5.2
Die Internetprotokolle im Detail .................... 160
5.3
Port- und Protokollnummern........................... 168
5.4
IP-Adressen.......................................................... 171
5.5
Automatische IP-Adressvergabe ..................... 176
5.6
Domain Name System (DNS) .......................... 185
5.7
Weitere unterstützte Netzwerkprotokolle..... 199
5.8
Routing und RAS ............................................... 204
5.9
Sicherheit im Netzwerk..................................... 251
151
152
4 Dateisysteme
5.1 Einige Begriffe und Standards
153
5 Netzwerkgrundlagen Das vorliegende Kapitel befasst sich mit den wichtigsten Grundlagen, die Sie beim Einrichten und Verwalten der Netzwerkfunktionen von Windows 2000 Server benötigen. Für einen erfolgreichen Einsatz von Windows 2000 als Serverbetriebssystem sind Kenntnisse der technischen Grundlagen der TCP/IPProtokollfamilie unabdingbar. Dieses Kapitel soll vor allem dazu und in die zugehörigen Basistechnologien und -werkzeuge einen fundierten Einstieg geben. Ein Fachbuch, welches alle Aspekte von TCP/IP behandelt, soll und kann es allerdings nicht ersetzen. Des Weiteren werden aber auch andere Themen, wie Routing und RAS (RRAS), sowie die Macintosh-Unterstützung behandelt.
5.1
Einige Begriffe und Standards
Der neue Verzeichnisdienst Active Directory von Microsoft baut im TCP/IP Wesentlichen auf eine Netzwerkumgebung mit TCP/IP auf. Insofern ist dieses Protokoll besonders wichtig, wenn Sie alle neuen Funktionen ausnutzen wollen, die Ihnen mit Windows 2000 als Serverbetriebssystem geboten werden. Die notwendigen Grundlagen dazu vermittelt Abschnitt 5.2 Die Internetprotokolle im Detail ab Seite 160. Dem Verzeichnisdienst Active Directory ist das gesamte Kapitel 6 ab Seite 265 gewidmet. Im folgenden Text werden häufig die Begriffe Internet Protocol Suite Internet Protocol (IPS) oder Internet-Protokolle benutzt. Dies sind eigentlich die übliche- Suite (IPS) ren Bezeichnungen der gesamten Protokollfamilie, welche unter anderem auch die Protokolle TCP und IP enthalten. Die alleinige Verwendung von TCP/IP als »Oberbegriff« hat sich allerdings inzwischen fest eingebürgert.
5.1.1
ISO/OSI-Referenzmodell
Eine grundlegende Modellbeschreibung allgemeiner Kommunikationsprozesse bei der Datenübertragung wurde von der International Organization for Standardization (ISO) im Jahre 1984 verabschiedet. Dieses Modell wird immer wieder in der Fachpresse als Referenz zur Beschreibung technischer Vorgänge herangezogen und soll deshalb in diesem Abschnitt kurz vorgestellt werden. Das ISO/OSI-Referenzmodell (Reference Model for Open Systems Interconnection of the International Organization for Standardization) teilt
154
5 Netzwerkgrundlagen Netzwerkverbindungen in sieben logische Schichten ein, die jeweils eine eigene Aufgabe übernehmen. Die Schichten werden nachfolgend beschrieben. Bei Protokollbeschreibungen wird auf diese Schichten immer wieder Bezug genommen.
Tabelle 5.1: Das ISO/OSIReferenzmodell
Nr.
Stapel
Aufgabe
7
Applikation
Nutzerschnittstelle, Kommando-Auswahl
6
Präsentation
Kodierung, Dekodierung, Kompression
5
Koordination
Steuerung der Kommunikation
4
Transport
Verbindungsaufbau, Datentransport
3
Vermittlung
Adressierung, Routing
2
Sicherung
Fragmentierung, Kontrolle, Prüfung
1
Übertragung
Physischer Datentransport
Im Idealfall arbeitet auf jeder Ebene des in Tabelle 5.1 gezeigten Modells ein Protokoll. Der nächste Abschnitt zeigt, dass dies für die Internetprotokolle nicht der Fall ist. Dennoch ist das ISO/OSI-Modell Grundlage der gesamten modernen Protokollwelt. Die folgende Beschreibung zeigt die Funktion der einzelnen Schichten: Bitübertragung
• Schicht 1: Bitübertragungsschicht (physical layer). Hier wird die physikalische Übertragung (elektrisch sowie mechanisch) definiert: das Medium (Kabel, Funk, Infrarot), die gesendeten Signale usw.
Sicherung
• Schicht 2: Sicherungsschicht (data link layer, auch Verbindungsschicht oder MAC-Layer genannt). Hier werden die Daten in einzelne Rahmen aufgeteilt und gesichert übertragen. Beispiele für diese Schicht sind PPP, SLIP und HDLC.
Vermittlung
• Schicht 3: Netzwerkschicht (network layer, auch Vermittlungsschicht). Zentrale Aufgabe ist die Bestimmung eines optimalen Weges durch ein Netzwerk. Ein wichtiges Protokoll auf dieser Ebene ist IP.
Transport
• Schicht 4: Transportschicht (transport layer). Diese Schicht stellt einen gesicherten Kanal zwischen zwei Stationen her, sodass die Daten einfach seriell geschrieben bzw. gelesen werden können. Auf dieser Ebene ist TCP zu finden.
Sitzung
• Schicht 5: Sitzungsschicht (session layer, auch Kommunikationssteuerungsschicht). Diese Schicht synchronisiert das Zusammenspiel mehrerer Stationen. Es wird beispielsweise festgelegt, wie eine Sitzung zeitlich abzulaufen hat (Aufforderung zum Senden eines Kennwortes, Senden des Kennwortes, Bestätigung des Kennwortes usw.). Hier arbeitet beispielsweise HTTP.
5.1 Einige Begriffe und Standards
155
• Schicht 6: Darstellungsschicht (presentation layer). Hier werden die Darstellung Daten in ein einheitliches Format transformiert, zum Beispiel durch Alphabetumwandlungen oder Datenkompression. An dieser Stelle gehen oft die Umlaute verloren, wenn die Übertragung mit 7 Bit statt 8 Bit erfolgt. Verschiedene Kodierungsarten sichern dann die Übertragung, beispielsweise MIME. • Schicht 7: Anwendungsschicht (application layer). Diese Schicht be- Anwendung schreibt die Schnittstelle, über die Anwendungen auf Dienste eines anderen Systems zugreifen können. CGI-Programme beispielsweise nutzen diese Schicht. Jede Schicht kommuniziert mit der entsprechenden Schicht auf dem Kommunikationsanderen System (logischer Datenfluss), indem sie Daten entweder an die prozesse darüber oder darunter liegende Schicht weiterleitet (physikalischer Datenfluss). Dabei verfügt jede Schicht über Schnittstellen, die folgende Abläufe ausführen können: • Austausch von Daten mit der darüber liegenden Schicht • Austausch von Daten mit der darunter liegenden Schicht • Entscheidung darüber, welche Daten an dieselbe Schicht im anderen System übermittelt werden Wenn die Sitzung auf Schicht 5 ihre Daten an die Schicht 4 übergeben hat, wartet sie, bis die Antwort von Schicht 5 des anderen Systems zurückkommt. Wie diese Nachricht auf das andere System gelangt, ist Aufgabe von Schicht 4, die sich wiederum nur mit Schicht 3 in Verbindung setzt, usw. Der wirkliche Datenaustausch findet nur auf Schicht 1 statt. Durch dieses Verfahren sind höhere Schichten völlig unabhängig von den physikalischen Gegebenheiten (Funknetz, ISDN, Glasfaser usw.). Andererseits können über eine funktionierende physikalische Verbindung (Schicht 1) alle Arten von Daten und Protokollen (höhere Schichten) benutzt werden.
5.1.2
Standards und die RFCs
Trotz aller proprietären Entwicklungen in der EDV-Welt zeichnet sich Kultur der heute eine Kultur der Standards ab. Viele Hersteller haben erkannt, Standards dass sie ihre Produkte besser verkaufen können, wenn sie Standards anerkennen. Auf der anderen Seite obliegt die Standardisierung inzwischen privaten Initiativen und Organisationen und nicht der staatlichen Bürokratie – mit aktiver Mitarbeit können Firmen eigene Entwicklungen als Standard etablieren. Genauer betrachtet führt diese offene Form der Standardisierung aber auch zu einer Flut neuer Standards, da viele Entwickler ihre proprietären Protokolle nun durch
156
5 Netzwerkgrundlagen Veröffentlichung der Spezifikation kurzerhand zum Standard erheben – ungeachtet der vielleicht zu diesem Zeitpunkt fehlenden öffentlichen Akzeptanz, die eigentlich einen Standard ausmacht.
Request For Comments RFC
Alle Protokolle, die im Netzwerk- und Internetbereich verwendet werden, werden heute in so genannten RFCs spezifiziert. RFC steht für Request For Comments. Dies sind öffentliche Dokumente, zu denen sich entsprechnd qualifizierte Personen äußern können. Solange das Dokument in der Entwicklung ist, wird es als »Draft« bezeichnet – ein Arbeitspapier. Einige Protokolle sind schon seit langer Zeit in diesem Stadium – dem Einsatz steht das nicht entgegen. RFCs sind schon sehr alt. Am 7. April 1969 wurde RFC 0001 veröffentlicht. RFCs können auch reine Informationsdokumente ohne Bezug auf ein konkretes Protokoll sein.
Fortlaufende Nummerierung
RFCs tragen generell eine fortlaufende Nummer. Versionsnummern gibt es nicht. Ändert sich ein RFC, wird eine neue Nummer vergeben und das alte Dokument als obsolet gekennzeichnet. Inzwischen gibt es Tausende RFCs und viele davon sind obsolet. In diesem Buch werden Sie immer wieder mit RFC-Nummern konfrontiert, die vor allem als Querverweis auf die Quelle der Information zu verstehen sind. Diejenigen Leser, die sich einen tieferen theoretischen Einblick verschaffen möchten, werden auch in den RFCs fündig – gute Englischkenntnisse vorausgesetzt.
Stufen eines RFC Ein RFC kann mehrere Stufen durchlaufen, vor allem um »offizielle« von »inoffiziellen« Veröffentlichungen zu unterscheiden. Als offiziell gelten fertige RFCs, die von einer der Standardisierungsorganisationen verabschiedet wurden. Die bekannteste ist die IETF (Internet Engineering Task Force). Typische Stufen sind: Experimental
• Experimental (Experimentell). Das hier spezifizierte Protokoll sollte nur zu experimentellen Zwecken oder zur Evaluierung eingesetzt werden. Es sind noch grundlegende Änderungen möglich, ebenso wie das völlige Verwerfen der Entwicklung.
Proposal
• Proposal (Vorschlag). Als Vorschlag werden RFCs gekennzeichnet, wenn die Standardisierung gezielt angestrebt wird. Dennoch befindet sich das Protokoll noch in der Entwicklung und wird voraussichtlich noch Änderungen unterworfen sein. Oft sind solche Änderungen auch Kompromisse, die notwendig sind, um die Anerkennung als Standard zu erlangen.
5.1 Einige Begriffe und Standards
157
• Draft (Entwurf). In diesem Stadium, das Sie häufiger beobachten Draft können, befinden sich Dokumente, die als Standard ernsthaft in Betracht gezogen werden. Praktisch ist die Entwicklung abgeschlossen. Durch die Veröffentlichung gelangen die Methoden zum praktischen Einsatz. Im Feldtest können sich Probleme herausstellen, die noch zu Änderungen am endgültigen Standard führen. • Standard. In dieser Phase ist das RFC verabschiedet und endgültig. Standard Wenn sich Änderungen oder Weiterentwicklungen ergeben, wird eine neue Nummer vergeben und das alte RFC wird obsolet. Als Verabschiedungsgremium agiert das IAB (Internet Architecture Board). Neben diesen grundlegenden Eigenschaften können ergänzende Hinweise anfallen, die sich teilweise auch auf Systeme beziehen: • Recommended (empfohlen). Das Protokoll wird zum Einsatz emp- Recommended fohlen. • Not recommended (nicht empfohlen). Es ist nicht empfehlenswert, Not recommended dieses Protokoll einzusetzen, oft weil es inzwischen ein neueres gibt. • Limited use (begrenzter Einsatz). Dieses Protokoll wird nur für sehr Limited use eng gesteckte Spezialfälle zur Anwendung kommen. • Required (erforderlich). Die Anwendung ist im Zusammenhang mit Required anderen Protokollen zwingend. • Elective (wahlweise). Für den vorgesehenen Zweck stehen mehrere Elective Protokolle gleichwertig zur Auswahl. Aus den gültigen, verabschiedeten RFCs werden Standards, indem eine Standardnummer STD zugewiesen wird. Manchmal umfasst ein solcher Standard mehrere RFCs. STD-Nummern sind endgültig, werden also nicht geändert, wenn sich die zugrunde liegenden RFCs verändern. Die Zusammenfassung der STDs und RFCs wird in der RFC 2500 spezifiziert, eine Art rekursive Spezifikation also. Mehr Information und vor allem alle RFCs und STDs finden Sie im Internet unter den folgenden Adressen: www.faqs.org www.rfc-editor.org
5.1.3
Die IPS-Entstehungsgeschichte
Die Internet-Protokolle werden auch als Department of Defense (DoD)- DoD / ARPANET oder ARPANET-Protokolle bezeichnet. Die Ursache dieser Namensvielfalt liegt in der Entstehungsgeschichte des Internet begründet. En-
158
5 Netzwerkgrundlagen de der sechziger Jahre rief das US-Verteidigungsministerium (Department of Defense) das so genannte ARPANET (Advanced Research Project Agency) ins Leben, aus dem sich dann das Internet entwickelte.
UNIX
Eine starke Verbreitung erreichte das TCP/IP-Protokoll durch die steigende Beliebtheit des Betriebssystems UNIX, in dem standardmäßig TCP/IP implementiert ist. Bei TCP/IP handelt es sich generell um eine ganze Familie von Protokollen, die modular miteinander verknüpft sind und in verschiedenen Schichten aufeinander aufbauen und daher auch als Protokollstapel, Protokollstack oder Protokollfamilie bezeichnet werden.
DoD-Protokollfamilie
TCP/IP wurde in der jetzigen Form Mitte der 70er Jahre vom amerikanischen Verteidigungsministerium (Department of Defense, DoD) entwickelt. Aus dem Grund wird die TCP/IP-Protokollfamilie auch mit dem Begriff DoD-Protokollfamilie bezeichnet. Beim amerikanischen Verteidigungsministerium ergab sich die Notwendigkeit, ein System zu schaffen, das grundsätzlich auf verschiedenen Übertragungsmedien, -systemen und -netzen eingesetzt werden konnte. Ein solches System sollte mindestens folgende Dienste zur Verfügung stellen: • Übertragung von Dateien • Anmeldung an anderen Rechnern (so genanntes Remote Login) • Mail-System Seit dem Jahre 1969 wurde ARPANET entwickelt, das auf TCP/IP basiert. Im Jahre 1972 wurde dieses Netz, das aus einem Verbund der unterschiedlichsten Rechnertypen bestand, der Öffentlichkeit vorgestellt. Das amerikanische Verteidigungsministerium verfügt mit dem ARPANET auch heutzutage noch über eines der größten Netze, die auf TCP/IP basieren. Das ARPA-Internet umfasst eine Reihe unterschiedlicher Netze unter dem Dach der TCP/IP-Protokollfamilie. Die einzelnen Subnetze verfügen über einen gemeinsamem Adressraum und eine gemeinsame Namensverwaltung, wobei sie durch Gateways miteinander verbunden sind.
Berkeley UNIX 4.2
Den größten Schub in der weiteren Verbreitung erlebte die TCP/IPProtokollfamilie sicherlich durch die Implementation in das Betriebssystem UNIX. So steht den UNIX-Anwendern seit der Version Berkeley UNIX 4.2 für die Kommunikation die gesamte TCP/IP-Protokollfamilie zur Verfügung. Die weitere Entwicklung der TCP/IP-Architektur erfolgte vollkommen unabhängig vom OSI-Schichtenmodell und wurde zu einem Quasi-Standard, der in keiner Vorschrift exakt definiert ist. Lediglich in einer Vielzahl von RFCs (siehe auch Abschnitt 5.1.2 Standards und die RFCs ab Seite 155) sind die diversen Charakteristika von TCP/IP
5.1 Einige Begriffe und Standards dargestellt. Als der »OSI-Durchbruch« nicht kam und der Bedarf nach einem einheitlichen Protokoll immer größer wurde, entschieden sich zahlreiche namhafte Hersteller (u.a. IBM, DEC) bei ihren Produkten für die Unterstützung von TCP/IP. Die TCP/IP-Architektur entwickelte sich zu einer der wichtigsten Netzwerkarchitekturen für die Verbindung unterschiedlicher Rechnersysteme. Dabei hielten (und halten) sich auch die meisten Hersteller verschiedener Rechner, Betriebssysteme und sonstiger Komponenten fast durchgängig an gewisse Regeln, die die Verbindungen verschiedener TCP/IP-Implementationen und -Integrationen ermöglichen. In der Zwischenzeit ist TCP/IP in der EDV-Welt das Übertragungsprotokoll, das zudem in dieser Protokollfamilie eines der wichtigsten Protokolle für das Netzwerkmanagement zur Verfügung stellt, das SNMP-Protokoll (Simple Network Management Protocol). Es ergab sich im Laufe der Zeit fast zwangsläufig, dass es für alle Rechner, Software und sonstigen Geräte entsprechende TCP/IPImplementierungen gab. Dazu gehören beispielsweise Implementierungen in Betriebssystemen wie UNIX (sowieso), IBM-MVS, DECVMS, DOS, OS/2 oder auch Windows. Die Entstehungsgeschichte von TCP/IP lässt sich wie folgt zusam- Geschichte in Zahlen menfassen: • 1969 Geburtsstunde des ARPANET • 1972 ARPANET wird der Öffentlichkeit vorgestellt • 1976 Geburtsstunde von TCP/IP; Grundsteinlegung zu TCP/IP durch die International Federation of Information Processing • 1983 ARPANET wird auf TCP/IP umgestellt; TCP/IP-Protokolle werden als MIL-Specs veröffentlicht • 1984 Vorstellung des Berkeley UNIX 4.2 • 1987 Unterstützung von TCP/IP durch IBM • 1988 Simple Gateway Monitoring Protocol (SGMP) wird vollständig überarbeitet und als Simple Network Management Protocol (SNMP) veröffentlicht • 1990 Unterstützung von TCP/IP durch weitere Hersteller (z.B. DEC, Novell usw.) • 1992 Unterstützung von TCP/IP durch mehr als 10 000 Firmen weltweit • 1993 Beginn der Planungen zur Erweiterung des Adressraumes von 32 auf 128 Bit
159
160
5 Netzwerkgrundlagen • 1999 Implementierung (native) von TCP/IP in weitere Netzwerkbetriebssysteme (beispielsweise NetWare 5)
5.2
Die Internetprotokolle im Detail
Dieser Abschnitt ist den einzelnen Bestandteilen der InternetProtokollfamilie gewidmet und stellt diese sowie die Wechselbeziehungen zwischen ihnen vor.
5.2.1
Abbildung der Internetprotokolle im OSI-Modell
Wie schon in den Abschnitten zuvor erwähnt, lässt sich die InternetProtokollfamilie nicht vollständig durch das OSI-Referenzmodell beschreiben. Tabelle 5.2 zeigt, welche Schichten des OSI-Modells die einzelnen Protokolle jeweils umfassen. Tabelle 5.2: IPSInternetprotokolle im OSI-Modell
OSI-Schicht 6–7 6 5–4 3
Protokollnamen DNS, FTP, SMTP, HTTP TelNet TCP, UDP IP, ARP, ICMP
Die tieferen Schichten 1 und 2 sind von der Systemhardware abhängig und werden von den Bausteinen gesteuert, die für die physikalische Verbindung zuständig sind. Dazu gehört im lokalen Netzwerk die Ethernet-Karte mit Ethernet als Protokoll (beispielsweise 802.3) oder beim entfernten Zugriff auch ISDN. Theoretisch werden die einzelnen Protokolle jeweils in Schichten (Layer) beschrieben, von denen jede eine bestimmte Funktion erfüllt, gleichzeitig aber auch die Funktionen der darunter liegenden Schicht verwendet. Daraus ergibt sich zwangsläufig der Vorteil, dass durch einen solchen Aufbau eine Unabhängigkeit höherer Schichten von den darunter liegenden Schichten gewährleistet ist. Da TCP/IP jedoch viel früher entwickelt wurde als das OSI-Referenzmodell (1983), passt die IPS nicht in das OSI-Modell. Es gibt im Aufbau einige Gemeinsamkeiten, aber auch viele Unterschiede: So wird die TCP/IP-Netzwerkschicht im OSI-Modell zu einer Bitübertragungs- und Sicherungsschicht. Zwischen Transport- und Anwendungsschicht sind noch die beiden Schichten Kommunikation und Darstellung angesiedelt, die bei TCP/IP-Software oft schon in den Protokollen der Anwendungsschicht integriert sind.
5.2 Die Internetprotokolle im Detail
161
Beim Vergleich des Aufbaus mit dem OSI-Schichtenmodell fällt auf, 4 Schichten des dass bei TCP/IP lediglich vier verschiedene Schichten (im Gegensatz TCP/IP zu den sieben Schichten des OSI-Modells) existieren. Somit gestaltet sich der generelle Aufbau bzw. die Zusammensetzung der TCP/IPArchitektur grundsätzlich wie folgt: • Netzwerkschicht • Internetschicht • Transportschicht • Anwendungsschicht (FTP, TELNET, SMTP) Als Besonderheit soll dabei speziell auf die Anwendungsschicht hingewiesen werden, die sich in der Praxis aus einer Reihe von separaten Protokollen (anwendungsorientierte Protokolle) zusammensetzt. Beispielhaft sind da zu nennen: FTP, TELNET, SMTP oder auch SNMP. Die Gestaltung der Netzwerkschicht ist bei TCP/IP nicht generell vor- Netzwerkschicht geschrieben. So ermöglicht beispielsweise das X.25-Protokoll den Aufbau von TCP/IP-Verbindungen über den Datex-P-Dienst der Telekom. Im Gegensatz dazu ermöglicht das SLIP-Protokoll (Serial Line Interface Protocol) den Aufbau einer entsprechenden Verbindung zwischen zwei Endgeräten in Form einer seriellen Punkt-zu-PunktVerbindung. Bei Modem-Verbindungen zum Internet oder zu anderen TCP/IP-Netzen wird heutzutage PPP (Point-to-Point-Protocol) eingesetzt. In den folgenden Abschnitten werden die wichtigsten Protokolle ge- Protokollbeschreibungen nauer betrachtet: • Address Resolution Protocol (ARP) ab Seite 161 • Internet-Protokoll (IP) ab Seite 162 • Internet Control Messaging Protocol (ICMP) ab Seite 166 • Transmission Control Protocol (TCP) auf Seite 167 • User Datagramm Protocol (UDP) ab Seite 167
5.2.2
Address Resolution Protocol (ARP)
ARP arbeitet auf der elementarsten Ebene. Es löst die IP-Adressen in MAC-Adressen auf. MAC steht für Media Access Control. Diese Adresse ist für jeden Netzwerkadapter eindeutig vergeben. Liegen Router zwischen Sender und Empfänger, wird die MAC-Adresse des dem Empfänger nächstgelegenen Routers verwendet. Wenn zwei Computer die Verbindung per IP aufnehmen, wird zuerst ARP eingesetzt. ARP fragt den gegnerischen Host nach seiner MAC-Adresse mit einer
162
5 Netzwerkgrundlagen Broadcast-Anfrage an die IP-Nummer. Mit der übertragenen Antwort wird die physikalische Verbindung initiiert. Die ARP-Informationen werden in einem lokalen Cache gehalten, dessen Leistungsverhalten in der Registrierung kontrolliert werden kann. Außerdem steht das Dienstprogramm ARP zur Verfügung.
ARP-Pakete
ARP verwendet zum Austausch von Informationen ARP-Pakete. Der Aufbau dieser Pakete ist Tabelle 5.3 dargestellt.
Tabelle 5.3: Aufbau von ARP-Paketen
Bezeichnung
Länge in Bytes
Beschreibung
HARDWARE TYPE
2
Art der Hardware, beispielsweise Ethernet, ISDN.
PROTOCOL TYPE
2
Das übergeordnete Protokoll. Normalerweise steht hier der Wert 0x0800 für IP.
HARDWARE ADDRESS LENGTH
1
Größe der Hardware-Adresse in Byte. Für Ethernet sind dies 6 Bytes.
PROTOCOL ADDRESS LENGTH
1
Anzahl der Bytes der Adresse des übergeordneten Protokolls, für IPv4 ist dies 4, für IPv6 6.
OPERATION CODE
1
Art der Anforderung, Query oder Reply.
SENDER MAC ADDRESS
6
MAC-Adresse des Senders
SENDER IP ADDRESS
4
IP-Adresse des Senders
TARGET MAC ADDRESS
6
MAC-Adresse des Empfängers
TARGET IP ADDRESS
4
IP-Adresse des Empfängers
Dieses Paket kommt als Broadcast-Paket nur zur Anwendung, wenn die MAC-Adresse nicht aus dem Cache aufgelöst werden kann. Um die aktuelle ARP-Tabelle einsehen zu können, starten Sie auf der Kommandozeile: c:>arp -a
Weitere Informationen zur Anwendung des Dienstprogramms ARP finden Sie in Abschnitt 13.4.2 Die Netzwerkbefehle im Detail ab Seite 773.
5.2.3 Internetschicht
Internet-Protokoll (IP)
Die Internetschicht unter TCP/IP entspricht der Vermittlungsschicht des OSI-Schichtenmodells. Das Protokoll, das auf dieser Ebene am häufigsten eingesetzt wird, ist das Internet-Protokoll (IP). Daraus resultiert auch ein Teil der Namensgebung der TCP/IP-Protokollfamilie.
5.2 Die Internetprotokolle im Detail Das wesentliche Merkmal des IP ist, dass bei diesem Protokoll jeder Netzwerkknoten (jedes Endgerät im Netzwerk) direkt angesprochen werden kann. Zu diesem Zweck verfügt jedes Endgerät (Knoten) über eine spezifische Adresse, die so genannte Internet-Protokoll-Adresse, oder kürzer: IP-Adresse. Die IP-Adresse setzt sich aus der Adresse des Netzwerks und der des betreffenden Netzwerkknotens (Endgerät) zusammen. Dadurch soll sichergestellt werden, dass keine zwei Netzwerkknoten auf der Welt (im Internet) dieselbe Adresse besitzen. Bei der Übertragung von Datenpaketen übernimmt IP die Adressie- IP im Detail rung, das Versenden und die Überwachung des Transports der einzelnen Datenpakete. Nach erfolgreicher Datenübertragung wird die Verbindung zwischen den Rechnern wieder abgebaut. Die Verwaltung der Verbindung kostet natürlich Zeit und Übertragungskapazität. Daher gibt es für weniger sensible Verbindungen weitere Protokolle. Die Hauptaufgabe des IP-Protokolls besteht darin, die Datenpakete zu adressieren. Dies ist vergleichbar mit einem Briefumschlag: Anhand der Adresse erkennt das Netzwerk den Bestimmungsort, um das Paket mit den Daten innerhalb der Netzwerkschicht weiterleiten zu können. Die Netzwerkschicht basiert auf verschiedenen Leitungen und Übertragungsmedien bzw. Netzwerktypen wie Ethernet, Token Ring oder Telefonleitungen. Übertragen auf den Postdienst sind dies die Postverteildienste, mit deren LKWs und Flugzeugen die Briefe und Pakete befördert werden. Da Netzwerke unterschiedliche Paketgrößen verwenden, teilt das Übertragungsprotokoll die Daten in kleine Einheiten auf (fragmentieren). So arbeitet Ethernet mit einer anderen maximalen Paketgröße als beispielsweise X.25 (128 Bytes) als Schnittstelle in der Vermittlungsschicht für den Zugang zu öffentlichen Paketvermittlungen wie dem alten Datex-P. Jedes Paket erhält eine Nummer, sodass der Empfang bestätigt werden kann und sich die Daten jederzeit aus den Einzelstücken rekonstruieren lassen. Um diese Folgenummern über das Netz senden zu können, hat TCP wie IP einen eigenen Umschlag, auf denen es die benötigten Nummern notiert. So wird das Datenpaket in einen TCP-Umschlag verpackt, der wiederum in einen IP-Umschlag gesteckt und an das Netzwerk gesendet wird. Die Hauptaufgabe von TCP ist der sichere Transport von Daten durch das Netzwerk; dabei erkennt und korrigiert TCP selbstständig Übertragungsfehler. Mit der internen Struktur des IP wird der Administrator nur selten konfrontiert werden. Eine detaillierte Untersuchung von Fehlern auf den unteren Ebenen lohnt meist nicht, da die einzige Entscheidung zur Fehlerbehebung – der Wechsel des Netzwerkadapters – mit wenigen Handgriffen und für weniger als 100 DM auch prophylaktisch vollzogen werden kann. Außerhalb eines Windows 2000-Computers
163
164
5 Netzwerkgrundlagen sieht das natürlich anders aus. In einem komplexen Netzwerk aus LAN-, WAN- und MAN-Verbindungen, Routern und Gateways, Kupfer- und Lichtwellenleitern sind Fehler nur schwer zu finden. IP ist für die Zustellung der Datenpakete in ihrer kleinsten Einheit verantwortlich. Alle anderen Protokolle, wie TCP oder UDP, rufen von IP diese Paketeeinheiten ab und reichen ihrerseits Pakete an IP weiter. IP zerlegt diese Pakete in so genannte IP-Datagramme. Ein IPDatagramm besteht aus Header und Informationen. Der Aufbau des Headers ist in Tabelle 5.4 dargestellt.
Tabelle 5.4: Aufbau des IP-Headers
Bezeichnung VERSION
Länge Beschreibung in Bits 4
IP-Version: 4 = IPv4 6 = IPv6
HLEN (Internet Header Length)
4
Anzahl der 32-Bit-Wörter des Headers
SERVICE TYPE
8
Bits 0-2 haben folgende Bedeutung: 000 – ROUTINE 001 – PRIORITY 010 – IMMEDIATE 011 – FLASH 100 – FLASH OVERRIDE 101 – CRITIC/ECP 110 – INTERNETWORK CONTROL 111 – NETWORK CONTROL Bit 3, DELAY, ist normalerweise Null, für eilige (urgent) Pakete Eins. Bit 4, THROUGHPUT, steuert die Durchleitung, Bit 5, RELIABILITY, die Zuverlässigkeit. Die Bits 6 und 7 werden nicht verwendet.
TOTAL LENGTH
16
Die Länge des gesamten Datagrammes einschließlich Daten. Die Länge darf bis zu 65 535 Byte betragen.
IDENTIFICATION
16
Eine vom Absender festgelegte, eindeutige Nummer. Mit Hilfe dieser Nummer werden fragmentierte Datagramme wieder zusammengesetzt.
FRAGMENT FLAGS
3
Bit 0 ist immer 0, Bit 1 steuert die Fragmentierung (0 = Fragmentierung erlaubt, 1 = Fragmentierung verboten). Bit 2 ist 1, wenn
5.2 Die Internetprotokolle im Detail
Bezeichnung
165
Länge Beschreibung in Bits weitere Fragmente folgen, und 0, wenn das Datagramm das letzte Fragment ist.
FRAGMENT OFFSET
13
Diese Zahl gibt an, welche Position das Fragment innerhalb des Datagramms hat.
TTL (Time To Live)
8
Lebensdauer in Hops. Hops sind die Stationen, die das Datagramm duchlaufen kann. Physikalisch ist jeder Router auf dem Weg ein Hop. Jeder Router reduziert den Wert TTL um 1. Ist der Wert 0, wird das Datagramm vernichtet. So wird verhindert, dass Datagramme auf der Suche nach dem Empfänger das Netz unendlich lange durchlaufen.
PROTOCOL
8
Das Protokoll, von dem das Datagramm initiiert wurde: ICMP - Dezimalwert 1 IGMP - Dezimalwert 2 TCP - Dezimalwert 6 EGP - Dezimalwert 8 UDP - Dezimalwert 17 OSPF - Dezimalwert 89
HEADER CHECKSUM
16
Eine Prüfsumme zur Kontrolle der Integrität
SOURCE IPADDRESS
32
Die IP-Adresse des Absenders
DESTINATION IPADDRESS
32
Die IP-Adresse des Empfängers
IP OPTIONS
0 bis 11 32-Bit-Wörter Optionale Angaben, die nicht fest durch IP spezifiziert sind
PADDING DATA
variabel Auffüllwert auf ganze Bytes Daten
Das Zerlegen der Daten in kleinere Blöcke erfolgt auch schon auf der Fragmentierung Ebene TCP. Warum also wird IP ebenfalls fragmentieren? IP stellt die Schnittstelle zur physikalischen Übertragung dar. Die maximale Größe eines Datagramms beträgt 64 KByte. Dies ist für viele Netzwerke zu groß. Ethernet beispielsweise kann nur Pakete bis 1 500 Bytes transportieren. IP ist dafür verantwortlich, das große Paket in eine entsprechende Anzahl kleinerer Pakete zu zerlegen. Es ist auf der anderen
166
5 Netzwerkgrundlagen Seite auch dafür zuständig, aus den Fragmenten wieder ein großes Paket zusammenzustellen.
Zuverlässigkeit
Die Felderliste zeigt, dass keine Prüfsummen übertragen werden. Tatsächlich kennt IP keinen Mechanismus zur Fehlerkontrolle. Geht ein Paket verloren oder wird beschädigt, wird IP darauf nicht weiter reagieren. Für die Integrität der Daten ist das übergeordnete Protokoll, meist TCP, zuständig. Es wird die erneute Sendung des gesamten Datagramms veranlassen. Findet IP einen Fehler in der Fragmentierung, wird dieser Fehler auch an das höhere Protokoll gemeldet. Die Reaktion darauf obliegt nicht mehr IP. Die Meldung der Fehler erfolgt mit einem eigenen Protokoll: ICMP (Internet Control Messaging Protocol).
IP-Adressierung
Weitergehende Informationen zum richtigen Umgang mit IPAdressen finden Sie in Abschnitt 5.4 IP-Adressen ab Seite 171.
5.2.4 Fehler- und Diagnosemeldungen
Internet Control Messaging Protocol (ICMP)
ICMP dient zum Transport von Fehler- und Diagnosemeldungen im IP-Netzwerk. Versucht ein Rechner, auf einen Port zuzugreifen, der nicht belegt ist, so wird die Fehlermeldung »Port unreachable« per ICMP zurückgeschickt. Auch Routing-Informationen werden über ICMP weitergeleitet. IP nutzt ICMP, um Fehler an TCP zu melden. ICMP-Nachrichten werden selbst wieder als IP-Datenpakete verpackt. Ihr Aufbau ist in Tabelle 5.5 dargelegt.
Tabelle 5.5: Aufbau des ICMP-Datenpakets
Feld
Inhalt / Mögliche Werte
TYPE
Typ der Nachricht:
- DESTINATION
- Ziel nicht erreichbar
UNREACHABLE - TIME EXCEEDED
- Zeitüberschreitung
- PARAMETER PROBLEM
- Parameterproblem
- SOURCE QUENCH
- Ein Datagramm konnte nicht verarbeitet wer-
den, beispielsweise wegen eines überfüllten Empfangspuffers in einem Router. - Redirect
- Es gibt eine direktere Route als die ausge-
wählte. - ECHO
- Sendet das Datagramm zurück (wird von
PING verwendet). - TIMESTAMP
- Dient zum Austausch von Zeitinformationen.
- INFORMATION
- Zur Erkundung des Netzwerks
CODE
Ein dienstspezifischer Code
5.2 Die Internetprotokolle im Detail
Feld
Inhalt / Mögliche Werte
CHECKSUM
Eine Prüfsumme für das ICMP-Paket
DATA
Dienstspezifische Daten mit variabler Länge
167
ICMP eignet sich damit für die Fehlersuche und Diagnose bei Netzwerkproblemen. Der Befehl PING benutzt beispielsweise ICMP, um eine ECHO-Anfrage an einen Host zu generieren und dann auf die entsprechende ICMP ECHO-Antwort zu warten.
5.2.5
Transmission Control Protocol (TCP)
Die Transportschicht der TCP/IP-Architektur ist vergleichbar mit der Transportschicht Transportschicht des OSI-Schichtenmodells. Das wichtigste Protokoll dieser Schicht ist das TCP. Generell ist es zuständig für die Übertragung der Daten zwischen zwei Endgeräten. Es garantiert den höheren Schichten die fehlerfreie Übertragung der Daten. Vor der Übertragung fasst das TCP eine bestimmte Anzahl zu versendender Bytes zu so genannten Datenpaketen zusammen und überträgt diese anschließend mit Hilfe des IP. Jedes Paket enthält eine Sequenznummer, anhand derer das Ordnen und Quittieren eingegangener Pakete sowie das Ignorieren doppelt versandter Pakete ermöglicht wird. Wie groß die Pakete im Einzelnen werden können, hängt jeweils von der maximalen Rahmengröße (Frame size) des jeweiligen Netzwerks ab, was eine effektive Auslastung des Netzwerks erlaubt. Bei Ethernet ist die maximale Rahmengröße 1 500 Byte (Zeichen) und bei Token Ring 4 096 Byte. Aufbauend auf die Dienste der Transport- und der Internetschicht Anwendungskommen die Protokolle der Anwendungsschicht zum Einsatz. Die ge- schicht bräuchlichsten Protokolle der Anwendungsschicht sind das FileTransfer-Protokoll (FTP), das Terminal-Emulationsprotokoll (TELNET) und das Simple Mail Transport Protocol (SMTP) zur Übermittlung elektronischer Post.
5.2.6
User Datagramm Protocol (UDP)
UDP ist deutlich schneller als TCP, weil es sich im Gegensatz zu diesem weder um fehlende Pakete noch um die richtige Reihenfolge der Daten kümmert. Treten beispielsweise bei der Übertragung Fehler auf, kommt ICMP zum Einsatz, das unter anderem für Kontrollmeldungen über Ausfälle, Fehler- und andere Diagnosen zuständig ist. UDP ist ein verbindungsloses Protokoll. Es dient zum Übertragen von kurzen Nachrichten. Eine Nameserver-Anfrage gehört beispielsweise
168
5 Netzwerkgrundlagen zu den Dingen, die über UDP abgewickelt werden. Wenn keine Antwort kommt, dann wird einfach eine neue Anfrage gestellt, eventuell an einen anderen Nameserver. Auch Streaming-Video und Netzwerkspiele arbeiten oft mit UDP. Hier geht es vor allem um Performance. Dabei kann es toleriert werden, wenn vereinzelt Daten verloren gehen. Die Videowiedergabe würde lediglich an Qualität einbüßen. UDP wird von einigen Anwendungen, die nur kurze Nachrichten senden und diese wiederholen können, verwendet. UDP ist daher ein ideales Protokoll zur Verteilung von Informationen, die sich ständig ändern. Statt die Daten in einen TCP-Umschlag und dann in den IPUmschlag zu packen, wandern sie dabei in einen UDP-Umschlag, bevor sie in den IP-Umschlag kommen. Obwohl UDP in der gleichen Schicht wie das verbindungsorientierte TCP abgelegt ist, handelt es sich um ein verbindungsloses Protokoll.
5.3
Port- und Protokollnummern
Für die eindeutige Identifizierung der Protokolle und Ports bei der Netzwerkkommunikation über IP, TCP und UDP gibt es die so genannten Port- und Protokollnummern. Vor der Explosion der Protokolle (es gibt inzwischen Hunderte solcher Kombinationen aus Protokollen und Ports), wurden diese in der RFC 1700 geführt. Da RFCs keine Versionsnummer besitzen und bei jeder Änderung durch eine neue ersetzt werden, würde dies zu einer Inflation von RFCs führen. Die für die Nummernvergabe zuständige Organisation IANA verwaltet deshalb die Nummern heute direkt auf ihrer Website: www.iana.org
5.3.1 Multiplexing
Ports
Damit ein Rechner gleichzeitig mehrere Verbindungen (Multiplexing) bearbeiten kann, müssen diese unterschieden werden. Dazu bedient sich das TCP der Ports. Jeder Anwendung, die das TCP benutzen will, wird ein Port zugeordnet. Es gibt 65 535 verschiedene Ports, fortlaufend nummeriert. Dabei gelten folgende Grundsätze: • Ein Paar aus IP-Adresse und Port wird Socket genannt. • Eine Verbindung zwischen zwei Rechnern ist wiederum eindeutig durch zwei Sockets definiert. • Multiplexing. Ein Rechner kann mehrere TCP-Verbindungen gleichzeitig bearbeiten. Dafür werden verschiedene Ports definiert.
5.3 Port- und Protokollnummern
169
Eine Portbezeichnung wird normalerweise hinter einem Doppelpunkt an die IP-Adresse oder den DNS-Namen gehängt, beispielsweise wie folgt: 192.168.0.101:80. Das Port-Konzept lässt sich in etwa mit einer Telefonnummer verglei- Ports chen: Der Netzwerkteil einer Internet-Adresse entspricht der Vorwahl, der Host-Teil der eigentlichen Telefonnummer und der Port schließlich einer Nebenstellennummer. Dabei wird eine TCP-Verbindung generell eindeutig durch die beteiligten Sockets definiert (Sender und Empfänger). Es kann keine zwei identischen Socket-Paare zur gleichen Zeit geben. Der Sender bestimmt eine Portnummer per Zufallsgenerator. Damit ist es beispielsweise möglich, dass von einem Rechner zwei TELNET-Verbindungen zu dem gleichen Zielrechner existieren. In einem solchen Fall unterscheiden sich dann jedoch die einzelnen Portnummern des Client-Rechners. Beim Verbindungsaufbau leitet die Anwendungsschicht das Datenpaket mit der Internet-Adresse des Servers und dem Port 21 an die Transportschicht weiter. Da TCP stromorientiert sendet, verläuft die Übertragung der Bytes in der gleichen Reihenfolge vom Client zum Server und vermittelt der Anwendungsschicht das Bild eines kontinuierlichen Datenstroms. Auf den meisten Systemen sind die Ports über 1 024 für jede Anwendung offen, während die Ports 1 – 1 024 nur Systemprozessen (oder Anwendungen, die über entsprechende Privilegien verfügen) zur Verfügung stehen. Die folgende Tabelle zeigt die wichtigsten Ports, die auch beim Einsatz von Windows 2000 Server zum Einsatz kommen können.
Dienst
Port
Erklärung
ftp-data
20
File Transfer [Default Data]
ftp
21
File Transfer [Control]
telnet
23
Telnet
Smtp
25
Simple Mail Transfer
domain
53
Domain Name Server
finger
79
Finger
www-http
80
World Wide Web HTTP
pop3
110
Post Office Protocol – Version 3
uucp-path
117
UUCP Path Service
nntp
119
Network News Transfer Protocol
Tabelle 5.6: Einige wichtige Portnummern
170
Socket
5 Netzwerkgrundlagen
Dienst
Port
Erklärung
Ntp
123
Network Time Protocol
netbios-ns
137
NETBIOS Name Service
netbios-dgm
138
NETBIOS Datagram Service
netbios-ssn
139
NETBIOS Session Service
imap2
143
Interim Mail Access Protocol v2
Irc
194
Internet Relay Chat Protocol
Ipx
213
IPX
imap3
220
Interactive Mail Access Protocol v3
Uucp
540
uucpd
Socket ist ein im Zusammenhang mit TCP/IP häufig verwendeter Begriff, der die Kombination aus Internet-Adresse und Portnummer bezeichnet. Innerhalb der Transportschicht werden bestimme Ports zur Adressierung verwendet. Sowohl UDP als auch TCP verwenden PortAdressen, um Daten an das betreffende Programm (Protokoll) der Anwendungsschicht zu senden, wobei beide teilweise unterschiedliche Dienste für die gleiche Portnummer vermitteln.
5.3.2
Protokollnummern
Im Feld Header des IP-Datenpakets (siehe auch Tabelle 5.4 auf Seite 164) finden Sie die Nummer des nächsthöheren Protokolls, an das die Daten weitergeleitet werden sollen. Diese Nummern sind für alle Protokolle der Internet-Protokollfamilie definiert und befinden sich unter Windows 2000 in der Datei PROTOCOL im Verzeichnis %SYSTEMROOT%\SYSTEM32\DRIVERS\ETC. Abbildung 5.1: Inhalt der Datei PROTOCOL
ip icmp ggp tcp egp pup udp hmp xns-idp rdp rvd
0 1 3 6 8 12 17 20 22 27 66
IP ICMP GGP TCP EGP PUP UDP HMP XNS-IDP RDP RVD
# # # # # # # # # # #
Internet Protocol Internet Control Message Protocol Gateway-Gateway Protocol Transmission Control Protocol Exterior Gateway Protocol PARC Universal Packet Protocol User Datagram Protocol Host Monitoring Protocol Xerox NS IDP "Reliable Datagram" Protocol MIT Remote Virtual Disk
5.4 IP-Adressen
171
Diese Datei ist eine normale Textdatei und kann mit dem Editor geöffnet werden.
5.4
IP-Adressen
In diesem Abschnitt werden die wichtigsten Aspekte der IPAdressierung behandelt. Für den Aufbau und die Pflege eines IPNetzwerkes sind diese Kenntnisse elementar. Fehler bei der richtigen Adressvergabe und der richtigen Erstellung von Subnetzen verursachen immer wieder Probleme beim Netzwerkbetrieb. Die IP-Adressvergabe kann auch automatisiert und dynamisch an die IP-Adressvergabe Clients erfolgen. Die heute meistbenutzte Technologie ist dabei das mit DHCP Dynamic Host Configuration Protocol (DHCP). Die Grundlagen dazu werden in Abschnitt 5.5 Automatische IP-Adressvergabe ab Seite 176 näher betrachtet. Allein mit der Verwendung von IP-Nummern lässt sich ein Netzwerk IP-Namensnoch nicht komfortabel bedienen und administrieren. Die Verfahren auflösung zur Kopplung von Namen an IP-Adressen werden unter dem Begriff IP-Namensauflösung zusammengefasst und sind Inhalt des Abschnitts 5.6 Domain Name System (DNS) ab Seite 185.
5.4.1
IP-Adressversionen
Die heute gebräuchliche und jedem bekannte Form einer IP-Adresse besteht aus vier dezimalen Zahlen, die jeweils durch einen Punkt voneinander getrennt sind. Hier wird sich in Zukunft einiges ändern, sodass sich eine nähere Betrachtung der IP-Adressversionen lohnt.
Das heutige IPv4 Im derzeitigen Standard IPv4 (Internet Protocol Version 4) besteht die Internet Protocol IP-Adresse aus 4 Oktetts. Jedes Oktett entspricht einem Byte (0–255). Version 4 Zur besseren Lesbarkeit werden sie dezimal ausgeschrieben und durch Punkte getrennt. Eine typische IP-Adresse sieht beispielsweise so aus: 195.145.212.138
Theoretisch lassen sich damit 2564 = 232 = 4 294 967 296 verschiedene Adressen darstellen. In der Realität verbleiben aber weniger direkt im Internet nutzbare Adressen übrig, da ein Teil davon für die nichtöffentliche Verwendung reserviert ist (siehe auch Abschnitt 5.4.4 Spezielle IP-Adressen ab Seite 174). Letztlich bleibt festzustellen,
172
5 Netzwerkgrundlagen dass der einmal mit IPv4 definierte Adressraum langsam knapp wird und auf absehbare Zeit nicht mehr ausreicht.
Die Zukunft: IP-Version 6 Internet Protocol Version 6
Mit IPv6 wird die Größe einer IP-Adresse von 4 auf 16 Oktetts erweitert. Der derzeitigen Adressenverknappung mit IPv4 kann damit massiv entgegengetreten werden. Es können jetzt 2128 statt 232 Adressen gebildet werden. Dies entspricht einer Menge von etwa 3,4 x 1038 Computern oder anderen Systemen, die mit einer eindeutigen IPAdresse versorgt werden könnten, was auch für die weitere Zukunft ausreichend dimensioniert ist. Diese neue IP-Version steht kurz vor der Praxiseinführung. Erste Geräte unterstützen es bereits, der Großteil des Internets läuft aber noch unter der alten Version 4.
Erweiterte Möglich- Neben einer grundsätzlich höheren Anzahl an verfügbaren Adressen keiten bringt IPv6 auch weitere Möglichkeiten mit. So lassen sich beispiels-
weise unterschiedliche Datentypen spezifizieren (wie etwa Videooder Ton-Übertragungen), die gegenüber weniger zeitkritischen Datentypen (zum Beispiel E-Mails) bevorzugt bearbeitet werden. Damit können Echtzeitanwendungen besser mit der nötigen Bandbreite ausgeführt werden. Beschränkung auf IPv4
Alle folgenden Ausführungen im vorliegenden Buch sind allerdings der derzeitigen Praxis angepasst und auf die aktuelle IP-Version 4 beschränkt.
5.4.2 Aufteilung in Netz und Host
Tabelle 5.7: Netzwerk- und Hostadresse in dezimaler und binärer Form
Subnetze
Jede IP-Adresse wird in einen Netzwerk- und einen Rechnerbereich (auch Hostbereich) aufgeteilt. Dafür wird eine so genannte Subnetzmaske eingerichtet, die angibt, wie viele Bits einer Adresse zum Netz und wie viele zum Rechner gehören. Hier ein Beispiel in dezimaler und binärer Notation.
Dezimal
Binär
Dez.
Binär
Subnetzmaske 255.255.255 11111111.11111111.11111111
000 00000000
IP-Adresse
101 01100101
192.168.000 11000000.10101000.00000000
Dieses Beispiel würde 254 Rechner im Netzwerk 192.168.0.x erlauben. Von den theoretisch verfügbaren 256 Werten geht einer (mit der 255) als Broadcast-Adresse weg, während die 0 das Netzwerk bezeichnet und als Hostadresse unzulässig ist. So kann für jede beliebige Adresse
5.4 IP-Adressen
173
festgestellt werden, ob sie im eigenen Netzwerk oder in einem anderen Netzwerk liegt (wichtig für Router, Bridges und InternetGateways). Die Subnetzmaske muss aus einem durchgängigen Bereich von binä- Subnetzmaske ren Einsen bestehen. Es hat sich eingebürgert, die Einsen zu zählen und in der Kurzform /n aufzuschreiben (n ist die Anzahl der Einsen). Eine Angabe von 192.168.0.0/24 bedeutet also Netzadressen im Bereich von 192.168.0.x mit einer Subnetzmaske von 255.255.255.0 (24 Einsen). Aus verschiedenen Gründen erfolgt in der Praxis nun die Aufteilung IP-Routing ab eines Gesamtnetzwerkes in einzelne Teilnetzwerke (Subnetze). In Ab- Seite 213 schnitt Routing im TCP/IP-Netzwerk ab Seite 213 finden Sie weitere Informationen, wie Sie die Subnetze über IP-Router miteinander verbinden können.
5.4.3
Netzklassen
Bestimmte Standard-Subnetzmasken werden verschiedenen Netzklassen zugeordnet. Diese werden in diesem Abschnitt vorgestellt.
Klasse-A-Netz Ein Klasse-A-Netz hat standardmäßig die Subnetzmaske 255.0.0.0. Das erste Bit der Adresse (ganz links) ist dabei auf 0 gesetzt. Abbildung 5.2: Aufbau eines Klasse-A-Netzes
Klasse-B-Netz Ein Klasse-B-Netz hat die Subnetzmaske 255.255.0.0. Die ersten beiden Bits der Adresse sind auf 10 gesetzt. Abbildung 5.3: Aufbau eines Klasse-B-Netzes
174
5 Netzwerkgrundlagen Klasse-C-Netz Ein Klasse-C-Netz hat die Subnetzmaske 255.255.255.0. Die ersten drei Bits der Adresse sind hier auf 110 gesetzt.
Abbildung 5.4: Aufbau eines Klasse-C-Netzes
Klasse-D- und -E-Netze Daneben gibt es noch Klasse-D- (beginnt mit 1110) und Klasse-E-Netze (beginnend mit 1111). Diese sind für Spezialfälle zuständig und werden hier nicht weiter behandelt.
5.4.4
Spezielle IP-Adressen
Es gibt eine Reihe von IP-Adressen, die nicht im öffentlichen Internet oder generell nicht im Netzwerk selbst zum Einsatz kommen und für spezielle Einsatzzwecke reserviert sind.
Spezialadressen BroadcastAdressen
Eine Broadcast-Adresse teilt dem Rechner mit, wie er alle Rechner in seinem Netz auf einmal erreichen kann (sog. Broadcast). Dabei werden einfach alle Bits im Rechnerbereich der Adresse auf 1 gesetzt (allgemeingültige Definition für ALL-ONE-Broadcasts). Die StandardBroadcast-Adresse für einen Rechner aus dem Netz 192.168.0.0/24 wäre demnach 192.168.0.255. Sie können deshalb Adressen, die auf 255 enden, nicht als reguläre Netzwerkadresse angeben.
Loopback
Mit einer Adresse, die im ersten Oktett eine 127 enthält, adressiert sich jeder Rechner selbst (Loopback), was zu Tests der Netzwerksoftware benutzt werden kann. Eine solche Adresse kann daher niemals auf dem Kabel zu sehen sein.
Reservierte Adressen
Adressen aus den Klasse-D- und -E-Netzen sind für bestimmte Zwecke reserviert. Die Adressen 224.x.x.x bis 255.x.x.x sollten deshalb nicht benutzt werden. Genauere Informationen dazu stehen im RFC 2236: www.isi.edu/in-notes/rfc2236.txt
5.4 IP-Adressen
175
Private Netzwerkadressen In jeder IP-Netzklasse (siehe vorhergehender Abschnitt) gibt es Adressbereiche, die nicht im Internet selbst zulässig sind und somit für die Implementierung lokaler Netzwerke genutzt werden können.
Klasse
Anz. Subnetze
Nutzbare Adressbereiche
A
1
B
16
172.16.0.0 bis 172.31.255.255
C
256
192.168.0.0 bis 192.168.255.255
10.0.0.0 bis 10.0.0.255
Tabelle 5.8: Private Netzwerkadressen je Netzklasse
Für die Anbindung lokaler Netzwerke an das Internet, in denen diese NAT privaten IP-Adressen verwendet werden, kommt NAT (Network Adress Translation) zum Einsatz. Dabei werden die Anfragen der Clients, die über eine private IP verfügen, in die jeweilige öffentliche IP-Adresse des Internet-Routers übersetzt. Dieses Verfahren wird in anderen Systemwelten auch Masquerading genannt. Weitere Hinweise dazu finden Sie in Abschnitt 5.8.4 Windows 2000 als Internetverbindungsserver ab Seite 221.
5.4.5
IP-Adressvergabe im Internet
Jede öffentliche IP-Adresse ist weltweit eindeutig und wird von der IANA an die drei Organisationen APNIC, ARIN und RIPE vergeben, die diese dann wiederum an Endkunden (Firmen oder Internetprovider) verteilen. Weitere Informationen gibt es bei den entsprechenden Organisationen unter folgenden Adressen: • IANA (Internet Assigned Numbers Authority): www.iana.net
• APNIC (Asia-Pacific Network Information Center): www.apnic.net
• ARIN (American Registry for Internet Numbers): www.arin.net
• RIPE NCC (Réseaux IP Europeens): www.ripe.net
Generell bleibt festzuhalten, dass jegliche Verwendung von IPAdressen bei direkt am Internet angeschlossenen Computern oder anderen Netzwerkgeräten sich nach diesen Bestimmungen zu richten hat. Für den Aufbau lokaler Netzwerke empfiehlt sich hingegen im
176
5 Netzwerkgrundlagen Regelfall die Einrichtung von IP-Adressen aus dem nichtöffentlichen (privaten) Adressbereich (siehe vorhergehender Abschnitt).
5.5
Automatische IP-Adressvergabe
Administrationsaufwand senken
Bei der Verwendung der TCP/IP-Protokollfamilie im Netzwerk benötigt jedes angeschlossene Gerät eine eindeutige IP-Nummer. Bei kleinen Netzwerken mit einer Handvoll PC kann der Administrator diese Nummern noch manuell eintragen und verwalten. Aber bereits bei zwanzig und mehr angeschlossenen Geräten steigt der Verwaltungsaufwand immens an.
Verschiedene Verfahren
Deshalb gibt es heute eine Reihe von Verfahren, Netzwerkclients automatisch mit IP-Nummern zu versorgen. Beim Hochfahren eines Clients verfügt er noch über keine IP-Nummer, er muss sich diese von einer bestimmten Instanz im Netzwerk abholen. Diese Instanz kontrolliert auch, aus welchem Adressbereich die IP-Nummer kommt und ob die einmal an einen Client vergebene Adresse für diesen eine bestimmte Zeit reserviert bleiben soll.
APIPA und DHCP
Windows 2000 bietet mit seiner Serverversion zwei grundlegend verschiedene Verfahren zur automatischen IP-Adressvergabe: • APIPA – Automatic Private IP Adressing • DHCP – Dynamic Host Configuration Protocol Diese Verfahren werden in den folgenden beiden Abschnitten näher betrachtet.
5.5.1 Entwickelt für kleine Netze
APIPA
Verbinden Sie mehrere Windows 2000 Computer über ein Netzwerk miteinander, können Sie das Protokoll TCP/IP mit automatischer Adressvergabe benutzen, auch wenn Sie hier keine Instanz einsetzen, welche dazu die IP-Adressen verwaltet. Jeder der Windows 2000 Computer (Professional- und Server-Versionen) benutzt dann einen eigenen Mechanismus, sich selbst IP-Adressen zuzuweisen: APIPA. Diese Abkürzung steht für Automatic Private IP Adressing und wurde von Microsoft für die einfache Nutzung von TCP/IP in kleinen Netzwerkumgebungen entwickelt.
APIPA im Detail Verwendung ohne DHCP-Server
APIPA wird unter Windows 2000 immer dann aktiv, wenn die Netzwerkkonfiguration auf einen automatischen Bezug der IP-Adresse
5.5 Automatische IP-Adressvergabe
177
über DHCP eingestellt ist und kein entsprechender DHCP-Server gefunden werden kann (siehe auch nächster Abschnitt). Die betroffene Arbeitsstation nimmt sich per Zufallsgenerator eine Adresse aus einem speziellen reservierten Adressraum und prüft dann mittels PING, ob die Adresse noch frei ist. Ist das der Fall, weist sie sich die Adresse selbst zu, andernfalls wird die Adresse inkrementiert und erneut geprüft, bis eine freie Adresse gefunden wurde. Für APIPA hat Microsoft den speziellen Adressbereich 169.254.0.1 – 169.254.254.254
Spezieller Adressbereich
von der IANA reserviert. Damit steht ein Klasse-B-Netz mit maximal 65 535 Adressen zur Verfügung. Im Internet wird dieser Adressraum nicht verwendet. Er gehört aber auch nicht zu den in RFC 1918 definierten privaten Adressräumen (siehe auch Abschnitt 5.4.3 Netzklassen ab Seite 173). Kommt in einem solchen Netzwerk später ein DHCP-Server hinzu, Nachrüstung DHCP wird dieser automatisch durch die Clients verwendet. An der IPAdresskonfiguration der Clients brauchen Sie nichts zu verändern. APIPA eignet sich lediglich in kleinen Netzwerkumgebungen mit wenigen Clients für die IP-Adressvergabe. Neben der reinen IP-Adresse und einer Standard-Subnetzmaske können keine weiteren Angaben mit zugeteilt werden wie etwa die Adressen von Standard-Gateway oder DNS-Server. Für größere Umgebungen, insbesondere bei Verwendung mehrerer Subnetze, sollten Sie immer andere Verfahren wie DHCP zum Einsatz bringen.
APIPA deaktivieren Normalerweisen wird APIPA wie oben beschrieben verwendet. Allerdings kann das auch zu Problemen oder zumindest zu Irritationen führen. Fällt ein DHCP-Server aus, kann dies möglicherweise eine Zeitlang unbemerkt bleiben. Die Computer eines Netzwerksegments können ja dann mit Hilfe von APIPA weiterhin miteinander kommunizieren. Wollen Sie grundsätzlich den Einsatz von APIPA verhindern, müssen Sie in die Registrierung. Öffnen Sie den Registrierungs-Editor REGEDT32 oder REGEDIT und ge- Deaktivierung in der Registrierung hen Sie zu folgendem Registrierungsschlüssel: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters
178
5 Netzwerkgrundlagen \Interfaces \Adaptername
Erstellen Sie den folgenden Eintrag: IPAutoconfigurationEnabled: REG_DWORD
Um APIPA für den ausgewählten Netzwerkadapter zu deaktivieren, weisen Sie den Wert 0 zu. Ist der Eintrag IPAutoconfigurationEnabled nicht vorhanden, wird der Standardwert 1 angenommen (APIPA aktiviert). Deaktivierung für mehrere Adapter
Sind mehrere Netzwerkadapter installiert, können Sie APIPA für alle Adapter deaktivieren, indem Sie IPAutoconfigurationEnabled für den folgenden Registrierungsschlüssel auf 0 setzen: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters
Nach Deaktivierung von APIPA wird im Zweifelsfall, wenn die DHCP-Lease abgelaufen beziehungsweise kein DHCP-Server vorhanden ist, als IP-Adresse 0.0.0.0 zugewiesen und damit die Kommunikation mit anderen Netzteilnehmern unmöglich gemacht.
5.5.2
IP-Adressvergabe mit DHCP
In professionellen Netzwerkumgebungen kommt heute in der Regel die automatische IP-Adressvergabe über das Dynamic Host Configuration Protocol (DHCP) zum Einsatz. Dabei fungieren eine oder mehrere DHCP-Server als zentrale Adressverwaltungsinstanzen. Das kann auch ein Windows 2000 Serversystem sein. In diesem Abschnitt werden dazu die notwendigen Grundlagen vermittelt. Administration ab Seite 753
Die konkreten Administrationsschritte zum Einrichten und Verwalten eines Windows 2000 DHCP-Servers finden Sie in Abschnitt 13.1 DHCP einrichten und verwalten ab Seite 753.
Einführung Entwicklung und RFCs
DHCP ist eine Weiterentwicklung des BOOTP (Bootstrap Protocol) und verlangt entsprechend eingerichtete Clients und Server. Microsoft war führend an Entwicklung von DHCP beteiligt. DHCP ist von der IETF in RFC 2131 und RFC 2132 spezifiziert.
DHCP-Clients
Über DHCP-Clientfunktionalität verfügen heute alle aktuellen Microsoft-Betriebssysteme sowie zunehmend Systeme anderer Hersteller.
5.5 Automatische IP-Adressvergabe
179
Ein Windows 2000 DHCP-Server kann auch die Anfragen von BOOTP-Clients BOOTP-Clients beantworten. Diese Clients finden sich beispielsweise vielfach bei integrierten oder externen Druckservern professioneller Netzwerkdrucksysteme. Weitergehende Hinweise zu diesem Thema finden Sie in der Online-Hilfe zu Windows 2000 Server.
DHCP-Adressvergabe im Detail Beim Starten eines entsprechend konfigurierten Computers sucht der DHCPDISCOVER DHCP-Client zuerst einen DHCP-Server, der bereit ist, die Anfrage zu beantworten. Dazu wird eine Broadcast-Information an das Netzwerksegment (Subnetz) gesendet, in welchem sich der Client befindet. Die Nachricht DHCPDISCOVER wird von einem DHCP-Server erkannt. Als Rücksendeadresse gibt der Client seine MAC-Adresse an, da er ja noch keine IP-Nummer besitzt. Befindet sich der DHCP-Server übrigens in einem anderen Subnetz, DHCP-Server in muss der Router entsprechend konfiguriert werden, um DHCP- anderem Subnetz Broadcastinformationen weiterleiten zu können. Weitere Informationen dazu finden Sie im Abschnitt Routing und DHCP ab Seite 184. Ein DHCP-Server, der DHCPDISCOVER empfängt, beantwortet die Anfra- DHCPOFFER ge mit DHCPOFFER und bietet damit seine Dienste an. In dieser AntwortBroadcast sind auch die IP-Adresse des DHCP-Servers und eine bereits reservierte IP für den Client enthalten. Der DHCP-Client reagiert im Normalfall auf die erste DHCPOFFER- DHCPREQUEST Broadcast, die bei ihm eintrifft, und sendet diesem ein DHCPREQUEST, mit dem er die weiteren Konfigurationsinformationen anfordert. Mit DHCPACK sendet der DHCP-Server nun diese weiteren Informatio- DHCPACK nen. Damit ist der erste Teil des Prozesses abgeschlossen. Bis hierhin laufen alle Nachrichten über Broadcast. Damit können DHCPRELEASE auch alle anderen DHCP-Server dies erkennen und geben die ihrerseits vorsorglich reservierte IP-Adresse wieder frei. Wenn ein Client die Arbeit vor Ablauf der Gültigkeitsdauer der IP-Nummer (Lease) abschließt, kann er diese mit DHCPRELEASE freigeben. Sowohl auf der Seite des Servers als auch des Clients werden die Verbindungsdaten der letzten DHCP-Transaktion gespeichert. Damit stehen diese Informationen beim nächsten Hochfahren des Systems sofort zur Verfügung, das Suchen des DHCP-Servers mit DHCPDISCOVER entfällt dann. Auch die Vergabe der IP-Nummern kann so eingestellt werden, dass DHCPNAK derselbe Client immer wieder dieselbe IP-Nummer erhält. Wurde nun die so reservierte Nummer anderweitig vergeben, beispielsweise durch Eingriff des Administrators, muss die Zuweisung abgelehnt
180
5 Netzwerkgrundlagen werden. Der Server sendet in diesem Fall DHCPNAK. Der Client verwirft nun alle gespeicherten Informationen und beginnt mit DHCPDISCOVER von vorn.
DHCP-Lease Eines der Grundkonzepte von DHCP besteht im Leasen der IPNummern an die Clients. Das bedeutet, dass die dem Client zugeteilte IP-Nummer nicht fest vergeben wird, sondern nur für eine bestimmte Zeit gültig ist. Lease-Dauer
Standardmäßig vergibt DHCP bei jedem Hochfahren eines Clients dessen Adresse erneut. Da im lokalen Netzwerk genug Adressen für alle Clients zur Verfügung stehen, ist es sinnvoll, die Adresse für einen Client immer wieder zu verwenden. Durch die entfallenen Abfragen sinkt die Netzwerkbelastung, die vor allem wegen der Broadcast-Nachrichten nicht unerheblich ist. Der Client bekommt die Lease-Dauer mit der Bestätigung der IPAdresse mitgeteilt. Nach Ablauf von 50% der Zeit informiert er den Server, dass er weiter aktiv ist. Erfolgt diese Anforderung nicht, löscht der Server den Lease und gibt die Nummer frei, da er davon ausgeht, dass der Client nicht mehr aktiv ist. Läuft der Lease ab, gibt der Client die Adresse frei und fordert eine neue beim Server an.
Netzlast verringern
In der Praxis kann das Leasen von IP-Adressen – geschickt eingesetzt – die Netzwerkbelastung verringern oder den Betrieb auch mit knappen IP-Adressen ermöglichen. Eine geringe Lease-Dauer gibt die Adressen schnell wieder frei. Dafür steigt die Netzwerklast. Eine lange Lease-Dauer verringert die Last, blockiert aber möglicherweise viele Adressen. Wichtig ist, daran zu denken, dass die Verlängerung zur Hälfte der Lease-Dauer erfolgt. Wenn Sie einen Lease am Donnerstag vergeben – bei einer Laufzeit von 3 Tagen – würde dieser Freitag Abend erneuert werden. Dies erfolgt nicht, da der Nutzer bereits im Wochenende ist. Die Erneuerung erfolgt dann erst Montagmorgen. Das ist bei großen Netzwerken kritisch, denn nun versuchen möglicherweise Hunderte von Clients neue IP-Adressen anzufordern, was selbst schnelle Netzwerke spürbar in die Knie zwingt. Leases können auch eine unbegrenzte Dauer haben. Dann stehen den Clients immer dieselben IP-Adressen zur Verfügung. Außerdem ist eine Reservierung in Abhängigkeit von der MAC-Adresse möglich. Sinnvoll ist das für Computer, die Dienste unter einer festen IPAdresse zur Verfügung stellen sollen. DHCP lohnt sich trotzdem, da der Administrator ein komfortables Werkzeug zur Verwaltung seiner IP-Adressen nutzen kann, auch wenn nicht allzuviel DHCP »stattfindet«.
5.5 Automatische IP-Adressvergabe
181
DHCP-Optionen Neben der IP-Nummer und der Subnetzmaske gibt es noch weitere Informationen, die vom DHCP-Server an die Clients verteilt werden können. Eine Option besteht in der Angabe der IP-Adresse des Routers (Standard-Gateway), über welche beispielsweise das Netzwerk an das Internet angeschlossen sein kann. Abbildung 5.5: DHCP-Optionen
So lassen sich im Netzwerk alle wesentlichen Parameter der TCP/IPKonfiguration bei den Clients automatisch setzen und erfordern an dieser Stelle keinen weiteren Administrationsaufwand. Für einen Windows 2000 DHCP-Server können Sie die Optionen auf Ebenen der Optionendefinition vier verschiedenen Ebenen einstellen: • Serveroptionen Die Serveroptionen stellen die Standard-DHCP-Optionen dar, die zunächst von allen Clients verwendet werden. • Bereichsoptionen Zusätzlich können Sie spezielle Optionen für jeden definierten Bereich festlegen. Diese ergänzen oder ersetzen die Serveroptionen, wenn dort gleichlautende definiert worden sind. • Clientoptionen Sie können Reservierungen von IP-Nummern für bestimmte Clientcomputer vornehmen. Diese Reservierung wird für die
182
5 Netzwerkgrundlagen MAC-Adresse der Netzwerkkarte des betreffenden PC vorgenommen. Hier eingerichtete Optionen überschreiben für diesen Client alle anderen gegebenenfalls auf Server- oder Bereichsebene definierten Optionen. • Klassenoptionen Sie können Benutzer- und Herstellerklassen einrichten beziehungsweise standardmäßig verfügbare verwenden (siehe auch Abschnitt DHCP-Benutzer- und Herstellerklassen ab Seite 183), um Clients zu gruppieren. Diesen Clientgruppen können Sie dann auf jeder der drei obengenannten Ebenen separate Optionen zuweisen. Eine Klassenoption überschreibt und ergänzt dann jeweils die auf derselben Ebene definierten »allgemeinen« Optionen. Die folgende Grafik verdeutlicht den Zusammenhang der verschiedenen Ebenen und zeigt, mit welcher Priorität diese wirken.
Abbildung 5.6: Wirkungsbereich der DHCP-Optionen
Die Optionen werden dabei von oben nach unten vererbt beziehungsweise ersetzt. Jeweils definierte Klassenoptionen ersetzen beziehungsweise ergänzen gesetzte Optionen auf der jeweiligen Ebene. Einstellungen am Client beachten
Letztlich »nützen« alle gesetzten DHCP-Optionen nichts, wenn am Client-PC manuell Optionen gesetzt worden sind. Hier sollten für eine saubere DHCP-Konfiguration alle Einstellungen in der Netzwerkumgebung unter TCP/IP auf »automatisch« eingestellt worden sein. Weitergehende Informationen zur Einrichtung von DHCP-Optionen finden Sie im Administrationsteil in Abschnitt 13.1.4 DHCP-Optionen ab Seite 757.
5.5 Automatische IP-Adressvergabe
183
DHCP-DNS-Integration Ein wesentliches Merkmal der DHCP-Implementation in Windows 2000 gegenüber der im Vorgänger NT ist die Integration mit DNS. Voraussetzung ist dabei allerdings momentan, dass sowohl DHCP- als auch DNS-Server auf Windows 2000 Serversystemen zum Einsatz kommen. DHCP oder DNS-Lösungen von Drittherstellern können hier diese neuen Funktionen teilweise noch nicht abbilden, was daran liegt, dass Microsoft Erweiterungen der in RFC 2131 und 2132 beschriebenen Spezifikationen vorgenommen hat. Es ist zu erwarten, dass auch diese Erweiterungen bald als allgemeiner Standard anerkannt sind und direkte Unterstützung durch andere Hersteller erfahren werden. Im Ergebnis der DHCP-DNS-Integration werden die IP-Adressen mit Dynamisches DNS den dazugehörenden Computernamen automatisch beim DNS-Server registriert. Voraussetzung ist hierbei, dass der DNS-Server dynamisches DNS beherrscht (siehe auch Abschnitt 5.6.7 Dynamisches DNS ab Seite 197). Ein weiteres Merkmal der Microsoft DHCP-Serverimplementation in Autorisierung im Windows 2000 ist die Autorisierung bei der Verwendung zusammen Active Directory mit dem Active Directory. Das bedeutet, dass nur solche DHCP-Server im Active Directory zum Einsatz kommen können, die hier zugelassen sind. Ein Windows 2000 DHCP-Server fragt beim Start den Verzeichnisdienst ab, ob er hier eingetragen und zulässig ist. Ist das nicht der Fall, wird er nicht aktiv und antwortet auf keine Client-Anfrage (Broadcast DHCPDISCOVER, siehe auch Seite 179).
DHCP-Benutzer- und Herstellerklassen Für die differenzierte Bereitstellung von Adressinformationen und Individuelle KonfiDHCP-Optionen an Clients können mit einem Windows 2000 DHCP- gurationen Server Benutzer- und Herstellerklassen Verwendung finden. Mit Benutzerklassen können Sie bestimmte Anforderungsprofile von Benutzerklassen Gruppen von Clients abbilden. So lässt sich beispielsweise einrichten, dass der DHCP-Server Adressanforderungen von Notebook-Clientcomputern anders beantwortet als die stationärer Clients. Für ständig wechselnde mobile Computer ist beispielsweise eine deutlich kürzere Lease-Dauer sinnvoll, um nicht unnötig lange IP-Adressen zu blockieren. DHCP-Benutzerklassen sind durch Microsoft derzeit als Entwürfe (Drafts) vorgelegt und haben gute Chancen, in nächster Zeit als RFC verabschiedet zu werden. Microsoft liefert einige Standard-Benutzerklassen mit. Sie können aber auch beliebige neue Klassen einführen. Voraussetzung für die Nutzung ist, dass am Client eine entsprechende DHCP-Klassenkennung
184
5 Netzwerkgrundlagen eingerichtet wird, damit er durch den DHCP-Server auch erkannt wird.
Herstellerklassen
Mit Herstellerklassen können Clients nach dem verwendeten Betriebssystem gruppiert und individuell durch den DHCP-Server behandelt werden. Die Herstellerklasse kann nur durch den Betriebssystemhersteller auf Ebene der DHCP-Clientsoftware eingestellt werden. Die Verfahren dazu sind in den RFC 2131 und 2132 dargelegt. Im Windows 2000 DHCP-Server sind derzeit drei Herstellerklassen vordefiniert, welche alle für die Erkennung von MicrosoftClientbetriebssystemen dienen können.
Tabelle 5.9: Vordefinierte DHCP-Herstellerklassen
Klassenname
ASCIIBeschreibung Kennung
Microsoft Windows 2000 Optionen
MSFT 5.0
Dient der Erkennung von Windows-2000Clients und der Definition spezieller DHCP-Optionen, die nur diesen Clients zugewiesen werden.
Microsoft Windows 98 Optionen
MSFT 98
Wie oben, nur dass hier speziell Windows98-Clients behandelt werden.
Microsoft Optionen
MSFT
Eine allgemeine Klasse für MicrosoftBetriebssysteme.
Für Clients, die nicht in eine der definierten Herstellerklassen eingeteilt werden können, gelten die allgemeinen DHCP-Optionen. Für das Hinzufügen weiterer Herstellerklassen benötigen Sie die genaue Syntax, die Ihnen der jeweilige Betriebssystemhersteller nennen kann, wenn er diesen Standard unterstützt. Weitere Informationen zur Einrichtung und Verwaltung von DHCPKlassen finden Sie in Abschnitt 13.1.5 Verwendung von Klassenoptionen ab Seite 759.
Routing und DHCP Relay-Agenten
DHCP arbeitet mit Broadcasts. Solche Pakete werden an alle Stationen eines Subnetzes gesendet. Router leiten Broadcasts nicht weiter, denn damit würden die angeschlossenen Netzwerke mit Anfragen zugeschwemmt werden. Nun stehen aber DHCP-Server nicht in jedem Subnetz zur Verfügung – dies würde dem Ziel einer einfacheren Verwaltung widersprechen. Router besitzen deshalb so genannte RelayAgenten, die RFC 2131-konforme Nachrichten erkennen und dennoch weiterleiten. Der Relay-Agent entnimmt die Adresse des DHCPServers dem Informationsfeld des DHCP-Pakets und leitet die Nach-
5.6 Domain Name System (DNS)
185
richt gezielt an den Server weiter, verteilt also das Broadcast-Paket nicht unkontrolliert in alle Subnetze.
5.6
Domain Name System (DNS)
Bei der Verwendung von TCP/IP im Netzwerk verfügt jeder angeschlossene Computer über mindestens eine eindeutige IP-Nummer für seine Identifikation. Das Handling allein mit diesen Nummern ist allerdings wenig praktikabel. Deshalb wurde das Domain Name System (DNS) entwickelt, das dafür sorgt, dass anstelle der IP-Nummern klare und einfacher zu merkende Namen verwendet werden können. Das DNS ist grundlegend in den RFC 1034 und 1035 spezifiziert. RFC RFCs 2136 steht für die Erweiterung auf das dynamische DNS. Insbesondere mit Verwendung des neuen Verzeichnisdienstes Active Voraussetzung bei Directory (siehe auch Kapitel 6 Grundlagen Active Directory ab Sei- Active Directory te 265) kommt dem DNS in einem Netzwerk, ob im lokalen Intranet oder im Internet, eine zentrale Bedeutung zu. Im vorliegenden Band wird DNS vor allem im Hinblick auf den Ein- DNS im Internet satz im lokalen Netzwerk bei Nutzung des Active Directory behan- Band III delt. Trotzdem finden Sie auch Grundlagen zu DNS im Internet, da hier ja die »Geburtsstätte« dieses fundamentalen Dienstes liegt. Wie Sie DNS auf einem Windows 2000 Serversystem für den Einsatz im Internet einrichten können und was es dabei zu beachten gilt, ist unter anderem Inhalt von Band III Internet Information Server 5. Die Administration eines Windows 2000 DNS-Servers ist Inhalt des Administration DNS ab Seite 762 Abschnitts 13.2 DNS einrichten und verwalten ab Seite 762.
5.6.1
Einführung
Das Domain Name System (DNS) sorgt im Internet für eine Auflösung DNS im Internet der klaren und verständlichen Namen wie www.microsoft.com in die jeweils richtigen IP-Adressen, mit denen diese Hosts dann letztlich erreichbar sind. Ändert sich eine IP-Adresse eines Hosts, braucht das den normalen Benutzer nicht zu kümmern. Er muss sich nach wie vor lediglich den Namen www.microsoft.com merken. Die Aufgabe der Zuordnung der Namen zu den jeweils richtigen IP- DNS-Server Adressen nehmen DNS-Server wahr. Diese befinden sich bei jedem Internet Service Provider (ISP). Dabei können natürlich bei einem Nameserver eines ISPs nicht alle IP-Nummern und Namen des gesamten Internet geführt werden. Dies würde einen ungeheuren Administrationsaufwand verursachen, da täglich neue Einträge hinzukommen und
186
5 Netzwerkgrundlagen Änderungen an bestehenden durchzuführen sind. Vielmehr sorgt die Verbindung der DNS-Server weltweit untereinander dafür, dass Anfragen nach Namensauflösungen, die ein Server nicht beantworten kann, an den nächsten weitergeleitet werden. Dabei sind die DNSServer hierarchisch miteinander verbunden, sodass die Anfragen in kürzestmöglicher Zeit beantwortet werden können.
Redundanz
Bei einem ISP wird generell aus Sicherheitsgründen nicht nur ein DNS-Server betrieben. Das DNS hat eine Schlüsselfunktion zum richtigen Funktionieren des Internet. Somit wird mit einem DNS-Server mindestens ein weiterer Server betrieben, der genau die gleichen Daten verwaltet und bei Ausfall oder Überlastung des Ersten sofort einspringen kann. Dieser sollte dabei örtlich getrennt aufgestellt sowie am besten in einem anderen Subnetz eingebunden sein.
DNS-Client
Die Anfrage an einen DNS-Server führt der DNS-Client des jeweiligen PC durch. Dieser muss nur die richtigen IP-Adressen der für ihn zuständigen DNS-Server wissen. Der auch als Resolver bezeichnete Teil der DNS-Clientsoftware stellt die Anfragen an den DNS-Server, um die IP-Adressen zu den gewünschten Namen zu erhalten. Einmal erfolgreich beantwortete Anfragen werden aus Gründen einer besseren Performance und der Minimierung der Netzlast lokal für eine gewisse Zeit in einem Cache abgelegt.
DNS im Intranet
DNS besitzt aber nicht allein im Internet Bedeutung. Auch im Intranet macht die Verwendung von DNS Sinn, wenn mit dem Netzwerkprotokoll TCP/IP gearbeitet wird. Der Verwaltungsaufwand kann minimiert werden, da Änderungen an den IP-Adressen für den Benutzer transparent durchgeführt werden können. Hinzu kommt, dass durch DNS auch weitere Informationen, beispielsweise über den Typ von Geräten, mit gespeichert werden. Der Verzeichnisdienst von Microsoft Active Directory baut insofern auf DNS auf und kann ohne dieses nicht betrieben werden.
Wo wird das DNS verwaltet?
Um DNS im Intranet zu verwenden, brauchen Sie nicht zwingend selbst einen oder mehrere DNS-Server einzusetzen. Sie könnten dies theoretisch auch Ihrem ISP übertragen. In der Praxis ist das aber kaum durchführbar. Sie bräuchten für alle Ihre Geräte im Netzwerk entweder öffentliche IP-Adressen, was aus Gründen der Sicherheit und der Verknappung des heutigen IPv4 Adressraums (siehe auch Abschnitt Das heutige IPv4 ab Seite 171) wenig praktikabel ist, oder Sie müssten einen ISP finden, der einen oder mehrere private IP-Nummernbereiche für Sie verwaltet und Ihnen einen oder mehrere DNS-Server zur Verfügung stellt.
Eigene DNS-Server im Intranet
Letztlich ist die Verwaltung, insbesondere bei der DNSImplementation bei Windows 2000 Server, nicht sehr aufwändig, sodass eigene DNS-Server im Intranet eingesetzt werden sollten. Eine Verbindung ins Internet ist trotzdem realisierbar, auch wenn alle
5.6 Domain Name System (DNS)
187
Clients im Intranet über nichtöffentliche IP-Nummern (siehe Abschnitt Private Netzwerkadressen ab Seite 175) erreichbar sind. Sie können das über Internet-Router erreichen. Dafür lässt sich übrigens auch ein Windows 2000 Server heranziehen, der nur entsprechend als Internetverbindungsserver (siehe Seite 221) eingerichtet werden muss.
5.6.2
Einige Begriffe rund ums DNS
Um die Arbeitsweise und Struktur des DNS zu verstehen, ist die Begriffe und Kenntnis einiger Begriffe notwendig. Die wichtigsten werden nachfol- Funktionsweise gend aufgeführt: • Fully Qualified Domain Name – FQDN. Die Bildung von Namen, wie FQDN beispielsweise comzept-gmbh.de, erfolgt nach bestimmten Regeln. Dabei wird der eigentliche Name der Domäne, hier comzept-gmbh, mit dem Namen der übergeordneten Domäne, hier de, verbunden. Zwischen diese Teile wird ein Punkt gesetzt. • Domain. Jeder Knoten innerhalb der DNS-Struktur mit allen darun- Domain ter befindlichen Knoten wird als Domain bezeichnet. Wenn beispielsweise die virtuellen Server »chat.buchshop.de« und »news.buchshop.de« verwaltet werden, ist die entsprechende übergeordnete Domain »buchshop.de«. • Zone. Die Speicherung der Namensinformationen geschieht in ei- Zone ner so genannten Zone. Diese umfasst alle Informationen zu einer oder mehreren zusammenhängenden Domains und dient als Verwaltungsinstrument. • Nameserver. Der Nameserver oder DNS-Server speichert Informati- Name- oder DNSonen über eine oder mehrere Domains. Seine Aufgabe ist die Auf- Server lösung der Namen, das heißt, die Lieferung der richtigen IPAdresse für eine Namensanfrage. • Forwarder. Kann ein Nameserver eine Anfrage nicht beantworten, Forwarder muss er über Informationen verfügen, welche die Weiterleitung der Anfrage an einen übergeordneten Nameserver erlauben. Die Kette endet spätestens bei den Root-Nameservern. • in-addr.arpa. Normalerweise wird ein Nameserver eingesetzt, um in-addr.arpa zu einem Domainnamen eine IP-Adresse zu liefern. In bestimmten Fällen kann auch der umgekehrte Weg notwendig sein. Das Verfahren dazu wird auch mit in-addr.arpa bezeichnet. Auf diese Begriffe wird in den folgenden Abschnitten immer wieder eingegangen, wenn die Zusammenhänge erläutert werden.
188
5 Netzwerkgrundlagen
5.6.3
Alternative Verfahren zur IP-Namensauflösung
Für die IP-Namensauflösung unter Windows 2000 können auch alternative Verfahren zum Einsatz kommen: FQDN in IP-Adresse ohne DNS
• Lokale HOSTS-Dateien
FQDN in IP-Adresse mit DNS
• Bind-kompatible Dateien
NETBIOS-Name in IP-Adresse
• WINS und LMHOSTS-Dateien
In kleinen Netzwerkumgebungen können auch FQDN auf IPAdressen abgebildet werden, ohne dass ein DNS-Dienst verwendet werden muss (siehe nächster Abschnitt).
Alternativ zum DNS-Server unter Windows 2000, der komfortabel über eine grafische Managementkonsole verwaltet werden kann, ist auch der DNS-Dienst über Bind-kompatible Dateien einsetzbar (siehe Seite 189).
Den mit Windows NT eingeführten Dienst WINS zur Namensauflösung von NETBIOS-Namen in IP-Adressen können Sie ebenfalls unter Windows 2000 Server verwenden (siehe auch Seite 190). Alle diese genannten Verfahren brauchen Sie nicht einsetzen, wenn Sie ein normales Windows 2000 Netzwerk betreiben wollen. Es kann aber nicht schaden, wenn Sie die alternativen Möglichkeiten kennen.
Datei HOSTS Die IP-Namensauflösung kann auch ohne einen DNS-Server vorgenommen werden. Dazu dient eine lokal abgelegte Textdatei namens HOSTS, in welcher die IP-Adressen und Hostnamen eingetragen sind. Unter Windows 2000 liegt diese Datei in folgendem Verzeichnis: Verzeichnis von HOSTS
%Systemroot%\System32\Drivers\Etc
Klar ist, dass hierbei der Verwaltungsaufwand bei einer höheren Anzahl von Clients nicht unerheblich ist. Änderungen an der Datei HOSTS müssen dann jeweils bei allen Systemen vorgenommen werden oder Sie benutzen Methoden, servergespeicherte HOSTS-Dateien in die lokalen Dateien einzubinden. Die Handhabung der Namensauflösung über HOSTS-Dateien kann den Einsatz eines DNS-Servers im Zusammenhang mit Active Directory nicht ersetzen und eignet sich nur für kleinere Netzwerkumgebungen ohne diesen Verzeichnisdienst.
Syntax
Die in dieser Datei zu verwendende Syntax ist denkbar einfach. Öffnen Sie HOSTS mit einem normalen Texteditor.
5.6 Domain Name System (DNS)
189 Abbildung 5.7: Datei HOSTS
Die IP-Adresse wird gefolgt von einem Tabulator und dem Hostnamen (FQDN) eingegeben. Dahinter können Sie auch noch die Kurzform des Hostnamens angeben. Beachten Sie, dass die IP 127.0.0.1 den Host selbst kennzeichnet und nicht gelöscht werden darf.
Mit BIND-kompatiblen Dateien arbeiten Eine der populärsten Implementierungen eines DNS ist die Berkeley BIND und NAMED Internet Name Domain (BIND). Über diesen Standard ist auch der weitverbreitete DNS-Server NAMED realisiert. Windows 2000 wahrt zu BIND die Kompatibilität und kann somit auch mit DNS-Servern anderer Hersteller kommunizieren. Zu beachten ist dabei, dass es bei BIND verschiedene Versionen gibt. BIND 8.2.x Aktuell ist die Version BIND 8.2.x, welche auch dynamisches DNS beherrscht (siehe Abschnitt 5.6.7 Dynamisches DNS ab Seite 197). Für das nötige Grundverständnis sind die Funktion und das Zusam- Verwendung unter menspiel der auf UNIX basierenden Nameserver sowie die Kenntnis Windows 2000 opder Dateistruktur von Bedeutung. Die Verwendung BIND- tional kompatibler Dateien in Windows 2000 Server ist optional. Für den normalen Einsatzfall reicht die standardmäßige DNSServerimplementation unter Windows 2000 völlig aus und ist zudem bedeutend leichter zu administrieren. Für bestimmte Einsatzfälle, beispielsweise bei der Migration eines Unix-DNS-Servers, kann die Verwendung der BIND-kompatiblen Konfigurationsdateien Sinn machen. Die folgenden Dateien enthalten die vom DNS-Server zu verwendenden Daten. Dabei werden in Tabelle 5.10 die Dateinamen den in der Unix-Welt gebräuchlichen gegenübergestellt.
190 Tabelle 5.10: BIND-Konfigurationsdateien
5 Netzwerkgrundlagen
Name unter W2K Name unter Unix
Inhalt
BOOT
named.boot
Startdatei des DNS-Dienstes
<domname>.DNS
Db.<domname>
Forward-Lookup-zonen
.DNS
Db.
Reverse-Lookup-zonen
Alle Dateien befinden sich unter Windows 2000 im folgenden Verzeichnis: Verzeichnis BINDDateien
%Systemroot%\System32\Dns
Wollen Sie den DNS-Server mit diesen Bind-Dateien verwenden, müssen Sie die Startart des DNS-Dienstes entsprechend ändern. Informationen dazu und Weiteres rund um die Verwendung der BINDKonfigurationsdateien liefert Ihnen ausführlich die Online-Hilfe von Windows 2000 Server.
WINS und LMHOSTS Alle bisherigen Ausführungen der Microsoft-Betriebssysteme benutzen für die gegenseitige Identifikation im Netzwerk NETBIOS-Namen. Das standardmäßige Protokoll war historisch gesehen NETBEUI, welches noch heute in so manchem kleinen Windows-Netzwerk eingesetzt wird. Mit Einführung von TCP/IP als Netzwerkprotokoll auch in der Windows-Welt entstand der Bedarf nach einer »richtigen« IPNamensauflösung. LMHOSTS-Datei
Bei WINS wird die Namensauflösung in eine IP-Adresse entweder über einen WINS-Server oder die LMHOSTS-Datei aufgelöst. LMHOSTSDateien werden, wie auch die Hosts-Dateien für die Auflösung von FQDN, lokal auf dem Windows 2000 PC gehalten und bedürfen wie diese eines relativ hohen Verwaltungsaufwandes. Es gibt allerdings die Möglichkeit, serverbasierte LMHOSTS-Dateien in die lokal vorliegenden einzulesen. Die LMHOSTS-Datei befindet sich unter Windows 2000 in folgendem Verzeichnis:
Verzeichnis LMHOSTS
WINS-Server
%Systemroot%\System32\Drivers\Etc
Weitere Hinweise zur Verwendung der LMHOSTS-Datei finden Sie in Band I Windows 2000 im professionellen Einsatz oder in der Online-Hilfe von Windows 2000. In größeren Windows-Netzwerken kommen hingegen WINS-Server zum Einsatz. Ein WINS-Server erfasst automatisch die NETBIOSComputernamen und die IP-Adressen der Clients im Netzwerk und stellt diese Informationen für die IP-Namensauflösung netzwerkweit zur Verfügung. Auf der Clientseite muss nur die IP-Adresse des WINS-Servers bei der TCP/IP-Konfiguration eingetragen werden.
5.6 Domain Name System (DNS)
191
Weitere Hinweise zur NETBIOS -Namensauflösung können Sie der Online-Hilfe sowie entsprechender Literatur zu Windows NT entnehmen.
5.6.4
Aufbau des Domain Name Systems (DNS)
Für das Verständnis der Funktionsweise des DNS sind Kenntnisse des grundlegenden Aufbaus notwendig.
Domain-Hierarchie Das DNS ist durch einen hierarchischen Aufbau gekennzeichnet. Dabei geht alles von der Stamm- oder Rootdomain aus. Darunter befinden sich die so genannten Top-Level-Domains. Abbildung 5.8: Beispiel einer Domain-Struktur
Die im Internet verwendeten Top-Level-Domains (TLDs) werden international festgelegt und sind bindend. Es existieren zwei grundlegende Arten von TLDs: • Organisatorische TLDs
Organisatorisch
Über diese TLDs kann die Organisationsform des Domäneninhabers der zweiten Domainebene (Second Level Domain) näher beschrieben werden. Die derzeit gültigen TLDs sowie die neuen, im November 2000 beschlossenen finden Sie in Tabelle 5.11.
TLD
Bedeutung
.com
Unternehmen allgemein
.edu
Bildungseinrichtungen
.gov
Regierungsbehörden
.int
Internationale Organisationen auf Regierungsebene
Tabelle 5.11: Organisatorische Top-Level-Domains
192
5 Netzwerkgrundlagen
TLD
Bedeutung
.mil
Militär
.net
Unternehmen allgemein oder Personen
.org
Allgemeine nicht-profitorientierte Organisationen
Seit ca. Mitte 2001 können auch eingesetzt werden:
Geografisch
.aero
Luftfahrtindustrie
.biz
Business, allgemein geschäftliche Organisationen
.coop
Nicht-gewinnorientierte Genossenschaften oder Vereine
.info
Allgemeine Informationen, frei verwendbar
.museum
Museen
.name
Für Registrierungen durch Personen bestimmt
.pro
Für professionelle (meist selbstständige) Berufsgruppen
• Geografische TLDs Neben den organisatorischen TLDs kommen auch geografische zum Einsatz. Bekannt sind hier sicherlich ».de« für Deutschland oder ».us« für die USA. Die komplette Liste können Sie bei der IANA (Internet Assigned Numbers Authority) unter der folgenden Webadresse einsehen: www.iana.org/cctld/cctld-whois.htm
Diese geografischen TLDs werden auch mit ccTLD – Country Code TKD bezeichnet.
Bildung des FQDN Jede Ebene, auch Domain genannt, wird dabei für die Bildung des FQDN (Fully Qualified Domain Name) durch einen Punkt von der anderen abgetrennt: Beispiel-FQDN
beratung.comzept-gmbh.de.
In der Schreibweise des FQDN ist zu berücksichtigen, dass die TLD am Ende des Namens stehen muss. Auf der nächsten Ebene befinden sich dann die Domains der zweiten Stufe (Second Level Domain oder SLD genannt), welche vor dem TLD erscheinen (hier: comzept-gmbh). Darunter können sich dann weitere Domains befinden, welche durch den Inhaber der SLD frei vergeben werden können. Abschließender Punkt
Ein FQDN benötigt immer einen abschließenden Punkt. Damit wird er als absoluter Name gekennzeichnet, der bei der Stammdomäne endet. In der Praxis hat es sich allerdings eingebürgert, diesen Punkt wegzu-
5.6 Domain Name System (DNS)
193
lassen. Die meisten DNS-Clients fügen aber einen fehlenden abschließenden Punkt selbstständig hinzu.
5.6.5
Zonen
Für die Verwaltung des DNS gibt es Zonen. Eine Zone umfasst dabei immer eine oder mehrere Domänen mit den ihnen untergeordneten Domänen. Beginnen Sie den Aufbau eines DNS mit einer einzigen Domäne, entspricht diese auch der einzigen Zone, die dann für die Verwaltung eingerichtet ist. Erstellen Sie weitere, untergeordnete Domänen, können Sie diese entweder mit in die schon bestehende Zone integrieren oder wiederum in einer eigenen Zone verwalten. Abbildung 5.9: DNS-Domänen und -Zonen
Die übergeordnete Zone enthält einige Delegierungsinformationen in DelegierungsForm von bestimmten Ressourceneinträgen (»NS« und »A«; siehe informationen auch Seite 196) für die untergeordneten Zonen. Eine Zone kann nur hierarchisch miteinander verbundene Domänen umfassen. Nicht möglich ist die Verteilung einer Domäne über mehrere Zonen. Für eine maximale Ausfallsicherheit sollte eine Zone niemals durch Replikation der nur einen Nameserver verwaltet werden. Deshalb gibt es neben dem Zonendaten primären Nameserver auch weitere sekundäre Nameserver. Die Zonendaten müssen dann beim Einrichten sowie bei Änderungen zwischen diesen verteilt (repliziert) werden. Bei der Replikation der Zonendaten muss zwischen zwei grundlegenden Verfahren unterschieden werden: • Single-Master Replikation Die DNS-Serverimplementationen arbeiten mit einer Single Master Replikation. Dabei können Änderungen nur am primären DNSServer vorgenommen werden. Von diesem aus werden die Zonen-
194
5 Netzwerkgrundlagen daten über einen Zonentransfer auf die anderen zuständigen sekundären Nameserver übertragen. • Replikation über das Active Directory Bei Verwendung des Active Directory können Sie auf einem Windows 2000 Server Zonen einrichten, die durch das Active Directory gespeichert werden. Damit werden diese Daten auch über das Verzeichnis repliziert. Zum einen wird dadurch die zu übertragende Datenmenge reduziert, da nur die Änderungen verteilt werden. Zum anderen kommen natürlich alle AD-Sicherheitsoptionen zum Tragen. Letztendlich reduziert sich auch der Administrationsaufwand, da nur noch eine Replikationstopologie verwaltet werden muss.
Inkrementelle Zonenübertragung
Diese Art der teilweisen Zonenreplikation im Active Directory wird auch mit inkrementeller Zonenübertragung bezeichnet und ist gemäß RFC 1995 spezifiziert. Sie stellt eine Erweiterung des DNS-Standards dar, welche aber im Gegensatz zu Microsofts Lösung derzeit von vielen DNS-Serverimplementationen noch nicht unterstützt wird.
Vollständige Zonenübertragung
Im Gegensatz dazu steht die vollständige Zonenübertragung, bei der die komplette Zonendatei zwischen den Nameservern übertragen wird. Die praktischen Administrationsschritte finden Sie in Abschnitt 13.2.3 Einrichten von Zonen ab Seite 764.
5.6.6
Aufbau von DNS-Servern
Die Namensauflösung führen beim DNS letztlich DNS-Server, auch Nameserver genannt, durch. Diese führen die Datenbank, in welcher IP-Adressen und zugehörige Namen verwaltet werden.
Primärer Nameserver Jede Zone wird durch einen primären Nameserver verwaltet. Auf diesem wird die Zonendatei geführt, welche dann zu den sekundären Nameservern verteilt wird. Der primäre Nameserver besitzt die Autorität über die betreffende Zone und wird auch als autorisierender Nameserver oder Start of Authority (SOA) bezeichnet. Primäre Zone
Durch die Einrichtung einer primären Zone auf einem DNS-Server wird dieser zum primären DNS-Server dieser Zone.
Sekundärer Nameserver Sekundäre Zone
Durch Einrichtung einer sekundären Zone auf einem DNS-Server wird dieser zum sekundären DNS-Server. Die Zoneninformationen
5.6 Domain Name System (DNS)
195
bekommt er dabei vom primären Nameserver der betreffenden Zone übermittelt, welcher in diesem Zusammenhang auch als Master Nameserver bezeichnet wird.
Active-Directory-verwaltete Zonen In einem lokalen Netzwerk mit Active Directory benötigen Sie für ein internes DNS keine primären und sekundären Zonen. Vielmehr können Sie über das Anlegen Active-Directory-verwalteter Zonen den Administrationsaufwand senken sowie die Sicherheit erhöhen. Diese Zonen werden automatisch zwischen allen DNS-Servern im Verzeichnis automatisch repliziert. Dabei kommen alle Sicherheitseinstellungen zum Tragen, die auch bei der Replikation der Verzeichnisdatenbank zwischen den Domänencontrollern angewendet werden.
Forwarder Ein standardmäßig installierter primärer Nameserver unter Windows 2000 arbeitet zunächst als Root-Nameserver der ihm anvertrauten Zonen. Anfragen nach Namensauflösungen, die er nicht beantworten kann, werden negativ beschieden. Damit der Nameserver Anfragen für Zonen beantworten kann, für die Weiterleitung von er nicht autorisiert ist, muss er als Forwarder konfiguriert sein. Hier Anfragen stellen Sie ein, welche nächsten DNS-Server er in diesem Fall kontaktieren soll. Der DNS-Server eines lokalen Netzwerks kann beispielsweise dann als Forwarder eingerichtet werden, wenn ein Windows 2000 Serversystem als Internetverbindungsserver (siehe dazu auch Abschnitt 5.8.4 ab Seite 221) vorhanden ist, der für das lokale Netz die Verbindung ins Internet sicherstellt.
Forward- und Reverse-Lookup-zonen Für den Betrieb eines DNS-Servers werden zwei Zonenarten unterschieden: • Forward-Lookup-zone Über diese Zone wird die »normale« Form der Namensauflösung durchgeführt. Für jeden eingetragenen Hostnamen gibt es die entsprechende IP-Nummer, die der DNS-Server auf Anfrage des Clients zurück übermittelt. • Reverse-Lookup-zone
196 in-addr.arpa
5 Netzwerkgrundlagen Die Auflösung umgekehrter Anfragen, also mit Angabe einer IPAdresse zur Rückübermittlung des Hostnamens, wird über Reverse-Lookup-zonen realisiert. Dabei wird von der Netzwerknummer der zugehörigen Forward-Lookup-zone ausgegangen. Der Zonenname kennzeichnet dieses Vorgehen. Die Netzwerknummer (siehe auch Abschnitt 5.4 IP-Adressen ab Seite 171) wird in umgekehrter Notation geschrieben, gefolgt von .in-addr.arpa. Damit ergibt sich für das Netzwerk 192.168.100.x folgende Schreibweise: 100.168.192.in-addr.arpa Die einzelnen Hostnamen, die über diese Zone ermittelt werden sollen, werden dann als PTR-Records (Zeiger) erfasst. Erfolgt nun eine Anfrage nach einem Hostnamen, wird die IP-Adresse auf die Netzwerknummer abgebildet und, wenn dies erfolgreich war, der entsprechende PTR-Record gesucht. Wird dieser gefunden, erfolgt die Antwort mit Übermittlung des vollständigen FQDN.
Ressourcentypen Die auch als Ressourcen bezeichneten Zoneneinträge können den in Tabelle 5.12 beschriebenen Typen entsprechen. Tabelle 5.12: Wichtige Ressourcentypen
Typ A
Beschreibung Address; definiert für einen bestimmten Host die IP-Adresse.
PTR
Pointer (Zeiger); genau das Gegenteil zu A, indem einer IPAdresse der Hostname zugeordnet ist.
NS
Nameserver; definiert den Hostnamen und die IP-Adresse eines DNS-Servers. Arbeiten Sie mit Bind-Dateien, gehört zu dem NS-Eintrag, der selbst nur den Hostnamen des DNS-Servers angibt, ein entsprechender A-Eintrag mit der dazugehörenden IP-Nummer.
SOA
Start of Authority; gibt in jeder Zone den primären DNS-Server an mit weiteren Parametern zur Zonenübertragung und zum Replikationsverhalten.
MX
Mail Exchange; kennzeichnet einen Mailserver einer Zone mit dessen Hostnamen und IP-Adresse.
SRV
Service Resource Record; kennzeichnet Server für bestimmte Dienste. Damit werden beispielsweise Domänencontroller im Active Directory gefunden.
Die tatsächlich verfügbaren Ressourcentypen hängen von der jeweiligen DNS-Serverimplementation ab. Nicht alle Ressourcentypen werden von jedem DNS-Server unterstützt.
5.6 Domain Name System (DNS)
5.6.7
197
Dynamisches DNS
Dynamisches DNS, abgekürzt DDNS, erlaubt das automatische Hin- DDNS zufügen und Entfernen von Ressourceneinträgen in der Zonendatei. Diese Erweiterung von DNS ist in RFC 2136 spezifiziert und wird auch von DNS-Servern anderer Hersteller unterstützt (beispielsweise ab BIND Version 8). In einem lokalen Netzwerk, an dem viele Hosts über DHCP (siehe Ab- Verwendung mit schnitt DHCP-DNS-Integration ab Seite 183) mit IP-Adressen versorgt DHCP werden, ermöglicht DDNS die IP-Namensauflösung. Aber auch in Netzwerken, in denen Hosts häufiger die IP-Nummer Hosts mit häufig wechseln oder ständig andere Hosts zum Einsatz kommen, kann wechselnder IP DDNS Sinn machen. Anstelle der aufwändigen manuellen Pflege der Zoneneinträge am Nameserver können diese Vorgänge automatisch ablaufen und so den Administrator signifikant entlasten.
Unterstützte Clients Clientseitig wird derzeit in der Microsoft-Welt DDNS nur von Win- Nur Windows 2000 dows 2000 (alle Versionen) unterstützt. Für andere Clients kann aber der DHCP-Server so konfiguriert wer- Andere Clients den, dass dieser für die von ihm mit IP-Adressen versorgten Clients die Aktualisierung beim DNS-Server vornimmt (siehe Seite 198).
Verfahren Ein Eintrag beim DNS-Server wird dann automatisch aktualisiert, Auslöser wenn eines der folgenden Ereignisse eintritt: • Sie starten den Computer neu. • Sie haben Ihre TCP/IP-Konfiguration geändert. • Sie haben den Computernamen geändert (was sowieso einen Neustart nach sich zieht). • Die Lease für einen DHCP-Clientcomputer wird erneuert (automatisch oder manuell mit ipconfig /renew; siehe auch Abschnitt 13.4 Kommandozeilen-Tools für TCP/IP ab Seite 772) beziehungsweise hat sich verändert. • Sie erzeugen eine manuelle Aktualisierung beim DNS-Server mit Hilfe des Komandos ipconfig /registerdns. Wenn einer dieser Fälle eintritt, sendet der DHCP-Client des Compu- Übermittlung mit ters entsprechende Aktualisierungsinformationen, die durch den DHCP-Client DNS-Server ausgewertet werden. Dieser nimmt dann den Neueintrag
198
5 Netzwerkgrundlagen oder die Änderung des A-Ressourceneintrags für den Host vor. Daneben wird, falls die entsprechende Reverse-Lookup-zone eingerichtet worden ist, auch der PTR-Eintrag für die rückwärtsgerichtete Adressauflösung generiert.
Sicherheit bei DDNS Generell können bei DDNS zunächst alle Windows 2000 Computer eines Netzwerks dynamische Aktualisierungen beim DNS-Server auslösen. Leider sieht die Spezifikation in RFC 2136 keine expliziten Sicherheitsverfahren vor. Voraussetzung: Active Directory
Zur sicheren Authentifizierung auch bei DDNS kann das Active Directory eingesetzt werden. Das setzt aber voraus, dass die Zone im Active Directory geführt wird (siehe Seite 195). Dann erfolgt die Authentifizierung über das im Active Directory verwendete Kerberos-Protokoll.
DDNS und Nicht-Windows-2000-Clients Haben Sie Windows NT oder 9x/ME-Clients im Einsatz, können Sie die Vorteile, die DDNS bietet, leider nicht direkt nutzen. Es gibt aber eine Möglichkeit, über einen Windows 2000 DHCP-Server die Registrierung beim DNS-Server vornehmen zu lassen. Dazu muss der DHCP-Server entsprechend eingerichtet werden (siehe auch Abschnitt 5.5.2 IP-Adressvergabe mit DHCP ab Seite 178). Sie sollten allerdings beachten, dass diese Einträge, die der DHCPServer stellvertretend für seine Nicht-Windows-2000-Clients beim DNS-Server vornimmt, keiner sicheren Authentifizierung unterliegen. Der DHCP-Server wird dann zum Besitzer der entsprechenden A- und PTR-Ressourceneinträge beim DNS-Server. Haben Sie mehrere DHCPServer im Einsatz, kann es dazu kommen, dass bei Ausfall eines Systems die von diesem angelegten Ressourceneinträge durch andere nicht mehr geändert werden können. DNSUPDATEPROXY
Um dieses Problem zu umgehen, sollten Sie alle DHCP-Server zur Sicherheitsgruppe DNSUPDATEPROXY hinzufügen. Alle Mitglieder dieser Gruppe haben dann die Berechtigung, alle auf dem DNS-Server durch sie gesetzten Einträge manipulieren zu können. Da DNS-Einträge allerdings unter Umständen unkontrolliert geändert werden können, ergibt sich eine Sicherheitslücke. Für die Gewährleistung einer maximalen Sicherheit ist es deshalb ratsam, einen DHCP-Server, der zur Gruppe DNSUPDATEPROXY gehört, nicht auf einem Domänencontroller laufen zu lassen.
Weitere Hinweise in der Online-Hilfe
Beachten Sie auch die weitergehenden Hinweise zu diesem Themenkomplex in der Online-Hilfe von Windows 2000 Server.
5.7 Weitere unterstützte Netzwerkprotokolle
5.7
199
Weitere unterstützte Netzwerkprotokolle
Windows 2000 unterstützt neben TCP/IP noch weitere Protokolle, welche in diesem Abschnitt kurz vorgestellt werden.
5.7.1
NetBIOS und NetBEUI
Bei der Entwicklung von Protokollen und Schnittstellen wurden für Network BIOS den PC-Bereich im ersten Schritt Protokolle entwickelt, die den Anschluss eines solchen Rechners als Arbeitsstation (Client) an vorhandene Netzwerkserver ermöglichten. Als eines der ersten Protokolle für das DOS-Betriebssystem wurde dazu 1984 von IBM und Microsoft das NetBIOS-Protokoll (Network BIOS) vorgestellt. Im Laufe der Jahre hat sich NetBIOS zu einer Art Quasi-Standard entwickelt. So ist es beispielsweise auch für OS/2 verfügbar, wird jedoch heutzutage nur noch in ganz bestimmten Anwendungen eingesetzt. Bei den Betriebssystem-Anwendungen der Firma Microsoft wird ebenfalls auf die NetBIOS-Schnittstelle aufgesetzt und dies selbst dann, wenn andere Übertragungsprotokolle (TCP/IP oder NWLink) zum Einsatz kommen. In einer NetBIOS-Umgebung werden die Zugriffe auf Dateien entweder vom jeweiligen lokalen Betriebssystem (wie DOS oder OS/2) aus gesteuert, oder sie erfolgen mit Einsatz von NetBIOS auf das Netzwerk und die dort verfügbaren Ressourcen. Einige Betriebssysteme wie DOS oder auch Personal NetWare von der Firma Novell beinhalten spezielle Emulationsprogramme (beispielsweise NETBIOS.EXE). Mit diesen Programmen ist es dann möglich, Anwendungen, die auf NetBIOS aufsetzen, zu aktivieren und einzusetzen. Eine Weiterentwicklung von NetBIOS stellt das Protokoll NetBEUI NetBEUI dar. NetBEUI steht als Abkürzung für NetBIOS Extended User Interface (erweiterte NetBIOS-Benutzerschnittstelle). Es handelt sich dabei um ein aus NetBIOS entwickeltes Transportprotokoll, das mittlerweile in allen Windows-basierten Netzwerken (Windows für Workgroups, Windows 9x, Windows NT, Windows 2000) zum Einsatz kommt. Darüber hinaus wird NetBEUI von Netzwerkbetriebssystemen wie Microsoft LAN-Manager oder dem IBM LAN-Server unterstützt und dort als proprietäres Übertragungsprotokoll eingesetzt. Die beiden letztgenannten verfügen jedoch heutzutage nur noch über einen verschwindend geringen Marktanteil. Einer der großen Nachteile von NetBEUI ist, dass dieses Protokoll Nicht routingfähig nicht routingfähig ist. Um ein Endgerät zu erreichen, das sich auf der anderen Seite eines Routers befindet, muss dieses Protokoll deshalb in
200
5 Netzwerkgrundlagen ein anderes Protokoll verpackt werden (Encapsulation), damit der Transport über den Router erfolgen kann.
5.7.2 Novell
IPX/SPX
Das Protokoll IPX/SPX stellt sich neben TCP/IP als ein verbreitetes Übertragungsprotokoll auf dem Gebiet lokaler Netzwerke dar. Diese Eigenentwicklung der Firma Novell wurde früher grundsätzlich bei allen Produkten aus dem Hause Novell als Standardprotokoll implementiert. Mittlerweile hat jedoch auch Novell die Zeichen der Zeit erkannt und unterstützt standardmäßig TCP/IP bei Netware 5. Die Protokollfamilie IPX/SPX (Internet Packet eXchange/Sequenced Packet eXchange) besteht generell aus zwei speziellen Teilen (IPX und SPX), wobei es sich bei SPX um eine Weiterentwicklung des Sequenced Packet Protocol der Firma Xerox handelt. Beiden Protokollen ist gemeinsam, dass sie für den Transport des NCP (NetWare Core Protocol) zuständig sind. IPX ist ein Protokoll der Vermittlungsschicht (Schicht 3 des OSISchichtenmodells: Network). Im Vergleich dazu lässt sich SPX der Transportschicht (OSI-Schicht 4) zuordnen und dient dort dem Aufbau einer Ende-zu-Ende-Verbindung. In einem NetWare-Netzwerk sorgen die beiden Protokolle IPX und SPX für eine Übertragung der Daten von einem Datenendgerät (Server, Arbeitsstation, Drucker usw.) zum nächsten, indem die Datenpakete zunächst adressiert und anschließend verschickt werden (IPX). Die Kontrolle der Übertragung übernimmt dabei der zweite Protokollteil, das SPX-Protokoll. Im Bereich der Übertragung mittels IPX/SPX gibt es zwei zusätzliche Protokolle, die unter gewissen Umständen zu enormen Geschwindigkeitseinbußen führen können. Es handelt sich dabei zum einen um das so genannte RIP-Protokoll (Routing Information Protocol) und zum zweiten um das SAP-Protokoll (Service Advertising Protocol). Die beiden Protokolle RIP und SAP gehören zu Protokollen der IPXProtokollfamilie. Novell NetWare stellt auf der Konsole ein Programm (IPXCON.NLM) zur Verfügung, mit dem in Bezug auf die Protokollverarbeitung eine Reihe von Voreinstellungen und Kontrollen durchgeführt werden kann.
RIP
Mit dem RIP-Protokoll werden innerhalb eines Netzwerks Angaben über die verfügbaren Router, Server und Arbeitsstationen verschickt, die sich auf diese Art und Weise gegenseitig bekannt machen. Somit verschickt beispielsweise auch jeder verfügbare Server entsprechende Broadcasts, die wiederum die Netzwerkperformance stark beeinträchtigen.
5.7 Weitere unterstützte Netzwerkprotokolle
201
Das SAP-Protokoll dient dazu, dass ein Server den anderen Komponen- SAP ten im Netzwerk seine Dienste (Services) bekannt machen und ihnen zur Verfügung stellen kann.
NWLink Als spezielle Anpassung des Windows-Betriebssystems hat die Firma Microsoft Microsoft das so genannte NWLink-Protokoll entwickelt. Dabei handelt es sich einfach um eine Adaption des IPX-Protokolls, und zwar um von einem Windows-Rechner Zugriff auf einen NetWare-Server zu erhalten. Umgekehrt besteht damit natürlich auch die Möglichkeit, dass eine IPX-Arbeitsstation auf einen Windows-Rechner zugreifen kann. Sobald in einem Netzwerk Router eingesetzt werden, müssen diese bei Einsatz des NWLink-Protokoll speziell konfiguriert werden. So genügt es dabei beispielsweise nicht, dass der Router die IPX-Pakete weiterleitet. Aufgrund der Besonderheit, dass die Firma Microsoft bei den Anwendungen auf einem Windows-Rechner nach wie vor auf die NetBIOS-Schnittstelle zugreift, muss der Router so konfiguriert werden, dass er auch Pakete weiterleitet, die IPX NETBIOS Broadcasts darstellen. Somit muss also jeder Router im Netzwerk entsprechend konfiguriert werden. In Abschnitt 5.8.7 Windows 2000 als IPX-Netzwerkrouter ab Seite 243 finden Sie weitere Informationen zur Integration von Netware-Welten in Windows 2000.
5.7.3
AppleTalk und die Macintosh-Services
Ein Windows 2000 Server eignet sich auch als zentrales Serversystem für ein Netzwerk mit Apple Macintosh-Clients. In diesem Abschnitt werden die dabei gebotenen Funktionen vorgestellt.
Überblick über die Funktionen Die Macintosh-Unterstützung, welche Windows 2000 mitbringt, entspricht der des Vorgängers NT 4, wurde aber in einigen Bereichen erweitert. Die folgenden grundlegenden Netzwerkfunktionen lassen sich in einem Netzwerk mit Macintosh-Clients einrichten: • Dateiserver Ein Windows 2000 Serversystem lässt sich auch als Dateiserver für Macintosh-Clients einrichten. Dabei lassen sich alle Sicherheitseinstellungen für die Authentifizierung und die Zugriffssteuerung auf Dateiebene anwenden, die Ihnen auch für »normale« Windows-
Dateiserver
202
5 Netzwerkgrundlagen Netzwerkclients zur Verfügung stehen. Sie finden weitergehende Informationen dazu ab Seite 203.
Druckserver
• SFM-Druckserver Netzwerkdrucker können mit den Services for Macintosh (SFM) neben Windows- auch Macintosh-Clients zur Verfügung gestellt werden. Weitere Hinweise zum grundsätzlichen Aufbau finden Sie dazu in Abschnitt 7.3.5 Appletalk-Druckunterstützung ab Seite 398.
Netzwerkrouter
• Appletalk-Netzwerkrouter Bei Verwendung des Appletalk-Protokolls (siehe auch nächster Abschnitt) in größeren Macintosh-Netzwerken werden Routingfunktionen benötigt, die Sie auch mit einem Windows 2000 Serversystem sicherstellen können. Lesen Sie dazu den Abschnitt 5.8.8 Windows 2000 als Appletalk-Netzwerkrouter ab Seite 246. Bis Apple selbst ein leistungsfähiges Serverbetriebssystem fertiggestellt hat, stellt ein Windows 2000 Server eine interessante und im Vergleich zu den nicht billigen Unix-Lösungen sogar preiswerte Alternative dar.
Unterstützte Protokolle Appletalk
Das meistverwendete Protokoll im Macintosh-Umfeld ist bei kleineren Netzwerken nach wie vor Appletalk. Dieses Netzwerkprotokoll zeichnet sich allerdings nicht eben durch eine hohe Performance aus. Verantwortlich dafür ist der hohe Protokolloverhead, über welchen sich alle Appletalk-Geräte im Netzwerk permanent mitteilen, wie sie heißen und was sie an Diensten anbieten. Der Begriff Appletalk steht übrigens nicht nur für ein Protokoll, sondern beschreibt auch einen Hardware-Standard. Ursprünglich wurden damit die seriellen Kommunikationsschnittstellen (RS-422) bezeichnet, über welche Macs unter Nutzung von einfachen Kabeln und Connector-Boxen miteinander kommunizieren konnten. AppleTalk Phase 1 unterstützt Kabellängen von bis zu 300 Metern, maximal 256 Knoten (in der ersten Version maximal 32) und eine Übertragungsrate von etwa 230 kbps. AppleTalk Phase 2 schließt die Verwendung von Ethernet ein und hebt zugleich die Beschränkung auf 256 Rechner auf: Einem Ethernet-Subnetz wird eine Network Number Range zugeteilt, wodurch in jedem Subnetz 256 Rechner (Knoten) möglich sind (siehe auch Abschnitt 5.8.8 Windows 2000 als Appletalk-Netzwerkrouter ab Seite 246). Wird AppleTalk über die serielle Schnittstelle der Macintosh-Rechner betrieben, so wird dies auch mit LocalTalk bezeichnet, bei der Verwendung von Ethernet entsprechend EtherTalk.
5.7 Weitere unterstützte Netzwerkprotokolle
203
Mit Hilfe des AppleTalk Filing Protocols (AFP), welches sich im OSI- AFP Referenzmodell in der obersten Schicht wiederfindet (siehe auch Abschnitt 5.1.1 ISO/OSI-Referenzmodell ab Seite 153), wird der Zugriff auf freigegebene Servervolumes ermöglicht. AFP ist auch im Windows 2000 Server implementiert und steht mit den Macintosh-Services zur Verfügung. Alle neueren Macintosh (ab MAC OS 8.1) unterstützen standardmäßig TCP/IP auch TCP/IP als Netzwerkprotokoll für die AFP-Services. Damit wird eine bedeutend höhere Übertragungsgeschwindigkeit erreicht. In heterogenen Netzwerkumgebungen kann auf den zusätzlichen Einsatz von Appletalk als Protokoll verzichtet werden. Das betrifft damit natürlich auch eventuell benötigte Routingfunktionen in größeren Netzen. Wird hier allein TCP/IP eingesetzt, kann eine einheitliche Routingtopologie mit IP-Routern für alle Clients genutzt werden (siehe auch Abschnitt 5.8 Routing und RAS ab Seite 204).
Windows 2000 als Dateiserver im Macintosh-Netzwerk Bei der Nutzung eines Windows 2000 Servers als Dateiserver auch für Macintosh-Clients gibt es einige Dinge zu beachten, die nachfolgend erläutert werden. Weiterführende Informationen zur Einrichtung und Administration Administration ab eines Windows 2000 AFP-Servers finden Sie in Abschnitt Seite 838 13.6 Dateiserver für MAC-Clients einrichten ab Seite 838. Für die Authentifizierung (über das User Authentification Modul - Authentifizierung UAM) eines Macintosh-Clients bei einem Windows 2000 Server stehen zwei alternative Verfahren zur Verfügung: • Standard-UAM Das Standard-UAM des MAC OS stellt nur eine einfache Funktionalität bereit. Kennwörter werden unverschlüsselt übertragen. Das Anmelden an einer bestimmten Domäne wird nicht unterstützt. • Microsoft UAM Mit Windows 2000 Server wird auch ein UAM für die Installation beim Macintosh-Client mitgeliefert. Mit diesem Microsoft UAM stehen erweiterte Möglichkeiten zur Verfügung. Kennwörter werden verschlüsselt im Netzwerk übertragen sowie das Anmelden eines Benutzers an einer Domäne ermöglicht. Dazu gibt der Nutzer im Feld Name des UAM einfach seinen bei der betreffenden Domäne registrierten Benutzernamen in der folgenden Form an: @<domänenname>
Die Microsoft-UAM wird in der aktuellen Windows 2000 Server- Microsoft-UAM 5.0 release in der Version 5.0 bereitgestellt. Diese unterstützt auch AFP
204
5 Netzwerkgrundlagen über TCP/IP (siehe vorhergehender Abschnitt). Voraussetzung ist, dass auf dem Macintosh der Appleshare-Client 3.8 (verfügbar ab MAC OS 8.1) oder höher läuft.
Microsoft-UAM 1.0
Für ältere MAC OS Betriebssystemversionen mit Appleshare bis Version 3.6 wird das Microsoft-UAM 1.0 mitgeliefert. Dieses ermöglicht allerdings nur die Nutzung des Appletalk-Protokolls für AFP-Dateiserver. Microsoft-UAM der Versionen 2.0 bis 4.0 gibt es übrigens nicht. Hier wurde einfach wieder einmal eine »Versionsnummernanpassung« vorgenommen. Mit Windows NT 4.0 hielt die UAM-Technologie Einzug und hatte demzufolge die (richtige) Versionsnummer 1.0. Mit Windows 2000 änderte sich bekanntlich die interne Version von NT 4.0 auf NT 5.0 und damit auch die Versionsnummer einiger interner Komponenten von 1 auf 5.
AppleshareVersion
Welche Appleshare-Version auf Ihrem MAC OS installiert ist, können Sie über APFELMENÜ | KONTROLLFELDER | ERWEITERUNGEN EIN/AUS selbst überprüfen. Die jeweils aktuelle AppleshareClientsoftware wird über die Website von Apple (www.apple.de) zum kostenlosen Download angeboten.
Zugriffsrechte
Unter MAC OS (bis zur aktuellen Version 9.x) können Sie Zugriffsrechte nur auf Ordnerebene, nicht jedoch auf Dateiebene festlegen. Windows 2000 stellt serverseitig sicher, dass die definierten Zugriffsrechte für auf dem Server abgelegte Dateien entsprechend »übersetzt« werden. Für Macintosh-Clients unterscheidet sich dadurch ein Windows 2000 Server nicht von einem anderen AFP-Dateiserver.
Clientkonfiguration
Clientseitig muss am Macintosh nur das zu verwendende Netzwerkprotokoll eingestellt sowie ggf. die richtige UAM (siehe oben) installiert werden. Bei der Konfiguration von TCP/IP stehen alle Optionen zur Verfügung, um beispielsweise auch einen DHCP- oder DNSServer benutzen zu können. Weitere Hinweise zu den konkreten Administrationsschritten erhalten Sie in Abschnitt 13.6.4 Konfiguration der Macintosh-Clients ab Seite 844.
5.8 RRAS
Routing und RAS
Windows 2000 als Serverbetriebssystem wartet gegenüber dem Vorgänger NT mit stark ausgebauten Routing-Eigenschaften auf. Diese verbergen sich im Wesentlichen in den Routing und Remote Access Services (RAS), im Folgenden auch kurz mit RRAS bezeichnet. Über die gleichnamige Managementkonsole können Sie vom einfachen Netzwerkrouter bis zum RAS- und VPN-Server Ihr System weitreichend konfigurieren. Neu ist die Möglichkeit, Ihren Server als Internet-Gateway für ein lokales Netzwerk einzusetzen.
5.8 Routing und RAS
205
Hinzu kommen Fähigkeiten der Intergration fremder Protokolle auch im Routing-Bereich. So sind IPX-Router ebenso realisierbar wie auch Appletalk-Router für die Vernetzung in heterogenen Umgebungen. In diesem Abschnitt werden die technischen Grundlagen des Routings mit einem Windows 2000 Systems erläutert. Deren Verständnis ist wichtig, um die Routing-Funktionen des Windows 2000 Serversystems richtig konfigurieren zu können. Bei aller Hilfe durch die Assistenten bleibt immer noch genügend Handlungsbedarf für den Administrator. Das gilt umso mehr, wenn abweichend von den vorgeschlagenen Standardlösungen komplexere Netzwerke zu realisieren sind. Unter Windows 2000 gibt es auch noch das »klassische« RAS – die RAS Remote Access Services. Diese Dienste regeln den Zugriff auf das Netzwerk über Datenfernverbindungen und bilden zusammen mit den Routingfunktionen eine administrative und logische Einheit. Alle wesentlichen Administrationsschritte für die Einrichtung der Administration ab wichtigsten Routing-Funktionen finden Sie in Abschnitt 13.5 Seite 782 Administration von Routing und RAS ab Seite 782.
5.8.1
Einführung in das Routing
Routingfunktionen werden überall dort benötigt, wo Netzwerke oder Netzwerkteile getrennt bestehen und Kommunikationsverbindungen zwischen diesen geschaffen werden müssen. Im Folgenden werden die häufigsten Gründe dafür benannt und damit die hauptsächlichen Einsatzbereiche von Routern deutlich gemacht: • Performance-Steigerung im Ethernet-Netzwerk • Verbindung verschiedener Netzwerktopologien • Geografische Trennung und Sicherheitsaspekte • Verbindung lokaler Netzwerke mit dem Internet In den folgenden Abschnitten werden diese Punkte näher betrachtet und beispielhaft Szenarien gezeigt, für die entsprechende Routinglösungen mit Windows 2000 Serversystemen sinnvoll erscheinen.
Performance-Steigerung im Ethernet-Netzwerk Ethernet, heute Standard für lokale Netzwerke, verwendet das Kollisionen CSMA/CD-Verfahren für die Kollisionserkennung und Paketübertragung. Mit zunehmender Anzahl von Last im Netzwerk kommt es zu immer mehr Kollisionen. Diese Last kann durch eine hohe Anzahl von Clients entstehen oder durch wenige Stationen, die permanent hohe Datenmengen zu übertragen haben.
206
5 Netzwerkgrundlagen Teilweise Abhilfe bringen hier moderne, aktive Netzwerkkomponenten wie beispielsweise Switches. Diese schaffen direkte Übertragungskanäle zwischen den sternförmig verbundenen Endgeräten. Laufen letztendlich alle Clientanfragen wieder auf einen Server auf, hilft ein Switch allerdings auch nicht weiter. In Abbildung 5.10 ist so ein Netzwerk dargestellt, welches nur über einen zentralen Server verfügt, auf dem beispielsweise der gesamte Datenbestand gehalten wird.
Subnetze
Eine Lösung kann die Zerlegung des Netzwerkes in zwei oder mehr Teilnetzwerke (Subnetze) sein, die wiederum über einen oder mehrere Router miteinander verbunden sind. Abgesehen wird hier von anderen Verfahren zur Lastverteilung im Netzwerk, beispielsweise durch Kopplung mehrerer Server (Clustering; siehe auch Band III Internet Information Server 5) oder Ähnlichem. Das kann natürlich immer dann zur Anwendung kommen, wenn es gilt, Serverlasten besser zu verteilen. Beim Aufteilen von EthernetNetzwerken geht es hier zunächst um eine Verringerung der Kollisionen und damit um eine bessere Ausnutzung der maximal verfügbaren Bandbreite, weniger um die Serverlast.
Abbildung 5.10: Ethernet-Netzwerkkonfiguration ohne Subnetze (hier mit Protokoll TCP/IP)
In Abbildung 5.11 ist ein Netzwerk dargestellt, in welchem zwei Subnetze gebildet worden sind. Diese werden in einem Server zusammengeführt, der über zwei Netzwerkkarten verfügt und als Router konfiguriert ist. Die Pakete in einem Subnetz erreichen nicht das andere, wenn dort kein Ziel liegt. Wird aber dennoch ein Gerät auf der anderen Seite angesprochen, öffnet der Router die Verbindung und lässt die betreffenden Pakete durch.
5.8 Routing und RAS
207 Abbildung 5.11: Netzwerk mit einem Server und zwei Subnetzen (hier mit Protokoll TCP/IP)
Die vorgestellte Trennung eines Ethernet-Netzwerkes in Subnetze hat Netzwerkprotokoll prinzipiell zunächst nichts mit dem konkret verwendeten Netzwerkprotokoll zu tun. Sofern das jeweilige Netzwerkprotokoll Routing unterstützt (»Routingfähigkeit«), können Sie Subnetze mit Routern aufbauen. Routingfähige Netzwerkprotokolle sind beispielsweise TCP/IP, IPX und Appletalk. Nicht routingfähig ist dagegen das für kleine Windows-Netzwerke beliebte NetBEUI. Router selbst wiederum arbeiten protokollabhängig. Ein Router, der nur IP-fähig ist, wird so kein IPX-Netzwerk bedienen können. Mehr zu diesen allgemeinen Grundlagen erfahren Sie in Abschnitt 5.8.2 Einige Grundlagen zum Routing ab Seite 211. Mit Windows 2000 Server können Sie Netzwerkrouter aufbauen, wel- Netzwerkrouter mit Windows 2000 che die folgenden Protokolle unterstützen: • TCP/IP • IPX • Appletalk Für diese drei Protokolle können Sie »native«-Netzwerkrouter mit Windws 2000 implementieren und damit alle wichtigen Routingfunktionen in IP-, Netware- und Macintosh-Netzwerken für die genannten Protokolle realisieren.
208
5 Netzwerkgrundlagen Verbindung verschiedener Netzwerktopologien
Topologien
Da Router allein auf der Protokollebene arbeiten (OSI-Schicht 3; mehr dazu ab Seite 211), eignen sie sich auch gut zum Verbinden verschiedener Netzwerktopologien und -zugriffsverfahren.
Abbildung 5.12: Verbindung verschiedener Topologien mit einem Router (hier über TCP/IP)
Haben Sie beispielsweise noch einen alten 10 MBit-Strang im Einsatz, der über Koaxialkabel (auch mit Thin Ethernet oder RG-58 bezeichnet) realisiert ist, können Sie diesen über einen Router mit einem neuen 100 MBit-Segment verbinden, welches heute häufig über Fast Ethernet mit Kupferleitungen (Twisted Pair) in Sternform vernetzt ist. Abbildung 5.12 zeigt eine in der Praxis nicht seltene Beispielkonfiguration mit einem älteren Koax-Ethernet-Strang (RG-58), der über einen Router mit der neueren strukturierten Verkabelung zusammengebracht werden kann. Das gleiche Verfahren lässt sich einsetzen, um ein 100-MBitNetzwerk mit einem neuen Segment mit 1-GBit-Ethernet zu verschalten. Zugriffsverfahren
Genauso gut lassen sich auch verschiedene Zugriffsverfahren zusammenbringen, wie beispielsweise ein Token-Ring-Netzwerk mit einem Ethernet. Ausschlaggebend ist dabei allein die Verwendung eines gemeinsamen, routingfähigen Netzwerkprotokolls.
Geografische Trennung Eine physische Trennung von Netzwerken liegt prinzipiell auch dann vor, wenn eine geografische Entfernung zu überbrücken ist. Das betrifft beispielsweise verschiedene Standorte einer Firma oder die Integration von extern arbeitenden Mitarbeitern in das Netzwerk ihres
5.8 Routing und RAS
209
Arbeitgebers. Für eine transparente Verbindung der Netzwerkkomponenten über weite Entfernungen gibt es verschiedene Möglichkeiten: • Datenverbindung mit direkter Einwahl Es wird eine direkte Wählverbindung zwischen einem externen Computersystem (gegebenenfalls einem ganzen Netzwerk) und einem Einwahlserver eines Netzwerkes hergestellt. Das sich einwählende Computersystem wird dann über die Routingfunktionen des jeweiligen Netzwerkbetriebssystems transparent eingebunden. Der aus der Ferne angemeldete Benutzer sieht die für ihn zugänglichen Netzwerkressourcen so, als wäre er lokal verbunden. Die auch schon von Windows NT bekannte Unterstützung für die RAS Verbindung mit einem Server über eine Wählleitung wird in der Microsoft-Terminologie Remote Access Service (RAS) genannt. Das verwendete Netzwerkprotokoll spielt bei diesem Verfahren nur eine untergeordnete Rolle. Windows 2000 Server unterstützt die Verbindungsaufnahme über alle direkt unterstützten Netzwerkprotokolle wie Netbeui, IPX, Appletalk und natürlich auch TCP/IP. Über die direkte Wählverbindung, vor allem wenn Sie schnelle di- Vorteile... gitale Übertragungswege wie ISDN nutzen, können Sie sichere Verbindungen mit einer definierten Bandbreite aufbauen. Über die Definition eines Rückrufs, bei dem der angerufene RAS-Server wieder auflegt und seinerseits den Client über eine ihm bekannte Rückrufummer zum endgültigen Verbindungsaufbau zurückruft, kann auch eine sehr hohe Sicherheit gewährleistet werden. Die Nachteile dieser Lösung sind vor allem in zweierlei Hinsicht ...und Nachteile zu sehen: Zum einen benötigen Sie eine kostenpflichtige Fernver- von RAS bindung, welche bei langen Distanzen schnell sehr teuer werden kann, zum anderen ist die maximale Anzahl der Benutzer, die sich gleichzeitig »remote« anmelden können, durch die Menge an physisch verfügbaren Einwahlgeräten beziehungsweise -kanälen begrenzt. • Datenverbindung über das Internet Eine Alternative zur direkten Einwahl ist die Verbindung von ent- VPN fernten Clients mit einem lokalen Netzwerk oder die Verbindung zweier Netzwerke über das Internet. Diese Technologie ist auch unter dem Begriff Virtuelles Privates Netzwerk bekannt (VPN). Ein so genannter VPN-Server ist dabei mit dem Internet verbunden. Dazu kann ein ganz normaler Internet-Zugang genutzt werden, wie Sie ihn bei einem Internet Service Provider (ISP) bekommen können. Damit der VPN-Server für Clients erreichbar ist, muss er über eine
210
5 Netzwerkgrundlagen feste öffentliche IP-Adresse verfügen. Der VPN-Client benötigt selbst nur einen Internetzugang und kann sowohl unter Windows 2000 Professional als auch mit Windows 9x/ME laufen. Über die hergestellte (TCP/IP-)Verbindung können dann mit Hilfe ausgefeilter Sicherheits- und Tunnelungsmechanismen Datenpakete abhörsicher übertragen werden. Das dabei verwendete (und »getunnelt« übertragene) Netzwerkprotokoll ist zweitrangig und kann beispielsweise auch Netbeui oder IPX sein. Prinzipiell sind alle Netzwerkprotokolle, die der RAS-Dienst von Windows 2000 unterstützt, auch für ein VPN einsetzbar.
VPN-Vorteile...
Vorteile dieser Lösung sind die Vermeidung entfernungsabhängiger Verbindungsgebühren sowie eine wesentlich höhere maximale Anzahl gleichzeitig verbundener Clients, da diese nicht direkt mit einer Geräteschnittstelle am VPN-Server verbunden sind, sondern nur über virtuelle VPN-Ports.
...und Nachteile
Sie sollten berücksichtigen, dass sich die Bandbreite, die im Internet auch stark schwanken kann, zwischen den VPN-Clients aufteilt.
Abbildung 5.13: Vergleich RAS und VPN
Verbinden von Netzwerken
Mit beiden Verfahren können Sie über Windows 2000 Server lokale Netzwerke miteinander verbinden, beispielsweise um ein überregionales homogenes Netz mit einem zentralen Verzeichnisdienst wie Active Directory zu realisieren. Über eine transparente Fernverbindung können dann neben Daten auch die Informationen zwischen Domänencontrollern repliziert werden. Mehr zu Active Directory finden Sie in Kapitel 6 Grundlagen Active Directory ab Seite 265.
Nicht nur Internet
Der Vollständigkeit halber sei erwähnt, dass VPNs auch über andere Medien als das Internet betrieben werden können. So lässt sich eine abgeschirmte VPN-Verbindung innerhalb einer lokalen Netzwerk-
5.8 Routing und RAS struktur implementieren, um beispielsweise bestimmten Sicherheitsanforderungen zu genügen.
Sicherheitsaspekte Die physische Trennung kann auch aus sicherheitsrelevanten Gründen erfolgen. Zwar können in einem modernen Windows 2000Netzwerk, gerade beim Einsatz mit Active Directory, alle Sicherheitsfragen über entsprechende Authentifizierungs- und Zugriffsrichtlinien gelöst werden, aber eine zusätzliche Absicherung kann in manchen Fällen nicht schaden. So können separate Subnetze über einen Router noch einmal zusätzlich physisch abgeschirmt werden, um Angriffsversuche von außen zu erschweren.
Verbindung lokaler Netzwerke mit dem Internet Für die Verbindung eines lokalen Netzwerkes mit dem Internet können Sie heute auf ein breites Sortiment von Hardware-Routern zurückgreifen. Diese stellen auf der einen Seite einen Netzwerkanschluss für die Einbindung ins lokale Netz zur Verfügung und werden auf der anderen Seite direkt über einen DFÜ-Anschlussport (ISDN, EthernetPPP für DSL o.ä.) mit dem Internet verbunden. Die Hauptfunktion eines derartigen Routers besteht in der Übersetzung der internen Client-IP-Adressen, die in der Regel aus einem nichtöffentlich verwendbaren Adresspool entnommen worden sind, in die öffentliche IP-Adresse des Routers. Dieser gibt sozusagen die Anfragen der Netzwerkclients als seine aus und leitet die Antworten aus dem Internet wieder an diese zurück. Diese Routerfunktionalität lässt sich jetzt auch mit einem Windows Internetverbin2000 Serversystem als Internetverbindungsserver professionell abbilden dungsserver und wird in Abschnitt 5.8.4 Windows 2000 als Internetverbindungsserver ab Seite 221 näher erläutert.
5.8.2
Einige Grundlagen zum Routing
In diesem Abschnitt werden einige technische Grundlagen zum Routing vermittelt, ohne jedoch alle Aspekte dieses komplexen Themas zeigen zu können. Zu TCP/IP selbst gibt es umfangreiche Fachwerke, die hiermit natürlich nicht ersetzt werden sollen. Für einen Windows 2000 Administrator sind Grundkenntnisse über das Routing immer dann unerlässlich, wenn beispielsweise verschiedene physische Netzwerke miteinander verbunden werden sollen oder eine Internetanbindung eines Netzwerkes erfolgen soll.
211
212
5 Netzwerkgrundlagen Repeater, Bridge, Router, Brouter... Vor dem eigentlichen Thema »Routing« sollten einige Begriffe geklärt werden. Für die Verbindung von physischen Netzwerken gibt es verschiedene technische Einrichtungen, die im Folgenden kurz vorgestellt werden.
Repeater
In der Vergangenheit wurden lokale Netzwerke meist über das 10 MBit Ethernet realisiert, welches in der Regel mit Koaxialkabel (auch mit RG-85 bezeichnet) umgesetzt wurde. Die maximale Länge eines Stranges ist allerdings mit dieser Verkabelungstechnik auf 185 m begrenzt. Repeater arbeiten hier als Signalverstärker, um diese Beschränkung aufzuheben. Allerdings sind hier Grenzen gesetzt, da bei Überschreitung einer gewissen Übertragungsdauer von einem Fehler ausgegangen wird und damit die Verbindung steht. Eine besondere Form stellen die Multiportrepeater (»Mehrfachverteiler«) dar, die nicht nur zwei Segmente miteinander verbinden können, sondern auch drei oder mehr. Diese Systeme werden häufig als Sternkoppler oder Ringleitungsverteiler bezeichnet. Im Grunde besteht die einzige Funktion eines Repeaters in der Signalverstärkung. Trotzdem gibt es teilweise »halbintelligente« Systeme, die mehr Funktionalität aufweisen (wie beispielsweise die Kopplung unterschiedlicher Verkabelungssysteme). Das betrifft teilweise auch Funktionen, die per Definition den Transceivern zugeordnet werden (und im Rahmen dieses Buches nicht weiter vertieft werden). Repeater arbeiten auf der untersten Schicht des ISO/OSIReferenzmodells und sind damit unabhängig vom verwendeten Netzwerkprotokoll. Es lassen sich so natürlich auch Netzwerksegmente miteinander verbinden, auf denen Protokolle verwendet werden, die nicht routingfähig sind (wie beispielsweise NETBEUI). Allerdings gilt es dabei immer zu beachten, dass keine Funktionen für eine Lastverteilung (bei Ethernet: Kollisionsverringerung) oder weitere Filterfunktionen für die Datenpakete zur Verfügung stehen.
Bridge
Eine Bridge (Brücke) kann als »intelligente« Form des Repeaters bezeichnet werden, die den Datenverkehr anhand der Zieldadresse im MAC-Header der Datenpakete zielgerichtet leiten kann. Daten, die nur innerhalb eines Segmentes benötigt werden, belasten somit nicht mehr das übrige Netzwerk. Vergleichbar mit den Multiport-Repeatern gibt es auch Multiport-Bridges mit der Unterstützung für mehr als zwei Teilnetze. Unterschieden werden ferner Local Bridges und Remote Bridges. Eine Local Bridge dient in erster Linie der Kopplung von Segmenten eines LANs, bei dem auch verschiedene Kabelsysteme oder sogar Zugriffsverfahren (wie Ethernet und Token Ring) zusammengebracht werden
5.8 Routing und RAS
213
können. Eine Remote Bridge wird hingegen zur Kopplung zweier Netzwerke über eine Datenfernverbindung genutzt. Bridges arbeiten auf der OSI-Schicht 2 (Sicherungsschicht) und sind damit ebenfalls unabhängig vom verwendeten Netzwerkprotokoll. Router hingegen arbeiten auf der OSI-Schicht 3 (Vermittlungsschicht) Router und sind damit auf ein routingfähiges Netzwerkprotokoll angewiesen. Dabei muss ein Router nicht auf ein Protokoll festgelegt sein. Multiprotokollrouter unterstützen mehrere Protokolle, beispielsweise TCP/IP und IPX. Der Vorteil von Routern liegt in der höheren Effizienz und Flexibilität. Einen Router interessiert das zugrunde liegende Zugriffsverfahren oder die Verkabelungstopologien nicht. Einzig über das Netzwerkprotokoll werden die Datenpakete gezielt im Netzwerk verteilt. Ein Router verfügt dabei über Informationen über alle im Gesamtnetzwerk verfügbaren Teilnetze oder, je nach eingesetztem Routingverfahren, über den grundsätzlichen Weg für die Weiterleitung. Abbildung 5.14: Router arbeiten auf OSI-Schicht 3
Eine Mischform aus Router und Bridge stellen Brouter dar. Bei diesen Brouter sind Funktionen beider Systeme implementiert. Bestimmte Datenpakete, die nicht über OSI-Schicht 3 übergeben werden können, sind damit trotzdem transportierbar (beispielsweise Datenpakete nicht unterstützter beziehungsweise nicht routingfähiger Protokolle).
Routing im TCP/IP-Netzwerk Windows 2000 unterstützt neben TCP/IP auch die routingfähigen Netzwerkprotokolle IPX und Appletalk. Die folgenden Ausführungen zu den Grundlagen des Routing beschränken sich im Wesentlichen auf das Protokoll TCP/IP. Dabei wird der Bedeutung dieses Protokolls Rechnung getragen, welches nicht nur das Internet »zusammen-
214
5 Netzwerkgrundlagen hält«, sondern auch das Standardprotokoll von Windows 2000Netzwerken, insbesondere bei Verwendung mit Active Directory, darstellt. Ein Beispiel für eine einfache Netzwerkkonfiguration, die aus zwei getrennten Subnetzen besteht, die über einen Router miteinander verbunden sind, ist in Abbildung 5.15 dargestellt.
Abbildung 5.15: Beispiel eines IPNetzwerkes mit einem Router
Jeder Computer im Netzwerk verfügt über eine Routingtabelle, welche Sie bei einem System mit Windows 2000 mit dem Befehl ROUTE PRINT einsehen können. In Abbildung 5.16 sehen Sie die Routingtabelle des PC aus Abbildung 5.15 mit der IP-Adresse 192.168.100.7. Abbildung 5.16: Routingtabelle
Diese Routingtabelle wird vom Betriebssystem automatisch aus drei Angaben generiert: • IP-Adresse des eigenen Computers (hier: 192.168.100.7)
5.8 Routing und RAS
215
• Subnetzmaske (hier: 255.255.255.0) • IP-Adresse des Standard-Gateways (hier: 192.168.100.2) Der Weg eines Datenpakets wird anhand seiner IP-Adresse und dieser Weg eines Datenpakets Routingtabelle bestimmt. Das geschieht in den folgenden Schritten: 1. Wenn es eine vollständig passende IP-Adresse für das Ziel gibt, wird das Datenpaket direkt über die entsprechende Schnittstelle verschickt. Das trifft hier auf die eigene IP-Adresse 192.168.100.7 zu. 2. Liegt die Zieladresse (beispielsweise 192.168.100.5) im gleichen Netzwerk wie der Absender (Zeile 3 in der Routingtabelle), wird das Datenpaket direkt an den Empfänger verschickt (über die eigene IP 192.168.100.7). 3. Kann eine Adresse nicht weiter zugeordnet werden, wird sie an das Standard-Gateway (den Router) übergeben, in der Hoffnung, dass dieses den richtigen weiteren Weg kennt. Ein PING auf die Adresse 10.1.1.5 erzeugt beispielsweise Datenpakete, welche über den Router (Schnittstellen 192.168.100.2 10.1.1.2) an den Empfänger (10.1.1.5) weitergeleitet werden. Der Client kennt also selbst nur sein eigenes Netzwerk. Weitere Netzwerke oder Routen dorthin sind ihm nicht bekannt. Das ist auch ausreichend, wenn die Adresse des Standard-Gateways bekannt ist und dieses den weiteren Versand übernehmen kann.
Statisches Routing Sie haben aber auch die Möglichkeit, über den Befehl ROUTE direkt Befehl ROUTE Wege zu anderen Netzwerken zu definieren. Das kann beispielsweise sinnvoll sein, wenn Sie genau definieren wollen, wohin ein Client seine Pakete schicken darf. So könnten Sie die Route zum Netzwerk 10.0.0.0 selbst in die Routingtabelle eintragen, ohne dass dem Client ein Standard-Gateway bekannt sein muss: Route Add 10.0.0.0 Mask 255.0.0.0 192.168.100.2
Sie fügen mit dieser Befehlszeile die Route zum Netzwerk 10.0.0.0 hinzu. Die Standard-Netzmaske ist dabei 255.0.0.0. So werden alle Datenpakete, die diesem Standard-Class A Netzwerk entsprechen und im ersten Adressbyte eine 10 aufweisen, dorthin geleitet. Die zuständige Schnittstelle dazu (das heisst die IP-Adresse des Routers) ist die 192.168.100.2, welche natürlich im selben Netzwerk liegen muss wie der Client. Haben Sie mehrere Netzwerke, die damit erreichbar sein könnten, lässt sich die Ziel-Adressangabe mit Route aber auch weiter einschränken. Geben Sie dann anstelle der 10.0.0.0 (alle entsprechenden
216
5 Netzwerkgrundlagen Netze) das Netzwerk 10.1.1.0 mit der Netzmaske 255.255.255.0 an. Danach werden nur noch Datenpakete an dieses eine Netzwerk weitergeleitet. Alle anderen Anfragen (beispielsweise an 10.10.1.6) werden mit einem »Zielhost nicht erreichbar« abgewiesen.
Erhalt der Routen nach Neustart
Sollen diese manuell eingetragenen Routen in der Routingtabelle auch bei einem Neustart des Systems erhalten bleiben, müssen Sie nach Route den Befehlsparameter –P angeben: Route –P Add 10.0.0.0 Mask 255.0.0.0 192.168.100.2
Die so definierten Routen werden in der Routingtabelle unter Ständige Routen aufgeführt. Größere Netzwerke
Besteht ein Netzwerk hingegen aus einer Anzahl von Subnetzen mit mehreren Routern, gestaltet sich die Sache schon etwas schwieriger. Sie könnten natürlich jedem Client über seine individuelle Routingtabelle alle ihn betreffenden Routen mitteilen. Das wäre allerdings in der Praxis kaum durchsetzbar und sinnvoll. Wichtiger ist, dass die Router untereinander »Bescheid wissen«. Die Clients der einzelnen Subnetze kennen dann nur noch den für sie zuständigen Router (StandardGateway). Jeder Router im Netzwerk sollte wissen, wie er die anderen Subnetze erreichen kann. In Abbildung 5.17 ist eine entsprechende Beispielkonfiguration abgebildet.
Abbildung 5.17: Netzwerk mit mehreren Subnetzen (hier: TCP/IP)
Hier sind fünf Subnetze über vier Router miteinander verbunden. Ein Router verbindet drei Subnetze, die anderen jeweils zwei. Diese Routen können Sie in den IP-Routingtabellen statisch mit dem Befehl Route definieren. Das bedeutet natürlich immer noch einen hohen Administrationsaufwand, da jede Änderung an einem der Router oder den Subnetzen manuell gepflegt werden muss. Statische Routen können Sie sowohl mit Hilfe des Kommandozeilenbefehls ROUTE als auch über die Managementkonsole ROUTING UND
5.8 Routing und RAS
217
RAS definieren. Für das Beispiel aus Abbildung 5.17 müssten Sie, wenn Sie ROUTE verwenden, die folgenden Routingeinträge erzeugen: Für Router 1 (IP 192.168.16.1 / 192.168.32.1): Route Route Route Route
–P –P –P –P
Add Add Add Add
192.168.48.0 192.168.64.0 192.168.80.0 192.168.80.0
Mask Mask Mask Mask
255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0
192.168.16.2 Router 1 192.168.16.2 192.168.32.4 Metric 1 192.168.16.2 Metric 2
Für Router 2 (IP 192.168.16.2 / 192.168.48.2): Route Route Route Route
–P –P –P –P
Add Add Add Add
192.168.32.0 192.168.64.0 192.168.80.0 192.168.80.0
Mask Mask Mask Mask
255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0
192.168.16.1 Router 2 192.168.48.3 192.168.48.3 Metric 1 192.168.16.1 Metric 2
Für Router 3 (IP 192.168.48.3 / 192.168.64.3 / 192.168.80.3): Route –P Add 192.168.16.0 Mask 255.255.240.0 192.168.48.2 Route –P Add 192.168.32.0 Mask 255.255.240.0 192.168.80.4
Router 3
Für Router 4 (IP 192.168.32.4 / 192.168.80.4): Route –P Add 192.168.16.0 Mask 255.255.240.0 192.168.32.1 Route –P Add 192.168.48.0 Mask 255.255.240.0 192.168.80.3 Route –P Add 192.168.64.0 Mask 255.255.240.0 192.168.80.3
Router 4
In diesem Beispiel können Routen zum gleichen Ziel auch über verschiedene Wege führen. So kann beispielsweise Router 1 das Netzwerk 192.168.80.0 über 192.168.32.4 oder 192.168.16.2 erreichen. Mit dem ersten Weg ist nur ein Router, mit dem zweiten sind hingegen zwei Router zu überbrücken. Diese Überbrückungen von Routern beziehungsweise Netzknoten Hops werden auch Hops genannt. Normalerweise suchen Router für die Datenpakete die Route mit den wenigsten Hops. Sie können über die Option METRIC aber auch selbst festlegen, welche Route zu bevorzugen ist. Eine Route mit einem niedrigeren Wert wird so einer anderen Route, die das gleiche Ziel erreichen kann, vorgezogen. Das erfolgt dann unabhängig von der Anzahl der Hops. So können Sie steuern, dass Datenströme bestimmte Wege nehmen. Die Hauptlast könnte so generell über schnelle lokale Verbindungen laufen, während alternative Routen über (langsame und teure) Datenfernverbindungen nur im Notfall bei Ausfall des normalen Weges zum Einsatz kommen.
Dynamisches Routing Die beschriebene Einrichtung von festen Routingtabellen ist natürlich bei komplexen Konfigurationen nicht praxisgerecht. Große Netzwerke bestehen aus einer hohen Anzahl an Teilnetzen und dementsprechend vielen Routern. Aus Gründen der Fehlertoleranz sind dabei viele Wege redundant ausgelegt. Im Falle eines Ausfalls eines Routers muß das entsprechende Teilnetz auf jeden Fall weiterhin erreichbar sein.
218 Routingprotokolle
5 Netzwerkgrundlagen Für den Austausch der Informationen zwischen Routern eines Netzwerks gibt es zwei wesentliche Protokolle: RIP (Routing Information Protocol) und OSPF (Open Shortest Path First). Darüber hinaus gibt es noch andere Protokolle, wie beispielsweise RTMP (Routing Table Maintenance Protocol) für Appletalk-Router in Apple-Macintosh-Umgebungen. Über diese Protokolle finden sich die Router selbst und geben Informationen über die jeweils durch sie betreuten Netzwerke weiter. So ergibt sich eine verteilte Datenbank über alle Routen. Im grundsätzlichen Vorgehen beim Informationsaustausch unterscheiden sich die Routingprotokolle voneinander. In der folgenden Tabelle finden Sie die wichtigsten durch Windows 2000 Server unterstützten Routingprotokolle mit den entsprechenden Netzwerkprotokollen:
Tabelle 5.13: Die wichtigsten Routingprotokolle in Windows 2000
Routingprotokoll
Netzwerkprotokoll
RIP, RIPv2
Routing Information Protocol
TCP/IP, IPX
SAP
Service Advertising Protocol
IPX
OSPF
Open Shortest Path First
TCP/IP
RTMP
Routing Table Maintenance P.
Appletalk
Darüber hinaus können weitere Routingprotokolle von Drittherstellern zum Einsatz kommen. Mit einem Windows 2000 Serversystem sind damit sehr flexibel vielfältige Routingfunktionen realisierbar. RIP / RIPv2
Das Protokoll RIP wurde in RFC 1058 definiert und durch die neuere Version RIPv2 (RFC 1723) ergänzt. Windows 2000 Server unterstützt beide Versionen. RIP wird vor allem bei Routern in kleinen bis mittleren Netzwerken eingesetzt. Von Vorteil ist dabei die sehr einfache Konfiguration. Sie brauchen nur für den Windows 2000 Router RIP als Routingprotokoll definieren und den entsprechenden (meist LAN-) Schnittstellen zuweisen. RIP-Router aktualisieren Ihre Routinginformationen innerhalb eines bestimmten Zeitintervalls selbstständig. Standardmäßig sind das bei Windows 2000 Server 30 Sekunden. Bei Änderungen an den eigenen Routinginformationen wird automatisch eine sofortige Übertragung der Aktualisierung vorgenommen, die nach einer definierbaren Pause (Standard: 5 Sekunden) beginnt. Diese Zeitspannen können Sie individuell anpassen. RIPv2 umfasst einige Erweiterungen und Verbesserungen hinsichtlich des Datenaustauschs und der Authentifizierung zwischen Routern sowie weitere spezielle Eigenschaften. Werden die Informationen mit RIP über IP-Broadcasts ausgetauscht, können diese bei RIPv2 über Multicasts verteilt werden. Damit lassen sich die zu übertragenden Datenmengen verringern. Mit einer einfachen Kennwort-Authenti-
5.8 Routing und RAS
219
fizierung können Sie festlegen, dass nur bestimmte Router miteinander kommunizieren dürfen. Eine vollwertige Sicherheitsfunktion stellt dies aber nicht dar. Achten Sie auf Kompatibilität des eingesetzten RIP-Protokolls beim Einsatz von verschiedenen Routern (beispielsweise Hard- und Softwareroutern) in einem Netzwerk. Nicht alle Router unterstützen RIPv2, sodass Sie in einem solchen Fall auf RIP ausweichen müssen. Für Windows 2000 RIP/RIPv2-Router gibt es vielfältige Konfigurationsmöglichkeiten, von denen die wichtigsten hier aufgezählt werden: • Einstellung der RIP-Version (1 oder 2) pro Netzwerkschnittstelle • Einrichtung von Routenfiltern, mit denen Sie festlegen können, wie Datenpakete in welche Netzwerke durch den Router weitergeleitet werden sollen • Peerfilter zur Steuerung der Kommunikation zwischen Routern • Einstellung bestimmter Verfahren zur Vermeidung von Routingschleifen und für eine schnellere Wiederherstellung aktueller Routinginformationen bei Änderungen am Netzwerk Für kleinere Netzwerkumgebungen mit einer überschaubaren Anzahl von Routern ist der Konfigurationsaufwand jedoch vergleichsweise minimal. Normalerweise reicht es, die RIP-Version für die Netzwerkschnittstellen des Routers richtig zu konfigurieren. RIP wie auch RIPv2 eignen sich nicht für große Netzwerkumgebun- Einschränkungen gen. So können durch einen RIP-Router nur maximal 15 Hops verar- für RIP beitet werden. Hinzu kommt die relativ hohe Netzbelastung durch die periodischen Bekanntgaben der Routinginformationen zwischen den Routern. Bei einer Änderung im Netzwerk kann es bei einer hohen Zahl von Routern relativ lange dauern, bis alle wieder über die aktuellen Informationen verfügen. Das kann im Einzelfall eine Zeitspanne von mehreren Minuten bedeuten, in der dann Datenpakete falsch oder nicht weitergeleitet werden können. Das Protokoll OSPF (Open Shortest Path First) eignet sich insbesondere OSPF für den Einsatz in großen und umfangreichen Netzwerkstrukturen mit einer hohen Anzahl an Subnetzen und Routern. Das Protokoll liegt in der Version 2 vor und ist in RFC 2328 spezifiziert. Ein OSPF-Router ermittelt nach dem Einschalten zuerst alle benachbarten Geräte per Multicast. Dann wird ein designierter Router und ein Backup-Router definiert, die den Betrieb steuern. Die Router tauschen Informationen über das Netzwerk aus und bauen einen Routing-Baum auf, der das sie umgebende Netzwerk repräsentiert. Daraus lässt sich der kürzeste Weg berechnen und die Bildung von Schleifen verhindern. Jeder Router sieht dies natürlich aus seiner Sicht. Aus dem
220
5 Netzwerkgrundlagen Baum entwickelt der Router die Routing-Tabelle, nach der zukünftig Pakete weitergeleitet werden. Eine weitergehende Betrachtung von OSPF würde den Rahmen dieses Buches sprengen. Sie finden ausführliche Informationen zu diesem Thema in der Online-Hilfe zum Windows 2000 Server.
5.8.3 Vorteil von Software-Routern
Die Routing-Funktionen im Überblick
Mit einem Windows 2000 Server als Router können Sie vielfältige Routing-Aufgaben in einem Netzwerk erledigen. Dabei steht der hier implementierte Funktionsumfang speziellen Hardware-Routern kaum nach. Als einer der Vorteile einer Softwarelösung mit Windows 2000 kann die damit erreichbare konsistente Administrationsoberfläche genannt werden. Über die Managementkonsole ROUTING UND RAS sind (fast) alle Administrationsaufgaben am Router in einer einheitlichen Art und Weise zu erledigen. In der folgenden Tabelle sind alle Routing-Funktionen von Windows 2000 Server mit der Seitenangabe der weiterführenden Abschnitte übersichtsweise aufgeführt:
Tabelle 5.14: Überblick über die RRAS-Fähigkeiten von Windows 2000
Funktion
Bemerkungen
Internetverbindungsserver
Dient der Anbindung eines lokalen Netzwerkes an das Internet, wobei der RRAS-Server als Internet-Gateway konfiguriert wird.
Seite 221
Für kleinere Netze ohne separaten DHCPund DNS-Server kann der RRAS-Server auch automatisch IP-Adressen vergeben sowie als DNS-Proxy arbeiten. RAS-Server
Die klassische DFÜ-Anbindung von externen Clients wird wie schon unter NT auch unterstützt. Hervorzuheben sind vor allem die neuen Sicherheitsfeatures für die Authentifizierung und die Verschlüsselung des Datentransfers.
226
VPN-Server
Das Internet kann auch für die Schaffung von preiswerten Verbindungen zwischen lokalen Netzwerken oder für die Anbindung entfernter Clients genutzt werden. Sie können sich damit teure DFÜ-Direktverbindungen ersparen. Für den Transport werden die Datenpakete über das so genannte IP-Tunneling abhörsicher zum Ziel gebracht.
237
5.8 Routing und RAS
Funktion
Bemerkungen
IP-Netzwerkrouter
Das klassische Routing von IP-Subnetzen können Sie vollständig in die Hände Ihres Windows 2000 Serversystems legen. Die Grundlagen dazu finden Sie weiter vorn in diesem Kapitel in Abschnitt 5.8.2 Einige Grundlagen zum Routing ab Seite 211.
221
Seite 211
Die Einrichtung und Administration wird in Abschnitt 13.5.5 IP-Netzwerkrouter einrichten ab Seite 829 beschrieben. IPX-Router
Für die Einbindung in Netzwerke, die noch unter Novell Netware und mit IPX laufen, bietet Windows 2000 entsprechende IPXRoutingfähigkeiten.
243
AppletalkRouter
Für die Integration von Apple Macintosh Clients bietet Windows 2000 neben der direkten Unterstützung des Protokolls Appletalk auch Routingfähigkeiten für größere Appletalk-Netzwerke, die in mehrere Zonen aufgeteilt sind. Weitergehende Informationen zur generellen Macintosh-Unterstützung finden Sie in Abschnitt 5.7.3 AppleTalk und die Macintosh-Services ab Seite 201.
246
Diese RRAS-Funktionen lassen sich auch auf einem einzigen Server miteinander kombinieren. Allerdings dürfte die Aufteilung der Funktionen in größeren Netzwerken auf mehrere Serversysteme eher die Regel sein.
5.8.4
Windows 2000 als Internetverbindungsserver
Windows 2000 Server bringt auch die Fähigkeit mit, die Verbindung zum Internet für lokale Netzwerke bereitzustellen. Das scheint zunächst nichts Neues zu sein: Bereits Windows 98 kam mit entsprechenden Fähigkeiten zur gemeinsamen Nutzung einer InternetWählverbindung auf den Markt. Allerdings unterscheidet sich die jetzt verfügbare Lösung unter dem Serverbetriebssystem deutlich von einem einfachen Internet-Sharing. Bevor diese Unterschiede aber näher erläutert werden, lohnt sich ein Blick auf alle Möglichkeiten, die zunächst von der Windows 2000 Familie (Professional und Server) serienmäßig mitgebracht werden:
222 ICS – Professional und Server
5 Netzwerkgrundlagen • Internet Connection Sharing (ICS) Die einfache gemeinsame Nutzung einer Wählverbindung in einem kleinen lokalen Netzwerk kann sowohl mit einer Windows 2000 Professional Arbeitsstation als auch über einen Server realisiert werden. Sie müssen dabei aber grundlegende Einschränkungen beachten: So können Sie keinen separaten DHCP- und DNSServer einsetzen. Eine rudimentäre DHCP-Funktion zur automatischen Versorgung der Clients mit (lokalen) IP-Adressen stellt dabei der »ICS-Server« zur Verfügung. Anfragen zur DNS-Namensauflösung werden immer direkt an den primären DNS-Server des Internet Service Providers (ISP) weitergereicht. Haben Sie ein Windows 2000 Serversystem auch im kleinen lokalen Netzwerk zur Verfügung, sollten Sie generell auf die RRASKonfiguration Internetverbindungsserver setzen. Dieser bietet wesentlich feinere Einstellmöglichkeiten und erlaubt auch den eventuellen späteren Ausbau der Netzwerkstruktur mit einem eigenen DHCP- und DNS-Server. Weitergehende Informationen zu den ICS-Grundlagen und der richtigen Administration finden Sie in Band I Windows 2000 im professionellen Einsatz.
Nur Server: RRAS
• RRAS-Internetverbindungsserver
Mit Active Directory...
Deutlich mehr Möglichkeiten bietet Ihnen die Konfiguration eines Windows 2000 Servers als Internetverbindungsserver. Sie können dabei diese Funktionalität sowohl in einem Netzwerk mit Active Directory (und insofern mit einem DNS-Server) als auch in einem kleineren Windows-Netzwerk ohne Active Directory einsetzen.
...und ohne AD einsetzbar
Natürlich sind auch große Netzwerkumgebungen denkbar, die nicht auf Active Directory basieren und mit einem anderen primären Netzwerkbetriebssystem gefahren werden. Hier kann ein alleinstehender Windows 2000 RRAS-Internetverbindungsserver ebenso zum Einsatz kommen und seine Aufgaben als InternetGateway erfüllen.
Beispielszenarien
Die weiteren Abschnitte befassen sich ausschließlich mit den Grundlagen zum Einsatz von Windows 2000 Server als RRASInternetverbindungsserver.
Generelles Verfahren Die folgende Grafik zeigt die Einbindung eines RRAS-Internetverbindungsservers in einem lokalen Netzwerk:
5.8 Routing und RAS
223 Abbildung 5.18: RRAS-Internetverbindungsserver im lokalen Netzwerk
Schematisch dargestellt ist ein lokales Netzwerk, bei dem die Server und Arbeitsstationen über private, nicht öffentliche IP-Nummern verfügen. Im genannten Beispiel ist das der Nummernbereich 192.168.100.0/24 (siehe auch Abschnitt Private Netzwerkadressen ab Seite 175). Der RRAS-Internetverbindungsserver ist über eine Wählleitung mit dem Internet beziehungsweise dem ISP verbunden. Diese Wählleitung kann dabei sowohl über ein Modem (sicherlich immer seltener), ISDN, einen DSL-Anschluss oder anderweitig realisiert werden. Bei Nutzung eines DSL-Anschlusses mit volumenabhängiger Berech- DSL mit Volumennung durch den Provider empfiehlt es sich, den DSL Ethernet- abhängigkeit Anschluss über eine zweite Netzwerkkarte am Internetverbindungsserver anzuschließen. Anderenfalls kann es dazu kommen, dass der interne Netzwerkverkehr bei der Berechnung des Transfervolumens mit eingeschlossen wird. Nicht selten werden breitbandige, ständig verfügbare Verbindungen Sonderfall: ins Internet (»Standleitungen«) über eigene Hardware-Router imple- Standleitung mit mentiert. In diesem Fall wird eine weitergehende IP- eigenem Router Routingfunktionalität eines Windows 2000 Servers natürlich nicht benötigt. Abgesehen von diesem speziellen Fall gibt es aber genügend Möglich- Einwahlzugänge keiten für eine Nutzung dieser RRAS-Funktion. Günstige Flatrates, und Flatrates gekoppelt mit relativ breitbandigen digitalen Verbindungen wie T-DSL, ermöglichen auch kleineren und mittleren Netzwerkumgebungen einen einfachen und sehr preiswerten Zugang ins Internet. Sind solche Zugänge vom Anbieter zunächst für einen Benutzer mit einem Computer vorgesehen, kann über einen derartigen Internetverbindungsserver der Wert desselben vervielfacht werden. Die Grenze der Nutzbarkeit wird dadurch bestimmt, wieviele Clients maximal
224
5 Netzwerkgrundlagen gleichzeitig diese Verbindung nutzen wollen und welche Bandbreite dann noch für jeden zur Verfügung steht.
Vertragliche Bestimmungen mit dem Provider beachten
Sie sollten allerdings dabei auch die vertraglichen Bestimmungen beachten. Nicht selten haben Anbieter von sehr preiswerten Flatrates Klauseln in ihren Verträgen, welche die Nutzung des Zugangs ausdrücklich auf nur einen Computer beziehungsweise Benutzer zur gleichen Zeit zulassen.
Network Address Translation (NAT) Übersetzung von private öffentliche IP
Die Netzwerkclients verfügen im Allgemeinen selbst nur über IPAdressen, die einem privaten, nur im Intranet nutzbaren Adresspool angehören. Um eine Verbindung nach draußen ins Internet zu ermöglichen, muss der Internetverbindungsserver die Anfragen der lokalen Clients in eigene Anfragen umsetzen. Dafür wird die Quell-IPAdresse des Clients durch die des Internetverbindungsservers ausgetauscht.
Nach außen: Ein Benutzer
Nach außen zeigt sich das Netzwerk mit den Clients, die alle das Internet nutzen können, wie ein einziger Nutzer. Damit sind auch Zugänge bei ISP nutzbar, die eigentlich nur für einen Benutzer vorgesehen sind. Intern muss der betreffende RRAS-Server natürlich wissen, wer ihm die Anfrage geschickt hat, die er »stellvertretend« ausgeführt hat. Dies wird über Portzuordnungen realisiert. Die Antwort wird dann wieder als Datenpaket mit der privaten IP-Adresse des Clients versehen (»zurückübersetzt«) und zurückgegeben.
Vergabe der öffentlichen IP-Adresse
Statische IP
Die öffentliche IP-Adresse, die der Internetverbindungsserver für den Kontakt mit der Außenwelt erhalten muss, kann fest vergeben (statisch) oder dynamisch durch den ISP zugeteilt worden sein. • Statische öffentliche IP-Adressen Sie haben von Ihrem ISP eine oder mehrere feste, im Internet gültige öffentliche IP-Nummern bekommen. Diese werden in den entsprechenden Wählschnittstellen des Internetverbindungsservers eingetragen und dann bei der NAT für die korrekte Übersetzung der privaten IP-Adressen genutzt.
Dynamische IP
• Dynamische öffentliche IP-Adressen Wesentlich häufiger sind Verträge mit dem ISP üblich, wo Sie bei einer Wählverbindung mit einer wechselnden öffentlichen IPAdresse versorgt werden. Glücklicherweise kann der Windows 2000 Internetverbindungsserver damit umgehen. Auch in diesem Fall wird die jeweils zugeteilte IP-Adresse korrekt durch die NAT
5.8 Routing und RAS
225
für die Adressübersetzung eingesetzt. Es entsteht für Sie keinerlei zusätzlicher Verwaltungsaufwand. Administrationsaufwand entsteht also jeweils nur einmal: bei der Ein- Remoterouter richtung einer entsprechenden Wählschnittstelle nach außen. Diese wird auch als Remoterouter bezeichnet (Typ: Wählen bei Bedarf). Diese Wählschnittstelle hat übrigens nichts mit einer vielleicht schon lokal eingerichteten DFÜ-Netzwerkverbindung zu tun. Sie wird über die Managementkonsole ROUTING UND RAS separat eingerichtet. Voraussetzung ist lediglich, dass das entsprechende Gerät (Modem, ISDN-Karte etc.) korrekt installiert und funktionsfähig ist (mehr dazu in Abschnitt 13.5.2 Internetverbindungsserver einrichten ab Seite 787).
Aspekte zum Einsatz von DNS In einem kleinen Netzwerk ohne einen eigenen DNS-Server ist die Ohne eigenen DNS Aufgabenstellung zur Internet-Namensauflösung klar verteilt: Sie wird dem primären DNS-Server des ISP zufallen. Damit dies geschehen kann, muss der Internetverbindungsserver so eingerichtet werden, dass er die Anfragen zur Namensauflösung an den entsprechenden DNS-Server weiterleitet. Technisch gesehen übernimmt das bei Windows 2000 Server die IP- DNS-Proxy Netzwerkadressübersetzung (NAT). Diese kann dabei als DNS-Proxy arbeiten und die Anfragen aus dem gesamten Netzwerk zentral abwickeln. Haben Sie hingegen einen eigenen DNS-Server im Einsatz, beispiels- Eigener DNS weise im Zusammenhang mit dem Einsatz eines Active Directory, wird diese DNS-Proxyfunktion der NAT nicht benötigt. Vielmehr muss der eigene DNS-Server alle Anfragen, die er nicht selbst beantworten kann, an den DNS des ISP weiterleiten. Dies bedarf allerdings der richtigen Konfiguration des DNS-Servers.
TCP/IP-Clientkonfiguration Die Clients im Netzwerk, welche die gemeinsame Internetverbindung nutzen wollen, müssen mit den folgenden Daten versorgt werden: • Standard-Gateway Als Standard-Gateway muss die Adresse des Internetverbindungsservers eingetragen werden. Bei Verwendung eines DHCP-Servers können Sie diese Adresse automatisch an die Clients verteilen lassen.
Standard-Gateway
226 DNS-Server
5 Netzwerkgrundlagen • DNS-Server Für die korrekte Namensauflösung von Internetadressen wird auf jeden Fall eine Verbindung zum DNS-Server des ISP benötigt. Diese Weiterleitung kann der Internetverbindungsserver vornehmen, sodass Sie den Clients nur dessen IP-Adresse mitzuteilen brauchen. Haben Sie im Netzwerk einen oder mehrere eigene DNS-Server im Einsatz, beispielsweise im Zusammenhang mit dem Einsatz von Active Directory, benötigen die Clients deren Adressen. Sie können allerdings einen bestehenden eigenen Windows 2000 DNS-Server wiederum so konfigurieren, dass dieser die Anfragen an den DNSServer des ISP weiterleitet (siehe auch vorhergehenden Abschnitt).
5.8.5
Windows 2000 als RAS-Server
Wie schon der Vorgänger NT unterstützt auch Windows 2000 Server die Einrichtung einer direkten Einwahl durch entfernte Clients. Damit werden dem Client, beispielsweise der PC eines von seinem Heimbüro aus arbeitenden Anwenders, die Ressourcen des Netzwerks zur Verfügung gestellt. In diesem Abschnitt werden dazu grundlegende Aspekte behandelt, deren Verständnis für die Planung und Einrichtung einer RAS-Infrastruktur notwendig sind. Administration ab Seite 804
Die konkreten praktischen Administrationsschritte zu diesem Thema finden Sie in Abschnitt 13.5.3 RAS-Server einrichten ab Seite 804.
Grundsätzlicher Aufbau Ein RAS-Server verfügt zunächst über eine bestimmte Anzahl von Einwahlports. Diese werden in der Regel über Modem- oder ISDNGeräte realisiert. Die Anzahl der Einwahlports ist dabei beschränkt, was bedeutet, dass nur eine definierte Anzahl von Clients gleichzeitig Zugriff erhalten kann. Transparente NetzwerkEinbindung
Für den Windows-Client (mehr zu Clients siehe Seite 228) erscheint nach dem Verbindungsaufbau die Integration in das entfernte Netzwerk wie eine normale lokale Verbindung, abgesehen natürlich von der in der Regel geringeren Geschwindigkeit bei der Datenübertragung.
Verbindungskosten Bei der klassischen Einwahl in einen RAS-Server fallen Kosten für die
Datenfernverbindung an, die je nach Entfernung nicht unerheblich sein können. Planen Sie den Einsatz von RAS zwischen Standorten in mehreren Städten oder sogar über Ländergrenzen hinweg, ist eine alternative Verbindung über ein VPN (Virtuelles Privates Netzwerk; siehe auch Seite 237) sicher die bessere Lösung. Bei Verbindungen
5.8 Routing und RAS
227
zwischen zwei Punkten innerhalb einer Stadt kann hingegen die direkte Einwahl die kostengünstigere Lösung sein. Immerhin wird ja nur von einem PC aus die Verbindung initiiert, der angerufene Server »hebt ab«. Der anrufende Client trägt also alle Verbindungskosten. Abbildung 5.19: Windows 2000 RAS-Server (hier mit 2 ISDNEinwahlports)
Über die Rückruffunktion, die auch gern für eine höhere Sicherheit Rückruf eingesetzt wird (vergleiche Seite 230), können die Kosten auf die Seite des Servers verlagert werden. Damit gestaltet sich auch die Abrechnung der Kosten einfacher, wenn regelmäßig Verbindungen zu extern arbeitenden Mitarbeitern benötigt werden. Ein VPN wird dann wieder kostenmäßig interessanter, wenn Sie für die Einwahl in das Internet server- als auch clientseitig einen pauschalen Zugang über eine Flatrate benutzen. Für die einzelne Verbindungsaufnahme fallen dann keine separaten Kosten mehr an. Für eine Erhöhung der Datenübertragungsrate können Sie am RAS- Datenrate Server mehrere Kanäle zusammenfassen (beispielsweise die beiden ISDN-B-Kanäle), was aber auch proportional höhere Verbindungskosten nach sich zieht. Bei Nutzung der Internet-Verbindungen über ein VPN sind Sie hingegen in der Regel auf eine bestimmte Übertragungsrate festgelegt, die normalerweise, anders als bei einer direkten Wählverbindung, nicht garantiert werden kann. Je nach Belastung der beteiligten Verbindungsknoten beziehungsweise Ihres Providers kann die real verfügbare Datenrate stark schwanken. Benötigen Sie aber eine garantierte Übertragungsrate zwischen zwei Punkten, ist eine RAS-Verbindung einem VPN an dieser Stelle überlegen.
Verbindungsprotokolle Windows 2000 versteht zwei Protokolle für die Verbindung zwischen dem RAS-Server und den Clients:
228 RAS
5 Netzwerkgrundlagen • Microsoft RAS Dieses proprietäre Protokoll ist allein in der Microsoft-Welt beheimatet und wurde bereits beim Vorgänger Windows NT eingesetzt. Es basiert auf der NETBIOS-Schnittstelle und wird auch von allen älteren RAS-Clients wie Windows NT 3.1, Windows für Workgroups sowie MS-DOS unterstützt. Über die NetBIOS-Schnittstelle können Verbindungen mit den Netzwerkprotokollen NetBEUI, TCP/IP und auch IPX realisiert werden.
PPP
• PPP (Point-to-Point-Protocol) Dieses in der gesamten IT-Welt standardisierte Protokoll empfiehlt sich für den Aufbau einer offenen Systemumgebung. Sie können sich mit jedem Client in den RAS-Server einwählen, der PPP unterstützt. Damit steht eine breite Palette nutzbarer Clientplattformen zur Verfügung, von sämtlichen neueren Windows-Clients (Windows 9x/ME, NT ab 4.0, 2000) bis hin zu Unix- und Apple Macintosh Computern. Als Netzwerkprotokolle sind TCP/IP, NetBEUI, IPX sowie Appletalk einsetzbar (Appletalk allerdings nicht über Microsoft Windows Clients).
SLIP
In der Unix-Welt noch immer anzutreffen ist das Protokoll SLIP (Serial Line Internet Protocol), welches Sie auch benutzen können, um von einem Windows 2000 RAS-Client auf einen Unix-Server zuzugreifen. Ein Windows 2000 RAS Server unterstützt allerdings nicht SLIP für den Zugriff durch RAS-Clients.
RFCs
Eine Auflistung der von Microsoft unterstützten RFCs zum RASRemotezugriff über PPP finden Sie in der Online-Hilfe zum Windows 2000 Server.
RAS-Clients RAS-Clients gibt es standardmäßig bei den WindowsBetriebssystemen 9.x/ME/NT/2000. Aber auch für Clients anderer Betriebssysteme bieten sich Möglichkeiten an: • IPX-Clients RAS kann auch für die Verwendung mit NWLink, der Schnittstelle für die Einbindung in Netware-Umgebungen, konfiguriert werden. So können Sie zusammen mit der Routing-Funktionalität für IPX den Remote-Zugriff auf eine Novell Netware Netzwerkumgebung realisieren, die primär noch IPX verwendet.
5.8 Routing und RAS
229
Kommt hingegen TCP/IP (beispielsweise mit Novell Netware 5.x) zum Einsatz, können Sie eine normale TCP/IP-RRAS-Integration vornehmen. • Apple Macintosh Über die Remote Access Clientsoftware ab Version 3.8 (ab MAC OS 8.1 verfügbar) können sich auch Benutzer von Apple Macintosh Computern bei einem Windows 2000 RAS-Server einwählen. • Unix-Clients Nicht zuletzt können natürlich auch Unix-Clients über das Protokoll TCP/IP sich mit einem Windows 2000 RAS-Server verbinden.
IP-Adressvergabe Für die Verbindung zwischen Client und RAS-Server über TCP/IP muss dem Client eine korrekte IP-Adresse zugewiesen werden. Dazu haben Sie mehrere Möglichkeiten: • DHCP-Server Steht ein DHCP-Server zur Verfügung, kann dieser auch für die Block mit 10 DHCPIP-Nummernvergabe an die RAS-Clients verwendet werden. Der Leases RAS-Server wird dann so konfiguriert, dass er vom DHCP-Server Nummern für seine Clients anfordert. Dabei ist eine Besonderheit zu beachten: Der RAS-Server fordert nicht jeweils nur eine IPNummer für den gerade aktuellen Client an, sondern holt sich einen Block von DHCP-Leases (standardmäßig 10) ab. Dieser wird dann durch den RAS-Server verwaltet. Der Client bekommt aus diesem Block seine IP-Adresse und gibt sie nach Beendigung der Verbindung wieder an den RAS-Server zurück – nicht jedoch an den DHCP-Server. Vorteil dieses Verfahrens ist ein schnelles und flexibles Handling mit IP-Adressen bei ständig wechselnden RAS-Clients. Da anzunehmen ist, dass die RAS-Verbindungen, anders als LANVerbindungen, nur von kurzer Dauer sind und immer wieder andere Clients erwartet werden können, macht eine Verwaltung dieser IP-Adressen durch einen »normalen« DHCP-Server wenig Sinn. Wäre die Leasedauer zu lang, käme es nach kurzer Zeit zu einer Verknappung des Adresspools. So aber werden die für die RAS-Clients benötigten Adressen »am Stück« reserviert und stehen immer den sich abwechselnden Clients sofort wieder zur Verfügung. Für Konfigurationen, bei denen der RAS-Server über mehr als zehn Einwahlports verfügt, können Sie auch die Anzahl der in einem Block angeforderten IP-Nummern vom DHCP-Server einstellen.
230 DHCP-Relay-Agent
5 Netzwerkgrundlagen Wird der DHCP-Server nicht auf dem gleichen Server wie der RAS-Server ausgeführt, müssen Sie über den DHCP-RelayAgenten die Adresse dieses DHCP-Servers bekannt geben. • Adressvergabe via APIPA
Automatisch ohne DHCP-Server
Steht kein DHCP-Server zur Verfügung, kann der RAS-Server trotzdem für eine automatische IP-Adressvergabe eingerichtet werden. Die generierten Adressen werden dann über APIPA (Automatic Private IP Adressing; siehe auch Abschnitt 5.5.1 APIPA ab Seite 176) bezogen und an die RAS-Clients verteilt. • Statischer Adresspool
Statische Adressen
Schließlich haben Sie auch die Möglichkeit, unabhängig von einem eventuell existierenden DHCP-Server manuell einen IP-Bereich zu definieren, aus dem der RAS-Server Adressen an die Clients herausgeben soll. Bei der Festlegung dieses Adressbereichs sollten Sie Folgendes beachten: -
Vermeiden Sie Adressüberlappungen mit eventuell existierenden Bereichen eines DHCP-Servers.
-
Liegen die statischen Adressen außerhalb des Bereichs des durch die Clients zu erreichenden physischen Netzwerks, müssen Sie den oder die IP-Router in Ihrem Netzwerk entsprechend um die Routen zwischen diesem Adressbereich und dem übrigen Netzwerk erweitern.
Welches Verfahren Sie letztlich anwenden, hängt von Ihrer konkreten Netzwerkkonfiguration ab. Setzen Sie einen eigenen DHCP-Server im Intranet ein, empfiehlt sich die erste Option. Der Verwaltungsaufwand ist dabei minimal und erledigt sich mit der Konfiguration eines zentralen DHCP-Servers. APIPA hat eigentlich in professionellen Umgebungen nichts zu suchen. Für kleine Netzwerkumgebungen, die ohne DHCP auskommen und über statische Adressen verwaltet werden, ist die letzte Option (Statischer Adresspool) einfach anzuwenden und zu verwalten.
Authentifizierungsarten von RAS-Benutzern Authentifizierung
Die Authentifizierung von RAS-Clients kann auf verschiedene Arten erfolgen: • Ohne Sicherheit: Gastzugang erlauben
Gastzugang
Sie können bereits bei der Einrichtung eines RAS-Servers festlegen, ob prinzipiell ein Zugang ohne Authentifizierung möglich sein
5.8 Routing und RAS
231
soll. Standardmäßig ist dies deaktiviert und sollte besser auch so bleiben. Wesentlich sicherer sind die beiden nächsten Verfahren. • Domänen-Benutzerkonten Standardmäßig erfolgt die Authentifizierung über die Domänen- Benutzerkonten Benutzerkonten oder bei einem alleinstehenden Server (ohne Active Directory) über dessen Benutzerdatenbank. • RADIUS (Remote Authentication Dial-In User Service) Für die Verwaltung meist sehr umfangreicher Benutzerdatenban- RADIUS-Client ken kann auch dieser Dienst in Anspruch genommen werden. RADIUS ist nach RFCs 2138 und 2139 spezifiziert und inzwischen als Industriestandard etabliert. Ein RADIUS-Server übernimmt dabei die Verwaltung der Benutzerkonten, die sich auf einem (beliebigen) System anmelden dürfen. Ein Windows 2000 RAS-Server kann dann als RADIUS-Client konfiguriert werden und stellt an diesen die Authentifizierungsanfragen der RAS-Clients. Praktische Anwendung findet meist RADIUS, wenn eine sehr große Anzahl von Benutzern (beispielsweise Kunden eines Internet-Shops) zu verwalten sind. Ein Windows 2000 Serversystem können Sie auch als RADIUS- RADIUS-Server Server einrichten. Die dazu notwendige Komponente heißt bei Microsoft IAS (Internet Authentication Service) und muss separat installiert werden. Mehr zu RADIUS finden Sie in Band III Internet Information Server 5.
RAS-Richtlinien Sicherheitsrichtlinien können den Administrationsaufwand reduzieren und lassen sehr differenzierte Sicherheitseinstellungen zu. Mit den RAS-Richtlinien stehen diese auch für die Konfiguration der RASDienste zur Verfügung. Die RAS-Richtlinien stehen nur in einer Windows 2000 Domäne zur Verfügung, die im einheitlichen Modus (»Native Mode«) arbeitet. Im standardmäßigen gemischten Modus (»Mixed Mode«) hingegen können Sie die RAS-Einwahlberechtigung (und Rückrufoptionen) nur auf Benutzerebene einstellen. Mehr zu den Domänen-Modi und der Umstellung auf den einheitlichen Modus erfahren Sie in Abschnitt 6.8.2 Die Modi einer Domäne ab Seite 374. Im diesem Abschnitt soll betrachtet werden, wie Sie RAS-Richtlinien an einem einzelnen RAS-Server anlegen und über diese den Zugriff
232
5 Netzwerkgrundlagen gezielt steuern können. Nicht berücksichtigt bleiben Aspekte zur zentralen Verwaltung der RAS-Richtlinien mehrerer RAS-Server. Dies ist Thema des Bandes III – Internet Information Server 5. Über die Managementkonsole Routing und RAS legen Sie die RASRichtlinien für den konfigurierten RAS-Server an. Die konkreten Administrationsschritte dazu können Sie Abschnitt RAS-Richtlinien anlegen ab Seite 810 entnehmen. Hier erfahren Sie die dazu notwendigen Informationen über die zugrunde liegenden Zusammenhänge.
RAS-Richtlinien definieren
Mit den RAS-Richtlinien legen Sie eine oder mehrere Bedingungen für die Einwahl am RAS-Server fest, von denen mindestens eine erfüllt sein muss. Dabei spielt die Reihenfolge dieser Richtlinien eine entscheidende Rolle. Es werden nacheinander alle Richtlinien in der vorliegenden Reihenfolge geprüft, bis eine zutrifft. Trifft keine Richtlinie zu, wird die Verbindungsaufnahme abgewiesen. Das passiert übrigens auch, wenn keine Richtlinie definiert worden ist. So ist sichergestellt, dass mindestens eine Richtlinie angelegt worden ist, um den RASZugang zu regeln.
Abbildung 5.20: Vordefinierte (einzige) RAS-Richtlinie
Vordefinierte Richtlinie
Die vordefinierte Richtlinie, die Sie beim erstmaligen Öffnen des Eintrags in der Managementkonsole vorfinden, besitzt als Bedingung eine Wochentags- und Zeitabfrage, die allerdings nicht beschränkt ist. Das bedeutet, dass jeder RAS-Client, der sich von Montag bis Sonntag, von 0.00 bis 24.00 Uhr, einzuwählen versucht, diese Bedingung zunächst erfüllt. Allerdings ist diese Richtlinie standardmäßig auf ZUGRIFF VERWEIGERN eingestellt.
Benutzerkonto prüfen
Das bedeutet aber noch nicht automatisch, dass jeder RAS-Client pauschal abgelehnt wird. Es wird jetzt im Konto des Benutzers, der sich anzumelden versucht, geprüft, ob dieser eine RAS-Einwahlberechtigung besitzt.
5.8 Routing und RAS
233 Abbildung 5.21: Eigenschaft EINWÄHLEN im Benutzerkonto
Wird hier die Einstellung ZUGRIFF VERWEIGERN gefunden, wird der Zugriff verweigern Benutzer tatsächlich abgewiesen und kann sich nicht über RAS einwählen. Ist ZUGRIFF GESTATTEN aktiviert, wird dem Benutzer der RAS-Zugang Zugriff gestatten zunächst nicht verweigert. Bevor eine endgültige »Zusage« zur Einwahl erteilt wird, werden die Eigenschaften des Benutzerkontos überprüft. So kann es ja beispielsweise sein, dass der betreffende Benutzer zunächst theoretisch den RAS-Zugang erhalten würde. In seinem Benutzerkonto ist aber hinterlegt, dass er sich generell an der Domäne täglich nur zwischen 8:00 und 20:00 Uhr anmelden darf. Das muss hier im Beispiel nicht noch einmal in einer RAS-Richtlinie explizit definiert werden, da die Einschränkung des Benutzerkontos greift und der Benutzer außerhalb der zulässigen Anmeldezeiten abgewiesen wird. Nach Prüfung der Eigenschaften des Benutzerkontos werden aber Profileigenschaften auch noch die Profileigenschaften für die betreffende RAS-Richtlinie herangezogen. Hier können Sie explizit noch einmal einschränkende Einstellungen vornehmen.
234
5 Netzwerkgrundlagen
Abbildung 5.22: Einwählprofil einer RAS-Richtlinie
Nur wenn die Bedingungen, die in diesem Profil definiert sind, zutreffen, wird dem Benutzer der RAS-Zugang erlaubt. Zugriff über RASRichtlinien steuern
Noch einmal zurück zu den Einwähleinstellungen für ein Benutzerkonto (siehe Abbildung 5.21): Hier können Sie auch einstellen, dass sich für den Benutzer die RAS-Berechtigung allein aus der, wenn vorhanden, zutreffenden RAS-Richtlinie ergeben soll. Je nach Einstellung in der Richtlinie (siehe auch Abbildung 5.20) wird dann der RASZugang abgewiesen oder die Prüfung der weiteren Eigenschaften des Benutzerkontos und schließlich der des Einwählprofils findet statt (wie oben beschrieben).
Richtige Planung entscheidend
Als Administrator haben Sie mit den RAS-Richtlinien, in Kombination mit den Sicherheitseinstellungen über Benutzerkonten und Gruppenrichtlinien im Active Directory, ein sehr mächtiges und flexibles Werkzeug in der Hand, den RAS-Zugriff zu steuern. Allerdings ist auch hier, wie schon für eine Active Directory-Struktur selbst, eine richtige Planung für den erfolgreichen Einsatz entscheidend. Es empfiehlt sich, genau zu definieren, wer zunächst überhaupt einen RASZugang erhalten soll. Dafür sollten dann Richtlinien eingerichtet werden (beispielsweise mit Gruppenzuordnung), die alle weiteren Zugangsregelungen über die Einwählprofile enthalten.
Beispiel
Wollen Sie beispielsweise der Gruppe »Systemprogrammierer« den RAS-Zugang erlauben, richten Sie zuerst eine RAS-Richtlinie ein, die als Bedingung die entsprechende Gruppenzugehörigkeit enthält. Wollen Sie dann den RAS-Zugang explizit nur auf die Wochentage Mon-
5.8 Routing und RAS
235
tag bis Samstag beschränken, können Sie das über das Einwählprofil zu dieser Richtlinie definieren. Sie hätten dann eine Richtlinie, die nur für die Gruppe »Systemprogrammierer« gilt. Eine andere Richtlinie könnte für eine andere Gruppe, beispielsweise für »Bearbeiter«, andere Zugangseinstellungen enthalten. Die RAS-Richtlinien werden zunächst lokal auf dem entsprechenden Zentrale VerwalRAS-Server gespeichert. Haben Sie mehrere RAS-Server im Einsatz, tung von RASkönnen eine zentrale Speicherung und Verwaltung der RAS- Richtlinien Richtlinien die Arbeit des Administrators stark vereinfachen. Voraussetzung dazu ist die Verwendung des IAS-Servers, der RADIUSServerimplementierung von Microsoft (siehe auch Abschnitt Authentifizierungsarten von RAS-Benutzern ab Seite 230).
Sicherheit bei RAS-Verbindungen Neben der generellen Einstellung der RAS-Zugangsberechtigung für bestimmte Benutzer oder während einer bestimmten Zeit können Sie Ihre RAS-Verbindung durch die folgenden Technologien absichern: • Sichere Authentifizierung Für die sichere Authentifizierung eines RAS-Clients stehen verschiedene Methoden zur Verfügung: -
EAP (Extensible Authentication Protocol) Dient der Benutzung von Zertifikaten, die beispielsweise auch über Smartcards gehalten und ausgelesen werden können.
-
CHAP (Challenge Handshake Authentication Protocol) Dieses mittlerweile als Standard etablierte Protokoll erlaubt die Verbindungsaufnahme mit einer Reihe von RAS-Servern und -Clients aus vielen Betriebssystemwelten.
-
MS-CHAP Die ältere Microsoft-spezifische CHAP-Authentifizierung.
-
MS-CHAP v2 Die weiterentwickelte MS-CHAP-Authentifizierung mit verbesserten Sicherheitsmechanismen. Unter anderem wird das verschlüsselte Kennwort selbst nicht mehr übertragen.
Eine unverschlüsselte Authentifizierung (mit PAP, SPAP) wird ebenfalls unterstützt. Diese sollte aber aus Sicherheitsgründen eher nicht zur Anwendung kommen, es sei denn, Ihr RAS-Client kann anderenfalls keine Verbindung aufnehmen und Sie sichern die Verbindung anderweitig ab.
Authentifizierung
236 Verschlüsselung
5 Netzwerkgrundlagen • Verschlüsselung der Verbindung Für eine abhörsichere Verbindung stehen auf Seiten eines Windows 2000 RAS-Servers einige leistungsfähige Technologien zur Verfügung: IPSec sowie MPPE. Die Sicherheit können Sie über das Einwählprofil zu einer RAS-Richtlinie in vier verschiedenen Stufen einstellen: -
Keine Verschlüsselung Es können auch RAS-Clients eine Verbindung aufbauen, die keine Verschlüsselung der Verbindung fordern. Deaktivieren Sie dieses Kontrollkästchen, wenn Sie generell Verbindungen ohne Verschlüsselung verhindern wollen.
-
Basisverschlüsselung Die Verbindung kann unter Nutzung der IPSec 56 Bit DES oder MPPE 40 Bit Verschlüsselung aufgebaut werden. Diese Verschlüsselung bietet keinen ausreichenden Schutz vor starken Abhöranstrengungen.
-
Starke Verschlüsselung Bei entsprechender Anforderung durch den RAS-Client kann eine Verbindung mit IPSec 56 Bit DES oder MPPE 56 Bit verschlüsselt werden.
-
Stärkste Verschlüsselung Bei der höchsten Verschlüsselungsstufe wird die IPSec 3DES oder MPPE 128-Bit-Verschlüsselung benutzt. Dies ist nur mit entsprechend ausgestatteten Clients nutzbar und stellt nach heutigen technischen Maßstäben eine sehr sichere und nahezu nicht dechiffrierbare Möglichkeit des Schutzes des Datenverkehrs dar. Ein Windows 2000 Professional RAS-Client benötigt dazu das High Encryption Pack, welches heute standardmäßig beigelegt ist oder frei via Download von folgender Adresse bezogen werden kann: www.microsoft.com/windows2000/downloads/recommended/encryption
Wollen Sie eine Verschlüsselung der Verbindung sicherstellen, müssen Sie die erste Option auf jeden Fall deaktivieren. Eine wirklich sichere Verbindung (zumindest was den reinen Datenverkehr über das Medium betrifft) erreichen Sie, wenn Sie nur die höchste Stufe aktivieren und entsprechende Clients, wie beispielsweise Windows 2000 Professional mit dem High Encryption Pack, einsetzen.
5.8 Routing und RAS • Rückruf
237 Rückruf
Ein einfaches, aber wirkungsvolles Mittel, den Zugang zu erschweren, auch wenn beispielsweise das Zugangskennwort in die falschen Hände geraten sein sollte, ist der Rückruf. Der RAS-Server legt nach der ersten (erfolgreichen) Verbindungsaufnahme mit dem RAS-Client gleich wieder auf und versucht seinerseits, den RAS-Client zu kontaktieren. Wirksam ist diese Form der Absicherung natürlich nur, wenn die Rückrufnummer ausschließlich dem RAS-Server bekannt ist und nicht durch den RAS-Client übergeben werden kann sowie der Angriff nicht vom Original-Arbeitsplatz des RAS-Clients erfolgt. Neben diesen über die RAS-Richtlinien definierbaren Sicherheitsoptionen gelten natürlich alle anderen Zugriffs- und Authentifizierungsmechanismen im Active Directory. Letztlich kann auch ein illegal eingedrungener Benutzer nur soviel Schaden anrichten, wie der benutzte Useraccount zulässt. Ist dies der Domänen-Administrator, kann das allerdings verheerende Auswirkungen haben. Sie sollten deshalb die RAS-Einwählrechte sicherheitshalber niemals an Domänen-Administratoren vergeben, sondern immer nur an bestimmte Benutzer oder Gruppen, die diese Funktionalität für spezielle Aufgaben benötigen.
5.8.6
Windows 2000 als VPN-Server
Die weltweite Vernetzung der Computer über das Internet eröffnet auch neue Möglichkeiten, die eigene EDV-Infrastruktur flexibel und kostengünstig zu erweitern. Windows 2000 Server bringt alle Voraussetzungen mit, damit Sie das Internet als sicheres und transparentes Transportmedium für Ihre Datenströme nutzen können.
Einführung Für die Überbrückung großer geografischer Entfernungen dominier- Herkömmlich: ten in der Vergangenheit vor allem direkte Datenfernverbindungen Teure DFÜ-Verbinzwischen den Kommunikationspartnern. Diese können permanent als dungen Standleitung zwischen zwei Punkten oder auf Anforderung aufgebaut werden. Nachteil sind die dabei entstehenden relativ hohen Kosten für die Verbindung, die je nach Anbieter zeit- oder/und volumenabhängig anfallen. In der Regel sind Verbindungen, die größere Entfernungen überbrücken, deutlich teurer als solche, die innerhalb einer Stadt eingesetzt werden. Mit der globalen Verfügbarkeit des Internets wurden völlig neue Mög- Internet lichkeiten geschaffen, zwischen zwei Partnern Informationen auszutauschen. Die Entfernung spielt hier keine Rolle mehr. Es ist allein er-
238
5 Netzwerkgrundlagen forderlich, dass beide über einen Internetzugang verfügen. Verbindungskosten fallen dann nur noch beim lokalen ISP (Internet Service Provider) an.
Tunnel
Neben dem Datentransfer via E-Mail oder FTP kann das Internet aber auch für die direkte Vernetzung eingesetzt werden. Dabei wird eine virtuelle Netzwerkverbindung, auch Tunnel genannt, zwischen zwei Endpunkten geschaffen, welche mit geeigneten Technologien gegen illegale Zugriffe und Abhören abgesichert ist. Die Datenpakete zwischen den Kommunikationspartnern werden verschlüsselt und in IPTransportpakete verpackt (gekapselt) auf die Reise durch das Internet geschickt. Eine solche Verbindung wird auch als VPN (Virtuelles Privates Netzwerk) bezeichnet.
Protokollunabhängig
Für die Partner ist diese Verbindung transparent, als würden sie sich im selben lokalen Netzwerk befinden. Es spielt auch keine Rolle, welches Netzwerkprotokoll bei einem VPN zum Einsatz kommt.
Unterstützte Netzwerkprotokolle Für ein VPN können Sie alle Netzwerkprotokolle einsetzen, die auch über eine direkte RAS-Verbindung nutzbar sind. Das sind zurzeit vor allem die folgenden Protokolle: • TCP/IP • IPX • NetBEUI • Appletalk Appletalk kann als RAS- oder VPN-Protokoll nicht über standardmäßige Windows-Clients genutzt werden, sondern ausschließlich über Apple Macintosh.
Virtuelle Ports Begrenzung bei direkter DFÜ-Verbindung
Bei einer direkten Datenfernverbindung, wie sie mit der Implementierung eines RAS-Servers (siehe auch Abschnitt 5.8.5 Windows 2000 als RAS-Server ab Seite 226) realisiert werden kann, ist die Anzahl der gleichzeitigen Verbindungen durch die effektiv vorhandenen technischen Einwahlschnittstellen begrenzt. Ein RAS-Server, der nur über zwei ISDN-Kanäle verfügt, kann demzufolge auch nur maximal zwei Clients zur gleichen Zeit bedienen.
VPN: Flexible Anzahl gleichzeitiger Verbindungen
Anders sieht das bei einem VPN-Server aus. Hier haben Sie zunächst eine Verbindung ins Internet, die günstigerweise permanent verfügbar sein sollte. Ein VPN-Client baut zuerst seinerseits eine Verbindung ins
5.8 Routing und RAS
239
Internet auf und kontaktiert darüber dann den VPN-Server. Dieser überprüft die ordnungsgemäße Authentifizierung und gibt im Erfolgsfall die Verbindung frei. Die Verbindung läuft dann über einen virtuellen Port auf dem Server, der dem physischen Anschlussport ins Internet zugeordnet ist. Wie viele virtuelle Ports ein VPN-Server für gleichzeitige Verbindun- 128 PPTP- und gen mit VPN-Clients zur Verfügung hat, können Sie einstellen. Stan- 128 L2TP-Ports dardmäßig sind bei einem Windows 2000 VPN-Server 128 PPTP und 128 L2TP-Ports vorkonfiguriert. Für die Sicherstellung einer reibungslosen Kommunikation der Clients mit dem Server sollten Sie an eine ausreichend dimensionierte Bandbreite der Internet-Anbindung des VPN-Servers denken. Eine 2- oder 10-MBit-Standleitung kann sicher deutlich mehr gleichzeitige Clientzugriffe verkraften als eine einfache ISDN-Anbindung. Maximal können Sie je 1 000 PPTP- und L2TPVerbindungsports mit einem Windows 2000 VPN-Server einrichten. Die effektiv erzielbare Datenrate bei einer VPN-Verbindung wird Effektive Datenrate durch eine Reihe von Faktoren bestimmt. Zum einen ist hier die Da- im VPN tenrate der Internet-Verbindung des VPN-Clients zu beachten. Dieser kann sich zwar beispielsweise mit nominell 128 KBit (entspricht 16 KByte pro Sekunde) bei seinem ISP einwählen, netto verbleiben aber, je nach Belastung der Verbindung zum ISP durch andere Internet-Nutzer, vielleicht nur noch 6 bis 12 KByte pro Sekunde. Der Protokolloverhead durch die Kapselung der Datenpakete sowie die Zeit für die Ver- und Entschlüsselung gehen nochmals zu Lasten der effektiv erzielbaren Datenrate. Letztlich bleiben als Faktoren noch die Belastung des VPN-Servers sowie der aktuelle Verbindungsstatus zu dessen ISP. Dabei teilt sich die effektive Datenrate am physischen Port des Servers durch die Anzahl der gleichzeitig aktiven virtuellen Ports. Verbindungen, deren oberste Priorität eine gesicherte maximale Ge- Sichere Datenrate: schwindigkeit bei der Datenübertragung ist, sollten, wenn Sie sich in Direktverbindung dieser Hinsicht nicht auf die Ihnen zur Verfügung stehenden ISPs ver- im Vorteil lassen können, besser über direkte DFÜ-Verbindungen realisiert werden (siehe auch Abschnitt 5.8.5 Windows 2000 als RAS-Server ab Seite 226).
Sichere Verbindungen mit L2TP und IPSec Zusätzlich zum PPTP (Point-to-Point-Tunneling Protocol) steht unter PPTP und L2TP Windows 2000 Server auch das L2TP (Layer-2-Tunneling Protocol) zur Verfügung. Durch die Verwendung von L2TP im Zusammenhang mit IPSec können Sie abhörsichere Verbindungen schaffen. Voraussetzung ist dabei, dass sowohl auf dem Client als auch auf dem VPN-Server Computerzertifikate installiert sind. Die Vertrauensstellungen werden
240
5 Netzwerkgrundlagen damit auf der Ebene der Computersysteme, nicht auf der von Benutzern geschaffen. Erst nachdem die IPSec-Sicherheit gegeben ist, wird der eigentliche Transporttunnel durch das L2TP zwischen den Endpunkten ausgehandelt. Hier erfolgen dann die jeweilige Benutzerauthentifizierung und die Zugriffssteuerung über die Einstellungen im Benutzerkonto beziehungsweise in den RAS-Richtlinien. Zusätzlich können dann auch noch Komprimierungsalgorithmen zur Anwendung kommen. Mehr Informationen finden Sie dazu in Abschnitt 5.9 Sicherheit im Netzwerk ab Seite 251.
Sicherheit für VPN-Verbindungen und RAS-Richtlinien Sicherheit entsprechend RASVerbindungen
Die getroffenen Aussagen zu Sicherheitsaspekten von RASVerbindungen lassen sich auch auf VPN-Verbindungen übertragen. Windows 2000 macht in dieser Hinsicht keine Unterscheidung zwischen dem Zugriff über eine direkte DFÜ-Verbindung und dem über eine virtuelle Netzwerkverbindung. Mehr Informationen finden Sie in den Abschnitten RAS-Richtlinien ab Seite 231 und Sicherheit bei RAS-Verbindungen ab Seite 235.
VPN-Clients Clientsoftware für den Zugriff auf ein VPN stellen alle aktuellen Microsoft-Betriebssysteme zur Verfügung. Tabelle 5.15 enthält eine entsprechende Auflistung mit den jeweiligen unterstützten Authentifizierungs- und Verbindungsprotokollen. Tabelle 5.15: Microsoft VPNClients
Betriebssystem Windows 2000
Authentifizierung
Verbindung
EAP
L2TP
PAP, SPAP, MS-CHAP, MS-CHAP v2
PPTP
Windows NT 4.0
PAP, SPAP, MS-CHAP, MS-CHAP v2
PPTP
Windows 98/ME
PAP, SPAP, MS-CHAP, MS-CHAP v2
PPTP
Wie Sie der Tabelle 5.15 entnehmen können, lassen sich derzeit sichere VPN-Clientverbindungen ausschließlich mit Windows 2000, sowohl auf Seiten des Server- als auch auf der einer Arbeitsstation, realisieren. Nicht-Microsoft-Clients können natürlich auch in Frage kommen, müssen dann allerdings einen der entsprechenden Standards unterstützen.
5.8 Routing und RAS
241
Verbindung zweier Netzwerke über VPN-Router Neben der Einwahl von VPN-Clients können auch lokale Netzwerke über ein VPN miteinander verbunden werden. Windows 2000 Serversysteme in beiden Netzen fungieren dann als VPN-Router. Abbildung 5.23: VPN-Router zum Verbinden von Netzwerken
Für die Konfiguration der Routen (siehe auch Abschnitt Routing im Einzelhop TCP/IP-Netzwerk ab Seite 213) müssen Sie lediglich beachten, dass der Weg über die beiden VPN-Router zwischen zwei Netzen immer als ein Hop betrachtet wird. Das ist unabhängig davon, über wie viele Router die (eingekapselten) Datenpakete im Internet tatsächlich transportiert werden. Ihr eigenes »virtuelles« Netzwerk wird schließlich durch Ihre eigene IT-Infrastruktur abgebildet und über ein »physisches« Netzwerk (meist das Internet) realisiert, dessen tatsächliche Struktur und die effektiv zur Verfügung stehenden Wege sich jederzeit ändern können. Dabei wird unterschieden, wie die VPN-Router miteinander Kontakt Wer initiiert die aufnehmen. Wird generell nur von einem Netzwerk das andere »an- Verbindung? gerufen«, spricht man von einer Unidirektional initiierten Verbindung. Rufen sich hingegen die VPN-Router gegenseitig an, bezeichnet man das als Bidirektional initiierte Verbindung. Bei diesem Szenario wird die Verbindung immer nur dann aufgebaut, Unidirektional wenn der VPN-Router des einen lokalen Netzwerkes den des anderen initiierte VerbinNetzes kontaktiert. Denkbar ist dieser Anwendungsfall für Außenstel- dung len eines Unternehmens, die regelmäßig Daten aus der Zentrale abrufen beziehungsweise Berichte an diese übermitteln. Eine dauerhafte Verbindung ins Internet wird dabei nur vom VPN-Router in der Zentrale benötigt. Dieser muss ja bei Bedarf rund um die Uhr verfügbar sein, falls einer der VPN-Router einer Außenstelle Kontakt aufnehmen will. Diese VPN-Router wiederum müssen sich nur dann ins Internet einwählen, wenn tatsächlich Datenverkehr zur Zentrale notwendig wird.
242
5 Netzwerkgrundlagen
Abbildung 5.24: Unidirektional initiierte Verbindung
Der anrufende VPN-Router baut also jeweils eine temporäre Verbindung zum Internet auf. Für die Einrichtung dieses Routers werden die folgenden Komponenten benötigt, wobei hier von der alleinigen Verwendung von TCP/IP als Netzwerkprotokoll ausgegangen wird: Internet-Einwahl
• Eine Schnittstelle für Wählen bei Bedarf für die Verbindungsaufnahme mit dem Internet (über einen lokalen ISP). Voraussetzung ist natürlich das Vorhandensein eines entsprechenden Gerätes wie ISDN- oder DSL-Adapter. Das Vorgehen bei der Einrichtung entspricht dem beim Aufbau eines Windows 2000 Servers als Internetverbindungsserver (siehe auch 5.8.4 Windows 2000 als Internetverbindungsserver ab Seite 221). Für die Einwahl beim ISP wird eine entsprechende Benutzerkennung benötigt (beziehungsweise ein anonymer Zugriff bei einer Call-by-Call-Verbindung).
VPN-RouterEinwahl
• Je eine Schnittstelle für Wählen bei Bedarf bei beiden VPN-Routern für die Herstellung der (virtuellen) Netzwerkverbindung. Die Schnittstelle für Wählen bei Bedarf enthält die IP-Adresse des jeweils anderen Routers sowie eine Benutzerkennung, welche für die Authentifizierung beim jeweils anderen Netzwerk benötigt wird. Die VPN-Schnittstelle beim VPN-Router der Zentrale muss dabei so konfiguriert werden, dass zum einen deren Bezeichnung mit der Einwahl-Benutzerkennung des anrufenden Routers übereinstimmt und dass sie zum anderen für die Einwahl eingerichtet ist.
IP-Route für Einwahl ins Internet
• Eine statische Route zum VPN-Router der Zentrale für die automatische Verbindungsaufnahme ins Internet. Damit die Datenpakete zum Netzwerk in der Zentrale weitergeleitet werden können, muss ja zuerst eine Internet-Verbindung auf-
5.8 Routing und RAS
243
gebaut werden. Erstellen Sie also eine Route zur IP-Adresse des VPN-Routers der Zentrale, über welche die Schnittstelle für Wählen bei Bedarf zum ISP angesprochen wird. • Eine oder mehrere statische IP-Routen zu Zielen im Netzwerk der IP-Route(n) für Zentrale, welche die Verbindungsaufnahme über Schnittstelle A Aktivierung der VPN-Verbindung zur Folge haben. Wird ein Datenpaket an eine Zieladresse in der Zentrale gesendet, wird automatisch die VPN-Schnittstelle A angesprochen. Über deren Konfigurationsinformationen versucht Router A, eine Verbindung zur IP-Adresse von Router B aufzubauen. Dabei wird die Route zur Einwahl ins Internet aktiv und die Einwahl erfolgt beim ISP. • Konfiguration des VPN-Routers der Zentrale mit einer VPN- VPN-Router der Schnittstelle und entsprechenden Routen zum Netzwerk der Au- Zentrale ßenstelle. Der VPN-Router der Zentrale, der selbstständig mit dem Internet verbunden ist, benötigt eine eingerichtete VPN-Schnittstelle für die Kontaktaufnahme mit dem Router der Außenstelle. Die Bezeichnung dieser Schnittstelle muss mit dem Benutzernamen für die Authentifizierung übereinstimmen (siehe oben), welcher durch den VPN-Router der Außenstelle übermittelt wird. Dieser Benutzer muss im Netzwerk gültig sein und über Einwählrechte verfügen. Für die Sicherstellung der richtigen Rückleitung von Antwort-IPPaketen an das Netzwerk der Außenstelle müssen entsprechende statische Routen im Netzwerk der Zentrale eingerichtet werden. In Abschnitt Konfiguration der VPN-Verbindung von Netzwerken ab Seite 820 im Administrationsteil erfahren Sie, wie Sie eine solche VPNVerbindung einrichten können. Bei einer bidirektional initiierten Verbindung haben beide Router Bidirektional permanent Verbindung mit dem Internet. Die Konfiguration ent- initiierte Verbinspricht der oben besprochenen, wobei die Konfiguration der virtuellen dung VPN-Schnittstellen sowie der korrekten statischen Routen im Vordergrund steht. Beide VPN-Schnittstellen verfügen dabei über Einwählkonfigurationen. Die Bezeichnungen entsprechen den Benutzerkonten, die bei beiden Routern jeweils bekannt sind und über die entsprechenden Einwählrechte verfügen.
5.8.7
Windows 2000 als IPX-Netzwerkrouter
Ein Windows 2000 Server kann auch in einer reinen Novell Netware Umgebung als Router eingesetzt werden. Das macht beispielsweise
244
5 Netzwerkgrundlagen dann Sinn, wenn Sie eine bestehende Novell Netware Netzwerkumgebung erweitern möchten.
Einführung Szenario: Erweiterung des Netzwerks (IPX)
Haben Sie bereits mehrere Netware-Server im Einsatz, wobei das primäre Netzwerkprotokoll immer noch IPX ist (vorrangiger Einsatz von Netware 3.x), können Sie so einen fließenden Übergang zu neueren Technologien vollziehen. Wenn Sie die alten Server weitgehend unberührt laufen lassen wollen (»never touch a running system...«), können Sie diese in die vielleicht beabsichtigte neue, größere Netzwerkstruktur integrieren. Ein oder mehrere Windows 2000 Serversysteme können dabei die Welten als IPX-Router verbinden.
Netware mit TCP/IP: Windows 2000 als IP-Router
Haben Sie bereits Netware 5 mit TCP/IP im Einsatz, erübrigt sich natürlich IPX. Sie können dann einen Windows 2000 Server als IP-Router nutzen, um Subnetze miteinander zu verbinden. In der Abbildung 5.25 ist schematisch eine Netzwerkkonfiguration mit Novell Netware als zentralem Netzwerkbetriebssystem abgebildet, die mit Hilfe eines Windows 2000 Servers, der als IPX-Router fungiert, erweitert worden ist. Denkbar ist, wie hier gezeigt, die zusätzliche Verwendung eines zweiten Protokolls wie beispielsweise TCP/IP, welches ebenfalls über diesen Server geroutet werden kann. So können Sie neuere Serversysteme und Clients, die primär mit diesem Protokoll arbeiten und auf einen Windows 2000 Server zugreifen, in das Gesamtnetzwerk integrieren.
Abbildung 5.25: Szenario der Erweiterung eines Netware-Netzwerks
5.8 Routing und RAS
245
Das IPX-Routing basiert auf der Unterscheidung der IPX-Adresse hinsichtlich des Quell- und des Ziel-Knotens. Der Router kennt die einzelnen Netzwerke und verteilt die Datenpakete entsprechend.
IPX-Routingprotokolle unter Windows 2000 Server Für das Routing in einer IPX-Umgebung stehen unter Windows 2000 Server zwei Routingprotokolle zur Verfügung: RIP und SAP. • RIP (Routing Information Protocol)
RIP
RIP arbeitet nach dem Entfernungsvektor-Verfahren und ist unter Windows 2000 Server das primäre Routingprotokoll für IPX. Für die Berechnung der optimalen Route werden sowohl die Entfernung (Hops) als auch die für den Weg benötigte Zeit (Ticks) berücksichtigt. Zum Austausch der Routinginformationen zwischen den IPXRoutern werden periodisch Broadcasts ausgetauscht. Die Grundeinstellung sieht hier ein Zeitintervall von 60 Sekunden vor, welches Sie aber Ihren Bedürfnissen anpassen können. Ebenfalls anpassen lassen sich die Einstellung für die Dauer der Routenalterung sowie der Zeitgeber für die Bekanntgabe neuer Routen. RIP für IPX arbeitet generell ähnlich dem RIP für IP. Sie finden dazu weitere Informationen in Abschnitt Routing im TCP/IP-Netzwerk ab Seite 213. • SAP (Service Advertising Protocol)
SAP
Dieses Protokoll ist eigentlich kein richtiges Routingprotokoll, sondern dient der Weiterleitung von Dienstidentifizierungsinformationen. Dabei werden bestimmte Dienste, wie Datei- oder Druckserverdienste, im Netzwerk bekannt gegeben. Diese Informationen werden von SAP-Servern gesammelt und im Netzwerk verteilt. Ein Client, der einen bestimmten Dienst benötigt, erhält dann vom SAP-Server die IPX-Adresse des entsprechenden Servers. Sie können den Windows 2000 IPX-Router auch gleichzeitig als SAP-Server einrichten. Das Novell eigene Routingprotokoll NLSP (Netware Link Services Proto- NLSP col) wird von Windows 2000 nicht unterstützt. Weitere Informationen zu den konreten Administrationsschritten zur Administration ab Einrichtung und Konfiguration eines IPX-Routers finden Sie in Ab- Seite 832 schnitt 13.5.6 IPX-Netzwerkrouter einrichten ab Seite 832.
246
5 Netzwerkgrundlagen
5.8.8
Windows 2000 als Appletalk-Netzwerkrouter
Windows 2000 Server bringt eine recht umfassende Routingfunktionalität im Zusammenhang mit dem Protokoll Appletalk mit. Es ergeben sich daraus zwei mögliche Haupteinsatzbereiche:
Appletalk-Router
• Appletalk-Router in einem Netzwerk Auch in einem Ethernet-Netzwerk mit hauptsächlicher Nutzung des Appletalk-Protokolls, beispielsweise das MAC-Netz in einer Agentur, besteht Bedarf nach einer guten Ausnutzung der Bandbreite und damit nach einer richtigen Strukturierung. Der Einsatz eines Routers kann eine deutliche Entlastung von Netzwerkteilen bedeuten und damit die Produktivität erhöhen.
RAS-Einwahlserver
• RAS-Einwahlserver mit Appletalk-Unterstützung MAC-Clients können ebenfalls einen Windows 2000 RAS-Server nutzen, um auf ein Netzwerk remote zuzugreifen. Dabei wird auch direkt das Protokoll Appletalk unterstützt. Entsprechende Hinweise finden Sie dazu in Abschnitt 5.8.5 Windows 2000 als RAS-Server ab Seite 226. Im folgenden Text geht es ausschließlich um die Funktion eines Windows 2000 Servers als Appletalk-Router (siehe auch Abschnitt 5.7.3 AppleTalk und die Macintosh-Services ab Seite 201).
Einführung Ethertalk
Es wird davon ausgegangen, dass ausschließlich Ethernet-Netzwerkverbindungen (auch Ethertalk genannt) im Zusammenhang mit Appletalk eingesetzt werden. Die alte und extrem langsame LocalTalkSchnittstelle dürfte in der Praxis keinerlei Bedeutung mehr haben und wird hier nicht weiter behandelt.
Bessere Performance: TCP/IP
Appletalk kann leider, was den Protokolloverhead betrifft, nicht gerade als besonders performant bezeichnet werden. Deshalb empfiehlt sich hier spätestens ab MAC OS 8.1 der Einsatz von TCP/IP. Für das Routing in einer reinen IP-Netzwerkumgebung wird dann wiederum nur ein normaler IP-Router benötigt. Das kann natürlich auch ein Windows 2000 Serversystem sein.
Traditionell: Appletalk
Allerdings sind die wenigsten Benutzer bereit, ihr Netzwerk und ihre MACs dementsprechend konsequent umzurüsten. Vielfach sind noch ältere Systeme gemeinsam mit den neuesten Hochleistungs-MACs im Einsatz.
5.8 Routing und RAS
247
Bei der richtigen Strukturierung eines Appletalk-Netzwerkes kann Zonen aber die Gesamtleistung deutlich erhöht werden. Dazu werden die separaten Subnetze in so genannte Zonen eingeteilt, die über Appletalk-Router miteinander verbunden sind. Dabei sollte sich die Strukturierung nach der Verteilung der Netzlast richten. In einer großen Werbe- und Medienagentur mit angeschlossener digitaler Druckvorstufe könnte eine Strukturierung wie in Abbildung 5.26 aussehen. In diesem Beispiel sind Verwaltung, Design und Produktion physikalisch getrennt und werden hier über einen Windows 2000 Server, der als Router fungiert, zusammengeführt. Die Verwaltung arbeitet mit einem abgschlossenen 10 MBit-Strang und wird vom Datentransfer der anderen Abteilungen nichts mitbekommen. Im Bereich Design werden Vorlagen gescannt und Layouts erstellt. Die fertigen Druckjobs zum Proof der Vorlagen und zur Erzeugung von Filmen oder Druckplatten werden dann direkt in der Produktion erstellt. Das können recht umfangreiche Datenströme mit bis zu mehreren hundert Megabyte sein, die nur noch dieses Teilnetz belasten. Abbildung 5.26: Strukturierung eines AppletalkNetzwerks
Sie können dabei natürlich auch Appletalk gemeinsam mit TCP/IP Einsatz gemeinsam zum Einsatz bringen. Dadurch verbessert sich die Netzwerkleistung mit TCP/IP signifikant und Sie können auf normales IP-Routing zurückgreifen. Im gezeigten Beispiel (siehe Abbildung 5.26) würde das einen Zuwachs an nutzbarer Bandbreite gerade für die Bereiche Design und Produktion bedeuten, wo ja die größten Datenvolumina zu bewältigen sind. Der
248
5 Netzwerkgrundlagen Windows 2000 Server könnte also in diesem Beispiel-Netzwerk zwei Routingfunktionen in sich vereinigen: Routing für IP und für Appletalk.
Seedrouter Seedrouter
Die folgenden Ausführungen beschränken sich auf den Einsatz eines Windows 2000 Servers als Appletalk-Router. Ein wichtiger Begriff ist in diesem Zusammenhang Seedrouter. Das ist in einem physischen Appletalk-Netzwerk der »Hauptrouter«, der über die gesamten Routinginformationen verfügt. Er verwaltet die Zoneneinträge und Netzwerknummernbereiche.
Abbildung 5.27: Ein Seedrouter für mehrere Appletalk-Netzwerke
In einem Appletalk-Netzwerk wird für jedes Subnetz mindestens ein Seedrouter benötigt. Sie können einen Windows 2000 Server auch so konfigurieren, dass er für jedes an ihn angeschlossene Subnetz als Seedrouter fungiert. Es sind auch Netzwerkkonfigurationen denkbar, wo mehrere Seedrouter verschiedene physische Netzwerke mit Routinginformationen versorgen. In Abbildung 5.28 sehen Sie eine Beispielkonfiguration mit zwei Subnetzen, die über zwei Seedrouter miteinander verbunden sind. Ein Server fungiert dann für das andere Netzwerk nicht als Seedrouter, sondern »nur« als normaler Router. Seine NetzwerkSchnittstelle wird dann entsprechend nicht für das Seedrouting konfiguriert.
5.8 Routing und RAS
249 Abbildung 5.28: Mehrere Seedrouter für mehrere Subnetze
Sie können auch zur Erhöhung der Ausfallsicherheit mehrere Mehrere SeedSeedrouter im gleichen physischen Netzwerk einsetzen. Dabei gilt: router für das Der zuerst aktive Seedrouter hat das Sagen. Alle später gestarteten gleiche Netz Seedrouter verhalten sich als »normale Router«. Bei Ausfall des ersten Seedrouters übernimmt der nächste verfügbare Seedrouter dessen Funktion. Voraussetzung ist allerdings, dass die Routingkonfiguration exakt mit der des zuerst gestarteten Seedrouters übereinstimmt. Ist dies nicht der Fall, erfolgt nur ein Fehlereintrag im Ereignisprotokoll (unter SYSTEM) und die Seedroutingfunktion wird an diesem Server nicht aktiviert.
Zonen und Netzwerknummern Aufgabe eines Appletalk-Routers ist die physische und logische Strukturierung eines Appletalk-Netzwerks. Dazu werden Zonen-Namen und Netzwerknummern vergeben. Ein Zonen-Name darf bis zu 31 Zeichen lang sein. Es sind alle ASCII- Zonen-Name Zeichen des englischsprachigen Alphabets erlaubt, einschließlich des Leerzeichens. Nicht zulässig sind deutsche Umlaute, Sonderzeichen sowie der Stern *. Der Stern * gilt als Synonym für die Standardzone und wird oft bei der Konfiguration von Appletalk-Geräten benötigt. Sie können für ein physisches Netzwerk auch mehrere Zonen einrich- Mehrere Zonen pro ten. Auf den ersten Blick mag das merkwürdig erscheinen, sollen doch Netzwerk die Zonen in erster Linie die physisch getrennten Netzwerke bezeichnen. Eine logische Strukturierung innerhalb eines physischen Netzwerks kann jedoch Sinn machen. Bei einer Vielzahl angeschlossener Clients und weiterer Appletalk-Geräte wie Drucker können diese zu Zonen (»Gruppen«) zusammengefasst werden. Jeder Benutzer im Netzwerk ist dann einer Zone zugeordnet und sieht auf den ersten
250
5 Netzwerkgrundlagen Blick nur die Geräte, die in seiner Zone liegen. Über die Auswahl hat er aber natürlich auch Zugriff auf alle anderen Zonen.
Abbildung 5.29: Auswahl am Apple Macintosh mit Anzeige der Zonen
Standardzone
In jedem physischen Netzwerk muss eine Zone als Standardzone definiert werden. Wird ein neues Appletalk-Gerät in das Netzwerk integriert, kann dieses in der Regel einer Zone in diesem physischen Netz (wenn mehr als eine definiert worden ist) zugewiesen werden. Alternativ kann auch angegeben werden, dass sich das Gerät in der Standardzone anmeldet, was oft durch die Eingabe des Sterns * erfolgt.
Netzwerknummern
Beim Definieren von Zonen wird der Administrator mit AppletalkNetzwerknummern konfrontiert. Das sind interne Nummern, die für jeden physischen Netzwerkbereich definiert werden müssen. Tabelle 5.16 zeigt eine einfache Routingtabelle mit Angabe der Zonennamen und des Netzwerkbereichs.
Tabelle 5.16: Beispiel einer Zonendefinition
Zone
Beginn
Ende
Anzahl Nummern
Anzahl Clients
15
17
3
759
Verwaltung
20
20
1
253
Produktion
22
23
2
506
Druckvorstufe Scan
Digitaldruck Proof
Pro Netzwerknummer können 253 Appletalk-Geräte bedient werden. Dies sollten Sie bei der Planung eines Appletalk-Netzwerks bedenken. Für eine geringe Anzahl von Clients reicht demzufolge eine einzige
5.9 Sicherheit im Netzwerk
251
Netzwerknummer aus, das heißt, Beginn und Ende des Bereichs sind gleich. Beachten Sie, dass sich die Netzwerkbereiche für verschiedene physische Netzwerke auf keinen Fall gleichen oder überschneiden dürfen. In Abschnitt 13.5.7 Einrichten eines Appletalk-Routers ab Seite 834 erfah- Administration ab ren Sie die konkreten Administrationsschritte für die entsprechende Seite 834 Einrichtung und Verwaltung eines Windows 2000 Servers.
5.9
Sicherheit im Netzwerk
Sicherheitsrelevante Dienste sind in Windows 2000 an vielen Stellen integriert. Speziell für die Absicherung von Netzwerkverbindungen stehen die beiden folgenden Maßnahmen zur Verfügung: • Sichere Authentifizierung mit Kerberos • Sicherung der Übertragungswege mit IPSec In diesem Abschnitt werden die Grundlagen dazu behandelt. In Kapitel 16 Systemsicherheit ab Seite 915 finden Sie Hinweise zur Administration.
5.9.1
Sichere Authentifizierung mit Kerberos
Jeder Benutzer, der in einem Windows 2000-Netzwerk oder im Active Directory arbeiten möchte, muss sich authentifizieren. Dies erfolgt über die Anmeldung an einem Server oder einem Domänencontroller. Erst nach der erfolgreichen Anwendung können Ressourcen genutzt oder Programme ausgeführt werden. Es ist naheliegend, dass dieser Anmeldevorgang in ganz besonderer Weise abgesichert werden muss. Kerberos (dt. Zerberus) ist in der klassischen griechischen Mythologie Dreiköpfiger Hund der dreiköpfige Hund, der den Eingang zum Hades, der Unterwelt, bewacht. Damit wird das Grundprinzip des Protokolls reflektiert, an dem drei Parteien beteiligt sind: Client, Server und ein vertrauenswürdiger Dritter.
Der Anmeldevorgang Prinzipiell stehen zwei Methoden für die Anmeldung zur Verfügung: • Eingabe von Benutzername und Kennwort im Anmeldedialog • Eingabe einer Smartcard und der dazugehörigen PIN-Nummer
252 Smartcard
Anmeldedialog
5 Netzwerkgrundlagen Die Anmeldung per Smartcard setzt voraus, dass ein mit Windows 2000 kompatibler Smartcard-Leser verwendet wird. Außerdem muss ein Smartcard-Schreiber im Netzwerk existieren, mit dem die für die Anmeldung verwendeten Zertifikate auf die Karten kopiert werden. Details über aktuell verfügbare Hardware finden Sie über die Hardwarekompatibilitätsliste bei Microsoft. Der Anmeldedialog WINDOWS-ANMELDUNG kann nach dem Hochfahren des Systems mit der Tastenkombination Strg+Alt+Entf gestartet werden. In WINDOWS-ANMELDUNG müssen dann der Benutzername und das Kennwort angegeben werden. Ist der Computer in einer Domäne, ist zusätzlich der Name der Domäne anzugeben. Es werden hier also prinzipiell zwei verschiedene Anmeldeprinzipien angeboten: • Lokale Anmeldung • Anmeldung im Netzwerk Im folgenden Text wird der Anmeldevorgang im Netzwerk beschrieben, wobei generell eine Anmeldung am Active Directory gemeint ist.
Anmeldevorgang für eine Domäne
Der Anmeldevorgang an einer Domäne unterscheidet sich aus Benutzersicht nur wenig von der lokalen Anmeldung. Der Benutzer gibt Namen und Kennwort ein und wählt die Domäne aus. Dabei besteht nur die Wahl zwischen der lokalen Anmeldung und der vom Administrator beim Registrieren des Computers eingetragenen Domäne. Alternativ kann der Benutzer auch als Benutzername den UPN (User Principal Name) angeben, der als »konto@domäne« definiert ist und in der Regel der E-Mail-Adresse entspricht. In dem Augenblick, zu dem der Benutzer das @-Zeichen eingibt, wird das Feld zur Eingabe der Domäne gesperrt. Für manche Benutzer, die den Begriff Domäne nicht verstehen, ist diese Form der Anmeldung angenehmer. Für den Anmeldeprozess selbst spielt das keine Rolle.
Wie der Startvorgang intern abläuft Der Anmeldevorgang ist besonders kritisch, denn hier werden der Anmeldename und das Kennwort übertragen. Spezielle Sicherungsmaßnahmen sind eingeführt worden, um hier keine Angriffspunkte zu bieten. Tatsächlich beginnt der Anmeldeprozess nicht mit der Eingabe des Kennwortes, sondern bedeutend früher – unmittelbar mit dem Start des Betriebssystems der lokalen Arbeitsstation. Dies gilt natürlich in dem hier beschriebenen Zusammenhang nur, wenn Windows 2000 (Professional oder Server) verwendet wird. Man spricht allgemein vom »Start- und Anmeldevorgang«.
5.9 Sicherheit im Netzwerk Der Prozess beginnt mit dem Start des Arbeitsplatzcomputers. Zuerst DHCP wird die Verbindung mit dem Netzwerk hergestellt. Dies erfolgt durch Suchen eines DHCP-Server, wenn mit dynamischen IPAdressen gearbeitet wird. Wird mit festen IP-Nummern gearbeitet, kann sofort mit der Suche des Domänencontrollers begonnen werden, andernfalls wird die Antwort des DHCP-Servers abgewartet. Der Suchvorgang des DHCP-Servers generiert entsprechende Abfragen auf dem Netzwerk, in der Regel die Sequenz DISCOVER OFFER REQUEST ACK. Als Protokolle kommen DHCP und REVERSE ARP zum Einsatz. Mehr Informationen dazu finden Sie in den Abschnitten 5.5.2 IP-Adressvergabe mit DHCP ab Seite 178 und 5.2.2 Address Resolution Protocol (ARP) ab Seite 161. Auch wenn der Client eine feste Lease einer IP-Adresse hat, erneuert er die Anfrage wie beschrieben, da sich die Konfiguration geändert haben könnte. Im nächsten Schritt wird der Domänencontroller gesucht. Dazu generiert der Client eine spezielle Anfrage an den DNSServer. Diese Anfrage hat die folgende Form: _ldap._tcp.dc._msdcs.
Für wird der angegebene Domänenname eingesetzt. Als Pro- DNS tokoll kommt natürlich DNS zum Einsatz. Der DNS-Server liefert nun die IP-Nummer aller Domänencontroller. Wenn mehrere Domänencontroller zur Auswahl stehen, nimmt der DC ermitteln Client einen Zufallsgenerator, um die Auswahl zu treffen. Dieser Wert wird in der Registrierung gespeichert und bei künftigen Anmeldungen bevorzugt verwendet. Das Verhalten kann gesteuert werden, falls die Domäne sich über mehrere Standorte erstreckt. Dazu wird die Anfrage folgendermaßen erweitert: _ldap._tcp.<Standort>.dc._msdcs.
Wenn Standorte definiert und ihnen Domänencontroller und Clients zugeteilt wurden, kann das Auswahlverhalten beeinflusst werden. Nach Zuteilung der Liste der Domänencontroller wird aus dieser Auswahl – gegebenenfalls bereits auf einen Standort beschränkt – der nächstliegende ermittelt. Dazu wird die IP-Adresse mit ARP und mit DNS eines Domänencontrollers ermittelt und letzterer mit LDAP abgefragt. Diese Abfrage dient nur dem Testen des Antwortverhaltens. Der schnellste Domänencontroller wird nur ausgewählt, um den Anmeldeprozess ausführen zu können. Für den Anmeldeprozess muss ein sicherer Kanal aufgebaut werden, SMB/RPC da sicherheitsrelevante Daten übertragen werden. Dazu findet zuerst eine Aushandlung über SMB (Server Message Block) statt. An diese schließt sich ein Aufruf des Netzanmeldeprozesses per RPC (Remote Procedure Call) an.
253
254 Kerberos
5 Netzwerkgrundlagen Ist der sichere Kanal aufgebaut, versucht der Client ein KerberosTicket zu erhalten. Dies erhält er von einem KDC (Key Distribution Controller). Normalerweise bietet diesen Dienst jeder Domänencontroller an. Der Vorgang ähnelt der Abfrage des LDAP-Dienstes und nutzt wieder den DNS-Server mit der folgenden Anfrage, diesmal wird allerdings statt DNS das sicherere SMB verwendet: _kerberos._tcp.dc._msdcs.
Ist der KDC bekannt, wird mittels Kerberos ein Ticket verlangt. Wie dieser Prozess abläuft und welche Bedeutung er hat, wird weiter unten beschrieben. Ist das Kerberos-Ticket vorhanden, werden Verweise auf das Distributed Files System (DFS) aufgelöst. DFS
Windows 2000 arbeitet als DFS 5.0 Client, die Anfragen erfolgen über SMB und für jede Freigabe gesondert. Allerdings kann der Client die Ergebnisse zwischenspeichern. Dieser Prozess läuft ab, wenn die Startsequenz das Nachrichtenfenster »Netzwerkverbindungen werden hergestellt« anzeigt. Nun werden Objekte im Active Directory abgefragt. Das Erste ist der Benutzername, der in verschiedenen Formen angegeben sein kann. Der Aufruf der Dienste findet über RPC statt. Der Client ruft also entsprechende Dienste auf dem Domänencontroller auf. Darin eingeschlossen ist auch die Abfrage des RootDSE (Root des Domänencontrollers, ein LDAP-Standardattribut). Alle Organisationseinheiten liegen unterhalb des RootDSE. Der Client transformiert den Anmeldenamen – egal wie er eingegeben wurde – mit Hilfe eines entsprechenden Dienstes auf dem Server in den Distinguished Name (DN) und fordert für diesen die Gruppenrichtlinien an. Die Identifizierung von Objekten – in erster Instanz gilt das für den Benutzernamen – wird auch als »Binden« bezeichnet. Als Protokoll kommt für Abfragen LDAP zum Einsatz, für Dienstaufrufe RPC. Die Gruppenrichtlinien erreichen den Client wiederum über DFS, denn sie liegen im freigegebenen Verzeichnis SYSVOL und auf dieses wird vom DFS verwiesen.
Zertifikate austauschen
Wenn Zertifikate für die sichere Kommunikation verwendet werden, wird der Client diese mit jeder Anforderung einer Gruppenrichtlinie verwenden. Dazu muss er die Rootzertifikate der Public Key Infrastructure (PKI) kennen. Dies sind zentral herausgegebene Zertifikate – vom Administrator oder einer externen Instanz –, denen alle Benutzer vertrauen. Das Rootzertifikat wird auch benötigt, um damit das Zertifikat auf einer Smartcard zu überprüfen, falls diese später bei der Anmeldung benutzt wird.
Zeit synchronisieren
Jetzt ist der Client weitestgehend authentifiziert – der Computername war bekannt und eventuell wurden Zertifikate ausgetauscht. Danach wird die Zeit von Server und Client synchronisiert. Die Kommunikation mit dem Zeitnormal findet über SNTP (Simple Network Time Protocol) statt.
5.9 Sicherheit im Netzwerk
255
Als letzten Schritt meldet sich der Client im Dynamischen DNS an DDNS und wird dort mit der aktuellen IP-Adresse registriert. Hier wird wieder auf DNS als Protokoll zurückgegriffen. Abbildung 5.30: Zusammenfassung des Startvorgangs
Dann erfolgt noch ein Zugriff auf die Domäne, um die Verbindung zu prüfen. Dies erfolgt mit SMB. Das System ist nun bereit für den Benutzer – an dieser Stelle wird der Anmeldedialog aufgeblendet und der Benutzer kann Strg-Alt-Entf drücken.
Wie der Authentifizierungsvorgang intern abläuft Die Authentifizierung des Benutzers entspricht einer verkürzten Version der Authentifizierung des Computers. Der Benutzer kann sich effektiv auf zwei Arten anmelden: • Nutzung des Kontonamens, so wie es im Security Account Manager (SAM) gespeichert wird. Zusätzlich ist die Domäne anzugeben. Der Benutzer »uwe« meldet sich dann in der Domäne »comzeptgmbh« an. • Angabe des User Principle Name (UPN) oder des vollen Domainnamens. Normalerweise werden diese beiden Varianten gleich sein (nämlich wenn der Name der Domäne und der DNS-Name identisch sind). Es ist aber möglich, dass hier zwei verschiedene Namen stehen. Ein kompletter UPN sieht etwa so aus:
[email protected] Die hier beschriebenen Varianten gelten nur, wenn die Domäne im einheitlichen Modus betrieben wird. Zu diesem Thema finden Sie Informationen in Abschnitt 6.8.2 Die Modi einer Domäne ab Seite 374.
256 Name abgleichen und im GC suchen
Kerberos-Tickets besorgen
5 Netzwerkgrundlagen Der Client überführt alle Namensversionen in die interne Darstellung des Distinguished Name (DN) und sucht diesen dann im Globalen Katalog der Domäne. Verbunden mit diesem Prozess ist zuerst die Aushandlung eines Sitzungstickets mit Kerberos. Insgesamt werden vier Tickets benötigt: • Servername: <Server>$ • Name des Domänencontrollers $ • Kerberos-Dienst des DNS: krbtgt. • LDAP-Dienst: ldap.. Eine genauere Darstellung der Vorgänge bei der Authentifizierung über Kerberos finden Sie im vorangegangenen Abschnitt. Der Zugriff auf den Globalen Katalog sichert die Kontrolle der Mitgliedschaft in globalen Sicherheitsgruppen.
Abbildung 5.31: Ablauf der Benutzeranmeldung
Danach werden die Gruppenrichtlinien des Benutzers geladen. Dies erfolgt über LDAP und SMB. Dann wird die Verbindung vorerst beendet. Jede weitere Aktivität auf dem Netzwerk hängt nun von den Aktionen des Benutzers oder eventuell startender Software ab.
Authentifizierung über Kerberos Wie dargestellt, spielt Kerberos eine zentrale Rolle im Authentifizierungsprozess. Mit Kerberos besteht die Möglichkeit, den Authentifizierungsprozess auf einen einmaligen Vorgang zu beschränken, das so genannte Single Sign-On. Die Kontrolle der Authentizität beruht bei Kerberos auf Gegenseitigkeit, das heißt, auch der Server wird authentifiziert. Das war bei NTLM nicht der Fall, dort vertraute der Client dem Server blind. Im Folgenden wird nur von Benutzern gesprochen, der Ablauf ist aber bei jeder Authentifizierung gleich, beispielsweise auch bei der gegen-
5.9 Sicherheit im Netzwerk seitigen Authentifizierung von Domänencontrollern, die Vertrauensstellungen aufbauen. Kerberos basiert auf der Überlegung, dass zwei Stellen sich gern gegenseitig vertrauen möchten und dazu über einen geheimen Schlüssel verfügen. Da der Übertragungsweg zwischen diesen Stellen aber nicht sicher ist, können sie nicht einfach den Schlüssel austauschen. Die beiden Partner verwenden daher einen so genannten kryptografischen Schlüssel. Dies ist ein symmetrischer Schlüssel, der sowohl ver- als auch entschlüsseln kann. Mit diesem Schlüssel wird eine zur Identifikation geeignete Information verschlüsselt und vom Partner wieder entschlüsselt. Durch den kryptografischen Schlüssel wird lediglich die Echtheit der Verschlüsselung überprüft, weder die Information selbst noch der Schlüssel werden dem Empfänger bekannt gegeben. Der Empfänger kann nur feststellen, dass der Partner über ein zu seinem Schlüssel passendes Exemplar verfügt. Horcht ein Hacker an der Leitung und empfängt das verschlüsselte Paket, verfügt er ja nicht über das Pendant des anderen Teilnehmers. Er kann vielleicht mit viel Aufwand dieses Paket entschlüsseln, erfährt aber nur die sinnlose Information, die zu Prüfzwecken verschlüsselt wurde. Dieser erste Schritt ist also nur eine Echtheitsbestätigung. Der Vorgang kann in beiden Richtungen ablaufen, sodass sich sowohl der Server als auch der Client gegenseitig der Echtheit versichern. Als Information werden unter Windows 2000 der Benutzername und Zeitkontrolle ein Zeitstempel gesendet. Die Zeitinformation stellt sicher, dass das Paket nicht abgefangen und woanders bearbeitet wurde. Der Ablauf muss also immer zeitnah sein. Der Standardwert beträgt fünf Minuten und kann in den Sicherheitsrichtlinien vom Administrator geändert werden. Durch den Zeitstempel ist auch eine Wiederverwendung der Pakete durch Dritte nicht möglich – es sind praktisch nur einmalig verwendbare Vorgänge. Der Vorgang geht bis dahin immer noch davon aus, dass beide Partei- Schlüsselen über einen gemeinsam genutzten, symmetrischen geheimen austausch Schlüssel verfügen. Diesen verteilt ein gemeinsamer vertrauenswürdiger Dritter – das Key Distribution Center (KDC). Dieser Dienst wird normalerweise auf einem Domänencontroller installiert. Dies ist kein vom Administrator beeinflussbarer Vorgang – Kerberos und der KDC sind standardmäßig installiert und aktiviert. Der KDC kennt alle Sicherheitsprinzipale der Domäne und kann deshalb dauerhafte sichere Schlüssel ausstellen. Dies erfolgt durch Anforderung eines Schlüssels durch den Client an den KDC. Der KDC erstellt zwei Kopien eines Sitzungsschlüssels. Beide werden an den Client gesendet. Die Kopie für den Server wird mit den Daten des Clients in einem Sitzungsticket verpackt. Dazu kommt der Sitzungsschlüssel. Alles zusammen wird mit dem neuen geheimen Schlüssel verschlüsselt. Der Client empfängt dieses Paket und extrahiert das Ticket und die Kopie des Schlüssels.
257
258
5 Netzwerkgrundlagen Der Schlüssel wird im Speicher gehalten, nicht auf der Festplatte – ein Diebstahl des Clientcomputers ist also zwecklos. Wenn der Client nun mit dem Server kommunizieren will, sendet er das originale Ticket zurück, dessen Inhalt er weder entschlüsseln noch verändern kann. Außerdem verschlüsselt er seine Anmeldedaten, also das Kennwort, mit dem übertragenen Sitzungsschlüssel. Damit wird er vom Server authentifiziert. Das Kennwort ging also niemals unverschlüsselt über die Leitung. Der KDC kann das Ticket entschlüsseln, weil er über den Originalschlüssel verfügt. Damit kann er überprüfen, ob das Ticket von ihm selbst stammt. Damit sind Angriffe durch gefälschte KDC ausgeschlossen (die überdies auch einen gültigen Domänencontroller simulieren müssten). Der Client wiederum muss über Benutzername (mit Kennwort) verfügen, der auch in der Domäne bekannt sein muss. Diese Daten sind aber zu keinem Zeitpunkt unverschlüsselt übertragen worden, sodass ein Abhören der Leitung zwecklos ist. Auch ein Diebstahl des Clientcomputers ist sinnlos, weil dort keine relevanten Daten gespeichert sind.
In der Praxis ist das Sitzungsticket auch für folgende AuthentifizieZeitbegrenzung des Sitzungstickets rung gültig, sodass der KDC nicht ständig Anfragen bearbeiten muss. Die Laufzeit der Tickets ist aber begrenzt. Der Standardwert beträgt zehn Stunden – dieser Wert kann in den Sicherheitsrichtlinien eingestellt werden. Damit wird üblicherweise ein Arbeitstag abgedeckt – das Sitzungsticket wird früh beim Anmelden ausgestellt und bleibt dann den ganzen Tag gültig. Mit dem Herunterfahren des Computers geht es verloren. Damit wird einem Diebstahl des Tickets vorgebeugt. Langzeittickets
Bei der allerersten Anmeldung eines Clients – und nur dann – wird ein Langzeitschlüssel erstellt. Dieser Prozess geht mit der Herausgabe des Sitzungstickets einher. Der KDC gibt dabei ein spezielles Ticket an sich selbst heraus, »Ticket erteilendes Ticket« genannt (Ticket Granting Ticket - TGT). Der Langzeitschlüssel für diesen ersten Vorgang basiert auf einer Hashfunktion, die das eingegebene Benutzerkennwort als Startwert benutzt. Hashfunktionen verschlüsseln nur in einer Richtung, sind also nach heutigen Kenntnissen nicht dechiffrierbar. Eine typische Hashfunktion ist MD5. Der aus dem Kennwort abgeleitete Schlüssel wird verwendet, um das erste Sitzungsticket zu entschlüsseln. Das ist möglich, weil der Server auch über die Kennwortinformationen verfügt und – dieselbe Hashfunktion vorausgesetzt – gleichartige Schlüssel erstellt.
Anwendung
Kerberos läuft für den Benutzer völlig transparent ab. Verwendet werden bei jeder Authentifizierung das TGT mit dem Langzeitschlüssel (der an das Kennwort gebunden ist), der aktuelle Sitzungsschlüssel (der täglich wechselt) und die Echtheitsbestätigung des Clients.
5.9 Sicherheit im Netzwerk
5.9.2
Sicherung der Übertragungswege mit IPSec
IPSec (Internet Protocol Security) hilft bei der Sicherung der Privatsphäre, der Datenintegrität, bei der Authentifizierung und dem Zugriff auf Netzwerke. Dabei sind folgende Szenarien denkbar: • Verbindungen Client-Server, Server-Server und Client-Client, die IPSec als direkten Transportmodus für ein TCP/IP-Netzwerk nutzen. • Remote Verbindungen über L2TP, die zusätzlich über IPSec gesichert werden. Die Bereitstellung von IPSec kann durch Gruppenrichtlinien erzwungen werden.
Anwendungsszenarien Es gibt typische Szenarien, in denen IPSec eingesetzt wird. Dabei wird auf dem Server zwischen zwei Optionen unterschieden: • Angefordert, aber optional In diesem Fall wird IPSec eingesetzt, wenn der Client es unterstützt. Nur für den Fall, dass dies nicht möglich ist, wird auf IPSec verzichtet. • Angefordert und erforderlich In diesem Fall wird IPSec immer verwendet. Unterstützt ein Client dies nicht, wird er abgewiesen. Dabei werden Clients die entsprechende Richtlinie nur als Standard für die erste Anfrage an den Server übernehmen. Die ausgehandelte Form bleibt dann einige Stunden lang bestehen. Innerhalb dieser Zeit versucht der Client, weiter IPSec zu verwenden. Nach dieser Zeit kehrt er zur unverschlüsselten Übertragung zurück. Der Server kann dann, je nach Einstellung, die erneute Verwendung von IPSec mit neuen Schlüsseln erzwingen. Dazu muss der Server natürlich unsichere Pakete annehmen, weil er die erste Anforderung bearbeiten muss. Damit ist aber der Zugriff von nicht IPSec-fähigen Clients gesichert. Die Arbeitsweise eines Windows 2000-Clients in Bezug auf das eben beschriebene Verhalten kann gesteuert werden. Darauf geht der nächste Abschnitt ein. Im Internet oder bei Servern, auf die über ein öffentliches Netzwerk zugegriffen wird, ist die Annahme unsicherer Pakete besser zu unterbinden. Angriffe mit Denial of Service-Attacken – dies sind Angriffe, die einen Dienst des Servers so in Anspruch nehmen, dass dieser keine normalen Anfragen mehr verarbeiten kann – werden über unsichere
259
260
5 Netzwerkgrundlagen Kanäle ausgeführt. Wenn ein Server diese nicht verarbeitet, dann ist er gegenüber solchen Angriffen besser gerüstet.
Theoretische Grundlagen zu IPSec IP Security (IPSec) ist eine neuere Technik, die PPTP langfristig als VPN-Standard ablösen soll, da sie ein höheres Maß an Sicherheit als PPTP (Point-to-Point-Tunneling Protocol) garantieren kann. IPSec arbeitet auf IPv4 und soll fester Bestandteil von IPv6 werden. Bei IPSec handelt es sich um ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb eines VPN (Virtuelles Privates Netzwerk) zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Tunnelmodus
Im Tunnelmodus wird das komplette IP-Paket verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, die Gateways so konfiguriert werden können, dass sie IP-Pakete in IPSec-Pakete umwandeln und dann über das Internet dem Gateway im Zielnetzwerk zusenden. Dieses stellt das ursprüngliche Paket wieder her und leitet es weiter. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muss. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen.
Abbildung 5.32: Aufbau von IPSecPaketen im Tunnelmodus
Der IPSec-Kopf wird hinter dem IP-Kopf eingefügt. Er kann zwei Komponenten enthalten, die einzeln, unabhängig voneinander oder zusammen eingesetzt werden können: den Authentifizierungskopf (Authentification Header - AH) und den Encapsulating Security Payload (ESP). Der AH sichert die Integrität und Authentizität der Daten und der statischen Felder des IP-Kopfes. Er bietet jedoch keinen Schutz der Vertraulichkeit. Der AH benutzt eine kryptographische Hashfunktion und keine digitale Signatur, da diese Technik zu langsam ist und den Datendurchsatz im VPN stark reduzieren würde. Der ESP schützt die
5.9 Sicherheit im Netzwerk
261
Vertraulichkeit, die Integrität und Authentizität von Datagrammen. Er schließt aber die statischen Felder des IP-Headers bei einer Integritätsprüfung nicht ein. Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu Transportmodus transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt. Abbildung 5.33: Aufbau von IP-SecPaketen im Transportmodus
Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Außerdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die IP-Header nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, sodass man nur feststellen kann, welche Stationen wie viele Daten austauschen, aber nicht welche Daten. IPSec verwendet das Diffie-Hellman Schlüsselaustauschverfahren zur Verwendete Identitätsprüfung. Die benutzten kryptographischen Hashfunktionen Verschlüsselungssind unter anderem HMAC, MD5 und SHA. Als Verschlüsselungsal- verfahren gorithmen dienen zum Beispiel DES und IDEA. Als Administrator können Sie hier Einstellungen vornehmen. Dies ist aber nur für die Sicherung der Kompatibilität mit Systemen anderer Anbieter notwendig, nicht jedoch in einem reinen Windows 2000-Netzwerk. Es besteht aber durchaus die Möglichkeit, dass als Kommunikationspartner spezialisierte Hardware zum Einsatz kommt, wo Verschlüsselungs- oder Hashalgorithmen möglicherweise fest programmiert sind.
5.9 Sicherheit im Netzwerk
Kapitel 6 Grundlagen Active Directory
6.1
Einführung........................................................... 265
6.2
Aufbau des Active Directory............................ 285
6.3
Physische Struktur des Active Directory ....... 290
6.4
Logische Struktur des Active Directory ......... 306
6.5
Praktische Strukturierung einer Domäne...... 314
6.6
Benutzer und Gruppen...................................... 337
6.7
Gruppenrichtlinien ............................................ 355
6.8
Migration von Windows NT 4 ......................... 372
263
264
5 Netzwerkgrundlagen
6.1 Einführung
265
6 Grundlagen Active Directory In diesem Kapitel werden die Grundlagen zum Active Directory behandelt, Informationen zur Strukturierung und zum Aufbau gegeben und alle wichtigen Begriffe erklärt. In Kapitel 12 Administration des Active Directory ab Seite 607 finden Sie Administration ab dann alle notwendigen Informationen, um Active Directory einrichten Seite 607 und administrieren zu können.
6.1
Einführung
Die Einführung des Microsoft Verzeichnisdienstes Active Directory stellt die umfassendste Neuerung von Windows 2000 im Netzwerkbereich dar. Das alte Domänenmodell von Windows NT wurde dabei einer grundlegenden Erneuerung unterzogen. Damit änderten sich aber auch fast alle Aspekte, die bei der Planung und Umsetzung einer modernen Netzwerkumgebung unter Windows berücksichtigt werden sollten. Um den neuen Verzeichnisdienst von Microsoft effizient einsetzen und administrieren zu können, sind fundierte Kenntnisse über die zugrunde liegenden Konzepte unerlässlich. Active Directory ist wesentlich mehr als nur eine zentral angelegte und verwaltete Datenbank für Benutzer, Gruppen und Netzwerkressourcen. Erst mit den neuen Anwendungen und Dienstprogrammen, die direkt auf dem Active Directory aufsetzen, lassen sich leistungsfähige und flexible Informationsflüsse für die unternehmensweite Vernetzung schaffen und mit einem verhältnismäßig geringen Aufwand administrieren. Wichtig ist allerdings eine gründliche Planung, die natürlich auch einen fließenden Übergang von bisher eingesetzten Lösungen einschließt. Dieses Kapitel stellt die Konzepte vor, die Active Directory zugrunde liegen. Hinweise zur Migration bestehender Windows NT Netzwerkstruktu- Migration ab ren bekommen Sie in Abschnitt 6.8 Migration von Windows NT 4 ab Seite 372 Seite 372.
6.1.1
Bedeutung von Verzeichnisdiensten
Je komplexer eine Netzwerkumgebung ist, desto wichtiger ist es, die im Netzwerk vorhandenen Ressourcen von einer zentralen Stelle aus verwalten zu können. Heutige Netzwerke können sich in größeren Unternehmen schnell über mehrere geografische Standorte hinweg
266
6 Grundlagen Active Directory ausdehnen. Dabei werden oft auch Länder- oder gar Kontinentgrenzen überschritten. Die Verwaltung der Benutzer und Netzwerkressourcen stellt hier neue Anforderungen an die verantwortlichen ITFachleute.
Neue Anforderungen
So ist es kaum praktikabel, dass in jedem Fall die Systemadministratoren die Ressourcen im Netzwerk dort verwalten, wo sie ihren physikalisch Standort haben. Hinzu kommt, dass es gerade heute, wo in kürzester Zeit aus kleinen und mittelständischen Firmen Weltkonzerne werden können, unabdingbar ist, dass die IT-Strukturen schnell mit den gestiegenen Bedürfnissen mitwachsen können. Aber auch dort, wo es nicht nur um pures Wachstum geht, wird eine flexibel anpassbare IT-Umgebung benötigt.
Komplexität
Die Komplexität von Netzwerkarchitekturen sowie die verteilter Anwendungen in unternehmensweiten Umgebungen stieg seit Anfang der 90er Jahre des abgelaufenen Jahrhunderts stetig an. Früher genügte es, wenn eine E-Mail-Anwendung Textnachrichten versenden konnte. Heute muss sie Adressbücher verwalten, Verteilerlisten auflösen und die verschiedensten Protokolle unterstützen. Am Anfang wurden die hierfür benötigten Informationen in Dateien gespeichert. Diese Form der Speicherung und Verwaltung von Informationen erweist sich in größeren Umgebungen zunehmend als kritischer Faktor. Die Datenbestände sind isoliert. Inkonsistenzen treten auf, Systeme und Netze werden immer schwerer durchschaubar und administrierbar. Unternehmensweite Dienste werden etabliert, ohne dass die von einem Dienst geführten Informationen einem anderen Dienst zugänglich sind oder administrative Vorgaben in einfacher Weise für mehrere Dienste gesetzt werden können. Es existiert keine gemeinsame »Informationsinfrastruktur«, die als Basisdienst von Anwendungen genutzt werden kann.
Hierarchische Datenstruktur
Ein Verzeichnisdienst ist eine hierarchische Datenstruktur, die der Darstellung komplexer Daten dient. Diese Struktur enthält Informationen über im Netzwerk verfügbare Ressourcen, beispielsweise Anwendungsprogramme, Drucker, Personen, Dateien. Er liefert einen konsistenten Weg zum Benennen und Beschreiben, zum Suchen und Finden, zur Zugriffssteuerung und Administration und zur Speicherung sicherer Informationen über individuelle Ressourcen. Somit ergibt sich, dass ein Verzeichnisdienst einen zentralen Informationspool innerhalb eines Netzwerks darstellt.
Flexibel anpassbar
Da heute niemand absehen kann, welche Art von Informationen in Zukunft im Netzwerk benötigt und verwaltet werden soll, muss dieser Informationspool hinsichtlich seiner zu verwaltenden Informationsattribute flexibel anpassbar sein. Das gilt auch für die Menge an Informationen, die hier zu speichern sind. Wenn der Trend weiter anhält und die globale Vernetzung voranschreitet – derzeit spricht nichts
6.1 Einführung
267
dagegen –, wird die tägliche Informationsflut weiter anwachsen. Was heute noch die zumeist textbasierte E-Mail ist, kann morgen schon Video-Nachricht oder Internet-Bildtelefonie werden. Hinzu kommt, dass immer mehr multifunktionale Bürokommunikationssysteme mit uns in direkten Kontakt treten und netzwerkweit ihre Dienste anbieten wollen. Das alles muss jedoch sinnvoll verwaltbar bleiben, wollen wir nicht Strukturierte morgen in der Informationsflut untergehen. Ein Verzeichnisdienst soll Information diese Strukturen und einfachen Verwaltungsfunktionen bieten. Ein Benutzer muss sich nur noch einmal im Verzeichnis anmelden und kann dann alljene Ressourcen nutzen und Informationen finden, die für ihn bestimmt sind. Nach der Einrichtung eines Benutzers in einem Verzeichnis stehen beispielsweise sofort die entsprechende Mailadresse oder die für ihn bestimmten Anwendungsprogramme bereit, ohne dass der Administrator die Anmeldung bei verschiedenen Anwendungsprogrammen oder -servern doppelt ausführen müsste. Natürlich gehört auch dazu, dass es möglich sein muss, ein vorüber- Höhere Sicherheit gehendes Verweigern oder den Entzug aller Benutzerrechte im Verzeichnis schnell und ohne großen Verwaltungsaufwand zu vollziehen. Befinden sich Zugangsinformationen in verschiedenen, getrennten Server- oder Programmsystemen redundant gespeichert, kann es beispielsweise schnell dazu kommen, dass ein ausgeschiedener Mitarbeiter immer noch Zugang zu unternehmenskritischen Daten erhält. Neben der guten Strukturierung von Informationen und der hohen Skalierbarkeit und Sicherheit, die ein Verzeichnisdienst bieten muss, besteht auch die Performance Forderung, das steigende Informationsaufkommen der Zukunft bewältigen zu können. Mit einem einzigen Serversystem wird so etwas nicht realisierbar sein. Die Informationsdatenbasis muss also verteilt gehalten werden können und dabei konsistent bleiben. Gleichzeitig muss sichergestellt werden, dass der Benutzerzugriff auf das Verzeichnis transparent und mit schnellen Antwortzeiten möglich ist. Zu guter Letzt werden Mechanismen benötigt, die für ein Funktionie- Maximale Verfügren des Verzeichnisses auch bei Ausfall einzelner Komponenten sor- barkeit gen. Alle wichtigen Informationen müssen also redundant gehalten werden, ohne dass darunter der transparente Zugriff auf das Verzeichnis als Ganzes leidet oder Informationen inkonsistent werden.
6.1.2
X.500
Im Zusammenhang mit Active Directory wird immer wieder auf die Protokolle X.500 und LDAP verwiesen. In diesem Abschnitt finden Sie eine knappe Darstellung dazu. Sicher sind diese Protokolle elementar, wenn man in die theoretische Funktionsweise eines Verzeichnisdiens-
268
6 Grundlagen Active Directory tes einsteigen will. Dem Praktiker bringen sie indes wenig. Ein direkter Umgang ist nur selten möglich und dann eher auf den Umgang mit Programmierschnittstellen beschränkt. Diese Darstellung erhebt deshalb keinen Anspruch auf Vollständigkeit oder die endgültige theoretische Tiefe. Eine kompakte Einführung in LDAP finden Sie in Abschnitt 6.1.3 LDAP ab Seite 281.
Grundstein X.500 Der Grundstein für allgemeine Verzeichnisdienste wurde mit dem Standard X.500 gelegt. Aufbauend auf diesem Standard ergaben sich im Laufe der Zeit eine Reihe von Normen und Standards. Eine der wesentlichen Anforderungen an einen Verzeichnisdienst ist, dass der Zugriff auf die Daten und Informationen, die ihm zugrunde liegen, sicher ist und sich dieser nach vorgegebenen Zugriffsmechanismen orientiert. Darüber hinaus muss natürlich auch zu jeder Zeit die Integrität der Daten gewährleistet sein. Um diese Anforderungen zu erfüllen, müssen zunächst einmal die beteiligten Parteien zuverlässig identifiziert werden können. Speziell dazu sind in den Verzeichnisnormen Rahmenvorgaben für die Bereitstellung von Authentisierungsdiensten für die Anwender und Anwendungen eines Verzeichnisses beschrieben. Generell werden zwei Ebenen der Benutzerauthentisierung unterschieden: Zum einen die einfache Authentisierung mit Hilfe von Kennungen und Kennwörtern und zum anderen die wesentlich sicherere Authentisierung mit Hilfe von Verschlüsselungstechniken.
Aktuelle Standards Für die Festlegung der Merkmale und Funktionen eines Verzeichnisdienstes sind eine Vielzahl von Normen und Standards definiert worden. Die wichtigsten sollen nachfolgend dargestellt und erläutert werden. Dabei liegen den Ausführungen die Basisnorm und die entsprechenden europäischen funktionellen Normen zugrunde. • ISO/IEC 9594/ITU-TS X.500 Hierbei handelt es sich um die Basisnorm für Verzeichnisse (Directories) jedweder Art. • ENV 41210 In dieser wird das DAP (Directory Access Protocol, VerzeichnisZugangsprotokoll) definiert. Dabei legt diese Norm die Anforderungen an die Zusammenarbeit zwischen einem Verzeichnis, das aus Verzeichnis-Systemkomponenten (DSAs) besteht, und einer Verzeichnis-Benutzerkomponente (DUA) fest. Im Rahmen dieser Kommunikation kommt das DAP zum Einsatz.
6.1 Einführung • ENV 41212 In dieser Norm wird festgelegt, welche Anforderungen an die Zusammenarbeit zwischen Verzeichnis-Systemkomponenten gestellt werden, wenn hierzu das Verzeichnis-Systemprotokoll (DSP - Directory System Protocol) zum Einsatz kommt. • ENV 41215 Hiermit wird das Verhalten von Verzeichnis-Systemkomponenten (DSAs) bei verteilten Operationen definiert. Dabei beschreibt diese Norm die Verfahren, die jeweils durch die DSAs bei der Mitwirkung in so genannten verteilten Operationen einzuhalten sind. • ENV 41217 In Ergänzung zur Norm ENV41215 wird hiermit das Verhalten von Verzeichnis-Benutzerkomponenten (DUAs) bei verteilten Operationen beschrieben. Somit legt diese Norm die Verfahren fest, die von den DUAs bei der Mitwirkung in verteilten Operationen einzuhalten sind. • ENV 41512 Mit dieser Norm wird festgelegt, wie die Informationen, die von mehreren Anwendungen benötigt werden, innerhalb des Verzeichnis-Datenbestands (DIB - Directory Information Base) abgespeichert werden. Nachrichten werden schon seit langer Zeit auch per E-Mail versendet. X.500 Nicht immer ist die E-Mail-Adresse bekannt: Wie gelangt man an die gesuchte E-Mail-Adresse, wenn die Existenz des Empfängers zwar sicher vorausgesetzt werden kann, die Adresse aber nicht bekannt ist? Ohne ein Telefonbuch oder die Telefonauskunft geht heute nichts mehr. Ähnlich sind die Erfahrungen mit rechnergestützten Kommunikationsdiensten: Dateiübertragung ohne die Kenntnis des exakten Namens des Zielrechners funktioniert nicht. E-Mail ist nicht zustellbar ohne Angabe der genauen, nicht immer einprägsamen Adresse. An dieser Stelle wäre eine ständig aktuelle Auskunft wünschenswert, die möglichst weltweit Auskunft zu Kommunikationsadressen von Einrichtungen und Personen liefern kann. Und genau einen solchen Dienst stellt der so genannte Directory Service zur Verfügung, wobei es sich um einen gemäß OSI standardisierten Dienst mit dem Namen X.500 handelt. Mit der weiten Verbreitung von Rechnersystemen setzt sich der Trend zur elektronischen Kommunikation fort, besonders im gewerblichen Bereich. Die rasante Entwicklung der Kommunikationstechnik ist grundsätzlich kein Selbstzweck. Eine wichtige Aufgabe wird es in der Zukunft sein, die sich ausdehnenden Netze übersichtlich und funktio-
269
270
6 Grundlagen Active Directory nal zu halten. Einen wichtigen Ansatz dazu stellt das Konzept des Verzeichnisdienstes nach dem Standard X.500 dar. Der X.500Directory-Service ist ein weltweit verteiltes Informationssystem, in dem Informationen über unterschiedliche Objekte abgelegt werden können. Dazu gehören beispielsweise Angaben zu Ländern, Organisationen, Abteilungen von Organisationen, Personen, Anwendungen, Ressourcen usw.
X.500-Grundelemente Objektklassen
Sämtliche Bestandteile eines Verzeichnisses werden in Form von Einträgen zusammengefasst. Dabei wird jedem Eintrag eine bestimmte Objektklasse zugeordnet. Die Klasse beschreibt die jeweilige Art des Objektes (beispielsweise Land, Person, Rechner). Die Zuordnung zu Objektklassen legt bestimmte Attribute fest, die für einen Eintrag spezifiziert werden können. Ein Attribut besteht aus dem Attributtyp (wie »Telefonnummer«) und einem oder mehreren Attributwerten (Inhalt).
Attribute
Im X.500-Standard sind eine Vielzahl an erlaubten Objektklassen und Attributtypen als Schema festgelegt, wobei jederzeit lokale Ergänzungen (Schemaerweiterungen) vorgenommen werden können. Die Attributwerte eines Attributs können die Benutzer im Rahmen der erlaubten Syntax frei wählen. Alle Einträge im Verzeichnis sind in einer baumartigen Hierarchie angeordnet, dem Directory Information Tree (DIT). Unterhalb der Wurzel (root) sind Länder (Deutschland, USA usw.) verzeichnet. Die Organisationen dieser Länder (Universitäten, Forschungseinrichtungen usw.) befinden sich auf der nächsten Hierarchieebene. Diese gliedern sich unter Umständen weiter in Abteilungen, darunter befinden sich dann Personen- oder sonstige Einträge. Die Struktur des DIT, das heißt die Regeln, nach denen der Baum aufgebaut wird, werden ebenfalls im Verzeichnisschema spezifiziert. Dabei ist diese Struktur nicht starr festgelegt, sondern erlaubt Variationen in einem definierten Rahmen.
Distinguished Name
Jeder Eintrag im Directory wird durch einen global eindeutigen Namen, den Distinguished Name (DN) referenziert. Dieser DN ist hierarchisch aufgebaut und besteht aus einer geordneten Sequenz von relativen Namenskomponenten, den Relative Distinguished Names (RDN). Nur die letzte Komponente des DN ist Teil des Eintrages selbst. Das Präfix des DN ergibt sich durch die Position des Eintrages in der Hierarchie des Verzeichnisbaums. Ein RDN setzt sich somit immer aus einem Attributtyp und einem Attributwert zusammen. Generell stellt X.500 die Grundlagen für eine technisch ausgereifte Technologie dar, die unabhängig von einzelnen Rechnersystemen und Anwendungen arbeitet. Dabei ergeben sich im Einzelnen Vorteile
6.1 Einführung durch das schnelle und sichere Auffinden einer bestimmten Information. Ein einziger Verzeichnisdienst für alle Objekte weltweit begrenzt die Suche zudem auf dieses eine Verzeichnis. Die Suche nach der gewünschten Information in dem elektronischen Datenbestand benötigt aufgrund der Organisation der Daten nur kurze Zeit. Zudem können Änderungen schnell vorgenommen werden und sind kurzfristig im gesamten Netz verfügbar. Die Konsistenz des Datenbestandes ist sehr hoch, da Änderungen nur an einer Stelle im Verzeichnis vorgenommen werden. Die Informationen über die einzelnen Verzeichnisobjekte sind weltweit in einem einheitlichen Format verfügbar und die Informationen sind nicht auf die Textform beschränkt; mögliche Informationsarten können auch Bilder oder Sprache sein. Im Gegensatz zum Telefonbuch kann in einem Verzeichnis grundsätzlich nach allen Objekteinträgen gesucht werden. Zudem ist in einem Verzeichnis wie X.500 die Suche auch möglich, wenn nur Fragmente des Suchkriteriums bekannt sind. Durch die Organisation der Informationen wird der Aufwand für die TK-Dienste Wartung des Verzeichnisses minimiert. Das X.500-Verzeichnis ist nicht an einen speziellen Telekommunikationsdienst gebunden, sondern grundsätzlich können Informationen über unterschiedliche TKDienste bereitgestellt werden. Darüber hinaus ist das Verzeichnis unabhängig von Herstellern und Protokollen und läuft auf verschiedenen Rechnerplattformen und Betriebssystemen. Fast alle namhaften Hersteller entsprechender Produkte unterstützen heutzutage den X.500-Standard. X.500 ist hierarchisch aufgebaut, d.h. jede Datenbank ist nur ein Teil X.500-DS des Ganzen und kann Anfragen, die sie nicht beantworten kann, weiterleiten. X.500 ist der internationale ISO/OSI-Standard für einen verteilten Verzeichnisdienst. Der komplette Name lautet X.500-DirectoryService oder kurz X.500-DS. Damit wird ein verteilter Informationsdienst umschrieben, bei dem die Informationen an verschiedenen Orten so gespeichert werden, dass sie mit den Informationen an den anderen Orten ein sinnvolles Ganzes ergeben und der Zugriff intern von einem Ort bzw. Rechner zum anderen Ort ohne Verlassen des angewählten Rechners erfolgen kann. Zum anderen kann die Information jeweils an dem Ort aufbereitet und gepflegt werden, an dem sie entsteht und auch am häufigsten benötigt wird. Wegen des Zugriffs über ein Datennetz wird keine Kopie der Daten an anderen Orten benötigt. Die Information kann daher sehr aktuell gehalten werden. X.500 ist in hierarchischer Form aufgebaut und bildet eine baumartige DIT und DIB Struktur, die auch als Directory Information Tree (DIT) bezeichnet wird. Sämtliche Informationen des DIT sind Eintragungen über Objekte, die durch ihre Namen in der Directory Information Base (DIB) identifiziert werden. Jedem Objekt wird dabei genau ein Name zugeordnet. Die vollständige Menge der Eintragungen des DIT wird in der DIB zu-
271
272
6 Grundlagen Active Directory sammengefasst. Dabei bildet jeweils ein Knoten in der Struktur einen Eintrag. Der Aufbau der DIB ist ebenfalls baumartig. Dies hat neben dem schnelleren Zugriff den Vorteil, dass damit der Aufbau einer Organisation oder eines Unternehmens abgebildet werden kann (Organigramm). Grundsätzlich gibt es in der DIB zwei unterschiedliche Typen: Objekteintragungen und Aliaseintragungen. Eine Objekteintragung kann von mehreren Aliaseintragungen erwähnt werden, wodurch die Verknüpfung zusätzlicher Namen mit einem Objekt ermöglicht wird.
Abbildung 6.1: Directory Information Tree unter X.500
In einem X.500-Verzeichnis lässt sich jede beliebige Information speichern. In der Regel handelt es sich um Texte aller Art, aber auch digitalisierte Bilder und Ähnliches werden in einem solchen Verzeichnis hinterlegt. Standardmäßig werden im X.500-Verzeichnis Personen und Organisationen beschrieben. Für eine einheitliche Darstellung hat die Norm die Grundelemente festgelegt. Personennamen beispielsweise bestehen aus dem so genannten given name (Vorname), den initials (Abkürzung der weiteren Vornamen), dem surname (Nachname) und unter Umständen auch noch dem generation identifier, um damit eventuelle Namensgleichheiten aufzulösen. So wie eine Person eine (oder gegebenenfalls mehrere) weltweit eindeutige postalische Adressen hat, unter der sie erreicht werden kann, kann sie auch mehrere X.500Adressen besitzen. Datenschutz
Das Problem mit X.500-DS liegt im Wesentlichen darin, dass jeder Teilnehmer von seinen gegenwärtigen oder zukünftigen Kommunikationspartnern die benötigten Daten findet. Es müssen dazu genügend viele Personen im X.500 verzeichnet sein, die auch Informationen über sich bereitstellen. Obwohl das X.500-Directory im Zusammenhang mit unseren Datenschutzgesetzen vielfach kontrovers diskutiert wird, entsteht zumindest im Wissenschaftsbereich zur Zeit weltweit eine große Anzahl neuer X.500-Directories.
6.1 Einführung Aufbau des X.500-Verzeichnisses Das Directory Information Model von X.500 beschreibt die Sichtweise X.500-Modell des Verzeichnisses als eine einzelne zentrale Datenbank, wo sich die Einträge im Verzeichnis mit denen eines herkömmlichen Datenbanksystems vergleichen lassen. Dabei ist das mit X.500 standardisierte Verzeichnis (Directory) ein weltweit verteiltes Informationssystem, das technisch durch die so genannten Directory System Agents (DSAs) realisiert wird. Jeder Eintrag im Verzeichnis setzt sich aus einem oder mehreren Attributen zusammen, von denen jedes einen oder mehrere Werte besitzen kann. Welche Werte ein Attribut annehmen darf, legt die zugeordnete Attributssyntax fest. Sämtliche Verzeichniseinträge sind im Directory Information Tree (DIT) hierarchisch angeordnet. Knoten bezeichnen DIT-Einträge, unterhalb derer sich noch weitere Einträge befinden. Um einem Benutzer den Zugriff auf die Daten zu ermöglichen, defi- Directory User niert der X.500-Standard den Begriff des Directory User Agent (DUA), Agent mit dem über das Directory Access Protocol (DAP) Daten gesucht, geändert, aber auch gelöscht und angelegt werden können. Ist ein DSA nicht in der Lage, die an ihn gestellte Anfrage zu beantworten, leitet er die Anfrage mittels des Directory System Protocol (DSP) an einen kooperierenden DSA weiter. Von diesem erhält er die Antwort und gibt sie an den anfragenden DUA zurück. Sollte der kooperierende DSA die Anfrage nicht beantworten können, kontaktiert der erste DSA eventuell einen anderen DSA, um die Informationen zu bekommen. Schlägt dies fehl, wird eine entsprechende Fehlermeldung zurückgegeben; dieser Prozess wird als Chaining bezeichnet. Das Directory Information Shadowing Protocol (DISP) von X.500 stellt ein DISP vollständiges Replikationsmodell bereit. Replikation funktioniert grundsätzlich in zwei Richtungen: Zum einen können die eigenen Daten an andere DSAs weitergegeben, zum anderen können Kopien der Daten anderer DSAs bezogen werden. Die DSAs verwalten jeweils lokale Daten und kooperieren so mitein- DUA und DSA ander, dass sich das Directory für den Anfragenden wie ein einziges, globales Verzeichnis darstellt. Dabei werden die Anfragen über Directory User Agents (DUAs) an das Directory gestellt. In einem Verzeichnis können Informationen über beliebige Objekte der realen Welt abgelegt werden. Sie sind im Directory durch einen Eintrag repräsentiert, der in mehreren Attributen die Eigenschaften des Objektes beschreibt. Die Einträge unterliegen einem Schema, das die Klassen der zu repräsentierenden Objekte und die verwendeten Attribute festlegt. Die einzelnen Einträge im Directory müssen auch mit einem Namen RDN angesprochen werden können. Dabei gibt es grundsätzlich zwei ver-
273
274
6 Grundlagen Active Directory schiedene Möglichkeiten. Mit dem RDN (Relativ Distinguished Name), der im Namensattribut des Eintrags gespeichert wird, ist ein sehr einfacher Zugriff möglich. Im Gegensatz dazu gibt es noch einen global eindeutigen Namen, der sich aus den RDNs der übergeordneten Einträge und dem RDN des jeweiligen Eintrags zusammensetzt. Vor den einzelnen RDNs steht jeweils das Zeichen @ oder ein Komma oder Punkt. Trägt beispielsweise die Organisation den Namen COMZEPT, die sich wiederum in DEUTSCHLAND befindet, und soll Bezug genommen werden auf den Benutzer KRAUSE, so lautet der Pfad zu dem Objekt KRAUSE wie folgt: DEUTSCHLAND@COMZEPT@KRAUSE
UFN
Um den Benutzer von unnötigem Aufwand zu entlasten (Einprägen und Eintippen der langen Adressen) wurde das Konzept des User friendly naming (UFN) entworfen (RFC 1484).
SQL
Das X.500-Verzeichnis verhält sich nach außen wie eine riesige verteilte Datenbank. Dennoch unterscheidet sich das X.500-Konzept grundlegend von dem Konzept relationaler Datenbanken. Während in einer relationalen Datenbank alle Daten in Tabellen verwaltet werden, sind die Informationen im Verzeichnis strukturierte Datentypen (Einträge), die innerhalb einer Baumstruktur miteinander verbunden sind. Der Zugriff bzw. die Abfrage der Daten geschieht bei einer relationalen Datenbank mittels der Abfragesprache SQL (Structured Query Language). In einem Verzeichnis erfolgt der Zugriff verbindungsorientiert. Darüber hinaus können die Daten in einer relationalen Datenbank zwar verteilt verwaltet werden, einzelne Teile davon bilden aber kein eigenständiges, abgeschlossenes System, das für sich alleine stehen könnte. Dies muss aber beim Verzeichnis auf jeden Fall gewährleistet sein.
Attribute und Funktionsmodell Attribute
Jeder Verzeichniseintrag für ein bestimmtes Objekt besteht aus einer Menge von Attributen, die für diesen Objekttyp spezifisch sind. Ein Attribut wiederum besteht aus einem Attributstyp und einem oder mehreren Attributswerten. Dabei ist es möglich, höchstens einen Attributswert als charakteristischen Attributswert festzulegen. Die Menge eines oder mehrerer Attributszuweisungen wird unter dem Begriff Relativer Zuweisungsname (RDN - Relative Distinguished Name) zusammengefasst. Der charakteristische Name eines Objekts besteht somit immer aus der Reihenfolge der RDNs, die auf dem Pfad von der Wurzel durch die dazwischenliegenden Knoten durchquert wird bis zu der Eintragung, die stellvertretend für das Objekt steht.
Komponenten
Mit dem so genannten funktionalen Modell werden bei X.500 die Interaktionen umschrieben, die innerhalb des Verzeichnisses ablaufen. Das Verzeichnis (Directory) setzt sich aus einem oder mehreren Ver-
6.1 Einführung
275
zeichnis-Systemkomponenten (DAS - Directory System Agent) zusammen; dabei ist der DIT jeweils in einzelne DSAs unterteilt. Die Anfragen eines Benutzers an das Verzeichnis werden jeweils über VerzeichnisBenutzerkomponenten (DUA - Directory User Agent) durchgeführt. Wenn das Verzeichnis aus mehreren DSAs besteht, wird der Gesamtbereich aufgeteilt. Geht eine Anfrage über den Kenntnisstand eines DSAs hinaus, kommuniziert dieser DSA mit den anderen DSAs, um die Anfrage erfüllen zu können. Die Information, welcher DSA die Anfrage erfüllen kann, erhält der DSA dabei aus der so genannten Wissensinformation. Diese sagt dem DSA, welchen Teil des Verzeichnisbaums (DIT) er abdeckt und wer die restlichen Teile vorhält. Ein DUA besteht grundsätzlich aus drei verschiedenen Schnittstellen- DUA-Schnittsteltypen. Durch die Spezifikation der Anfrage wird die jeweils benötigte lentypen: Schnittstelle aktiviert. Nachfolgend sind die einzelnen Schnittstellentypen und deren Bedeutung dargestellt: Die Leseschnittstelle setzt sich aus den Operationen »Lesen«, »Ver- 1. Leseschnittstelle gleichen« und »Aufgeben« zusammen. Die Operation »Lesen« sammelt die Informationen über eine entsprechende Eintragung. »Vergleichen« überprüft, ob der vorgegebene Wert mit dem Eintrag eines Objektes übereinstimmt. Die Operation »Aufgeben« dient dazu, eine Abfrage abzuschließen, die nicht beendet werden kann. Die Suchschnittstelle setzt sich aus den Operationen »Auflisten« und 2. Suchschnittstelle »Suchen« zusammen. Die Operation »Auflisten« sendet Einträge zurück, die eine bestimmte Eintragung unterschreiten. Im Gegensatz dazu sendet die Operation »Suchen« die Einträge zurück, die innerhalb des vorgegebenen Suchbereiches liegen und somit die Auswahlkriterien erfüllen. Die Operationen der Änderungsschnittstelle lauten »Entfernen«, »Ein- 3. Änderungsschnittstelle fügen«, »Ändern« und »RDN ändern«. Die Operation »Entfernen« löscht einen Eintrag aus dem DIT. Mit »Einfügen« kann der DIT um einen Eintrag erweitert werden. Mit »Ändern« können eine oder mehrere Einstellungen der Einträge geändert werden. Die Operation »RDN ändern« schließlich erlaubt das Ändern des RDN eines Eintrags. Dies wiederum erfolgt durch die Zuweisung einer neuen Menge von Attributswerten. Für die Kommunikation zwischen den einzelnen DSAs und DUAs DAP kommt das Directory Access Protocol (DAP) zum Einsatz. Dabei enthält das Verzeichnis-Zugriffs-Protokoll drei anwendungsspezifische Dienstelemente (Ports), die den Dienstschnittstellen entsprechen.
276
6 Grundlagen Active Directory
Abbildung 6.2: Zuordnung von DUA und DSA
X.500-Normen Vorgaben
Natürlich kommt auch ein Standard wie X.500 nicht ohne die Festlegung bestimmter Normierungen und Standardisierungen aus. So gibt es im Umfeld der X.500-Spezifikation einige Festlegungen, von denen nachfolgend die wichtigsten aufgeführt sind: • X.500 Vorgaben für die Konzepte, das Modell und die Dienste eines standardisierten Verzeichnisdienstes • X.501 Beschreibung des eingesetzten Informationsmodells • X.509 Sicherheitsaspekte • X.511 Abstrakte Dienste-Spezifikation • X.518 Prozeduren der verteilten Verzeichnisoperationen • X.519 Protokoll-Spezifikationen • X.520 Festlegung der Attributtypen • X.521
6.1 Einführung Festlegung der Objektklassen • X.525 Vorgaben zum Konzept der Replikationen
Zugriff auf X.500-Daten Bei der Auswahl eines X.500-Verzeichnisses taucht immer wieder die Datenzugriff Frage nach dem Zugriff auf die verfügbaren Daten auf. Auf welche Art und Weise kommt ein Benutzer an die Daten, die er sucht? Generell gibt es unterschiedliche Möglichkeiten des Zugriffs. Bedingt durch die Festlegung des X.500-Directory anhand entsprechender ISO/OSINormen gestalten sich Abfragemöglichkeiten teilweise recht komplex. Mittlerweile gibt es jedoch Abfragesysteme, die einen wesentlich schnelleren Zugriff auf die verfügbaren Systeme und deren Daten ermöglichen. Zum einen ist der Zugriff mit der recht simplen UNIX-Anweisung Finger FINGER möglich. Damit kann direkt ein entsprechendes Objekt im X.500-Verzeichnis gesucht werden. Eine entsprechende Anweisung kann sich beispielsweise wie folgt darstellen: finger
[email protected] Wird bei der Suche mit der Anweisung FINGER nur ein Teil des Namens angegeben, werden alle Objekte angezeigt, auf welche die Angabe zutrifft. Unter Windows 2000 steht FINGER an der Konsole zur Verfügung, wenn die TCP/IP-Dienste installiert sind. Vergleichbar dazu lässt sich in einem X.500-Verzeichnis auch mit dem Gopher Informationssystem Gopher navigieren. Dabei setzt das Gopher-X.500Gateway, das zum Einsatz kommt, an einem der verfügbaren X.500Aufsetzpunkte an. Von hier aus können dann die einzelnen OUs (Organizational Units) angewählt und dort kann auf die verfügbaren Informationen zugegriffen werden. Beim Einsatz des Gopher-Systems kann zusätzlich auch eine Suchanweisung eingesetzt werden, um die gewünschten Einträge ermitteln zu können. Gopher ist veraltet und wird heute kaum noch eingesetzt. Der Zugriff auf X.500-Daten kann grundsätzlich auch mit einer spe- Dish-Shell ziellen Variante durchgeführt werden. Es handelt sich um eine spezielle Shell-Form mit dem Namen dish (Directory Interface Shell), die eine Abarbeitung der Eingaben in Batchform ermöglicht. Die Directory-Shell ist ein Interface mit voller X.500-Funktionalität, mit der komplexe Suchanfragen gestellt werden und Verzeichniseinträge hinzugefügt, geändert oder gelöscht werden können. dish ist eine komplexe Schnittstelle zum Directory mit einer Vielzahl von Kommandos, deren Einsatz genaue Kenntnisse über die Struktur von X.500 voraussetzt.
277
278
6 Grundlagen Active Directory Sicherheit und Datenschutz Wo personengebundene Daten gespeichert sind, ist grundsätzlich Vorsicht geboten. Diese Tatsache gilt für ein weltweites Verzeichnis mit den unterschiedlichsten Organisationen und Informationen. Der X.500-Standard enthielt im Jahre 1988 kein geschlossenes Sicherheitskonzept: lediglich das Prinzip der Echtheit wurde ausgeführt. Dieses Manko wurde im 93er-Standard behoben; seitdem existieren entsprechende Sicherheitskonzeptionen. Die Sicherheitskonzeptionen umfassen folgende Bereiche: • Authentifizierung • Verschlüsselung • Zugriffsschutz
Prinzip der Echtheit
Bei dem Prinzip der Echtheit (Authentifizierung) muss sichergestellt sein, dass eine Person, die sich unter einem Namen im System anmeldet, auch wirklich diese Person ist und sich nicht für eine andere Person ausgibt. Somit müssen also alle Instanzen im System eindeutig sein und verlässlich identifiziert werden. Grundsätzlich existieren hierbei 3 Stufen: • Keine Prüfung der Echtheit Das System glaubt dem Benutzer bedingungslos. • Einfache Prüfung der Echtheit Prüfung der Identität durch Benutzernamen (DN-Name) und Passwort. Dabei ist für das Passwort ein Attribut UserPassword definiert. Dieses Attribut ist für Personen, Organisationseinheiten und Organisationen vorgesehen. • Strenge Prüfung der Echtheit Bei dieser Methode erfolgt eine Prüfung anhand von Schlüsselpaaren eines asymmetrischen Codieralgorithmus. Etabliert hat sich ein asymmetrisches Verfahren, das 1976 von Whitfield Diffie und Martin Hellmann vorgestellt wurde, die Public-Key-Infrastruktur (PKI). Bei diesem Verfahren existiert ein privater Schlüssel, den nur der Absender besitzt, und ein öffentlicher Schlüssel, den jeder Empfänger besitzt. Jeder Empfänger kann damit die Nachricht decodieren und diese Nachricht muss von diesem Absender stammen, denn nur der hat den privaten Schlüssel, und der öffentliche Schlüssel passt auch nur zu diesem privaten Schlüssel. Bei dem Verschlüsselungsalgorithmus der asymmetrischen Codierung existiert ein privater und ein öffentlicher Schlüssel. Der private Schlüssel kann aus dem öffentlichen nicht hergeleitet werden. Möchte ein Benutzer beispielsweise eine vertrauliche Nachricht versenden, so
6.1 Einführung
279
codiert er sie mit dem öffentlichen Schlüssel des Empfängers. Nur dieser kann dann mit seinem privaten Schlüssel die Nachricht decodieren. Damit die Codierungsschlüssel, die ja ebenfalls im X.500 vorhanden Verschlüsselungssein müssen, nicht für jedermann zugänglich sind, muss das X.500- algorithmus Verzeichnis einige Voraussetzungen erfüllen. Zunächst einmal müs- Orange Book sen die Daten (physikalisch) sicher vor einem unbefugten Zugriff sein. Da das UNIX-Betriebssystem dem Orange-Book-Standard genügt, ist diesem Punkt Rechnung getragen. Der unbefugte Zugriff auf das Verzeichnis und das Benutzen des Verzeichnisses unter falschem Namen muss ebenfalls ausgeschlossen sein. Dies wird durch die Sicherheitsmechanismen garantiert. Die Schlüsselverwaltung muss zudem zentral erfolgen, was beispielsweise durch eine zentrale Stelle (Bundesamt für Datenschutz in Deutschland) erfolgen muss. In dem Zusammenhang ist es wichtig, dass es hier nur um die Prüfung der Echtheit, nicht jedoch um das Verschlüsseln der Nachricht selbst geht. Zu jedem Verzeichnis gehört ein Konzept, aus dem hervorgeht, wie im Verzeichnis Informationen gespeichert werden können - dies insbesondere im Hinblick darauf, dass diese Daten von anderen Systemen außerhalb des Verzeichnisses dazu benutzt werden können, um eine entsprechende Sicherheit in diesen Systemen zu garantieren. Fast alle im Verzeichnis (X.500) gespeicherten Daten fallen unter den Zugriffsschutz Aspekt personenbezogene Daten. Das Bundesdatenschutzgesetz schreibt für die Verarbeitung von personenbezogenen Daten eine schriftliche Einverständniserklärung der betroffenen Person vor. Diese Erklärung soll eine vollständige Information über die Art der Verarbeitung und die dabei möglicherweise auftretenden Risiken enthalten. Der Benutzer teilt im Rahmen dieses Einwilligungsformulars dem Systemverwalter die von ihm gewünschten Zugriffsrechte mit, anhand derer dann die Eintragung vorgenommen wird. Bedingt durch die weltweite Verteilung der Daten können die im Geltungsbereich des Bundesdatenschutzgesetzes gültigen Vorschriften nicht generell zugesichert werden, da ein Zugriff auch aus Ländern ohne adäquates Datenschutzrecht möglich ist. Die Speicherung der Daten im Verzeichnis geschieht daher auf freiwilliger Basis. Der jeweilige Benutzer hat im internationalen Verzeichnis sowohl Le- Zugriffsrechte se- als auch Schreibrechte für seine Daten. Dadurch kann er seine Rechte wahrnehmen und ist auch selbst dafür verantwortlich. Mit dem Prinzip der Selbstauskunft hat jeder Benutzer die Möglichkeit festzustellen, welche Daten zu seiner Person gespeichert sind. Er kann seine Daten berichtigen oder löschen, und er kann durch Veränderung der Zugriffsrechte den Zugriff auf seine Daten unterbinden. Es muss grundsätzlich festgelegt werden, welche Person auf welche Informati-
280
6 Grundlagen Active Directory on im Verzeichnis Zugriff hat und was sie mit diesen Daten tun darf (access control). Dazu gibt es Zugriffslisten (ACL - Access Control List), in denen zu den jeweiligen Benutzernamen verzeichnet ist, welche Zugriffsrechte sie besitzen. Kein Benutzer erhält Informationen, solange er die Zugriffsrechte nicht besitzt. Die Rechte können gewichtet sein, ein Eintrag in einer Zugriffsliste kann demnach einen anderen Eintrag in einer anderen Zugriffsliste überstimmen.
Datenübertragung
So wie die Daten, die in einem Verzeichnis abgelegt werden, sicher sein sollten, müssen natürlich auch die Daten, die mit Hilfe eines Verzeichnisdienstes übermittelt werden, gewissen Sicherheitsanforderungen entsprechen. Die elektronische Übermittlung von Dokumenten und deren Bearbeitung bringt grundsätzlich eine Reihe von Sicherheitsproblemen mit sich. Elektronische Dokumente lassen sich einfach und unauffällig kopieren oder fälschen. Dabei kommt es gerade bei der unternehmensübergreifenden Geschäftskommunikation auf Manipulationssicherheit, Authentizität, Beweisbarkeit und Rechtsverbindlichkeit von Dokumenten an. Diese Barriere für den E-Commerce kann jedoch durch das Signaturgesetz und die Nutzung entsprechender Standards mittelfristig umgangen werden.
Kryptographie
Um die Integrität der übermittelten Daten zu gewährleisten, kommt die Kryptographie (Verschlüsselung) zum Einsatz, wobei ebenfalls das asymmetrische Codierungsverfahren Anwendung findet. Grundlage ist die Verwendung zweier Schlüssel, eines privaten und eines zugehörigen, öffentlich zugänglichen Schlüssels. Der geheime (private) Schlüssel darf wie eine PIN für die EC-Karte nicht weitergegeben werden und sollte sich auf einer Chip-Karte oder einem ähnlich sicheren Datenträger befinden. Wird eine Person identifiziert, so geschieht dies über die Bindung ihres öffentlichen Schlüssels an ihren Namen und an weitere Informationen, die das zu identifizierende Objekt eindeutig charakterisieren. Eine Zertifizierungsstelle bestätigt dann als vertrauenswürdiger Dritter diese Bindung zwischen Empfänger und Absender mittels einer digitalen Unterschrift (öffentlicher Schlüssel). Die Zertifizierungsstelle erzeugt einen Eintrag mit dem Zertifikat in das Public Key Directory (öffentliches Schlüsselverzeichnis). Von diesem Directory können alle gültigen Zertifikate abgefragt werden. Die Verteilung der Zertifikate beziehungsweise der privaten Schlüssel muss durch geeignete Medien in einer vertrauenswürdigen und sicheren Weise erfolgen. Ein Zertifikat ist eine Datei geringer Größe und enthält typischerweise Informationen wie die Namen des Eigentümers und der Ausgabestelle, einen Gültigkeitsnachweis und eine Seriennummer. Das Signaturverfahren basiert auf zwei wesentlichen Anforderungen. Erstens muss der geheime Schlüssel wirklich geheim sein, was bedeutet, dass er weder von anderen eingesehen noch verwendet werden kann. Zweitens muss der öffentliche Schlüssel jedem zugänglich ge-
6.1 Einführung macht werden, der die Authentizität und Integrität der Nachricht sicherstellen möchte. Für die Verbreitung des öffentlichen Schlüssels an einen großen Personenkreis bietet sich ein X.500-Verzeichnisdienst an. Er gestattet den Zugriff auf die öffentlichen Schlüssel mit offenen Protokollen wie dem X.500-Protokoll DAP oder dem Internet-Protokoll LDAP.
6.1.3
LDAP
In diesem Abschnitt werden das LDAP (Lightweight Directory Access Protocol) sowie die wichtigsten Eckdaten bei der historischen Entwicklung vorgestellt.
Integration per LDAP Grundsätzlich werden Verzeichnisse zum Speichern und Verwalten Dynamische von Informationen wie Benutzerprofilen, Einstellungen und Zugriffs- Attribute rechten genutzt. Verzeichnisfunktionen, auf die alle zugreifen können, werden in einer Vielzahl von Anwendungen eine zentrale Rolle spielen. Dabei enthalten Verzeichnisse nicht nur Informationen über Benutzer, sondern auch über Ressourcen, wie Konferenzräume oder audiovisuelle Geräte und deren Attribute, Kapazität und Dienste. Mit Hilfe dynamischer Attribute werden in Verzeichnissen auch dynamische, sich regelmäßig ändernde Informationen abgelegt. In diesem Zusammenhang ist zu beachten, dass das Internet im Begriff ist, die Kommunikationsweise des Menschen zu verändern. Damit es sein Potenzial voll ausschöpfen kann, muss die Online-Suche nach Personen und Informationen vereinfacht werden. Zudem erfordert die Abwicklung heutiger Geschäftsprozesse transparente Zugriffsmöglichkeiten auf benötigte Ressourcen.
Entwicklung von LDAP Mit dem Einsatz von Verzeichnisdiensten wird dabei auch sehr oft das LDAP als Lösungsmöglichkeit in die Diskussion einbezogen. Eine Vielzahl von Softwareherstellern haben mittlerweile LDAPUnterstützung für ihre Produkte angekündigt oder sie bereits realisiert. Darunter befinden sich so bekannte Namen wie Netscape, Microsoft und Novell. Viele Hersteller scheinen erkannt zu haben, dass nur ein einheitliches Zugriffsprotokoll auf Verzeichnisdienste für Interoperabilität zwischen Anwendungen sorgen kann. Als Vergleich seien proprietäre Messaging-Systeme wie MS Exchange, Lotus Notes oder cc:Mail genannt, die allesamt eine Schnittstelle zum Standardprotokoll für E-Mail (SMTP) benötigen. Im Umfeld von Verzeichnisdiensten hat LDAP die Rolle des Standardprotokolls übernommen.
281
282 TCP/IP
X.500-DAP
6 Grundlagen Active Directory Der Zugriff auf einen Verzeichnisdienst erfolgte in den Anfängen der Verzeichnisdienste standardmäßig über das einfache Internetprotokoll (TCP/IP). Dies führte zu einer Manifestierung der Verzeichnisdienste auf den TCP/IP-Protokollstack. Aus diesem Umstand heraus wurde LDAP als direkter Nachfolger bzw. als Ergänzung des DAP-Protokolls entwickelt. Mit LDAP deutet sich eine Perspektive an, die herstellerspezifischen Verzeichniswelten zu öffnen. Über LDAP lassen sich Informationen aus anderen Verzeichnissystemen auslesen, um darüber Benutzer und Ressourcen in die Prozesse der eigenen Netzwerkbetriebssystem-Welt einzubinden, wie in E-Mail- und WorkflowAnwendungen. Banyan Systems, Novell und Netscape warten bereits mit einer solchen Schnittstelle auf. Fachleute erwarten, dass sich mit der Etablierung des Intranets, das dann neben dem Naming- und dem Verzeichnisdienst auch die klassischen Aufgaben wie File- und PrintService übernehmen wird, letztlich Standards wie LDAP durchsetzen werden. LDAP hatte zu Beginn der 90er Jahre zunächst seine Existenz aus der Tatsache gewonnen, dass der Zugriff auf den Verzeichnisdienst (X.500) mit Standard-Clients über das X.500-DAP nicht sinnvoll und zu vertretbaren Kosten zu realisieren war. Die Abbildung des DAP auf eine einfache, den verwandten Protokollen SMTP oder FTP ähnliche Internet-Kommunikation bildete das Kernstück des Lightweight Directory Access Protocols. So war für die Implementierung von LDAP insbesondere vorgegeben, dass die eigentliche Verzeichnisimplementierung nicht verändert werden sollte. Durch die Hinzufügung einer weiteren Komponente, die jedoch über bereits vorhandene Protokolle kommuniziert, sollten neue Funktionalitäten erreicht werden. Der fortschreitende Siegeszug von LDAP und die Unterstützung durch alle relevanten Softwareanbieter veranlassten die ASIDArbeitsgruppe (Access, Searching and Indexing of Directories) der IETF, den Rahmen für LDAP zu erweitern. Der erste Anbieter mit LDAPv3Produkten war die Firma Netscape - und dies interessanterweise vor Verabschiedung des Standards im Dezember 1997, was angeblich auf das »Überlaufen« eines Entwicklers von der Universität von Michigan zu Netscape zurückzuführen war.
LDAPv3
Die Version LDAPv3 stellt eine Loslösung von X.500 als Protokollbasis dar. Dies gründet in der Möglichkeit des Einsatzes von LDAP für den Zugriff auf Fremdverzeichnisse und dedizierte LDAP-Verzeichnisserver. LDAP verlässt sich bei der Verwendung auf die Implementierung des zugrunde liegenden Dienstes. Diese Dienste umfassen heute weiterhin X.500, aber auch ursprünglich proprietäre Dienste wie das Namens- und Adressbuch von Lotus Notes, das Microsoft ExchangeVerzeichnis, die Novell Directory Services (NDS eDirectory) oder auch den dedizierten LDAP-Verzeichnisserver der Firma Netscape oder
6.1 Einführung den IBM LDAP Directory Server. LDAPv3 (spezifiziert im RFC 2251) umfasst unter anderem folgende Neuerungen: • Nicht-Standard LDAP-Operationen können via LDAP vom Server angefordert werden. • Kontrollelemente können angegeben werden, die die LDAPFunktionalität auf Server- und Client-Seite erweitern. • Simple Authentification and Security Layer (SASL) Mechanismen können zur Authentifizierung genutzt werden. • Informationen über den jeweiligen Server (Protokollversion, Kontrollelemente, Namenskontext, Verzeichnisschema usw.) können über so genannte DSEs (DSA-Specific Entries) abgefragt werden. • LDAP-Verzeichnisinformationen werden in MIME eingebettet. • Es werden internationale Zeichensätze verwendet. Weitere Protokoll- und Standarddokumente haben LDAP in der Ver- LDAP-URL sion 3 zu einem vollständigen Internet-Verzeichnis ausgebaut. So stehen beispielsweise Regelungen zu einem angepassten X.500-Schema für LDAPv3 und ein LDAP-URL-Format zur Nutzung von LDAPProtokollaufrufen aus Browsern zur Verfügung. Weitere Themen, die bei der Erweiterung von LDAPv3 Berücksichtigung finden, sind folgende: • Caching • Multimaster Replikation • Verwaltung von Informationen über die Partitionierung des DIT • Zugriffsschutz • LDAP Replikation • LDAP-basiertes Routing von SMTP-Nachrichten • SMTP-Mailinglisten und Aliase mit LDAP • Einbettung von LDAP-APIs in Java und C Da für LDAPv2 eine frei verfügbare C-API mit der Implementierung der Universität von Michigan verfügbar war, entwickelten sich sukzessive Einbettungen der LDAP-Funktionen in viele Entwicklungsumgebungen. Diese absehbaren Entwicklungen zeigen, dass LDAPv3 mehr noch als LDAPv2 ein integraler Bestandteil von Client- wie Server-Umgebungen ist. Der Vorteil eines einheitlichen Zugriffsprotokolls bedeutet erhebliche Vorteile Erleichterungen für den Anwendungsentwickler: So stehen dem Anwendungsentwickler mit LDAPv3-Servern auf Fremdverzeichnissen
283
284
6 Grundlagen Active Directory erstmals Datenquellen offen, die ihm vormals verschlossen bleiben mussten. Ausnahme bilden natürlich proprietäre Mechanismen. Dabei stellt die Aufwärtskompatibilität von LDAPv2 zu LDAPv3 sicher, dass auch mit dem eingeschränkten Protokollumfang von LDAPv2 diese Informationen genutzt und gepflegt werden können.
LDAP-Sicherheit Intranet und Extranet
Immer mehr Unternehmen und Organisationen verwenden InternetTechnologien, um ihren Mitarbeitern, Kunden oder anderweitig interessierten Personen Informationen zugänglich zu machen. Bleibt der Zugriff dabei auf einen internen Kreis beschränkt, wird eine solche Konstellation auch als Intranet bezeichnet. Durch die Einbindung externer Partner wird dann aus einem Intranet ein so genanntes Extranet. Die zunehmende Anzahl verschiedenartiger Informationen, die in einem Intranet bzw. Extranet zur Verfügung gestellt werden, und die damit zusammenhängende, steigende Anzahl der Personen, die Informationen über ein Intranet bzw. Extranet beziehen, machen ein entsprechendes Sicherheitskonzept unbedingt erforderlich.
Sicherheitskonzept
Ein Sicherheitskonzept für Intranets (Extranets) sollte grundsätzlich darauf ausgerichtet sein, Zugriffe auf die Informationen innerhalb des Intranets zu steuern. Hierbei muss die Möglichkeit bestehen, die Zugriffsrechte für verschiedene sensible Informationen differenziert festzulegen. Ebenso müssen Personen die Rechte erhalten, die sie für den Zugriff auf die für sie bestimmten Informationen benötigen. Bei der Entwicklung von X.500 wurde großer Wert auf sicherheitsrelevante Fragen gelegt. Die Sicherheit der im Verzeichnis gespeicherten Informationen gewährleistet die Authentifizierung und die Vergabe von Zugriffsrechten. Sämtliche Informationen über Anwender und Ressourcen können in einem einzigen zentralen Verzeichnis abgelegt sein, auf das alle anderen Systeme über LDAP zugreifen. Die gesamte Benutzerverwaltung konzentriert sich auf einen Punkt, soweit dies möglich ist. Als weiterer Schritt können Informationen über andere Objekte wie Rechner, Netze und Drucker hinzugefügt werden, sobald auch dafür LDAP-Funktionen verfügbar sind.
Distinguished Name
Zunächst einmal profitieren von einem einheitlichen Verzeichnissystem die Benutzer und die Systemverwalter, da sich die Pflege der notwendigen Parameter auf einige wenige Punkte konzentriert. Darüber hinaus bietet der Einsatz eines Verzeichnisses aber auch wesentlich effektivere Einsatzmöglichkeiten, wobei heute ein Ende der Entwicklung noch nicht abzusehen ist. Bei der einfachen Authentifizierung eines Benutzers werden DN (Distinguished Name) und das Kennwort entweder im Klartext übertragen oder durch eine so genannte Hash-Funktion geschützt; Letzteres stellt eine wesentlich höhe-
6.2 Aufbau des Active Directory
285
re Sicherheit dar. Im Gegensatz dazu finden bei der strengen Authentifizierung kryptografische Verfahren Anwendung, die den Austausch öffentlicher Schlüssel voraussetzen, die natürlich jederzeit abrufbar sein müssen. Ein X.500-Verzeichnis ist grundsätzlich für die Ablage von Schlüsseln Verschlüsselung (Kryptografie) bestens geeignet. Benutzerabhängige Zugriffsrechte sind so sehr detailliert definierbar. Dabei können bestimme Rechte nicht nur für ganze Einträge (Objekte), sondern auch beschränkt auf einzelne Attribute innerhalb eines Eintrags vergeben werden. Darüber hinaus lassen sich in einem Verzeichnis Bereiche definieren, für die ein authentifizierter Benutzer bestimmte Rechte besitzt. Ein jeder Anwender kennt das Problem, dass er sich mit jedem neuen Kennwort System ein neues Kennwort merken muss. LDAP als Standardprotokoll zum Zugriff auf Verzeichnisdienste kann Abhilfe schaffen. Dabei ist jedoch ein wesentliches Problem von LDAP die Beschränkung auf Kennwörter zur Authentifizierung. Verschiedene Leistungsmerkmale zur Verbesserung der Sicherheit von LDAPv3 werden dem Protokoll neue Anwendungsgebiete öffnen. Vorgesehen sind ein auf SASL (Simple Authentication and Security Layer) basierender erweiterbarer Authentifizierungsmechanismus. Darüber hinaus ist die BindOperation nicht mehr ausschließlich auf Kennwörter beschränkt. Zur Erfüllung bzw. Umsetzung der geforderten Sicherheitsanforde- PICS und LDAP rungen werden die Internet-Standards PICS und LDAP verwendet. PICS ist ein Standard zur Speicherung von Metainformationen über Web-Dokumente. PICS kann beispielsweise dazu verwendet werden, Web-Dokumente mit Sicherheitsmarkierungen zu versehen. Des Weiteren werden so genannte Rollen verwendet, um Benutzer mit Sicherheitsmarkierungen zu versehen. Die Rollendefinitionen und -zuweisungen werden auf einem autonomen LDAP-Server gespeichert. LDAP kann natürlich nach wie vor auch für den Zugriff auf autonome LDAP-Server oder andere Arten von Verzeichnis-Servern verwendet werden.
6.2
Aufbau des Active Directory
Active Directory ist der Verzeichnisdienst von Microsoft, der mit Windows 2000 erstmals eingeführt wird. Ein Active Directory lässt sich nur mit einem Windows 2000 Serversystem implementieren. Dazu gibt es Clientsoftware, welche unter Windows 2000 Professional und Windows ME/9x die erweiterte Netzwerkfunktionalität dem Benutzer zur Verfügung stellt. In diesem Abschnitt geht es zunächst um die wesentlichen Bestandteile des Active Directory, welche serverseitig implementiert sind. Die
286
6 Grundlagen Active Directory Fragen zu den Active Directory Clients werden in Abschnitt 12.4.6 Clients anmelden ab Seite 672 näher betrachtet.
6.2.1
Überblick über die Komponenten
Aus den folgenden Komponenten ist das Active Directory aufgebaut: Verzeichnis
• Verzeichnis Im Verzeichnis, auch Verzeichnisdatenbank oder Directory Information Tree (DIT) genannt, sind alle Objekte (Verzeichnisinformationen) abgelegt. Dabei ist diese Datenbank so konzipiert, dass sie auch verteilt im Netzwerk gehalten werden kann und bei Bedarf bis zu mehrere Millionen Objekte verwalten kann.
Schema
• Schema Das Schema bestimmt die Eigenschaften (Attribute) und grundlegenden Objektstrukturen, welche im Verzeichnis gespeichert werden können. Objekte können Benutzer, aber auch Gruppen oder andere Organisationseinheiten sein. Attribute sind beispielsweise die E-Mail-Adresse oder die Telefonnummer eines Benutzers. Das Schema ist dabei nicht von vornherein festgelegt, wie das beispielsweise bei der Windows NT Benutzerverwaltung der Fall ist, sondern kann erweitert werden. Somit können jederzeit neue Attribute definiert werden, die dann einzelnen Objekten zugewiesen werden können und nach denen auch das Verzeichnis durchsucht werden kann.
Replikation
• Replikationsdienst Bei einer höheren Menge an zu verwaltenden Objekten macht es Sinn, die Verzeichnisdatenbank ganz oder teilweise auf mehrere Server zu verteilen. Damit wird durch Redundanz eine höhere Ausfallsicherheit erreicht sowie das Antwortverhalten verbessert. Ein Benutzer wird so beispielsweise bei der Anmeldung durch einen Server authentifiziert, der sich physisch in der Nähe befindet. Trotzdem kann der Datenbestand in der Verzeichnisdatenbank ebenfalls in einem großen Netzwerk, welches sich auch über Datenfernverbindungen erstrecken kann, konsistent gehalten werden. Fällt ein Server aus, führt das nicht unweigerlich zum Stillstand des Systems, sondern die Authentifizierungen erfolgen einfach beim nächsten Server. Der Replikationsdienst sorgt dafür, dass die verteilte Speicherung der Verzeichnisdatenbank im gesamten Netzwerk über mehrere Server realisiert werden kann.
6.2 Aufbau des Active Directory • Globaler Katalog
287 Globaler Katalog
Der globale Katalog stellt einen Index über die wichtigsten Informationen zu den Objekten im Active Directory dar. Damit wird eine komfortable und leistungsfähige Suchfunktion realisiert. • Sicherheitskonzepte
Sicherheit
Für die Regelung der Zugriffsrechte auf die Objekte im Active Directory gibt es integrierte Sicherheitskonzepte. Diese beginnen mit der korrekten und sicheren Authentifizierung und reichen bis zur Zuordnung der Rechte für einzelne Objekte und den sicheren Informationsaustausch im Active Directory. Diese Komponenten werden in den folgenden Abschnitten näher erläutert.
6.2.2
Verzeichnis
Bei dieser Datenbank, auch Verzeichnisdatenbank oder Directory In- DIT formation Tree (DIT) genannt, handelt es sich um eine spezielle Form einer relationalen Datenbank. In dieser werden ausschließlich Verzeichnisinformationen gehalten. Sie ist so ausgelegt, dass auch eine sehr hohe Anzahl an Objekten gespeichert werden kann. Das Antwortverhalten (Performance) bleibt dabei trotzdem – eine gute Planung und technische Umsetzung vorausgesetzt – sehr gut. Die Grundlage des Verzeichnisses im Active Directory bildet das Da- Grundlage ist X.500 tenmodell des X.500-Standards (siehe Abschnitt 6.1.2 X.500 ab Seite 267). Dieser beschreibt den grundsätzlichen Aufbau von Verzeichnisdiensten und wurde bereits 1988 verabschiedet. Microsoft orientierte sich bei der Entwicklung des Active Directory an diesem Standard, setzte ihn aber nicht vollständig um und implementierte teilweise eigene, proprietäre Erweiterungen. Begründet wird dies damit, dass eine reine X.500-Umsetzung eines Verzeichnisdienstes zu komplex und damit nicht marktfähig geworden wäre. Die teilweise Etablierung proprietärer Technologien im Active Direc- Zugriff über LDAP tory führt aber nicht zu Inkompatibilitäten oder Nachteilen für den Administrator oder Benutzer. Es konnten im Gegenteil so bestimmte Prozessabläufe, wie beispielsweise die Replikation des Verzeichnisses innerhalb des Active Directory, leistungsfähiger und besser anpassbar umgesetzt werden. Als Zugriffsprotokoll dient nicht gemäß X.500 das Directory Access Protocol (DAP), sondern die praxistauglichere Variante Lightwight Directory Access Protocol (LDAP). Dieses Protokoll ist international standardisiert und ermöglicht es beliebigen LDAP-Clients, das Verzeichnis zu nutzen.
288
6 Grundlagen Active Directory
6.2.3 Flexibel erweiterbar
Schema
Das Verzeichnisschema beschreibt genau, wie Objekte und deren Eigenschaften im Verzeichnis gespeichert werden können. Das flexible Schema im Active Directory ermöglicht es im Bedarfsfall, existierenden Objekten weitere Eigenschaften hinzuzufügen oder gar zusätzliche Objekttypen zu definieren. Dadurch eröffnen sich neue Möglichkeiten, denn eine Anwendung wie Microsoft Exchange (beispielsweise Exchange 2000) braucht somit keine eigene Benutzerdatenbank mehr. Im optimalen Fall findet eine Erweiterung des Verzeichnisschemas um entsprechende Objekte für die gewünschte Anwendung statt.
Einheiten des Schemas
Die Einheiten eines Verzeichnisschemas werden im Active Directory wie folgt eingeteilt: • Klassen • Attribute • Attribute der Klassen Alle Objekte werden normalerweise aus Klassen abgeleitet. Damit es nicht zu kompliziert wird, erzeugt Windows 2000 Server bei der Installation des Active Directory ein Beispiel-Schema. Eine wichtige Einschränkung gilt es zu beachten: Einmal definierte Klassen und Attribute eines Schemas können Sie nicht wieder löschen. Statt dessen besteht die Möglichkeit, die betroffenen Schemenobjekte zu deaktivieren. Als Administrator können Sie nicht ohne Weiteres Klassen und Attribute hinzufügen. Sie benötigen dazu eine eindeutige Objektkennung (X 500-OID), welche sich nur über entsprechend zertifizierte Organisationen beziehen lässt. Weitere Hinweise zur Erweiterung des Schemas erhalten Sie in der Online-Hilfe zu Windows 2000 Server.
6.2.4 Verfügbarkeit und Performance
Replikationsdienst
Um eine hohe Verfügbarkeit und Performance auch bei einem umfangreichen Active Directory zu gewährleisten, können Teile desselben oder das gesamte Verzeichnis auf mehrere Server repliziert werden. Die Anmeldung und der Zugriff eines Benutzers kann so am nächsten physischen Server erfolgen. Damit wird ein schnelles Antwortverhalten des Netzwerks garantiert. Fällt hingegen ein Server aus, kommt es nicht zwangsläufig zum Stillstand im Netzwerk. Der nächste verfügbare Server stellt die reibungslose Authentifizierung und den Zugriff der Benutzer sicher.
6.2 Aufbau des Active Directory
289
Hinzu kommt, dass Änderungen im Active Directory von jeder Stelle Einfachere aus im Netzwerk möglich sein sollen. Dabei darf natürlich der physi- Administration sche Standort keine Rolle spielen. So kann es für ein großes Netzwerk, welches sich über mehrere geografische Standorte erstreckt, wichtig sein, dass der entsprechende Administrator Änderungen an Benutzeroder anderen Objekteinträgen direkt dort vornehmen kann, wo er sich aufhält (beispielsweise in der Firmenzentrale). Die Änderungen müssen dann schnell und sicher im gesamten Active Directory bekannt gemacht werden Die Server, die im Netzwerk die verteilte Verzeichnisdatenbank hal- Domänencontroller ten, werden auch Domänencontroller genannt. Im Gegensatz zum Vorgänger NT wird hierbei nicht mehr zwischen primären und Sicherungsdomänencontrollern unterschieden, sondern die Domänencontroller sind gleichrangig. Im Active Directory wird für den Datenaustausch der Verzeichnisänderungen zwischen den Domänencontrollern die Multi-Master-Replikationsmethode angewandt. Dadurch können Änderungen an jedem Domänencontroller des Active Directory vorgenommen werden, welche dann automatisch auf alle anderen Domänencontroller repliziert werden. Auf konkrete Aspekte bei der Planung und Umsetzung der Verzeichnisreplikation wird in Abschnitt 6.3.5 Replikation ab Seite 302 gesondert eingegangen.
6.2.5
Globaler Katalog
Ein Verzeichnisdienst sollte generell auch über Suchfunktionen verfü- Suchdienst gen, mit deren Hilfe sich Informationen wie in gewöhnlichen Telefonoder Adressbüchern finden lassen. Als Suchbegriffe dienen dabei üblicherweise bestimmte Attribute von Objekten wie zum Beispiel Namen oder E-Mail-Adressen. Um diesen Anforderungen gerecht zu werden, beinhaltet das Active Directory einen globalen Katalog (Global Catalog), welchen man auch als übergreifenden Index bezeichnen kann. Um eine schnelle Suche im gesamten Verzeichnis zu möglichen, wer- Ausgewählte den ausgewählte Attribute von allen Objekten des Active Directory im Attribute globalen Katalog erfasst (partielle Replikation). Dabei können auch die Objekte mehrerer Domänen im globalen Katalog zusammengefasst werden. So lassen sich Suchfunktionen domänenübergreifend einsetzen und schnelle Ergebnisse sicherstellen. Neben den festen Standardattributen können durch den Administrator auch weitere Attribute zur Indizierung durch den globalen Katalog festgelegt werden. Voraussetzung ist dabei das Recht des Administrators, das Schema des Active Directory anpassen zu können. Der globale Katalog-Dienst wird auf spezifischen Servern ausgeführt, Katalog-Dienst die als Domain Controller innerhalb der Netzwerkumgebung arbeiten. Es bleibt dem Systemverwalter überlassen, ob er einen Domain Cont-
290
6 Grundlagen Active Directory roller zu einem Katalog-Server ernennt. In jedem Fall ist es empfehlenswert, von wenigstens einem Domain Controller pro Standort einen globalen Katalog führen zu lassen. Auf diese Weise ist sichergestellt, dass Suchoperationen direkt und ohne Verzögerung vorgenommen werden können. Die restlichen Domänencontroller bleiben auf diese Weise von den Suchanfragen unbelastet. Lesen Sie in Abschnitt 12.2.1 Anpassung des Globalen Katalogs ab Seite 626, wie Sie globale Katalogserver einrichten und verwalten können. Auf die planerischen Aspekte, die dem vorausgehen sollten, wird im nächsten Abschnitt eingegangen.
6.3
Physische Struktur des Active Directory
Mit Windows 2000 Server besteht die Möglichkeit, die physische Struktur eines großen Netzwerks von der logischen Struktur zu trennen. Die physische Struktur beschreibt die Eigenschaften der verwendeten Technik – Server, Router, Hubs usw. –, die Komponenten, aus denen das Netzwerk zusammengesetzt ist. Die logische Struktur dagegen stellt die Objekte des Netzwerkes aus Sicht ihrer Funktion dar. Für den effektiven Umgang ist die logische Struktur und diese Trennung sehr wichtig. In diesem Abschnitt werden die Elemente des Active Directory beschrieben, welche die physische Struktur abbilden: • Domänencontroller • Globaler Katalog • Standorte Zur darauf aufbauenden logischen Struktur lesen Sie auch den Abschnitt 6.4 Logische Struktur des Active Directory ab Seite 306.
6.3.1
Probleme mit der Trennung der Modelle
Wenn Sie die logische Struktur entwerfen, werden Sie nicht umhin können, die physische Struktur zu beachten. Es ist zwar eine weitreichende Trennung möglich, in der Praxis scheitern solche theoretischen Entwürfe sehr schnell. Globale Verzeichnisse zeichnen sich durch einen regen Datenaustausch zwischen den Komponenten aus. Wenn Sie die physische Struktur nicht beachten, können schnell Probleme mit der Datenübertragung auftreten. Die Replikation über eine langsame WAN-Verbindung kann die Nutzung im Alltag unmöglich machen. Ein weiterer Aspekt ist die Verfügbarkeit von Namensräumen im Hinblick auf die bestehende Infrastruktur. Niemand setzt ein Active Directory in einem internationalen Unternehmen von Null auf. Die
6.3 Physische Struktur des Active Directory
291
Migration bestehender Strukturen dürfte der Regelfall sein. Auch wenn wir – wie viele andere Praktiker – die parallele Installation empfehlen, irgendwann befinden sich neue und alte System am selben Netzwerkstrang. Spätestens dann stolpern Sie über Namenskonflikte. Hier muss ebenfalls die bestehende und künftige physische Struktur beim Entwurf der logischen Modelle berücksichtigt werden.
6.3.2
Domänencontroller
Der Domänencontroller ist ein Server, der die vollständige Datenbank des Active Directory für eine Domäne enthält.
Typen von Domänencontrollern Eine Domäne verfügt über einen oder mehrere Domänencontroller. Im Gleichberechtigte Gegensatz zum Vorgänger NT sind allerdings alle Domänencontroller Domänencontroller einer Domäne gleichberechtigt, es gibt keine Unterscheidung mehr zwischen einem übergeordneten primären Domänencontroller und Sicherungsdomänencontrollern. Dadurch kann insbesondere die Administration erheblich vereinfacht werden. Mit der Installation des ersten Domänencontrollers wird das Verzeichnis aufgebaut. Jeder weitere Domänencontroller enthält wiederum das komplette Verzeichnis, welches zwischen den Domänencontrollern einer Domäne repliziert wird. Innerhalb einer Domäne werden die Änderungen der Verzeichnisin- Multi-Masterformationen mit einer Multi-Master-Replikation auf allen Domänen- Replikation controllern durchgeführt. Damit können Sie als Administrator grundsätzlich alle Verwaltungsarbeiten am Active Directory und seinen Objekten an jedem Domänencontroller durchführen. Während also unter NT Änderungen immer am primären Domänencontroller vorgenommen werden mussten, der das Verzeichnis dann auf die Sicherungsdomänencontroller replizierte, können Sie dies nun an jedem beliebigen Domänencontroller tun. Der Vorteil dieser Vorgehensweise wird dann besonders deutlich, Vereinfachte wenn der primäre Domänencontroller eines NT-Netzwerks einer grö- Administration ßeren Firma beispielsweise in der Firmenzentrale steht und für Verwaltungsaufgaben von einem entfernteren geografischen Standort nur über eine schmalbandige Datenfernverbindung erreichbar ist. Im Active Directory könnten Sie diese Verwaltungsaufgaben auch am nächstgelegenen Domänencontroller vornehmen, der dann seinerseits die Änderungen an alle anderen Domänencontroller repliziert. Nach außen sind Domänencontroller über das standardisierte LDAP- Protokolle Protokoll erreichbar (siehe auch Abschnitt 6.1.3 LDAP ab Seite 281),
292
6 Grundlagen Active Directory die Replikationsvorgänge hingegen laufen über ein proprietäres Protokoll ab.
Domänencontroller im Detail Domänencontroller sind weniger aufwändig, als ihr Einsatzzweck vermuten lässt. Die folgende Liste zeigt typische Aufgaben, für die sie zuständig sind: • Jeder Domänencontroller ist für genau eine Domäne zuständig. • Jede Domäne muss mindestens einem Domänencontroller zugewiesen sein. • Der Domänencontroller führt die Anmeldung von Benutzern an der Domäne aus. • Der Domänencontroller beantwortet Anfragen an die Domäne, beispielsweise die Suche nach Objekten in der Domäne. • Auf dem Domänencontroller und mit Hilfe seiner Werkzeuge werden Objekte der Domäne erstellt, bearbeitet und gelöscht. • Wenn mehr als ein Domänencontroller in einer Domäne existiert, müssen Änderungen der Datenbank auf allen Systemen erfolgen – dieser Vorgang wird Replikation genannt. Die Replikation ist standardmäßig bidirektional, kann aber vielfältig modifiziert werden. Die Namenskontexte
Innerhalb einer Domänen existieren drei Namenskontexte. Diese werden oft auch als Partitionen bezeichnet. Namenskontexte sind folgende replizierbare Einheiten: • Schema Dies ist die Definition der Objekte und ihrer Attribute, die im Active Directory existieren dürfen. • Standort- und Dienstkonfiguration Hierunter werden der Replikationsmechanismus und die Struktur der Umgebung der Domäne verstanden, also die Domänenstruktur und -gesamtstruktur. • Benutzernamensräume Damit sind die Strukturen zu verstehen, die die Objekte enthalten. Normalerweise gibt es unterhalb der Domäne nur eine Hierarchie. Künftige Versionen sollen diese Limitierung umgehen können. Bei der Replikation innerhalb einer Gesamtstruktur verhalten sich die Namenskontexte unterschiedlich. Die Standort- und Dienstkonfiguration wird an jeden Domänencontroller der Gesamtstruktur repliziert,
6.3 Physische Struktur des Active Directory der Benutzernamensraum der Domäne dagegen nur an die Domänencontroller der Domäne.
Einbeziehen normaler Server Im lokalen Netzwerk existieren, wenn Sie noch kein Active Directory haben, Windows 2000 Server in zwei Versionen: • Alleinstehender Server Darunter wird jeder Server verstanden, der mit Windows 2000 Server läuft und nicht Mitglied einer Domäne ist. • Mitgliedsserver Dies gilt für jeden Server, der Mitglied einer Domäne ist, als Server arbeitet, aber nicht als Domänencontroller installiert wurde. Beide Arten von Servern können mit Hilfe des Active DirectoryInstallationsprogramms zu Domänencontrollern gewandelt werden.
Replikationsprinzipien Domänencontroller sorgen automatisch für bestimmte Replikationsprinzipien. Darüber hinaus sind vielfältige Steuerungen möglich. Zu den wichtigsten Aspekten gehören folgende: • Repliziert werden nur Änderungen von Eigenschaften. Wenn sie beispielsweise die Adresse eines Benutzers ändert, wird nur diese übertragen, nicht das ganze Benutzerobjekt. • Der Zeitplan, nach dem repliziert wird, kann für Verbindungen mit unterschiedlichen Bandbreiten getrennt aufgestellt werden, sodass eine Anpassung an die physischen Gegebenheiten erfolgt. Aus diesem Grund muss für einen entfernten Standort keine neue Domäne erstellt werden. Dies ist wichtig, denn Active Directory kann sehr große Strukturen effektiv mit einer oder sehr wenigen Domänen verwalten. Auf die theoretischen Grundlagen der Replikation wird in Abschnitt 6.3.5 Replikation ab Seite 302 detailliert eingegangen.
6.3.3
Globaler Katalog
Für die Bereitstellung des globalen Katalogs können Sie beliebige Domänencontroller eines Standortes bestimmen. Pro Standort sind in der Regel ein bis zwei globale Katalogserver zu empfehlen. Der normale Benutzer, der eine Suche im Active Directory startet, wird von der
293
294
6 Grundlagen Active Directory Existenz globaler Katalogserver nichts bemerken, sondern nur vom schnellen Antwortverhalten profitieren.
Katalogserver
Grundsätzlich wird der erste Domänencontroller eines Domänenwaldes automatisch zum globalen Katalogserver. Alle weiteren globalen Katalogserver müssen hingegen manuell konfiguriert werden.
Netzlast verringern
Insbesondere bei Berücksichtigung der Datenverbindungen in großen Netzwerken kann die zusätzliche Einrichtung globaler Katalogserver Sinn machen, um schmalbandige Datenfernverbindungen zu entlasten. In Abschnitt 12.2.1 Anpassung des Globalen Katalogs ab Seite 626 erfahren Sie, wie Sie globale Katalogserver einrichten und gegebenenfalls die betreffenden Attribute des globalen Katalogs anpassen können.
Das Konzept des globalen Katalogs Um das Konzept des globalen Katalogs zu verstehen, sind folgende Eigenschaften wichtig: • Der globale Katalog ist eine zentrale Datenbank zur Beantwortung von Anfragen, ein so genanntes Repository. Dieser Katalog enthält alle Namenskontexte der Gesamtstruktur. • Der globale Katalog enthält alle Objekte aller Domänen des Active Directory und einen Auszug der Attribute dieser Objekte. Der Auszug der Attribute betrifft die am häufigsten genutzten. • Eine direkte Anfrage an den globalen Katalogserver belastet das Netzwerk nur wenig. Im Gegensatz dazu kann eine Anfrage per LDAP nur innerhalb einer Domänenstruktur abgesetzt werden. Direkte Anfragen werden intern in LDAP-Anfragen gewandelt. Um direkt anfragen zu können, stellt der Katalogserver einen dedizierten Port (standardmäßig 3268) zur Verfügung. • Client-Computer finden den globale Katalogserver über den DNSDienst. • Im globalen Katalog werden auch universelle Gruppen und deren Mitglieder gespeichert. Lokale Gruppen und Domänengruppen werden ebenfalls im globalen Katalog gespeichert, jedoch nicht deren Mitglieder. • Jeder Domänencontroller kann den globalen Katalog enthalten; welcher von ihnen diese Aufgabe übernimmt, spielt keine Rolle. Der erste Domänencontroller übernimmt automatisch den globalen Katalog nach der Installation. Dies kann später geändert werden. • In jedem Standort kann nur ein globaler Katalog existieren.
6.3 Physische Struktur des Active Directory
295
• Der Zugriff auf den globalen Katalog kann auch per LDAP und MAPI erfolgen. • Der globale Katalogserver muss an einer Domäne angemeldet sein.
Der globale Katalog Der globale Katalog ist nur sinnvoll, wenn Sie mehrere Domänen in einer Domänenstruktur oder -gesamtstruktur haben. In diesem Fall ist die zentrale Anfrage effizienter als per LDAP an jede einzelne Domäne. Erreicht wird dies durch einen dedizierten Port. Solche Anfragen kommen häufig vor, weil Benutzer nicht immer wissen können, in welcher Domäne sich das gesuchte Objekt befindet. Vor allem die Suche nach Attributen ist sehr effektiv. So könnte in einem internationalen Unternehmen ein Benutzer eine Telefonnummer eines anderen Kollegen suchen, von dem nur die E-Mail-Adresse bekannt ist. Solche Anfragen bearbeitet der globale Katalogserver sehr gut. Der globale Katalog bietet ein hohes Maß an Sicherheit. Zu jedem Ob- Hohe Sicherheit jekt werden auch die Zugriffsrechte übertragen. Objekte, auf die Benutzer keinen Zugriff haben sollen, lassen sich auch nicht mit Hilfe des Katalogservers aufspüren. Das Prinzip des globalen Katalogs enthält aber einige Probleme. Die Nachteile Kenntnis ist für den Entwurf einer Struktur wichtig: • Der globale Katalog führt zu mehr Datenverkehr zwischen Standorten. Teile der Domäne werden doppelt repliziert, einmal für die Domänencontroller und einmal für die Katalogserver. Werden universelle Gruppen zu intensiv genutzt, steigt der Replikationsbedarf stark an. • Anfragen können nur auf gespeicherten Attributen basieren. Bei der Anfrage an den globalen Katalog müssen Attribute angegeben werden, beispielsweise ein Benutzername. Es werden aber nicht alle Attribute im globalen Katalog gespeichert. Solche exotischen Anfragen lassen sich so nicht beantworten. Auch das Blättern in den Objektstrukturen ist nicht möglich. • Der globale Katalog ist unabhängig von der Domäne. Da der globale Katalog nicht Bestandteil einer Domäne ist, greift er auch bei Anfragen nicht darauf zurück. • Jeder Standort benötigt einen eigenen globalen Katalog. Keine Domäne kann ohne Zugriff auf einen globalen Katalog existieren. Für die Authentifizierung von Benutzern ist die Kenntnis
296
6 Grundlagen Active Directory der Mitgliedschaft in universellen Gruppen wichtig. Da diese aber auch in anderen Domänen definiert werden können, kennt nur der globale Katalog alle universellen Gruppen. Außerdem greifen Serverapplikationen wie Exchange 2000 auf den globalen Katalog zu.
6.3.4
Standorte
Als Standort wird allgemein ein Teil eines Netzwerks mit ein oder mehreren TCP/IP-Subnetzen bezeichnet. Genauer – auch im Hinblick auf die Verwendung – sind Standorte solche Teile des Netzwerks, die mit Leitungen hoher Bandbreite verbunden sind. Das führt dazu, dass Standorte auch oft den geografischen Standorten eines Unternehmens folgen. Dies muss jedoch nicht zwangsläufig so sein. Es geht tatsächlich um die Trennung von Gebieten durch Verbindungen mit geringer Bandbreite. Die Replikation basiert auf der Verteilung von Daten innerhalb von Standorten. Die Definition von Standorten ist auch aus Gründen der Optimierung der Replikation wichtig. Dieser Teil wird in Abschnitt 6.3.5 Replikation ab Seite 302 beschrieben. Die Informationen über den Aufbau der Standorte sind wichtig für den Anmeldeprozess – der Client kann so den am nächsten stehenden Domänencontroller zur Authentifizierung ermitteln. Ein Standort muss nicht zwangsläufig mehrere Domänen enthalten oder genau den Domänengrenzen folgen. Die Standortdefinition unterliegt nur der physischen Struktur des Netzwerks, während Domänen eine logische Strukturierung darstellen.
Standorte im Detail Standorte enthalten Informationen über die physische Struktur des Netzwerks und die optimale Replikation. Mit Hilfe von Standorten lassen sich auch fehlertolerante Netzwerke entwerfen, die Verfügbarkeit von Ressourcen verbessern und die allgemeine Leistung des Systems erhöhen. Ein Standort kann gut folgende Aufgaben übernehmen: • Eine Sammlung von Computern, die schnell und billig miteinander kommunizieren können. • Eine Struktur, die unabhängig von der logischen Struktur einer Domäne ist. • Ein Konzept, das die Erkennung physisch naher Ressourcen ermöglicht.
6.3 Physische Struktur des Active Directory
297
• Ein physisches Ordnungsprinzip, mit dem die Zuverlässigkeit verbessert werden kann.
Definition eines Standortes Ein Standort beschreibt alle Computer, die über eine sehr gute Ver- Verbindungsbindung kommunizieren können. Diese Aussage alleine legt nahe, geschwindigkeit immer nur lokale Netzwerke als Standorte zu betrachten. Geht man heute davon aus, dass lokale Netzwerke mit 100 MBit arbeiten und manche Weitverkehrsverbindung 155 MBit hat, ist diese Definition nicht immer zutreffend. Den meisten Unternehmen dürften jedoch 155 MBit nicht exklusiv zustehen. Gemietete Leitungen garantieren selten eine bestimmte Bandbreite in dieser Größenordnung. Verbindungen über mehrere Router sind ohnehin verhältnismäßig langsam. Der Zusammenhang mit den Routern ist auch ein Weg, die richtige TCP/IP-Subnetze Konfiguration für einen Standort herauszufinden. So werden über Router oft langsame Subnetze abgetrennt. TCP/IP-Subnetze sind die andere Grenze, die Standorte definieren. Jedes Subnetz kann nur Bestandteil genau eines Standorts sein. Active Directory löst solche Beziehungen mit Hilfe von reversen Namensserverabfragen auf.
Dienste von Standorten Die Definition von Standorten dient auch der Festlegung der Zuständigkeit für bestimmte Aufgaben: • Authentifizierung Wenn ein Benutzer seinen Arbeitsplatz einschaltet und sich an der Domäne anmeldet, sucht der zuerst angesprochene Server einen Domänencontroller und anschließend den globalen Katalog, der sich im selben Standort wie der Arbeitsplatz befindet. Durch diese Zuweisung wird der über Standorte hinausgehende Netzwerkverkehr minimiert. • Replikation Auch für die Replikation sind Standorte bedeutungsvoll. Die Konfiguration des Standorts bestimmt, wie und wohin repliziert wird. Domänencontroller und globale Kataloge replizieren sehr oft – meist unmittelbar nach Änderungen –, während standortübergreifend nach anderen, vom Administrator einstellbaren Regeln repliziert wird, die auf die Gegebenheiten des Netzwerks Rücksicht nehmen.
298
6 Grundlagen Active Directory • Active-Directory-Dienste Einige Dienste sind an den Standort gebunden, beispielsweise das verteilte Dateisystem (Distributed File System, DFS; siehe auch Abschnitt 4.5 Verteiltes Dateisystem (DFS) ab Seite 144). Standorte dienen dazu, das richtige Verhältnis zwischen den Ansprüchen der Benutzer – schnelle Anmeldung, Verfügbarkeit globaler Informationen und Zugriff auf Ressourcen – mit den tatsächlichen physischen Gegebenheiten des Netzwerks in Übereinstimmung zu bringen. Oft verwendet auch Software anderer Hersteller die Definition des Standortes, um schnelle von langsamen Verbindungen zu unterscheiden und die eigenen Produkte darauf abzustimmen. Unglücklich definierte Standorte führen dann zu Leistungseinbrüchen. So könnte ein Benutzer, der zu Besuch in einer entfernten Niederlassung des Unternehmens ist, sich dort an einem zeitweilig bereitgestellten Arbeitsplatz anmelden. Wenn er nun üblicherweise Applikationen auf einem Applikationsserver startet, der auf seinem Standort läuft, könnte die Applikation in der Lage sein, den Standortwechsel zu erkennen und die Ausführung der Aufgabe auf eine Kopie der Software in einem anderen Standort zu übertragen. Wenn Sie jetzt bemerken, dass solche Applikationen noch nicht weit verbreitet sind, denken Sie daran, dass Active Directory erst seit kurzer Zeit existiert und sich erst mit den künftigen Windows-Versionen, Whistler und seine Nachfolger, richtig etablieren wird. Ihre heute definierten Standorte werden aber auch dann noch existieren.
Standorte aus Sicht eines Intranet Um die Replikation zwischen den Domänencontrollern auszuführen, muss die Topologie bekannt sein. Windows 2000 setzt dazu einen Prozess ein, der Knowledge Consistency Checker (KCC) genannt wird. Damit wird ein Ring definiert, in dem die Domänencontroller angeordnet sind und an dem entlang die Replikation abläuft. Damit ist sichergestellt, dass von jedem Domänencontroller zwei Pfade zum nächsten führen. Fällt ein Domänencontroller im Ring aus, gibt es immer noch einen zweiten Weg, alle anderen zu erreichen. Manchmal werden sehr viele Domänencontroller eingesetzt, weil die Dichte an Arbeitsstationen im lokalen Netzwerk sehr groß ist. Dann erkennt KCC dies und wird Querverbindungen hinzufügen. Als Faustregel wird dabei versucht, nicht mehr als drei Hops von der Datenquelle bis zur Datensenke zu erzeugen. Das ist der Fall, wenn der Ring mehr als sechs Domänencontroller enthält.
6.3 Physische Struktur des Active Directory
299 Abbildung 6.3: Größtmöglicher Ring aus Domänencontrollern mit maximal drei Hops
Der KCC erzeugt dabei so lange neue Querverbindungen per Zufallsgenerator, bis die Regel – maximal drei Hops zum Ziel – wieder für alle Domänencontroller erfüllt ist. Abbildung 6.4: Ring mit neun Domänencontrollern und Querverbindungen
KCC läuft auf jedem Domänencontroller im Hintergrund und kann durch Abstimmung mit anderen KCC-Prozessen die Topologie ermitteln. Insbesondere wird der Ausfall eines Domänencontrollers sofort bemerkt und die Topologie angepasst. Sie können den KCC abschalten und die Topologie von Hand festle- KCC ist gen. Dies ist normalerweise nicht notwendig und vor allem auch nicht abschaltbar empfehlenswert. Erst bei sehr durchwachsenen Strukturen, Netzwerken mit stark unterschiedlich belasteten Segmenten, kann der KCC versagen und den Eingriff des Administrators notwendig machen. Dies erfolgt durch die Definition so genannter Verbindungsobjekte, die die zwei Endpunkte einer Replikationslinie zwischen zwei Domänencontrollern bezeichnen. Dies kann man aber getrost als hohe Kunst
300
6 Grundlagen Active Directory bezeichnen, und deshalb behalten wir uns dieses Thema für ein spezielles Buch zu Active Directory vor. KCC definiert die bereits erwähnten Verbindungsobjekte automatisch. Zusätzliche sollten Sie nur festlegen, wenn es dafür einen wirklich guten Grund gibt. KCC wird manuell erzeugte Verbindungsobjekte nicht wieder löschen. Der Eingriff bedingt also einen fortlaufend höheren Administrationsaufwand, der meist durch nichts gerechtfertigt ist.
Standorte aus Sicht eines Internet Das Internet tritt in Erscheinung, wenn öffentliche Leitungen zwischen Standorte genutzt werden. Wenn Sie keine verteilten Standorte haben, ist dieser Abschnitt unzutreffend. Besteht jedoch die Notwendigkeit, mehrere Standorte aufzusetzen, müssen Sie die dann ablaufenden Replikationsprozesse bei der Definition der Standorte kennen. Zwei Instrumente dienen der Verbindung zwischen Standorten: • Standortverknüpfungen (Site Links) • Standortverknüpfungsbrücken (Site Link Bridges) Diese Form der Verbindung muss immer manuell konfiguriert werden, eine Hilfe wie KCC steht nicht zur Verfügung. Allerdings wird beim Hinzufügen eines Domänencontrollers eine Standortverknüpfung angeboten, sodass der erste Schritt mit wenig Aufwand verbunden ist. Standortverknüpfungen
Eine Standortverknüpfung verbindet zwei oder mehr Standorte miteinander. Eine solche Verbindung ist immer unidirektional – also in einer Richtung – und kann transitiv sein. Sie müssen normalerweise Standortverknüpfungen zwischen allen Standorten und für alle denkbaren Richtungen einrichten. Für jede Standortverknüpfung können folgende Komponenten konfiguriert werden: • Transport Das Transportprotokoll, das für die Datenübertragung genutzt werden soll; hier besteht die Wahl zwischen RPC (Remote Procedure Call) und SMTP (Simple Mail Transfer Protocol). RPC ist effektiv, verwendet Komprimierung und ist das Standardprotokoll für diesen Vorgang. SMTP ist eigentlich ein Protokoll zum Austausch von E-Mail zwischen E-Mail-Servern. Dies ist mit einigen Einschränkungen verbunden, dafür funktioniert es auch mit einfachsten Internetverbindungen. Im Wesentlichen kann SMTP nur für die
6.3 Physische Struktur des Active Directory
301
Replikation des globalen Katalogs zwischen Standorten eingesetzt werden. • Kosten Zu jeder Standortverknüpfung kann ein Kostenfaktor definiert werden. Dies ist ein abstrakter Wert, kein Geldwert. Stehen aber mehrere Verbindungen zur Auswahl, wird der günstigste Weg zuerst versucht. Erst wenn diese Verbindung ausfällt, wird eine teurere Alternative genutzt. So lassen sich parallel zu einer Festverbindung auch Wählverbindungen vorhalten, die nur im Fehlerfall genutzt werden. • Häufigkeit Hier wird definiert, wie oft die Verbindung genutzt wird, um zu prüfen, ob eine Replikation notwendig ist. Die Angabe erfolgt in Minuten. • Ausführungszeitplan Der Zeitplan legt fest, wann eine bestimmte Verbindung verfügbar ist. Interessant ist das für Wählleitungen, die zu bestimmten Zeiten billig sind. Eine andere Anwendungsmöglichkeit ist die Anpassung an die Arbeitsweise des Unternehmens. So könnte man die Replikation am Wochenende unterdrücken, um Kosten zu sparen – Änderungen können in dieser Zeit ohnehin nicht erfolgen. Bei deaktivierter Transitivität können Standorte nicht »in Reihe« ge- Standortbrücken schaltet werden. Standortverknüpfungen sind netzförmig anzulegen, nicht ringförmig. Das ist nicht immer optimal. Deshalb gibt es Standortbrücken. Diese können innerhalb eines Standortes zum Weiterreichen der Replikationsdaten an einen anderen Standort genutzt werden. Damit lassen sich Übertragungswege optimieren. Mit Hilfe der Verbindungsobjekte können Sie die Topologie völlig frei Verbindungsobjekte gestalten. In der Praxis gibt es drei Wege, vorzugehen: • Manuell. Hier deaktivieren Sie den KCC und stellen alles selbst ein. • Vollautomatisch. Schalten Sie die Transitivität ein und überlassen Sie alles Active Directory. • Automatisch mit Eingriff. Schalten Sie nur die Transitivität ab und richten bevorzugte Routen für die Replikation ein. Dies spart Kosten und überlässt die aufwändige lokale Konfiguration Active Directory. Wenn Sie Ihr erstes Active Directory aufsetzen, verwenden Sie unbedingt die vollautomatische Konfiguration.
302
6 Grundlagen Active Directory Wahl der Replikationstopologie Ein Active Directory benötigt eine Replikationstopologie. Diese Aussage ist naheliegend – und falsch. Sie benötigen zwei derartige Topologien: • Eine Replikationstopologie für die Namenskontexte • Eine für jede Domäne Jede Replikationstopologie für einen Namenskontext (Schema, Konfiguration und Benutzer) kann einem eigenen Replikationsmechanismus gehorchen.
6.3.5
Replikation
In einem Netzwerk gibt es immer zwei Quellen für den Netzwerkverkehr – die Benutzer bei der Ausführung der Arbeitsvorgänge und Server, die automatische Prozesse zur Aufrechterhaltung ihrer Funktionen ablaufen lassen. Unter den Serverprozessen ist die Replikation einer der aufwändigsten und umfangreichsten Vorgänge. Das Verständnis für den Ablauf der Replikation ist wichtig, um mit Bandbreite sorgfältig umzugehen und das Netzwerk performant und stabil zu halten.
Verfahren MultimasterReplikation
Active Directory verwendet die so genannte Multimaster-Replikation. Dabei ist kein Domänencontroller ein Master – alle sind gleichberechtigt. Dies hat einige signifikante Vorteile: • Es existiert kein Server, dessen Ausfall das gesamte Netzwerk zum Stillstand bringt. • Änderungen können an jedem Domänencontroller vorgenommen werden. Die Informationen sind dezentralisiert. Für die Ausführung der Replikation werden zwei Formen unterschieden, die ansatzweise bereits bei den Standorten diskutiert wurden: • Replikation innerhalb eines Standortes Hier wird von schnellen Verbindungen ausgegangen. Als Protokoll kommt RPC (Remote Procedure Call) zum Einsatz. Die Replikationstopologie kann automatisch erstellt werden.
6.3 Physische Struktur des Active Directory
303
• Replikation zwischen Standorten Hier kommen WAN-Verbindungen zum Einsatz. Als alternatives Protokoll steht SMTP zur Verfügung. Die Verknüpfung muss von Hand konfiguriert werden.
Betriebsmaster Grundsätzlich sind alle Domänencontroller einer Domäne gleichbe- Betriebsmaster rechtigt. Trotzdem gibt es spezielle Aufgaben, die nur bestimmte Do- FSMO-Server mänencontroller ausführen dürfen. Diese werden unter dem Begriff Betriebsmaster oder Flexible Single Master Operation-Server (FSMOServer) geführt. Im Active Directory sind fünf verschiedene FSMOServer definiert, welche im Folgenden näher betrachtet werden: • Schema-Master
Schema-Master
Einen der sensibelsten Bereiche im Active Directory stellt sicherlich das Schema dar, ist doch hier definiert, was im Verzeichnis gespeichert werden kann. Um Inkonsistenzen im Schema zu verhindern, kann die Rolle des Schema-Masters nur ein einziger Domänencontroller bekleiden. Dies trifft sowohl für eine alleinstehende Domäne als auch auf eine Domänenstruktur zu. Der Schema-Master darf auch in einer Gesamtstruktur nur auf einem einzigen Domänencontroller laufen. Beim Schema-Master in einem größeren Netzwerk sollten Sie besonders auf eine hohe Ausfallsicherheit achten. Bei einem Ausfall Ausfall des des Schema-Masters wird der normale Netzwerkbetrieb zwar nicht Schema-Masters beeinträchtigt, aber es können keine Änderungen mehr am Schema vorgenommen werden. Bei einem Totalausfall eines SchemaMasters kann diese Rolle auch einem anderen Domänencontroller zugewiesen werden. Diese Übertragung der SchemaMasterfunktion hat allerdings weitreichende Konsequenzen. Ein Domänencontroller, von dem wegen eines Ausfalls die Schema-Masterfunktion auf einen anderen Domänencontroller übertragen wurde, darf auf keinen Fall mehr in das Netzwerk eingebunden werden. Das sollten Sie auf jeden Fall beachten, bevor Sie diese Masterfunktion bei einem vielleicht nur vorübergehenden Ausfall vorschnell auf einen anderen Domänencontroller übertragen. • RID-Master Für die eindeutige Identifizierung von Objekten innerhalb des Active Directory werden RIDs (siehe auch Abschnitt 6.6.3 Elemente der Systemsicherheit ab Seite 339) benötigt. In einem großen Netzwerk
RID-Master
304
6 Grundlagen Active Directory mit einer Vielzahl von Objekten würde es viel zu lange dauern, vor dem Anlegen eines neuen Objektes mit allen Domänencontrollern zu kommunizieren, um eine RID zu ermitteln, die eindeutig und auf keinen Fall schon in Benutzung ist. Zur Vereinfachung dieses Prozesses wird ein Domänencontroller für jede Domäne als RIDMaster bestimmt, der Pools von jeweils 500 vordefinierten, eindeutigen RIDs an die Domänencontroller vergibt. Sind nur noch 100 RIDs verfügbar, fordert der betreffende Domänencontroller einfach einen neuen Pool beim RID-Master an.
Ausfall des RIDMasters
Bei Ausfall des RID-Masters wird zunächst der normale Netzwerkbetrieb nicht beeinträchtigt. Im schlimmsten Fall verfügt der Domänencontroller noch je über 100 übriggebliebene RIDs, sodass auch die Einrichtung neuer Objekte zunächst noch möglich ist. Bemerkbar wird der Ausfall für den Administrator nur dann, wenn dieser neue Objekte anlegen will und der betreffende Domänencontroller über keine freien RIDs mehr verfügt. Bei einem dauerhaften Ausfall des RID-Masters kann diese Rolle auch auf einen anderen Domänencontroller übertragen werden. Allerdings hat dies auch hier, wie schon beim Schema-Master beschrieben, Konsequenzen: Ein RID-Master, von dem diese Masterfunktion wegen eines Ausfalls auf einen anderen Domänencontroller übertragen worden ist, darf auf keinen Fall mehr im Netzwerk in Betrieb gehen. Damit verbietet sich ein Vorgehen, bei dem nach einem Ausfall diese Masterfunktion auf einen anderen Domänencontroller übertragen worden ist und nach einer erfolgten Wiederherstellung des alten RID-Masters dieser wieder in Betrieb genommen wird.
DNS-Master
• DNS-Master Nur über den DNS-Master können Sie in einer Gesamtstruktur Domänen hinzufügen und entfernen. Dieser Master stellt dabei sicher, dass es dabei zu keinen Namenskonflikten im Domänenwald kommt. Der DNS-Master darf in einer Gesamtstruktur nur auf einem einzigen Domänencontroller laufen.
Ausfall des DNSMasters
Ein Ausfall dieses Masters wird die normale Netzwerkfunktionalität im Active Directory nicht beeinflussen, es sei denn, Sie versuchen, die Gesamtstruktur zu verändern. Bei einem dauerhaften Ausfall des DNS-Masters kann diese Masterrolle auch auf einen anderen Domänencontroller des Domänenwaldes übertragen werden. Allerdings gilt auch hier, wie zuvor beim Schema- und beim RID-Master, dass diese erzwungene Übertragung ein dauerhaftes Entfernen des alten DNS-Masters aus dem Netzwerk erfordert.
6.3 Physische Struktur des Active Directory
305
Ein DNS-Master, von dem diese Masterfunktion wegen eines Ausfalls auf einen anderen Domänencontroller übertragen worden ist, darf auf keinen Fall mehr im Netzwerk in Betrieb gehen. Deswegen gilt auch hier, gewissenhaft zu prüfen, ob der DNSMaster nach einer Wiederherstellung seinen Dienst aufnehmen kann oder nach einem Ausfall dauerhaft entfernt wird. • PDC-Emulator
PDC-Emulator
Zur Wahrung der Abwärtskompatibilität mit Windows NT Domänen können Domänen im Active Directory im Gemischten Modus (siehe auch Abschnitt 6.8.2 Die Modi einer Domäne ab Seite 374) betrieben werden. In einer derartigen Domäne wird einem Domänencontroller die Rolle des PDC (Primary Domain Controller)Emulators übertragen. Alle anderen Windows 2000 Domänencontroller verhalten sich dann gegenüber NT Domänencontrollern wie Sicherungsdomänencontroller. Weiterhin stellt der PDC-Emulator sicher, dass Down Level-Clients1 trotzdem in das Netzwerk integriert werden können und Änderungen an deren Benutzerkonten schnell über alle Domänencontroller repliziert werden. Der Ausfall des PDC-Emulators kann direkte Auswirkungen auf Ausfall des PDCden Netzwerkbetrieb für die Down Level-Clients haben und sollte Emulators deshalb schnell behoben werden. Alternativ können Sie hier auch die Rolle dieses Betriebsmasters auf einen anderen Domänencontroller übertragen. Nach einer Wiederinbetriebnahme des alten PDC-Emulators ist die WiederinbetriebRückübertragung der Masterfunktion an den alten Domänencont- nahme roller grundsätzlich kein Problem. • Infrastruktur-Master In jeder Domäne existiert ein Infrastruktur-Master. Dieser ist für die Verfolgung der Informationen über Objekte verantwortlich, die in der eigenen Domäne definiert worden sind und in andere Domänen verschoben werden. Dies betrifft insbesondere die Gruppenzugehörigkeit von Objekten, die mit anderen Domänen in direkter Beziehung stehen. Der Infrastruktur-Master sorgt dafür, dass Änderungen an diesen an alle anderen Domänencontroller in der Domäne repliziert werden.
1
Als Down Level-Clients werden Clients bezeichnet, die Active Directory nicht direkt unterstützen, sondern über die NETBIOS-Schnittstelle mit Windows Netzwerken kommunizieren können.
InfrastrukturMaster
306
6 Grundlagen Active Directory Existieren mehrere Domänencontroller in einer Domäne, sollte darauf geachtet werden, dass der Infrastruktur-Master nicht gleichzeitig als Globaler Katalog-Server arbeitet. Dies ist allerdings nur für Verzeichnisse bedeutsam, die aus mehr als einer Domäne bestehen.
Ausfall des InfrastrukturMasters
Ausfall eines Betriebsmasters
Bei Ausfall des Infrastruktur-Masters wird sich dies in der Regel nicht im normalen Netzbetrieb bemerkbar machen, es sei denn, es wurde eine Reihe von Objekten in andere Domänen verschoben. Die Rolle des Infrastruktur-Masters kann bei einem längeren Ausfall auf einen anderen Domänencontroller übertragen werden, der allerdings nicht als Globaler Katalog-Server arbeiten darf. Nach Wiederinbetriebnahme des ursprünglichen Infrastruktur-Masters kann auf diesen diese Masterfunktion wieder zurück übertragen werden. Wie oben beschrieben, kann der Ausfall eines Betriebsmasters umfassende Auswirkungen auf den korrekten Netzwerkbetrieb haben. In Abschnitt 12.1.3 Administration von Betriebsmastern ab Seite 620 erfahren Sie die konkreten Administrationsschritte für die Übertragung der Betriebsmasterfunktionen auf Domänencontroller.
6.4
Logische Struktur des Active Directory
Mit einem Verzeichnisdienst wie Microsofts Active Directory lässt sich die tatsächliche Organisationsstruktur eines Unternehmens abbilden. Im Active Directory werden dazu die wesentlichen Ressourcen im Unternehmen erfasst. Das können Benutzer, Dateien, Drucker oder auch Richtlinien für die Verwaltung derartiger Objekte sein. Die Objekte können dabei hierarchisch strukturiert und zu organisatorischen Einheiten zusammengefasst werden – wie im realen Leben. So lassen sich Unternehmensstrukturen wie Arbeitsgruppen, Abteilungen oder ganze Bereiche erfassen. Die Elemente der logischen Struktur
In diesem Abschnitt werden die logischen Strukturen vorgestellt, mit denen Sie ein Active Directory aufbauen können. Wichtig sind dabei die folgenden Elemente: • Domäne (domain) • Organisatorische Einheit (Organizational Unit – OU) • Objekte (objects) • Domänenstruktur (tree) • Gesamtstruktur (forest)
6.4 Logische Struktur des Active Directory
307
Diese werden häufig in der Fachliteratur auch nur mit den englischen Bezeichnungen verwendet, sodass es von Vorteil ist, wenn Sie diese kennen. Die deutschen Begriffe erscheinen uns jedoch zutreffender und weniger blumig. Daneben gibt es noch eine physische Struktur, die weitgehend den Physische Struktur Gegebenheiten der Infrastruktur folgt. Diese umfasst folgende Elemente: • Domänencontroller (domain controller) • Globaler Katalog (global catalog) • Standorte (sites) Eine genaue Darstellung und planerische Aspekte finden Sie in Abschnitt 6.3 Physische Struktur des Active Directory ab Seite 290.
6.4.1
Gesamtstruktur
Eine Gesamtstruktur (engl. Original: Forest) entsteht, wenn mehrere Kein einheitlicher Domänenstrukturen (Trees; siehe vorhergehender Abschnitt) zusam- Namensraum mengefasst werden. Der wesentliche Unterschied zu einer abgeschlossenen Domänenstruktur besteht bei der Gesamtstruktur darin, dass hier kein einheitlicher Namensraum verwendet werden muss. So können Domänenstrukturen mit verschiedenen Namensräumen integriert werden. Für alle enthaltenen Domänen gilt allerdings, dass ein einheitliches Einheitliches Schema verwendet wird. Nur so kann sichergestellt werden, dass die Schema gespeicherten Objekte einheitlich aufgebaut sind. Das ist auch wichtig für den globalen Katalog, der für die Gesamtstruktur geführt wird und sicherstellt, dass Suchfunktionen auch domänen- und domänenstrukturübergreifend genutzt werden können. In Abbildung 6.5 ist ein Beispiel für eine Gesamtstruktur dargestellt, welche aus drei Domänen, die auch Domänenstrukturen sein könnten, besteht.
308
6 Grundlagen Active Directory
Abbildung 6.5: Beispiel für eine Gesamtstruktur
Gründe für eine Gesamtstruktur
Die Domänen Comzept.de, Beratung.de und Schulung.de sind hier zu einer administrativen Einheit zusammengefasst worden. Daraus wird schon der wichtigste Grund erkennbar, der für die Bildung einer Gesamtstruktur spricht: Die strikte Trennung von organisatorischen Einheiten innerhalb des Verzeichnisses. Domänen einer Domänenstruktur folgen bekanntlich einem einheitlichen Namenskontext und präsentieren sich in der Regel nach außen als eine Einheit. Über eine Gesamtstruktur können dann auch nach außen getrennte Bereiche eines Unternehmens gemeinsam verwaltet werden. Das können beispielsweise Tochterunternehmen sein, die in einem Konzern oder einer Holding zusammengefasst sind, am Markt aber unabhängig voneinander in Erscheinung treten. Der Verwaltungsaufwand ist dabei genauso groß ist wie der für die Administration einer Domänenstruktur.
Vertrauensstellungen
Wie in einer Domänenstruktur sind die Domänen innerhalb einer Gesamtstruktur über 2-Wege transitive Vertrauensstellungen (siehe auch Seite 310) miteinander verbunden. Damit können die Ressourcen des gesamten Verzeichnisses gemeinsam genutzt werden.
6.4.2
Domänenstruktur
Für eine stärkere Gliederung eines Active Directory können mehrere Domänen zu einer Domänenstruktur (engl. Original Tree) zusammengefasst werden. Eine Domänenstruktur stellt dabei grundsätzlich eine hierarchische Struktur von Domänen dar, die alle einen einheitlichen Namenskontext bilden. In Abbildung 6.6 sehen Sie das Beispiel einer Domänenstruktur für die Domäne COMZEPT-GMBH.DE.
6.4 Logische Struktur des Active Directory
309 Abbildung 6.6: Beispiel eines Domänenbaums
Mit der Installation der ersten Domäne wird automatisch die Wurzel einer neuen Domänenstruktur generiert, an der sich hierarchisch gestaffelt weitere Domänen anbinden lassen.
Voraussetzungen Für die Bildung einer Domänenstruktur müssen die darin enthaltenen Domänen bestimmte Voraussetzungen erfüllen: • Alle in der Domänenstruktur zusammengefassten Domänen müs- Einheitlicher sen einem einheitlichen Namenskontext folgen. Das bedeutet, dass Namenskontext beispielsweise unterhalb einer Domäne COMZEPT-GMBH.DE nur Domänen eingebunden werden können, welche über eine Erweiterung des Domänennamens COMZEPT-GMBH.DE angesprochen werden können (wie beispielsweise BERATUNG.COMZEPT-GMBH.DE). • Alle Domänen benutzen das gleiche Schema. Damit wird sicherge- Gleiches Schema stellt, dass Objekte und Informationen innerhalb des Trees reibungslos austauschbar sind.
Vertrauensstellungen zwischen Domänen Für den Zugriff auf Objekte innerhalb des Trees über Domänengren- Vertrauensstelzen hinweg müssen Vertrauensstellungen zwischen den Domänen lungen zwischen definiert werden. Diese Vertrauensstellungen werden über so genann- Domänen te 2-Wege transitive Kerberos Trusts realisiert. Das bedeutet, dass grundsätzlich die Vertrauensstellungen in beiden Richtungen zwischen zwei Domänen existieren. Transitivität (Übertragbarkeit) heißt, dass das Vertrauen einer Domäne A zu einer anderen Domäne B sich auch automatisch auf eine Domäne C überträgt, wenn zu dieser gar keine direkte Vertrauensstellung definiert worden ist, aber eine zwischen B und C existiert. In Abbildung 6.7 ist so eine Vertrauensstellung schematisch dargestellt.
310
6 Grundlagen Active Directory
Abbildung 6.7: 2-Wege-transitive Vertrauensstellungen zwischen Domänen im AD
Reduzierung des Verwaltungsaufwandes
Der Vorteil eines solchen Vorgehens besteht darin, dass nicht unnötig viele einzelne Vertrauensstellungen definiert werden müssen. Für die drei genannten Domänen im obigen Beispiel werden so nur zwei Vertrauensstellungen benötigt, bei N Domänen entsprechend nur N-1.
Windows NT
Unter Windows NT konnten nur 1-Weg-non-transitive Vertrauensstellungen eingerichtet werden. Für die obigen drei Domänen wären das schon sechs zu definierende Vertrauensstellungen gewesen: A-B; B-C; A-C; B-A; C-B; C-A, bei N Domänen dann entsprechend (N*(N-1)).
Abbildung 6.8: 1-Weg-non-transitive Vertrauensstellungen bei NT
Die Vertrauensstellungen zwischen Domänen eines Trees werden automatisch bei der Einbindung einer untergeordneten Domäne erzeugt und über das Kerberos-Protokoll (siehe auch Abschnitt 5.9.1 Sichere Authentifizierung mit Kerberos ab Seite 251) abgewickelt. Damit werden dann alle verfügbaren Netzwerkressourcen allen Domänen im Tree zur Verfügung gestellt. Rechte können innerhalb des Trees für die Benutzer und Gruppen domänenübergreifend für alle Objekte vergeben werden.
6.4 Logische Struktur des Active Directory
311
Suche in der Domänenstruktur Für die Suche nach Objekten in einer Gesamtstruktur verfügen alle Globaler Katalog enthaltenen Domänen über einen gemeinsamen globalen Katalog (siehe auch Abschnitt 6.2.5 Globaler Katalog ab Seite 289). Damit wird eine domänenübergreifende Suchfunktion realisiert, mit der auch in einem umfangreichen Verzeichnis, welches aus einer hohen Anzahl von Objekten besteht, ein schnelles Finden der gewünschten Information sichergestellt wird.
Vorteile von Domänenstrukturen Für die Abbildung komplexer hierarchischer Strukturen von Unternehmen oder Organisationen werden nicht unbedingt Domänenstrukturen benötigt. Wie in Abschnitt 6.5.2 Planung der Organisationseinheiten ab Seite 319 beschrieben, gibt es dazu das Mittel der Organisatorischen Einheiten (OUs). Allerdings kann die Einrichtung von Domänenstrukturen, also die Untergliederung des Verzeichnisses in mehrere hierarchisch organisierte Domänen, unter bestimmten Bedingungen Vorteile bringen oder sogar erforderlich sein. Die folgenden Gründe können die Schaffung von Domänenstrukturen erforderlich machen: • Geografische Verteilung Bei Unternehmen, die geografisch weiträumig verteilt sind, kann die Bildung separater Domänen dann sinnvoll sein, wenn die einzelnen Standort nur über schmalbandige Datenfernverbindungen miteinander verbunden sind. Diese Netzwerkverbindungen werden dann von der Verzeichnisreplikation zwischen den Domänencontrollern nicht belastet.
Geografische Verteilung
Liegt allein eine geografische Verteilung von Zweigstellen eines Alternative: Unternehmens vor, muss auch in diesem Fall nicht unbedingt eine Standorte Domänenstruktur gebildet werden. Innerhalb einer Domäne lassen sich über die Definition von Standorten (Sites) die Replikationsmechanismen steuern (siehe auch Abschnitt 6.3.4 Standorte ab Seite 296). • Strikte administrative Trennung Mit der Einsetzung eigenständig operierender Domänenadministratoren können die Administrationsbereiche auch logisch getrennter Standorte von Unternehmen klar voneinander abgeteilt werden. • Sicherheitsanforderungen
Administrative Trennung
Sicherheitsanforderungen
312
6 Grundlagen Active Directory Neben der strikten Trennung der Administrationsbereiche können Sicherheitsrichtlinien auf Domänenebene verwendet werden, welche insbesondere für sicherheitsrelevante Teilbereiche von Unternehmen so besser abgetrennt und verwaltet werden können. Es ist eher besser, die Anzahl der im Verzeichnis zu verwaltenden Domänen so gering wie möglich zu halten. Domänenbäume sollten nur dann angelegt werden, wenn wirklich schlüssige Gründe dafür vorliegen.
Migration von NT
Dies gilt es auch zu berücksichtigen, wenn von einer NTDomänenstruktur in das Active Directory migriert werden soll. Hier war die Verwendung mehrerer Domänen oft die einzige Möglichkeit, hierarchische Strukturen wenigstens ansatzweise abzubilden. Mit dem Active Directory und den hier verfügbaren organisatorischen Einheiten stehen bessere Organisationsmittel für eine Strukturierung des Verzeichnisses zur Verfügung. Bei einer Migration von NT-Domänen in das Active Directory kann es deshalb oft sinnvoll sein, NTDomänen in Organisationseinheiten zu überführen statt in Windows2000-Domänen. Mehr zur Migration erfahren Sie in Abschnitt 6.8 Migration von Windows NT ab Seite 372.
6.4.3
Domäne
Wer sich mit dem Vorgänger NT Server befasst hat, wird hier eine alte Bekannte wiederfinden – die Domäne. Auch im Active Directory bildet diese die Basis für die Bildung von Organisationsstrukturen. Allerdings wurde die Funktionalität der Domäne deutlich erweitert. Abbildung 6.9: Prinzipaufbau einer Domäne
Eine Domäne im Active Directory dient der logischen Gruppierung zusammengehöriger Objekte. Die Anzahl der speicherbaren Objekte
6.4 Logische Struktur des Active Directory
313
ist dabei kaum praktisch beschränkt. Eine Domäne kann, wie ein Container, weitere Organisationseinheiten in sich aufnehmen, die wiederum Objekte enthalten können. Alle Objekte einer Domäne sind über einen einheitlichen Namenskon- Namenskontext text, der durch den Domänennamen definiert wird, ansprechbar. Der Benutzer KRAUSE in der Domäne COMZEPT-GMBH.DE wird beispielsweise über
[email protected] angesprochen, entsprechend die Arbeitsstation W2KWS01 mit
[email protected]. Weitergehende Informationen zum Namenskontext im Active Directory finden Sie in Abschnitt Namenskonventionen entwerfen ab Seite 333. Die Domänengrenze gilt auch als Sicherheitsgrenze. Innerhalb der Domänengrenze = Domäne werden die Zugriffsrechte gesteuert. Jede Domäne kann ei- Sicherheitsgrenze nen eigenen Domänenadministrator haben, der in anderen Domänen keine Rechte besitzt.
6.4.4
Organisatorische Einheit
Die organisatorische Einheit ist ein wesentliches Gestaltungsmittel für den Aufbau eines Active Directory. Darauf wird in Abschnitt 6.5 Praktische Strukturierung einer Domäne ab Seite 314 detailliert eingegangen.
6.4.5
Objekte
Das Verzeichnis dient grundsätzlich zur Speicherung von Objekten. Diese Objekte können verschiedene Merkmale und Eigenschaften haben, welche durch das Schema (siehe auch Abschnitt 6.2.3 Schema ab Seite 288) im Active Directory bestimmt werden. Ein wichtiges Unterscheidungsmerkmal von Objekten stellt die Fähig- Containerobjekte keit dar, weitere Objekte in sich aufnehmen zu können. Ein grundlegendes Containerobjekt in einem Active Directory ist die Domäne selbst. In dieser können wieder andere Objekte, auch andere Containerobjekte, angelegt werden. Ein weiteres Containerobjekt ist beispielsweise die organisatorische Einheit (siehe auch Seite 313). Andere Objekte, wie beispielsweise Benutzer oder Drucker, können Blattobjekte keine weiteren Objekte enthalten. Diese Objekte werden auch Blattobjekte genannt. Sie werden aber, wie generell alle Objekte im Active Directory, durch spezifische Eigenschaften, auch Attribute genannt, gekennzeichnet. Ein Attribut eines Benutzers ist beispielsweise dessen Name oder die E-Mail-Adresse.
314
6 Grundlagen Active Directory
6.5
Praktische Strukturierung einer Domäne
Mit den in den letzten Kapiteln gezeigten Grundlagen können Sie nun daran gehen, Active Directory im eigenen Netzwerk aufzusetzen. In diesem Kapitel werden vor allem strategische Elemente vermittelt.
Grundlegende Vorgehensweise Ein breites Spektrum an Einsatzfällen
Active Directory bietet eine große Vielfalt von Möglichkeiten. Sie werden sich nach ein paar Klicks in den Verwaltungswerkzeugen vielleicht über die Zahl der Funktionen wundern und neue Begriffe und komplexe Abhängigkeiten erkennen. Active Directory deckt mit seiner Leistungsfähigkeit ein breites Spektrum an Einsatzfällen ab. Ein Blick in die Online-Hilfe und verschiedene Veröffentlichungen bei Microsoft zum Thema »Active Directory Planung und Installation« zeigen gigantische Netzwerke, Dutzende Domänencontroller, ringförmige Replikationsstrukturen und andere »unheimliche« Szenarien. Die Masse der Server steht aber in Firmen, die ein paar Hundert oder Tausend Mitarbeitern (die noch lange nicht alle einen PC am Arbeitsplatz haben) beschäftigen, über zwei oder drei Standorte verfügen und in denen eine Hand voll halb- und vollberuflicher Administratoren versucht, ein heterogenes Netzwerk am Laufen zu halten. Auf diese Anwender wollen wir uns hier konzentrieren – die goldene Mitte quasi. Wenn Ihr Unternehmen kleiner ist, werden Sie die gezeigten Techniken leicht nach unten skalieren können. Wenn Ihr Unternehmen deutlich größer ist, gestatten Ihnen die hier gezeigten Strategien einen risikofreien und schnellen Einstieg mit einer ebenso klaren Skalierung nach oben. Entwerfen Sie Ihr Active Directory so einfach wie möglich – das bekannte KISS-Prinzip (Keep It Small and Simple). Vergessen Sie die komplexen Verschachtelungsoptionen und tiefen Strukturen, wenn Sie diese nicht wirklich sehr gut begründet anwenden können.
Vor dem Start Ein Active Directory kann einfach sein, wenn man die Technik versteht und konkrete Einsatzfälle gezielt umsetzt, ohne sich bis zur letzten Funktion durchzuhangeln. Im Zweifelsfall stehen Ihnen natürlich weitere Möglichkeiten offen. Sie müssen aber auch die Philosophie hinter dem Produkt verstanden haben, um nicht in klassische Designfallen zu laufen. Das ist eines der Probleme, die Kritiker, vor allem aus der Welt anderer Verzeichnisdienste, zuerst anbringen. Sie versuchen, ihre auf anderen Systemen bewährten Designmodelle auf Active Directory zu übertragen und scheitern damit zwangsläufig. Mal abgesehen von den leidlich standardisierten Protokollen X.500 und LDAP
6.5 Praktische Strukturierung einer Domäne
315
gibt es keinen wirklichen Standard, wie ein Verzeichnisdienst strukturiert werden muss. Niemand kann sich also darauf berufen, dass etwas »so oder so« zu funktionieren hat. Vergessen Sie deshalb Berichte über mangelnde Funktionalität in Active Directory und investieren Sie die Zeit in das Studium der Möglichkeiten in diesem Buch.
Anwendungsfälle Der einfachste Fall eines Active Directory besteht aus einer einzigen Active Directory Domäne. Sie als Administrator installieren dann einen Domänencont- kann auch einfach roller, der als Server auch alle anderen Aufgaben im lokalen Netzwerk sein übernimmt. Der eine oder andere Administrator wird – vielleicht gut begründet – größere Pläne haben: »Aber wir haben doch ..., und wir brauchen doch ...«. Das mag richtig sein. Fangen Sie trotzdem mit einer Domäne und einem Domänencontroller an. Es ist kein Problem, mit Active Directory zu wachsen und die Möglichkeiten schrittweise zu erkunden und umzusetzen. Ihre Benutzer werden dankbar dafür sein, ein von Anfang an stabiles und zuverlässiges Netzwerk zur Verfügung zu haben. Aus Gründen der Fehlertoleranz mehrere Domänencontroller zu haben, kann schon in kleineren Netzwerken sinnvoll sein. Dies ist verhältnismäßig unproblematisch. Mehrere Domänen sind dagegen eine administrative Herausforderung. Die hier getroffenen Aussagen mit dem Ziel einer einfachen Struktur beziehen sich auf Domänen, nicht auf Domänencontroller. Fügen Sie neue Domänen nur hinzu, wenn es unbedingt notwendig ist und Sie selbst klar technisch begründen können, warum dies so ist. Organisationseinheiten – als primäres Organisationsmerkmal in Active Directory – sind viel flexibler und leichter handhabbar als Domänen. Viele Domänen sind nicht einfach zu administrieren. Änderungen in der Struktur der Domänen verursachen einigen Aufwand und müssen dennoch von Anpassungen in der Struktur der Organisationseinheiten begleitet werden. Ob die eine oder andere Variante günstiger ist, hängt natürlich vom Einzelfall ab. Es bleibt der Grundsatz: So einfach wie möglich. Um Ihnen eine Vorstellung davon zu geben, wann mehrere Domänen Was für mehrere Domänen spricht notwendig sein können, schauen Sie sich die folgenden Szenarios an: • Verschiedene Domain-Namen aus politischen Gründen. Wenn Ihr Unternehmen verschiedene Tochtergesellschaften hat, die am Markt mit selbstständigen Marken operieren und so den Eindruck von Vielfalt erzeugen möchten, müssen Sie mit dem Domain-Namen dem folgen. Das ermöglicht dennoch eine einheitliche IT-Struktur – wenn auch mit mehreren Domänen.
316
6 Grundlagen Active Directory • Die Anzahl der Objekte liegt über 100 000. Die theoretische Grenze für Active Directory liegt bei 10 000 000 Objekten, Microsoft selbst hat eine erfolgreiche Implementierung mit 1 000 000 Objekten ausgeführt. Aus diesen Erfahrungen errechnete Microsoft eine Empfehlung von maximal 100 000 Objekten pro Domäne. Rechnen Sie mit 3 Objekten pro Mitarbeiter (Benutzerkonto, Computerkonto, Drucker), dann dürften Sie pro 30 000 Benutzer eine Domäne benötigen. • Die Hierarchie der Organisation ist sehr tief. Eine andere Limitierung ist die Anzahl der Stufen in der OUHierarchie. Ab 10 Stufen bricht die Leistung der Datenbank deutlich zusammen. Wenn Sie mehr als neun Stufen benötigen, ist eine Abtrennung der obersten Hierarchie in eigene Domänen sinnvoll. Denken Sie darüber nach, wenn Sie bei der Planung ohne weiteres mehr als fünf Stufen überschreiten. • Teile des Netzwerks sind über langsame Verbindungen angeschlossen. Wenn ein Teil des Netzwerks über eine langsame Verbindung angeschlossen ist, dann muss der Netzwerkverkehr über diese Verbindung minimiert werden. Dem Netzwerk hinter der langsamen Verbindung eine eigene Domäne zu spendieren, um dieses Ziel zu erreichen, kann eine Lösung sein. Eine andere und oft transparentere sind mehrere Standorte mit eigenen Domänencontrollern. • Einige Teile des Unternehmens haben spezielle Sicherheitsanforderungen. Domänen sind Sicherheitsgrenzen. Wenn Unternehmensteile besonders erhöhte Sicherheitsanforderungen haben, kann die Implementierung einer eigenen Domäne Vorteile bei der Verwaltung bringen. • Das Unternehmen ist stark dezentralisiert. Ist das Unternehmen dezentralisiert und sind die einzelnen Einheiten so selbstständig, dass sie auch ihre Technik selbst administrieren, können eigene Domänen dies unterstützen. • Sie haben sehr unterschiedliche Benutzergruppen. Wenn Sie mehrere völlig verschiedene Benutzergruppen haben und Personen Verwaltungsrechte erteilen möchten, dann kann die Trennung der Gruppen in Domänen die Verleihung von untergeordneten Administratorenposten erleichtern.
6.5 Praktische Strukturierung einer Domäne
317
• Das Unternehmen ist global tätig und hat Gesellschaften in verschiedenen Ländern. Wenn die Gesellschaften in den einzelnen Ländern unabhängig von den anderen administriert werden sollen, sind auch getrennte Domänen notwendig. • Verringerung des Fehlerrisikos. Technisch gesehen ist Active Directory sehr sicher. Gegen »menschliches Versagen« hilft das nicht. Wenn ein Administrator eine aktive Domäne löscht, ist das Netzwerk davon signifikant in Mitleidenschaft gezogen. Haben Sie mehrere Domänen, kann ein solcher Totalausfall schneller kompensiert werden. • Ihre Migrationsstrategie erfordert mehrere Domänen. Wenn Sie unter NT 4 mehrere Domänen haben und leicht migrieren möchten, setzen Sie direkt um. Das ist aber nicht immer optimal, weil Active Directory bessere Organisationsstrukturen bietet. Bevor Sie jetzt feststellen, dass mindestens drei der genannten Punkte Was gegen für viele Domänen sprechen, werfen Sie einen Blick auf die folgenden mehrere Domänen spricht Punkte: • Das Unternehmen will im Internet einheitlich auftreten. Der Name der Domäne im Active Directory ist identisch mit dem Domain-Namen im Internet, der beispielsweise für die Homepage genutzt wird. Wenn mehrere Teile eigene Domänen haben, herrscht ein schwer vermittelbares Chaos von Domain-Namen. • Gute Strukturen sollten eine Reorganisation überleben. Denken Sie daran, was passiert, wenn Ihr Unternehmen verkauft wird, fusioniert, Tochtergesellschaften verkauft, sich reorganisiert usw. Ihre OU-Struktur ist leicht anpassbar, eine komplizierte Domänenlandschaft nicht. • Widerstehen Sie politischem Druck. Ihre IT-Struktur sollte sich technischen Gesichtspunkten unterordnen, nicht politischen. Widerstehen Sie politischem Druck, der zu einer komplizierten Domänenlandschaft führt. Mehrere Namen für die Homepage kann man auch ohne Active Directory einrichten. Wie Sie dies mit den Internet Information Services (IIS) erreichen, wird in Band III Internet Information Server 5 ausführlich behandelt. Es gibt sicher viele weitere Gründe für eine bestimmte Gestaltung der Domänen. Fangen Sie zuerst mit einer Domäne an und erweitern Sie diese erst, wenn es wirklich einen triftigen Grund dafür gibt und andere Lösungen sicher ausscheiden.
318
6 Grundlagen Active Directory
6.5.1
Was ist eine Domäne wirklich?
»Domäne« im Active Directory
»Domain« im Internet
Die Domäne als oberste Instanz der Organisationseinheiten
Der Begriff Domäne taucht in verschiedenen Zusammenhängen auf, dazu kommt noch der englische Begriff Domain – auch in verschiedenen Beziehungen. Was womit gemeint ist, legen wir nachfolgend fest: • Im Active Directory wird unter »Domäne1« Folgendes verstanden: -
Ein Organisationsinstrument. Jede Domäne hat einen DNSNamen, unter dem die Objekte gespeichert werden.
-
Eine Authentifizierungseinheit. Um sich anmelden zu können, muss ein Benutzer den Namen der Domäne kennen.
-
Eine Replikationsgrenze. Replikationen laufen nur innerhalb einer Domäne ab.
-
Eine Sicherheitsgrenze. Die Domänengrenze ist eine Grenze für die Wirkung der Richtlinien und Sicherheitseinstellungen.
-
Eine Administrationsgrenze. Die Macht eines Administrators endet normalerweise an der Domänengrenze.
• Als »Domain« bezeichnet man hingegen: -
Den DNS-Namen einer Domäne
-
Ein bei einem NIC (Network Information Center) öffentlich registrierter Name einschließlich einer Toplevel-Domain.
Es ist üblich, dass die Domäne dem öffentlichen Internet-Namen entspricht, da heute praktisch alle Netzwerke auch an das Internet angeschlossen sind. Wenn Sie ein isoliertes Netzwerk betreiben, sind Sie aber in der Wahl des Domänennamens frei und müssen sich nicht an die Regeln des Internets halten. Solche Domänen heißen dann maschinenbau.firma oder theater.berlin. Öffentliche DNS-Namen enden dagegen immer mit einem der bekannten Toplevels wie .de oder .com (siehe auch Abschnitt 5.6.4 Aufbau des Domain Name Systems (DNS) ab Seite 191). Eine AD-Domäne ist nicht mit einer NT 4-Domäne identisch, auch wenn eine solche Konstellation nach einer direkten Migration entstehen kann. Normalerweise benötigt Active Directory weniger – idealerweise nur eine – Domäne gegenüber mehreren unter NT 4.
1
Administratoren der englischsprachigen Welt haben da weniger Glück bei der Begriffswahl. Dort gibt es nur das Wort »Domain« für alle Formen.
6.5 Praktische Strukturierung einer Domäne
319
Weitere Hinweise dazu finden Sie in Abschnitt 6.8 Migration von Windows NT 4 ab Seite 372.
6.5.2
Planung der Organisationseinheiten
Im Folgenden wird der englische Begriff Organizational Unit (OU) als Organisationseinheit bezeichnet. Damit ist je nach Kontext der LDAPBezeichner OU oder der Active Directory-Klassenname Organizational Unit gemeint. Das Konzept der Organisationseinheiten ist das Erfolgsrezept beim Aufbau eines Active Directory. Organisationseinheiten sind das wesentliche Strukturierungselement. Sie sind ausschließlich einfache Container, die wiederum andere Objekte oder auch weitere Organisationseinheiten enthalten können. Durch dieses Element wird der Namensraum der Domäne statt der flachen Darstellung in eine Hierarchie verwandelt. Das ist besonders wichtig, wenn Tausende Objekte verwaltet werden müssen. Statt endloser Listen erfolgt der Zugriff über eine Baumstruktur, so wie Sie es vom Windows Explorer kennen. Die Struktur der Hierarchie kann sehr vielfältig gestaltet werden, sodass Sie beispielsweise die Organisation eines Unternehmens abbilden können. So oder ähnlich wird die Fähigkeit von Active Directory oft angepriesen. In der Praxis ist es leider nicht so einfach, eine intelligente Struktur zu entwerfen. In diesem Abschnitt erfahren Sie mehr zu den Möglichkeiten und Varianten der Strukturierung des Verzeichnisses mit Organisationseinheiten.
Charakteristik der Organisationseinheiten Organisationseinheiten haben eine ganz bestimmte Charakteristik, die Charakteristik der OrganisationsSie kennen sollten: • Organisationseinheiten sind Bestandteil einer Domäne.
einheiten
• Sie sind immer Container-Objekte, enthalten also andere Organisationseinheiten oder Objekte. • Sie erzeugen die hierarchische Struktur der Domäne. • Sie können sehr einfach erzeugt, verschoben, verändert oder gelöscht werden. Aufgrund der hierarchischen Natur können sie ein nahezu vollständi- Hierarchische ges Abbild der Organisation Ihres Geschäfts darstellen. Die Möglich- Struktur keit, mit Organisationseinheiten eine Struktur zu entwerfen, verringert die Notwendigkeit, Domänen zur Gliederung einzurichten. Wie am Anfang bereits erwähnt, sollten Sie mit möglichst wenigen – im Idealfall nur einer Domäne – arbeiten. Organisationseinheiten sind der
320
6 Grundlagen Active Directory Schlüssel zu einem einfach zu administrierenden und zugleich leistungsfähigen Verzeichnisdienst. Dabei muss die Abbildung des Unternehmens nicht den für Menschen geschaffenen Prinzipien folgen, sondern kann – und sollte auch – administrativen Erfordernissen unterliegen. Die oft beschworene »Abbildung der Unternehmensstruktur« könnte man besser und praxisnäher als »Abbildung einer administrierbaren Unternehmensstruktur bezeichnen«. Organisationseinheiten eignen sich auch, um untergeordneten Personen die Verwaltung einer gewissen Tiefe der Hierarchie zu übertragen. Sie können also ebenso dazu dienen, die Administration besser zu verteilen. Die Verwaltung der Rechte der Organisationseinheiten erlaubt in Kombination mit den Access Control Lists (ACL) eine sehr feine Steuerung der Zugriffsmöglichkeiten.
Eigener Namensraum
Organisationseinheiten werden nicht über den DNS-Namensraum angesprochen. Der Zugriff außerhalb der Administrationswerkzeuge von Windows 2000 kann nur mit Hilfe von LDAP, ADSI oder MAPI erfolgen, mit der Syntax spezieller Programmierschnittstellen also. In LDAP wird eine Organisationseinheit mit dem Namen Einkauf durch OU=Einkauf adressiert.
Organisationseinheiten sind Container
Einige typische Objekte, die in einer Organisationseinheit abgelegt werden können, sind: • Benutzer • Computer • Gruppen • Drucker • Software • Sicherheitsrichtlinien • Freigegebene Ordner
Gründe für neue Organisationseinheiten
Typische Aspekte, eine Organisationseinheit anzulegen, sollten vordergründig folgende sein: • Delegation der Administration • Ersatz einer NT 4-Domäne bei einer Migration • Einführen eines Verwaltungsbereiches für die Softwareverteilung • Kontrolle und Vereinfachung der Administration durch Zusammenfassung von Objekten • Begrenzung der Anzahl von Objekten, die zusammen erscheinen
6.5 Praktische Strukturierung einer Domäne
321
• Erzeugen einer verhältnismäßig stabilen Struktur Die wichtigsten Gründe aus dieser Liste werden nachfolgend näher betrachtet und begründet.
Delegation der Administration Durch Delegation der Administration werden Administratoren in die Verteilen der Lage versetzt, Aufgaben teilweise auf andere Personen zu übertragen. Administration Die Rechte zur Verwaltung umfassen typischerweise Organisationseinheiten und deren Inhalt, einschließlich untergeordneter Objekte. Welche Aufgaben übertragen werden, kann sehr genau eingestellt werden. So können Sie einen Mitarbeiter bestimmen, der in Ihrer Abwesenheit für die Kollegen seiner Abteilung die Kennwörter zurücksetzt und durch neue ersetzt, jedoch keinerlei weiterführende administrative Rechte hat. Er kann damit seinen Kollegen helfen, wenn diese ihr Kennwort vergessen haben, aber durch Fehlbedienung keinen weiteren Schaden anrichten, weil er vielleicht nur mangelhafte Kenntnisse über die Administration hat. Solche Delegationen sind im Alltag ungemein wichtig, denn sie erlauben die fortlaufende Pflege des Netzwerks auch bei zeitweiliger Abwesenheit von Administratoren, ohne gleich alle Rechte aus der Hand zu geben. Grundsätzlich sind folgende administrative Rechte übertragbar: • Änderungen an Attributen an Objekten in einem bestimmten Container vornehmen, beispielsweise das Eintragen von Raum- und Telefonnummern für Benutzerkonten. Eine solche Aufgabe kann auch eine Sekretärin übernehmen und damit den Administrator entlasten.
Übertragbare Rechte
• Das Erzeugen von untergeordneten Objekten, einschließlich weiterer Organisationseinheiten und deren Inhalt. Damit können Sie die Kontrolle über eine Einheit an einen Administrator weitergeben, der seinen Bereich nun selbstständig verwaltet, sonst aber keinen Einfluss auf die globalen Einstellungen der Domäne hat. • Die Aktualisierung bestimmter Attribute unter bestimmten Bedingungen. Dazu gehört das oben bereits beschriebene Beispiel der Kennworthilfe. Beim Entwurf der OU-Modelle, was in Abschnitt 6.5.3 Design der OUModelle ab Seite 323 beschrieben wird, sollten Sie zuerst bestehende administrative Modelle abbilden und erst später verfeinern. Die Möglichkeiten, die Active Directory tatsächlich bietet, sind weit- Die Struktur ist aus umfangreicher. Erzwingen Sie nicht von Anfang an eine komplexe ausbaubar Struktur. So können Sie mehreren Personen unterschiedliche Rechte auf ein- und dieselbe Organisationseinheit geben. Dann wäre ein Ad-
322
6 Grundlagen Active Directory ministrator für die Einrichtung neuer Objekte zuständig, ein anderer dagegen für die Pflege der Kennwörter der Benutzer und ein dritter hat das Recht, die gesamte Softwareverteilung im Unternehmen zu steuern. Das ist sicher hilfreich, wenn es um die Arbeitsteilung in einem großen Unternehmen geht. Es ist aber ebenso sicher nicht empfehlenswert, ohne tiefgehende Kenntnisse von Windows 2000 und Active Directory eine solche Struktur von Anfang an einzuführen.
Ersatz von NT 4-Domänen Organisationseinheiten ersetzen NT 4-Domänen
Domänen waren unter NT 4 ein Organisationsmittel. In der Regel werden diese Domänen unter Windows 2000 durch eine Domäne und eine entsprechende Anzahl Organisationseinheiten in der obersten Ebene der Hierarchie abgebildet. Die Einrichtung weiterer Domänen war oft auch ein Grund für die Verteilung der Administration. Da dies mit Organisationseinheiten sehr flexibel erfolgen kann, ist der Ersatz von NT 4-Domänen ein Grund, Organisationseinheiten einzuführen.
Zuweisen von Gruppenrichtlinien Gruppenrichtlinien Eines der umfangreichsten und leistungsfähigsten Konzepte sind die dienen der Kontrol- Gruppenrichtlinien. Ihnen ist ein eigenes Kapitel gewidmet. Sie finden le der Benutzerum- Informationen über die Grundlagen in Abschnitt 6.7 Gruppenrichtlinien gebung
ab Seite 355 und praktische Hinweise zur Administration in Abschnitt 12.7 Gruppenrichtlinien ab Seite 711. Gruppenrichtlinien bestimmen die Gestaltung des Arbeitsplatzes der Benutzer in Abhängigkeit von deren Aufgaben und dem Computer, an dem sie gerade arbeiten. Zu den Einstellungen gehören: • Sicherheitsoptionen • Zuweisen von Skripts • Gestaltung des Desktops • Verfügbarmachen bestimmter Anwendungsprogramme • Steuerung der Softwarerichtlinien, beispielsweise Funktionen des Windows Explorers
Gruppenrichtlinien Einige sehr grundlegende Richtlinien können nur auf der Ebene einer auf Domänenebene Domäne eingestellt werden. Diese Einstellungen gelten dann für alle
Objekte dieser Domäne. Dazu gehören: • Kennworteigenschaften • Verriegelung des Kontos bei Anmeldefehlern • Verschlüsselung der Anmeldung (Kerberos)
6.5 Praktische Strukturierung einer Domäne
323
• Wiederherstellung von Dateien des verschlüsselten Dateisystems (EFS) • IP-Sicherheit • Öffentliche Schlüssel (Zertifikate) • Zertifikate für vertrauenswürdige Instanzen Gruppenrichtlinien sind kein Instrument, um Zugriffsrechte zu kontrollieren. Sie können Zugriffsrechte nur einem so genannten Sicherheitsprinzipal von Windows 2000 zuweisen, also Benutzern, Computern und Gruppen, nicht jedoch Organisationseinheiten. Das einzige Organisationsinstrument für Zugriffsrechte sind also Gruppen. Beachten Sie dies bei der Planung der Organisationseinheiten.
Gruppierung von Objekten Die Einrichtung von Organisationseinheiten kann auch allein der Gruppierung dienen. Wenn Sie mit den Werkzeugen arbeiten, die Windows 2000 mitliefert, ist eine Begrenzung der Listen anzuraten. Standardmäßig zeigt die Managementkonsole Active DirectoryBenutzer und Computer 2 000 Objekte an. Sie können den Wert beliebig hoch setzen. Allerdings sind schon ein paar Hundert Objekte nur schwer zu handhaben. Mit eigenen, der Situation angepassten Skripten, die per ADSI zugreifen, mag das anders aussehen. Vorerst ist die Einführung einer weiteren Ebene mit Organisationseinheiten ein gutes Mittel, die Anzahl der Objekte zu begrenzen. Sie können ohne Leistungseinbrüche zehn Ebenen verwenden, wobei aus Gründen der Verfügbarkeit von Reserven nicht mehr als sieben oder acht Ebenen zu empfehlen sind. Normalerweise kann eine komplexe Organisationsstruktur mit drei bis fünf Ebenen abgebildet werden. Sie haben also fast immer genug Reserve, um große Gruppen allein aus »verwaltungstechnischen« Gründen zu teilen. Eine theoretischen Grenze der Tiefe der Hierarchie gibt es nicht.
6.5.3
Verkleinern von Listen mit Organisationseinheiten
Design der OU-Modelle
Bevor Sie das Design entwerfen – und sich damit möglicherweise für Vorbereitung des eines der Standardmodelle entscheiden –, sollten Sie die folgenden Entwurfs Aufgaben ausführen: 1. Ermitteln Sie die Personen, die in Ihrer IT-Struktur in der Lage sind, irgendwelche administrativen Aufgaben zu übernehmen. Dies können auch weniger qualifizierte Aufgaben, beispielsweise zur Datenpflege, sein.
324
6 Grundlagen Active Directory 2. Entscheiden Sie, welche Änderungen zum bisherigen administrativen Modell – das vielleicht technisch erzwungen war – Sie sich wünschen. 3. Legen Sie fest, welchen geeigneten Personen Sie gern administrative Aufgaben übertragen würden und welchen Umfang diese Aufgaben haben. 4. Entscheiden Sie sich für ein hierarchisches OU-Modell. Die typischen Modelle werden nachfolgend vorgestellt. 5. Implementieren Sie die konkrete OU-Struktur in dem gewählten Modell. 6. Entwerfen Sie einen Plan, welche Teile der Struktur von wem administriert werden.
Die Verteilung der Administration ist wichtig
Der Entwurf der administrativen Rechte mag Ihnen nicht so wichtig erscheinen. Er ist aber bedeutend für die tatsächliche Struktur der Elemente. Wenn Sie später eine andere Art der Administration wünschen, kann ein Umbau sehr kompliziert werden. Windows 2000 mit Active Directory bietet hier viele sehr gut einstellbare Möglichkeiten. Denken Sie beim Aufsetzen einer Domäne an die Gesamtstruktur des Unternehmens.
Die Struktur sollte politischen Änderungen widerstehen
Versuchen Sie die Struktur so zu entwerfen, dass spätere Änderungen in der Politik oder Organisation des Unternehmens nicht mit massiven Änderungen an der Struktur der Organisationseinheiten verbunden sind. Man spricht dann von einem statischen Modell, das vor allem einen Effekt hat – weniger Administrationsaufwand.
Gründe für eine Organisationseinheit
Denken Sie an die folgende Gründe, eine Organisationseinheit zu erzeugen: • Die Administration für Objekte delegieren • Sichtbereich für Gruppenrichtlinien darstellen • Ersatz für eine NT 4-Domäne • Sichtbereich auf Objekte in der Verwaltung Organisationseinheiten dienen fast ausschließlich dem Administrator. Der Benutzer bekommt in der Regel von den Strukturen nichts mit. Er meldet sich an einer Domäne mit Benutzername und Kennwort an, nicht in einer Organisationseinheit. Letztere dienen daher vor allem Ihnen als Administrator. Es ist wichtig, dass Sie verstehen, wozu Organisationseinheiten dienen und dass Sie diese als Werkzeug zur Erleichterung der eigenen Arbeit betrachten.
Mehrere Domänen
Wenn von vornherein geplant ist, mehrere Domänen in einem Stück aufzusetzen, sollten auch diesbezüglich Überlegungen zur Struktur der OU-Hierarchie angestellt werden. Idealerweise werden Sie für alle Domänen dieselbe OU-Struktur benutzen. Das vereinfacht die Admi-
6.5 Praktische Strukturierung einer Domäne
325
nistration erheblich. Vielleicht sind einige Organisationseinheiten in einigen Domänen leer, aber das stört niemanden.
Typische Modelle Wenn Sie das erste Mal mit Active Directory arbeiten, werden Sie viel- Modelle erleichtern leicht ein fertiges Modell für die Struktur der Organisationseinheiten den ersten Entwurf suchen. Einen allgemeingültigen Standard gibt es nicht. Es gibt aber mehrere Modelle, die für bestimmte Einsatzfälle zutreffend sein können. Diese werden hier vorgestellt: • Das geografische Modell • Die Unternehmensmodelle • Das projektbasierte Modell • Das administrative Modell • Das objektbasierte Modell Andere Quellen in der Literatur zeigen andere Standardmodelle. Wir wollen uns nicht anmaßen, das Nonplusultra der Modelle gefunden zu haben. Die hier gezeigten Varianten bilden aber unserer Meinung nach praktische Fälle besonders gut ab. Wenn Sie ein gut begründetes Modell entwickeln, das nicht in dieses Schema passt, sollten Sie es verwenden und nicht in eines der vorgestellten Typen pressen, nur um einem vermeintlichen Standard zu genügen. Wenn Sie aber unsicher sind, dann nehmen Sie eines der Modelle.
Das geografische Modell Dieses Modell basiert auf den für NT 4-Domänenkonzepte verbreite- Modell folgt den ten Verfahren. Microsoft hat lange Zeit die Aufteilung nach Standor- Standorten ten empfohlen. Große international operierende Unternehmen können davon profitieren, wenn die Gesellschaften auch politisch weitgehend nach Ländern geteilt sind. Das ist bei modernen Unternehmen nur selten der Fall. Unternehmen mit vielen rechtlich sehr selbstständigen, örtlich verteilten Filialen können aber von einem solchen Modell profitieren. Beim geografischen Modell ist zu berücksichtigen, wie die Standorte miteinander verbunden sind. Eine Unterteilung nach Ländern, Regionen und Städten ist nur sinnvoll, wenn wichtige Unternehmensteile dort auch existieren. Diese Unternehmensteile sind durch WANVerbindungen miteinander vernetzt. Der Austausch von Daten über solche Verbindungen ist kostenintensiv. Man muss beim Entwurf also berücksichtigen, wie die Daten zwischen den Domänencontrollern repliziert werden. Stehen sehr schnelle Verbindungen zur Verfügung,
326
6 Grundlagen Active Directory die nur geringe Kosten für den Datentransfer verursachen, sollte nur eine Domäne verwendet werden.
Abbildung 6.10: Das geografische Modell
Die gesamte Struktur des geografischen Modells wird dann mit Organisationseinheiten abgebildet. Wird die Replikation zwischen den Domänencontrollern der Standorte aber zum Problem, dann sind verschiedene Domänen sinnvoller. Sie sollten in diesem Fall die geografische Struktur grob mit Domänen abbilden und innerhalb der Domänen ein einheitliches Modell aus einem der folgenden Varianten auswählen. Das allgemeine geografische Modell aus Abbildung 6.10 kann je nach Qualität der Fernverbindungen so modifiziert werden, dass langsame Verbindungen toleriert werden können. Abbildung 6.11: Mehrere Domänen
Sind alle Verbindungen hinreichend schnell, ist eine Trennung der Domänen allein aufgrund der geografischen Lage nicht gegeben. In diesem Fall reicht eine Einteilung mit Hilfe der Organisationseinheiten.
6.5 Praktische Strukturierung einer Domäne
327 Abbildung 6.12: Einteilung mit OUs
Unternehmensmodelle Bei den Unternehmensmodellen gibt es zwei Versionen, die ein- und Modell folgt der denselben Zweck verfolgen, aber einen unterschiedlichen Ansatz ha- Unternehmensstruktur ben: • Funktionsbasiertes Modell • Abteilungsbasiertes Modell In beiden Fällen werden tatsächliche Strukturen des Unternehmens als Vorbild für die Hierarchie der Organisationseinheiten genommen. Vergessen Sie aber nicht die allgemeinen Vorgaben zur Begründung der Einführung einer OU, die am Anfang des Abschnitts genannt wurden. Hier erfolgt die Einteilung so, dass Benutzer mit bestimmten Funktio- Funktionsbasiertes nen zur Gruppierung herangezogen werden. Solche Bereiche könnten Modell dann Sekretariat, Programmierung, Technik, Konstruktion, Verwaltung, Lohnbuchhaltung usw. heißen. Abbildung 6.13: Unternehmensmodell nach der Funktion
Beim zweiten Modell ist die Trennung strenger nach Abteilungen or- Abteilungsganisiert. Das bietet sich im öffentlichen Dienst und anderen gut basiertes Modell durchstrukturierten Organisationen an, wo Mitarbeiter zu Abteilung
328
6 Grundlagen Active Directory IV/ME oder III/CV gehören. Oft ist dies auch für moderne Produktionsbetriebe gut geeignet, die Tausende ähnlicher Arbeitsplätze in der Produktion haben, die aber unterschiedlichen Produktionslinien angehören.
Abbildung 6.14: Abteilungsmodell
Projektmodelle Modell folgt dem Workflow
Das Projektmodell bildet Projektgruppen ab. Das lohnt sich, wenn diese Gruppen nicht zu häufig wechseln. Eventuell bleiben Projektgruppen grundsätzlich bestehen, nur die Mitglieder wechseln und damit deren Tätigkeitsfelder und Aufgabengebiete. Die Organisation nach Projektgruppen kann auch bei hoher Fluktuation innerhalb der Firma sinnvoll sein. Dann müssen Sie Benutzer bei einem Arbeitsplatzwechsel nur von einer Organisationseinheit in eine andere verschieben. Generell ist diese Form aber kritisch, wenn sie nicht der Unternehmensorganisation entspricht. Denken Sie auch daran, dass Sie damit kaum ein statisches Modell erhalten.
Administrationsmodell Rein administrativ orientiertes Modell
Beim Administrationsmodell wird die Hierarchie nach der bevorzugten Delegation der administrativen Aufgaben entworfen. So wie Sie teilweise oder ganz die Kontrolle über bestimmte Objekte weitergeben möchten, entwerfen Sie auch die Struktur. Active Directory unterstützt dies vorbildlich. Da hier ebenfalls die Aussage gilt, dass den Benutzern nichts über die Struktur bekannt sein muss, ist dieses Modell sehr beliebt. Der Einsatz lohnt aber nur, wenn es auch tatsächlich eine ausreichende Anzahl Personen gibt, die als Empfänger der Delegation dienen. Bei diesem Modell spielen Standorte und Funktionen kaum eine Rolle. Abteilungen sind oft mit der Administration konform strukturiert. Eine andere Möglichkeit sind die Ebenen in der Hierarchie des Unternehmens, wobei man mit der Ebene eine gewisse Kompetenz in Bezug auf die Administration verbindet.
6.5 Praktische Strukturierung einer Domäne Im administrativen Modell werden Benutzer als Objekte aufgefasst, die bestimmte Rechte in Bezug auf ihre Position in der Hierarchie haben. In der Praxis kann das so weit führen, dass beim Ausscheiden eines Mitarbeiters und der Einstellung eines neuen das Benutzerkonto nicht gelöscht, sondern nur umbenannt und mit neuen Attributen gefüllt wird. Der neue Mitarbeiter übernimmt den Platz des alten praktisch vollständig. Sämtliche Attribute lassen sich nachträglich ändern, auch der Anmeldename. Bei der Wahl dieses Modells müssen Sie sehr vorsichtig sein, was die Propagierung im Unternehmen betrifft. Eine derartige »Ersetzbarkeit« von Personen auf administrativer Ebene wird von vielen Laien missverstanden. Sie glauben dann, generell ersetzbar zu sein und bestehen auf einer anderen Einordnung, um die eigene Position zu unterstreichen.
Objektbasiertes Modell Bei diesem Modell unterwerfen Sie sich der inneren Struktur von Active Directory. Die oberste Ebene definiert also Benutzer, Computer, Drucker, Freigaben usw. Dann folgen unter den Benutzern typische Gruppen wie Administratoren, Hauptbenutzer, Gäste usw. Diese können dann weiter unterteilt werden, beispielsweise nach der Nutzung bestimmter Software oder Ressourcen.
Modelle, die Sie nicht verwenden sollten Manchmal wird ein Verzeichnisdienst mit viel Aufwand eingeführt, um technologisch auf dem Laufenden zu sein, die Ansprüche der Muttergesellschaft zu erfüllen oder dem Vorstand zu genügen. In allen Fällen kann es vorkommen, dass die Bedeutung der Organisationseinheiten von technischen Laien falsch eingeschätzt wird und die politische Struktur zur Abbildung gelangt. Hier sollten Sie als Administrator standhaft bleiben und die Ansicht durchsetzen, dass die Struktur der Organisationseinheiten nichts mit politischen Modellen zu tun hat, sondern mit der Vereinfachung der Administration und dass die Abbildung von Richtlinien und Zugriffsrechten unabhängig davon gestaltet werden kann.
Vor- und Nachteile der Modelle Die folgende Tabelle zeigt für alle Modelle im Überblick die wesentlichen Vor- und Nachteile auf. Entscheiden Sie dann anhand des konkreten Einsatzfalles, welches Modell am geeignetsten erscheint.
329
330
6 Grundlagen Active Directory Wenn Sie damit fertig sind, ergänzen Sie die nicht darstellbaren Objekte. So erhalten Sie ein »Freestyle«-Modell, das in keine der Kategorien passt. Es basiert aber auf einer soliden Annahme und erfüllt Ihre Ansprüche optimal. Dieses Modell ist deshalb das beste.
Tabelle 6.1: Vorund Nachteile der Modelle
Modell
Vorteile
Nachteile
Geografisches Modell
- Die oberste Ebene ist sehr
- Bildet nicht die Unter-
Funktionales Modell
statisch - Der Standort von Ressourcen ist gut erkennbar - Gute Abbildung von Richtlinien möglich
nehmensstruktur ab - Zuordnung von Ressour-
cen ist teilweise unlogisch - Häufige Änderungen - Lokalisierung von Res-
sourcen schwierig - Lokalisierung von Ressourcen schwierig
Abteilungsmodell
- Relativ statisch
Projektmodell
- Bildet Arbeitsprozesse gut - Häufige Änderungen ab - Schwer zu administrieren - Lokalisierung von Res-
Administrationsmodell
- Ressourcen gut erkennbar - Nicht intuitiv für Benut- Leichte Delegation von zer bei Suchvorgängen Aufgaben - Schlechte Abbildung der
Objektmodell
- Leichte Delegation von
sourcen schwierig
Unternehmensstruktur Aufgaben - Lokalisierung von Res-
sourcen gut
- Nicht intuitiv für Benut-
zer - Schlechte Abbildung der
Unternehmensstruktur
- ACLs leichter verwaltbar
Kein Ideal
Alle Modelle haben Vor- und Nachteile. Das ideale Modell gibt es nicht. Erinnern Sie sich deshalb an die Aussage am Anfang des Abschnitts: In erster Linie dient Active Directory administrativen Zwecken. Modifizieren Sie ein annähernd passendes Modell in diesem Sinne und Sie bekommen einen fast idealen Verzeichnisdienst.
6.5.4
Planung der Struktur
Wenn Sie sich für ein Modell entschieden haben, müssen Sie nun die eigentlichen Organisationseinheiten entwerfen. Bauen Sie die Hierarchie zuerst auf dem Papier auf, dann erst, wenn Sie zufrieden sind, klicken Sie die Objekte mit der Managementkonsole oder ADSISkripten zusammen. In Kapitel 12 Administration des Active Directory ab Seite 607 werden beide Varianten praktisch vorgestellt: Die Klickanleitung für die Managementkonsole und die Erstellung einfacher ADSI-Skripte.
6.5 Praktische Strukturierung einer Domäne
331
Vorgaben für die Gestaltung der Organisationseinheiten Die Struktur der Organisationseinheiten ist nicht nur durch die hierarchische Anordnung geprägt. Wenn Sie mehrere Domänen haben, ist jede Hierarchie von der anderen völlig getrennt. Um eine überschaubare Administration zu bekommen, sollten Sie deshalb vor der Eingabe der Organisationseinheiten festlegen, welchen Standards diese genügen sollen. Auch hier gibt es nur wenige allgemeingültige Empfehlungen, keine echten Standards.
Primärziel ist die Schaffung eines Administrationswerkzeugs
Nehmen Sie bei der Gestaltung keine Rücksicht auf Suchmöglichkeiten. Die AD-Datenbank ist indiziert und kann deshalb in allen Varianten gleich schnell durchsucht werden. Erstellen Sie ein einfaches Regelwerk für folgende Aufgaben: • Legen Sie zu jeder OU fest, welche Art von Objekten dort unterge- Inhalt der bracht werden darf, beispielsweise Computer, Administratoren- Container konten, Benutzerkonten, Drucker usw. • Legen Sie fest, welchen Zweck eine bestimmte Ebene von Organi- Zweck der sationseinheiten hat. Sie sollten sich darüber im Klaren sein, ob Sie Organisationsauf den oberen Ebenen Objekte speichern oder nur weitere Organi- einheiten sationseinheiten zulassen. • Erstellen Sie eine einheitliche Namensregel für Ihre Organisations- Namensregeln einheiten. Dabei gelten die folgenden Grundsätze: -
Organisationseinheiten müssen keinen eindeutigen Namen innerhalb der Domäne haben, da deren Position in der Hierarchie sie eindeutig festlegt.
-
Die maximale Länge der Namen beträgt 64 Zeichen.
-
Es sind alle Sonderzeichen zugelassen.
• Definieren Sie, wer der Besitzer einer Organisationseinheit ist und Besitzer festlegen wer sie administrieren darf. Diese Punkte werden nachfolgend detailliert besprochen.
Welche Objekte werden gespeichert Organisationseinheiten sind nicht nur Container für die klassischen Objekte wie Benutzer oder Computer, sondern auch für Gruppenrichtlinien. Dies sollte beim Entwurf berücksichtigt werden. Wenn Sie keine Gruppenrichtlinien für eine Anzahl von Objekten benötigen, kann eine Organisationseinheit dafür unter Umständen obsolet werden. Gruppenrichtlinien werden in Abschnitt 6.7 Gruppenrichtlinien ab Seite 355 ausführlich behandelt. Die dort getroffenen Aussagen wirken sich auch auf die Gestaltung der Organisationseinheiten aus. Denken Sie
332
6 Grundlagen Active Directory daran, dass die Zuweisung von Zugriffsrechten nur an Sicherheitsprinzipale erfolgen kann, also direkt an Computer, Benutzer und Gruppen, nicht jedoch an Organisationseinheiten. Wenn primär Zugriffsrechte vergeben werden, ist die Platzierung der Benutzer in einer Gruppe und der Sicherheitsgruppe selbst in einer OU der einfachste Weg. Dies hat einen ganz praktischen Effekt. Wenn Sie alle Benutzer einer OU einer Sicherheitsgruppe zuweisen möchten, können Sie alle Einträge der Liste zugleich auswählen und dann über das Kontextmenü zuweisen. Sind die Benutzer dagegen auf mehrere Organisationseinheiten verteilt, ist die Zuweisung ungleich aufwändiger. Für die Anmeldung spielt die Position eines Benutzerkontos in der Hierarchie keine Rolle. Sollen Benutzer aber auch im Active Directory suchen, beispielsweise um die Daten von Kollegen im Sinne eines zentrales Adressbuches zu finden, kann eine rein administrative Struktur für Konfusion sorgen. Das Active Directory als Plattform für das hausinterne Informationssystem im Intranet ist aber eine durchaus gebräuchliche Anwendung. Bei der Wahl der Objekte sollten also auch künftige Bedürfnisse der Benutzer berücksichtigt werden. Allerdings ist der administrative Aspekt wichtiger, da Sie mit Hilfe von Skripten für Benutzer immer eine andere Umgebung schaffen können, die deren Anforderungen besser genügt.
Mehr Zugriff mit Skripten
Der Zugriff mit Skripten spielt in der Windows-Welt inzwischen eine große Rolle. Sehr einfach ist die Programmierung mit Active Server Pages (ASP), die Sie mit VBScript und HTML schreiben können. Damit steht zugleich eine leistungsfähige Benutzerschnittstelle zur Verfügung (der Browser) und ein transparenter Zugriff auf alle Datenquellen, die Windows intern verwendet: das Dateisystem, die IISMetabasis, Datenbanken (SQL Server, Access, Text), WindowsAnwenderprogramme (Sie können auch direkt in Word- oder ExcelDokumente hineinschreiben) sowie Active Directory. Solche Skripte laufen auf dem Server und stellen die Ergebnisse per HTTP – dem Internetprotokoll – zur Verfügung. Damit können auch Anwender von Apple Macintosh oder Unix auf die Ausgaben zugreifen. In jedem Fall kann eine Benutzerschnittstelle geschaffen werden, die genau einem bestimmten Zweck genügt und auch für Benutzer ohne Computerkenntnisse bedienbar ist. Scripting wird deshalb in Teil II dieses Buches und vor allem im Band III Internet Information Server 5 eine große Rolle spielen.
Definition der Bedeutung der Ebenen Unabhängig vom gewählten Organisationsmodell müssen Sie festlegen, welche Objekte auf welcher Ebene untergebracht werden dürfen. Die daraus entstehende Vorschrift notieren Sie, sodass andere Admi-
6.5 Praktische Strukturierung einer Domäne
333
nistratoren darauf zurückgreifen können und zukünftig Objekte nach einem einheitlichen Schema untergebracht werden. Entscheidend ist dabei nicht festzulegen, dass in der einen Ebene Objekte gespeichert werden dürfen und in einer anderen nicht, sondern ob Sie für eine Organisationseinheit die folgenden drei Fragen beantworten können:
Begründung für den Einsatz einer Organisationseinheit
• Wie wird diese Organisationseinheit verwendet? • Wer soll die Organisationseinheit administrieren? • Welche Rechte benötigt der Administrator dieser Organisationseinheit? Dies gilt umso stärker, je tiefer die Hierarchie der Organisationseinheiten ist. Wenn Sie nur zwei Ebenen haben, ist die Entscheidung über eine Zuordnung sicher einfach. Wenn Sie aber als Prämisse eine größtmögliche Statik der höheren Ebenen ansetzen, was unbedingt zu empfehlen ist, dann kommt einer tieferen Hierarchie eine größere Bedeutung zu. Hier sind dann aber auch genauere Definitionen der Verwendung notwendig. Wenn Sie neue Ebenen entwerfen, um den Anforderungen zu genü- Praktische Grenzen gen, sollten Sie einige praktische Grenzen kennen. Eine theoretische der HierarchieGrenze gibt es nicht. Microsoft selbst spricht von maximal 10 Ebenen, Tiefe nach denen ein Leistungseinbruch zu beobachten ist. Damit Sie Reserven für Erweiterungen haben, sollte die erste Struktur nur sieben bis acht Ebenen umfassen. Weniger ist natürlich immer besser, wenn es nicht zu Lasten der Administrierbarkeit geht. Mit jeder Ebene wächst die Anzahl möglicher Objekte exponentiell. Brauchen Sie wirklich so viele Container?
Namenskonventionen entwerfen Wie bereits in der Übersicht erwähnt, bestehen aus Sicht des Systems Regeln für Namen nur wenige Ansprüche an die Namensgestaltung. Es besteht keine Notwendigkeit, die Namen eindeutig zu machen (der Namensraum ist praktisch der übergeordnete Container, nicht die Domäne). Die Länge ist mit 64 Zeichen relativ komfortabel. Auf DNS-Namen müssen Sie auch keine Rücksicht nehmen, Organisationseinheiten tauchen dort nicht auf. Es gibt einen ganz anderen Grund, sich Gedanken über die Namens- LDAP-Nutzer nicht konventionen zu machen: die Benutzer. Benutzer können nach Orga- vergessen! nisationseinheiten suchen oder müssen diese als LDAP-Adressen verwenden. In beiden Fällen sind kryptische Zeichenfolgen oder künstliche Verkürzungen wenig geeignet.
334
6 Grundlagen Active Directory Die Namen sollten weitestgehend selbsterklärend sein, die Position widerspiegeln, die Suche unterstützen und einfach sein.
ISO 3166-Codes
Tabelle 6.2: ISO 3166 Landeskennzeichen (Auszug)
Für Namen geografischer Regionen kann auch das ISO 3166 Landesschema verwendet werden. Diese Codes sind nur zwei Buchstaben lang und leicht zu merken. Dieser Standard wird auch von den Toplevel-Domains im Internet verwendet (siehe auch Abschnitt 5.6.4 Aufbau des Domain Name Systems (DNS) ab Seite 191).
Landesbezeichnung
ISO
Landesbezeichnung
ISO
Afghanistan
AF
Kenya
KE
Albania
AL
Korea, Republic of
KR
Algeria
DZ
Kuwait
KW
Andorra
AD
Lao Democratic Republic
LA
Angola
AO
Lebanon
LB
Argentina
AR
Liberia
LR
Armenia
AM
Libyan
LY
Australia
AU
Liechtenstein
LI
Austria
AT
Lithuania
LT
Bahamas
BS
Luxembourg
LU
Bahrain
BH
Macau
MO
Bangladesh
BD
Macedonia
MK
Barbados
BB
Malaysia
MY
Belarus
BY
Malta
MT
Belgium
BE
Marshall Islands
MH
Bolivia
BO
Martinique
MQ
Bosnia and Herzegovina
BA
Mauritius
MU
Brazil
BR
Mayotte
YT
Bulgaria
BG
Mexico
MX
Canada
CA
Monaco
MC
Chile
CL
Morocco
MA
China
CN
Namibia
NA
Cocos (keeling) Islands
CC
Netherlands
NL
Croatia
HR
Norway
NO
6.5 Praktische Strukturierung einer Domäne
335
Landesbezeichnung
ISO
Landesbezeichnung
ISO
Cuba
CU
Pakistan
PK
Cyprus
CY
Panama
PA
Czech Republic
CZ
Paraguay
PY
Denmark
DK
Poland
PL
Ecuador
EC
Portugal
PT
Egypt
EG
Romania
RO
Estonia
EE
Russian Federation
RU
Finland
FI
Saudi Arabia
SA
France
FR
Singapore
SG
Germany
DE
South Africa
ZA
Greece
GR
Spain
ES
Greenland
GL
Sweden
SE
Vatican City
VA
Switzerland
CH
Honduras
HN
Syrian Arab Republic
SY
Hong Kong
HK
Taiwan, Province of China
TW
Hungary
HU
Thailand
TH
Iceland
IS
Turkey
TR
India
IN
Tuvalu
TV
Iraq
IQ
Ukraine
UA
Ireland
IE
United Kingdom
GB
Israel
IL
United States
US
Italy
IT
Vietnam
VN
Japan
JP
Yugoslavia
YU
Wenn ISO 3166 verwendet wird, ist es zur Unterscheidung anderer Organisationseinheiten sinnvoll, mindestens drei Zeichen zu vereinbaren. Dann kann es keine Konflikte mit den zwei Zeichen langen Codes geben. Wenn Sie das geografische Modell verwenden und in 14 Standorten Beispiel eine OU »Verkauf« haben, ist dies nicht unbedingt sinnvoll, dies so beizubehalten, besser wäre dann, den Namen der übergeordneten OU mit einzubeziehen, beispielsweise »Berlin Verkauf«. Selbsterklärend
336
6 Grundlagen Active Directory sind Namen wie »Berlin Verkauf Benutzer«. Eine clevere Namenswahl spart auch einige Seiten Dokumentation, mit der Sie sonst Organisationseinheiten wie »DE_B_XII/3_Usr« erklären müssten.
Delegation der Administration Aufgaben des Administrators
Wenn Sie eine Organisationseinheit erzeugen, sind Sie der Eigentümer und damit für die Administration verantwortlich. Zu Ihren Aufgaben gehören: • Hinzufügen, Löschen und Bearbeiten von Objekten • Entscheiden, welche Richtlinien von übergeordneten Organisationseinheiten geerbt werden • Entscheiden, welche Richtlinien hinzugefügt oder geändert werden • Entscheiden, welche Richtlinien an die nächsttiefere Ebene vererbt werden sollen • Entscheiden, ob die Administration der nächsten Ebene an eine andere Person übertragen werden kann Der Domänenadministrator kann übrigens jederzeit den Besitz jeder Organisationseinheit übernehmen und dann einen neuen Administrator zuordnen. Achten Sie darauf, dass nicht ohne ganz triftigen Grund Personen der Gruppe der Domänenadministratoren zugeordnet werden. Die Kontrolle durch den Besitz und die Delegation ist ein kritischer Punkt. Es ist problematisch, weil durch falsche Anwendung oder laxen Umgang Sicherheitslücken entstehen. Auf der anderen Seite ist diese Form der Verwaltung sehr flexibel und passt sich gut Alltagssituationen an. So können Sie leicht auf Veränderungen im Mitarbeiterstamm bei Urlaub, Krankheit oder Lehrgangsbesuchen reagieren. Die totale Macht des Domänenadministrators ist aber auch kritisch. Wenn Sie eine solche Situation vermeiden wollen, nutzen Sie mehrere Domänen, die jeweils einen Administrator haben. Dieser hat keine Kontrolle in einer anderen Domäne. Die Zuweisung der Administrations- und Zugriffsrechte erfolgt durch Zuordnung eines Benutzerkontos zu einer Sicherheitsgruppe und nicht durch Platzierung des Kontos in einer OU.
Planen der Delegation
Wenn Sie weitere Personen als Administratoren einsetzen, stellen Sie genau fest, wer dafür geeignet ist, und beantworten Sie folgende Fragen: • Wer? Wer darf administrieren → Benutzerkonto oder Gruppe?
6.6 Benutzer und Gruppen
337
• Was? Was darf administriert werden → Rechte, Eigenschaften? • Wo? Wo darf administriert werden → OU?
6.6
Benutzer und Gruppen
Nach der Festlegung der Struktur des Active Directory und der Organisationseinheiten wird das Verzeichnis mit den eigentlichen Objekten gefüllt: Benutzer, Gruppen, Computer, Drucker usw. Dabei nehmen Benutzer und Gruppen eine herausragende Stellung ein.
6.6.1
Benutzer- und Gruppenmanagement
Benutzer und Gruppen sind – auch aus historischer Sicht – das primäre Verwaltungskriterium. Mit Active Directory kommen weitere Verwaltungsinstanzen hinzu, wie es in den vorhergehenden Kapiteln bereits diskutiert wurde. Benutzer und Gruppen bleiben aber, vor allem wegen der vielen spezifischen Eigenschaften, die am intensivsten zu administrierenden Objekte. Dieses Kapitel führt in das Benutzer- und Gruppenmanagement ein und berücksichtigt dabei die Beziehungen zum Active Directory.
Unterschiede zu Windows NT 4 Das Benutzer- und Gruppenmanagement unter Windows 2000 mit Active Directory unterscheidet sich grundlegend von dem aus Windows NT 4 bekannten. Einige Bezeichnungen, wie die »Gruppe«, sind zwar erhalten geblieben, finden jedoch im Active Directory andere Entsprechungen. Dieser einleitende Abschnitt soll vor allem der Begriffsdefinition und der Erläuterung der Struktur dienen. Der Einfachheit halber wird nur vom Benutzermanagement gesprochen, wenngleich dies neben den Benutzern auch andere Elemente der Organisationsstruktur betrifft. In jedem Fall wird aber davon ausgegangen, dass mit Active Directory Active Directory for gearbeitet wird. Dies lohnt, trotz des am Anfang bestehenden Einar- ever beitungsaufwands, auch für kleinere Netzwerke. Vorausgesetzt wird hier zugleich, dass die Einrichtung von Active Directory und der Domänenstruktur bereits erfolgt ist.
Strategien zum Benutzermanagement Um Benutzer einzurichten und damit zu einem funktionierenden Strategien Netzwerk zu gelangen, gehen Sie in folgenden Schritten vor:
338
6 Grundlagen Active Directory • Planung der Benutzerkonten und des Gruppenmanagements Hier geht es um die Benutzerkonten. Obwohl zwei Organisationsmöglichkeiten bestehen, Gruppen und Organisationseinheiten, beziehen sie sich dennoch auf ein gemeinsames Element: Benutzer. Hier steht die Frage der Synchronisation an. • Planung der Strategie der Gruppenrichtlinien Die Systemrichtlinien in Windows 2000 sind in Form der Gruppenrichtlinien ein äußerst leistungsfähiges Werkzeug. Computern mit Windows 2000 Professional kann ein explizites Rechtesystem zugewiesen werden, ebenso wie jedem Element in der Struktur des AD. • Planung der physischen Struktur der Site, Domänen und Pfade Gruppenrichtlinien können auch der Site und der Domäne zugewiesen werden. Dadurch haben Sie eine einfache globale Kontrolle der Zugriffs- und Ausführungsrechte, auch wenn sich die physische Struktur der Organisationseinheiten ändert. • Planung der Delegation der Administration In großen Unternehmen werden Sie die Aufgaben vielleicht auf mehrere Administratoren verteilen wollen. Auch in kleineren Unternehmen kann in der Urlaubszeit eine Delegierung einiger Aufgaben sinnvoll sein. Dies erfolgt auf Ebene der Organisationseinheiten. • Testaufgaben Nicht zu vergessen sind Tests der Einstellungen, damit Benutzer nicht »vergessene« Sicherheitslöcher finden oder Aufgaben nicht ausführen können. Alle Aufgaben und deren Lösung werden nachfolgend ausführlich beschrieben.
6.6.2
Einführung in die Benutzerverwaltung
Das Windows 2000-Sicherheitskonzept für Benutzer basiert auf dem Konzept der Benutzerkonten. Jeder Benutzer wird eindeutig identifiziert, um ihm Zugriff auf bestimmte Ressourcen zu geben. Wer auch immer das Netzwerk oder eine Arbeitsstation mit Windows 2000 Professional nutzen möchte, benötigt ein Benutzerkonto. Das führt auch dazu, dass interne Prozesse über Konten verfügen. Diese können jedoch überwiegend nicht administriert werden.
6.6 Benutzer und Gruppen Aus Sicht des Benutzers ist dieses Konzept sehr einfach. Der Benut- Benutzersicht: zername ist für ihn ein fassbarer Begriff, mit dem er täglichen Umgang Name und hat. Aus Sicht des Administrators ist es kritischer. Ein laxer Umgang Kennwort mit den Benutzerkonten kann zu erheblichen Sicherheitsmängeln führen. Die Verwaltung der Benutzerkonten ist aus zweierlei Sicht bedeutend: • Hier wird das Sicherheitsniveau implementiert, das für das Netzwerk wichtig ist. • Cleverer Umgang mit den Benutzerkonten kann den administrativen Aufwand signifikant reduzieren. Diese Reduktion des Aufwands setzt natürlich tiefgehende Kenntnisse der Werkzeuge und deren Bedeutung voraus. Dieses Kapitel vermittelt die entsprechenden Kenntnisse. Sie sollten es lesen, bevor Sie Entscheidungen bezüglich der Benutzereinrichtung treffen. Gruppen sind auch in Windows 2000 der zweite große Komplex in der Umgang mit Benutzerverwaltung. In Windows NT waren Gruppen ein Werkzeug Gruppen zur Verwaltung von Benutzern und zum Zuweisen von Rechten. Das hat sich mit Windows 2000 nicht geändert. Die Verwendung von Organisationseinheiten dient nur der Vereinfachung der Verwaltung und Zuweisung von Richtlinien. Intern bilden Gruppen das primäre Verwaltungsinstrument. Wer sich begierig auf Active Directory stürzt, wird von dieser Aussage vielleicht befremdet sein. Das Gruppenkonzept stützt sich natürlich nicht auf X.500. Es ist quasi neben Active Directory gestellt, was aufgrund der unterschiedlichen Anforderungen sinnvoll ist. Verzeichnisdienste sind vordergründig auf die Informationsweitergabe, globale Authentifizierung und Verteilung von Richtlinien ausgelegt. Die Regelung des Zugriffs auf dezentrale Ressourcen hat damit nur am Rande zu tun. Hier setzt das Sicherheitskonzept von Windows 2000 mit den Access Control Lists (ACL) ein, deren Zuordnung wahlweise Benutzer- oder Gruppen-orientiert erfolgen kann. In diesem Kapitel geht es deshalb um die Steuerung der Zugriffsrechte – die Seite der Ressourcen also. Im nächsten Kapitel werden dann die Richtlinien behandelt, die irreführend Gruppenrichtlinien heißen und mit Gruppen nichts zu tun haben.
6.6.3
Elemente der Systemsicherheit
Benutzer- und Gruppeninformationen werden in einer zentralen Datenbank gespeichert. In Windows NT war dies die SAM-Datenbank. Unter Windows 2000 erledigt diese Aufgabe – wenn es sich um einen Domänencontroller handelt – Active Directory. Jedes Element, Benutzer und Gruppen, wird durch den Security Identifier (SID) identifiziert.
339
340
6 Grundlagen Active Directory Der Security Identifier
Security Identifier
Wenn ein neues Benutzerkonto angelegt wird, erzeugt Windows 2000 eine so genannte SID. Diese Nummer besteht aus zwei Teilen. Der erste bezeichnet die Domäne, der zweite das Element. Dieser zweite Teil wird Relative Security Identifier (RID) genannt. Eine SID wird niemals mehrfach verwendet. Jedes Konto wird deshalb eine eindeutige SID tragen, auch wenn es gelöscht und mit identischem Namen erneut angelegt wird. Alle internen Prozesse in Windows 2000 nutzen deshalb immer die SID, niemals den Namen. SIDs identifizieren auch Gruppen und Computer und alle anderen sicherheitsrelevanten Elemente.
Der Security Descriptor Security Descriptor Jedes Objekt hat eine eindeutige Beschreibung, den Security Descriptor
(SD). Dort werden die Zugriffsrechte des Objekts in Form von Sicherheitsattributen beschrieben. Der SD enthält: • Die SID des Eigentümers dieses Objekts. Der Eigentümer darf die Zugriffsrechte auf sein Objekt verändern. • Die Liste spezifischer Zugriffsrechte (ACL, Access Control List). Diese Liste beschreibt Benutzerkonten und Gruppen, die explizite Zugriffsrechte erhalten haben oder denen Rechte explizit entzogen wurden. Auch diese Zuordnung darf der Eigentümer ändern. • Die System-ACL. Hier werden Systemmeldungen kontrolliert, beispielsweise die Zugriffsüberwachung. Diese Einstellungen kann nur der Systemadministrator ändern. Die ACL spielt also für die Zugriffssicherheit eine herausragende Rolle. Sie wird nachfolgend näher betrachtet.
Die Access Control List • Die Access Control List (ACL) besteht aus einer Liste Access Control Entries (ACE). Diese Einträge geben oder entziehen bestimmten Benutzerkonten oder Gruppen Rechte und Zugriffsgenehmigungen. Die Unterscheidung zwischen Zugriff und Ausführung wird folgendermaßen definiert: • Rechte. Rechte regeln die Möglichkeit, Aufgaben auszuführen, beispielsweise die Änderung der Systemzeit. • Genehmigungen. Hierunter wird der Zugriff auf Ressourcen verstanden, beispielsweise das Lesen von Verzeichnissen.
6.6 Benutzer und Gruppen
341
Ein ACE besteht also immer aus der SID, für die der Eintrag angelegt wird, und den Kontrollinformationen. Es gibt drei Typen von ACEs: • ACCESSALLOWED. Dieses ACE erlaubt einen Zugriff. • ACCESSDENIED. Hiermit wird der Zugriff entzogen. • SYSTEMAUDIT. Dieses ACE überwacht das Objekt. ACCESSALLOWED und ACCESSDENIED können sich widersprechen. In diesem Fall »gewinnt« ACCESSDENIED. SYSTEMAUDIT wird im Wesentlichen zur Überwachung des Objekts verwendet, steuert also, welche Ereignisse zu Einträgen in die Protokolldateien führen (siehe auch Abschnitt 16.4 Sicherheitsrichtlinien und vorlagen ab Seite 937).
Access Control Entries (ACE) Jeder Eintrag enthält eine so genannte Zugriffsmaske. Damit werden alle zulässigen Aktionen für das Objekt definiert. Vergleichbar ist dies mit einer Liste, aus dem der Administrator Genehmigungen auswählen und wieder abwählen kann. Dies wird bei der Zugriffserteilung zu Dateien und Ordnern im Explorer auch so angezeigt. Abbildung 6.15: ACE für einen Ordner im ACEEditor
Die Zugriffserteilung kann dabei – NTFS vorausgesetzt – sehr differenziert erfolgen. Davon wird man sicher nicht oft Gebrauch machen, Abbildung 6.16 zeigt aber die Möglichkeiten.
342
6 Grundlagen Active Directory Die Registerkarte SICHERHEITSEINSTELLUNGEN wird oft auch als ACEEditor bezeichnet. Sie ist in nahezu allen sicherheitsorientierten Dialogfeldern in unterschiedlicher Ausprägung anzutreffen.
Abbildung 6.16: Differenzierte Zugriffsrechte
Die Verwaltung jeder einzelnen Datei wird kaum das Ziel des Administrators sein können. Mit den Zugriffsrechten lässt sich hier aber eine übersichtliche Struktur einbringen. Stufen der Zugriffsrechte
Zugriffsrechte können auf folgenden Stufen definiert werden: • Für das Objekt als Ganzes, dass heißt, für alle Attribute • Zu einer Gruppe von Attributen, die durch Eigenschaften des Objekts definiert werden • Zu individuellen Attributen des Objekts
16 Zugriffstypen standardmäßig verfügbar
Insgesamt kennen Objekte 16 verschiedene Zugriffstypen. Abbildung 6.16 zeigt einige davon. Nicht alle Zugriffstypen stehen für alle Objekte zur Verfügung. Die spezifische Zugriffsmaske definiert, welche Zugriffstypen tatsächlich angeboten werden. So würde man bei einem Ordner Rechte wie »Lesen« oder »Ausführen« definieren, für die Druckerwarteschlange dagegen »Bearbeiten und Drucken in der Druckerwarteschlange«. Die Zugriffstypen sind also objektabhängig. Intern muss Windows 2000 ständig Zugriffsrechte mit den ACEs vergleichen. Dazu wird ein Zugriffstoken angelegt (Access Token). Dieses Token beschreibt die Rechte, die ein Benutzerkonto hat. Enthalten sind folgende Informationen: • Die SID • Die SIDs aller Gruppen, zu denen das Benutzerkonto gehört • Die Privilegien dieses Benutzerkontos Das Token wird vom WinLogon-Dienst angelegt, wenn sich der Benutzer am Netzwerk bzw. Server anmeldet. Bei jedem Zugriff wird dann das Zugriffstoken mit der ACL des Objekts verglichen, auf das der Benutzer zugreift. Erscheinen eine oder mehrere der SIDs auch in
6.6 Benutzer und Gruppen
343
der ACL, wird der Zugriff auf die Ressourcen im definierten Umfang gewährt.
6.6.4
Gruppen
Gruppen sind ein Instrument zur Vereinfachung der Verwaltung. Wenn Sie Zugriffsrechte einstellen und dies mehrere Benutzer betrifft, eignen sich Gruppen zu Vereinfachung. Gruppen sind kein Organisationsinstrument in AD, verlieren jedoch wegen der engen Verflechtung von lokalen Sicherheitsdatenbanken und Active Directory nicht ihre Bedeutung.
Einführung in Gruppen Gruppen werden in Windows 2000 ebenso wie schon unter Windows NT durch einen Namen repräsentiert. Generell handelt es sich um einen Weg, die Zugriffsrechte mehrerer Benutzer auf bestimmte Ressourcen einfach zu administrieren. Aus Gründen der Abwärtskompatibilität zu Windows NT 4 gibt es Kompatibilität zu einige eingebaute Gruppen. Die werden im AD-Container BuiltIn ab- NT 4 gelegt. Sie können diese Gruppen nicht löschen oder umbenennen. Da Windows 2000 aber eine differenziertere Steuerung von Rechten erlaubt, lohnt der Einsatz kaum noch, wenn reine Windows 2000Netzwerke eingesetzt werden. Hier bieten die Gruppen, die im Container Users oder einer eigenen OU-Struktur abgelegt werden, deutliche Vorteile. Unter NT 4 gab es zwei Typen von Gruppen: • Lokale Domänengruppen Diese Gruppen sind auf die Domäne beschränkt, in der sie definiert wurden. Lokale Gruppen wurden verwendet, um die Zugriffsrechte auf Ressourcen zu definieren. • Globale Gruppen Globale Gruppen gelten in allen Domänen eines Netzwerks. Dazu genügt die Definition auf einem Domänencontroller. Globale Gruppen können nur Benutzerkonten enthalten, keine anderen Gruppen. Globale Gruppen dienten der Definition der Zugehörigkeit von Benutzern, beispielsweise zur Art der Tätigkeit. Die Möglichkeiten, die NT bot, um eine große Anzahl Benutzer zu verwalten, waren also recht beschränkt. Das Gruppenkonzept wurde in Windows 2000 deutlich erweitert. Gruppen unter Windows 2000 Hinzugekommen sind folgende Eigenschaften:
344
6 Grundlagen Active Directory • ein neuer Gruppentyp, die universelle Gruppe • Verschachtelung von Gruppen • Gruppen können als Liste betrachtet werden. So können Sie mit Exchange 2000 E-Mails an eine Gruppe versenden, was dem Versenden der E-Mail an jedes Mitglied der Gruppe entspricht. • Gruppen können unsichere Mitglieder enthalten. Das sind Mitglieder, die nur als Listenmitglieder auftreten, sonst aber keine Rechte im Netzwerk haben. • Gruppen können ausschließlich aus unsicheren Mitgliedern bestehen. Die letzten drei Optionen dienen vor allem der Verwaltung von größeren Nutzerzahlen auf einem Internet-Server, wo sie Benutzer anonym anmelden können, beispielsweise um Mitglied in einer Mailingliste zu werden. Um die neuen Gruppenfunktionen nutzen zu können, muss Active Directory im EINHEITLICHEN MODUS laufen. Wenn Sie weiterhin Domänencontroller unter NT 4 im Netzwerk einsetzen, können Sie nicht davon profitieren. Informationen zu den Betriebsmodi finden Sie in Abschnitt 6.8.2 Die Modi einer Domäne ab Seite 374. Dort wird auch gezeigt, wie Sie die aktuelle Einstellung ablesen und den Modus umstellen können.
Konzeptionen
An dieser Stelle mögen Sie sich immer noch fragen, warum Gruppen nun tatsächlich benötigt werden. Gruppen stellen trotz aller Anpassungen eine flache Hierarchie mit einem globalen Namensraum dar. Darin unterscheiden sie sich kaum von den Benutzern. Tatsächlich dienen Gruppen der Vereinfachung der Verwaltung der Zugriffsrechte auf physische Ressourcen.
6.6.5 Neue Gruppentypen in Windows 2000
Gruppen im Detail
In einem Active Directory gibt es drei Gruppenbereiche: • Universelle Gruppe Dieser Gruppenbereich steht nur zur Verfügung, wenn Active Directory im einheitlichen (nativen) Modus betrieben wird. Mitglieder können aus der lokalen oder jeder anderen Domäne sein und sind überall sichtbar. Universelle Gruppen können andere universelle Gruppen, globale Gruppen und lokale Gruppen enthalten. Mitglieder können auf ACLs erscheinen.
6.6 Benutzer und Gruppen
345
Normalerweise kommt dieser Gruppenbereich zur Anwendung, um Mailinglisten oder andere große und anonyme Verteiler mit Exchange aufzubauen. Universelle Gruppen entsprechen Verteilerlisten in Exchange. Eine andere Anwendung sind kleine Unternehmen, die eine Unterteilung in Gruppentypen nicht benötigen. Universelle Gruppen erscheinen im globalen Katalog zusammen mit ihren Mitgliedern. • Globale Gruppe Diese Gruppen enthalten nur Mitglieder der lokalen Domäne, diese sind jedoch nach außen hin sichtbar. Verwenden Sie diese Form für Benutzer, die von außen ansprechbar sein sollen. Die Verschachtelung von globalen Gruppen ist möglich, wenn Active Directory im einheitlichen (nativen) Modus betrieben wird, ansonsten entspricht dieser Gruppentyp denen von NT 4. Globale Gruppen erscheinen im globalen Katalog, nicht jedoch ihre Mitglieder. • Lokale Gruppe Lokale Gruppen können nur in ACLs der lokalen Domäne verwendet werden. Mitglieder haben also keine Möglichkeit des Zugriffs auf andere Domänen. Lokale Gruppen erscheinen nicht im globalen Katalog. Mit diesen Gruppen ist eine flexible Zuordnung möglich. Kleinere Organisationen werden dabei kaum Unterschiede in der Verwendung feststellen. Große Unternehmen mit mehreren Domänen sollten die Einordnung der Gruppen in den globalen Katalog beachten. Nur lokale Gruppen erscheinen nicht im globalen Katalog. Das führt bei mehreren Domänencontrollern und vielen universellen Gruppen dazu, dass der Replikationsoverhead zunimmt. Stehen dann nur teure WAN-Verbindungen zur Verfügung, kann allein eine falsch installierte Gruppenstruktur zum Kostenfaktor werden. Der Replikationsaufwand zwischen Domänen, also für den globalen So reduzieren Sie Katalog, ist davon abhängig, welche Objekte die Gruppen enthalten. den ReplikationsUniverselle Gruppen enthalten Mitglieder, die ebenfalls repliziert aufwand werden. Bei globalen Gruppen werden diese nicht repliziert, da diese Gruppen nur in einer Domäne existieren. Es eignet sich dann folgende Strategie: • Verwenden Sie universelle Gruppen nur als Container für globale Gruppen. • Ordnen Sie Benutzerkonten nur globalen Gruppen zu, nicht den universellen.
346
6 Grundlagen Active Directory Weitere Gruppenarten Sie können bei allen Gruppenbereichen zwischen zwei Arten von Gruppen auswählen: • Sicherheitsgruppen Diese Gruppen können in ACLs aufgeführt werden, wo Rechte zum Zugriff auf Ressourcen und Objekte verwaltet werden. • Verteilergruppen Diese Gruppen sind reine Verteiler für E-Mail. Sie können nicht ACLs zugeordnet werden. Unabhängig davon sind auch Sicherheitsgruppen immer Verteilergruppen. Die sorgfältige Unterscheidung und Abstimmung auf den tatsächlichen Bedarf wirkt sich vor allem auf die Systemleitung aus.
Ändern des Gruppenbereichs Windows 2000 bietet die Möglichkeit, den Bereich einer Gruppe zu ändern. Das gilt allerdings nur für den einheitlichen Modus. Erlaubt sind folgende Konvertierungen: • Globale Gruppe nach universelle Gruppe. Das funktioniert nur, wenn die globale Gruppe nicht selbst Mitglied einer anderen globalen Gruppe ist. • Lokale Gruppe nach universelle Gruppe. Die zu konvertierende Gruppe darf keine anderen lokalen Gruppen enthalten.
Ändern des Gruppentyps Wenn Sie universelle Gruppen verwenden, können Sie den Gruppentyp nachträglich ändern: • Sicherheitsgruppe in Verteilergruppe und umgekehrt. Innerhalb der universellen Gruppen können Sie die Gruppenart jederzeit in beide Richtungen ändern.
Verschachtelung von Gruppen Gruppen können verschachtelt werden. Das mindert etwas den negativen Effekt der flachen Hierarchie, die Gruppen eigentlich darstellen. Die Verschachtelung ist auch aus Leistungsgründen notwendig, wenn sehr große Benutzerzahlen verwaltet werden. Das Gruppendesign erlaubt etwa 5 000 Benutzerkonten pro Gruppe. Die Tiefe der Ver-
6.6 Benutzer und Gruppen
347
schachtelung ist dagegen nicht begrenzt. Bereits mit wenigen Ebenen lassen sich also Zehntausende Benutzerkonten verwalten. Da NT 4 die Verschachtelung nicht unterstützt, verhält sich auch die Behandlung der Gruppen anders, wenn der gemischte Modus verwendet wird – Sie können Gruppen dort nicht verschachteln. Im einheitlichem Modus funktionieren sie folgendermaßen:
Verschachtelung im einheitlichen • Universelle Gruppen können Benutzerkonten, andere universelle Modus
Gruppen, globale und lokale Gruppen enthalten. • Globale Gruppen können Benutzerkonten derselben Domäne und andere globale Gruppen enthalten. • Lokale Gruppen können Benutzerkonten sowie universelle, globale und lokale Gruppen derselben Domäne enthalten. Im gemischten Modus ist die Verschachtelung von Gruppen nicht ge- Gemischter Modus geben: • Globale Gruppen können nur Benutzerkonten enthalten. • Lokale Gruppen können Benutzerkonten derselben Domäne und globale Gruppen aus allen Domänen enthalten. Alle Gruppen können sowohl Benutzerkonten als auch Kontakte enthalten. Dies wird übergreifend als Mitgliedschaft bezeichnet.
Mitgliedschaft Ein Benutzerkonto kann Mitglied mehrerer Gruppen sein. Seine Rech- Benutzerkonten te entsprechen der Summe der Rechte aller Mitgliedschaften. Bei sich widersprechenden Einstellungen gewinnt das restriktivste Recht. Neben Benutzern können auch Kontakte Mitglieder von Gruppen Kontakte sein. Dies ist nur sinnvoll, wenn es sich um Verteiler- oder Sicherheitsgruppen handelt. Kontakte können keine sicherheitsrelevanten Attribute haben. Sie können aber E-Mail an Kontakte versenden oder Benutzern das Einsehen der Kontaktdaten erlauben. Wenn Kontakte Sicherheitsgruppen zugeordnet werden, erben diese nicht die Sicherheitseinstellungen der Gruppe.
6.6.6
Die integrierten Gruppen
Windows 2000 Active Directory kommt mit einer Reihe bereits einge- Integrierte oder bauter Gruppen. Sie können die Eigenschaften in gewissen Grenzen vordefinierte verändern, jedoch keine eingebauten Gruppen löschen. Der Einsatz Gruppen sollte ernsthaft in Erwägung gezogen werden, denn es spart Ihnen eine Menge Arbeit, die voreingestellten Eigenschaften zu verwenden.
348
6 Grundlagen Active Directory Einige Eigenschaften werden den eingebauten Gruppen exklusiv zur Verfügung gestellt. In diesen Fällen müssen Sie Benutzer einer dieser Gruppen zuweisen. Die eingebauten Gruppen werden während der Installation von Active Directory erzeugt und stehen sofort zur Verfügung. Die folgende Tabelle zeigt alle Gruppen:
Tabelle 6.3: Eingebaute Gruppen
Name
Typ
Mitglieder dieser Gruppe dürfen...
Konten-Operatoren
Lokal
... Benutzer und Gruppen verwalten, nicht jedoch solche, die Administratorrechte haben.
Administratoren
Lokal
... die volle Kontrolle über den Computer ausüben. Einzige Ausnahme sind direkte Zugriffsrechte auf Dateien fremder Besitzer unter NTFS, die nur möglich sind, wenn zuvor eine Besitzübernahme stattfindet.
SicherungsOperatoren
Lokal
... Dateien auf Band sichern.
Gäste
Lokal
... sich mit Computer und Netzwerk verbinden. Der Zugriff auf Ressourcen muss zusätzlich explizit gewährt werden.
Druck-Operatoren
Lokal
... Drucker steuern, Jobs verändern, löschen usw. Sie können sich auch an einem Domänencontroller anmelden, wenn dort die Druckerverwaltung stattfindet.
ReplikationsOperatoren
Lokal
... die Replikation zwischen Servern steuern.
Server-Operatoren
Lokal
... Domänencontroller verwalten.
Benutzer
Lokal
... Dokumente bearbeiten und speichern. Sie können Programme ausführen, aber nicht installieren.
Zertifikatsherausgeber
Global
... Zertifikate in Domänen-Gesamtstrukturen herausgeben und erneuern.
Domänenadministratoren
Global
Diese Gruppe enthält alle Administratoren der Domäne.
Domänencomputer
Global
In dieser Gruppe sind alle Computer der Domäne.
Domänencontroller
Global
In dieser Gruppe sind alle Domänencontroller der Domäne.
6.6 Benutzer und Gruppen
Name
Typ
349
Mitglieder dieser Gruppe dürfen...
Domänengäste
Global
Alle Gästekonten der Domäne.
Domänenbenutzer
Global
Benutzerkonten der Domäne.
Administratoren für Gruppenrichtlinien
Global
... die Gruppenrichtlinien der Domäne bearbeiten.
UnternehmensAdministratoren
Universell Administratoren der Gesamtstruktur.
SchemaAdministratoren
Universell ... die Schemata bearbeiten
Weitere Gruppen können in Abhängigkeit von installierter Software vorhanden sein. So legt der DNS-Dienst eine Gruppe für DNSOperatoren an. Diese sollen hier nicht weiter beachtet werden. Sie finden die eingebauten lokalen Gruppen im Ordner BUILTIN in AD, diese und alle anderen außerdem in USERS. Sie können die eingebauten Gruppen lokalen oder globalen Gruppen zuweisen. Ebenso ist es möglich, jede andere Gruppe und Benutzer zuzuordnen.
Umgang mit eingebauten Gruppen Die eingebauten Gruppen sind nicht nur eine Erleichterung für den Umgang mit Windows 2000 bei der täglichen Arbeit. • BENUTZER und DOMÄNENBENUTZER
Benutzer
Jedes Benutzerkonto, das in der Domäne angelegt wird, ist automatisch Mitglied in der globalen Benutzergruppe. Diese Gruppe repräsentiert also immer alle Mitglieder der Domäne. • ADMINISTRATOREN und DOMÄNENADMINISTRATOREN
Administratoren
Diese Gruppe enthält alle Administratoren mit weitreichenden Rechten. Beim Anlegen von Benutzerkonten werden diese niemals automatisch dieser Gruppe hinzugefügt, Sie müssen das immer von Hand erledigen. Diese Gruppe ist außerdem automatisch Mitglied der lokalen Gruppe der Administratoren der Computer, die selbst Mitglied der Domäne sind. • SCHEMA-ADMINISTRATOREN und UNTERNEHMENS-ADMINISTRATOREN In diesen Gruppen ist standardmäßig nur der Domänen-Administrator. • GÄSTE und DOMÄNENGÄSTE
Gäste
350
6 Grundlagen Active Directory Diese Gruppe enthält das Gastkonto. Die Gruppe der Domänengäste ist außerdem automatisch Mitglied der lokalen Gruppe GÄSTE. Die eingebauten Gruppen Domänenbenutzer, Domänengäste und Domänen-Administratoren haben keine Vererbungsautorität. Sie erreichen dies nur durch die automatische Mitgliedschaft in lokalen Gruppen. Dieses Verhalten wird etwas klarer, wenn Sie sich mit den Benutzerrechten auseinandersetzen (siehe auch Abschnitt 6.6.2 Einführung in die Benutzerverwaltung ab Seite 338).
6.6.7
Strategien zur Verwendung von Gruppen
Gruppen vereinfachen die Verwaltung von Zugriffsrechten
Grundsätzlich benötigen Computer Zugriff auf viele Ressourcen. Gruppen helfen, die Zugriffsrechte auf solche Ressourcen einfach zu verwalten. Bei der Zuordnung von Benutzern zu Gruppen werden Sie früher oder später auf Probleme stoßen, was die Handhabbarkeit betrifft. Die Denkweise, Benutzer aus organisatorischen Gründen in Gruppen zu platzieren, ist mit Active Directory überholt. Denken Sie stattdessen ressourcenorientiert. Legen Sie Gruppen an, denen bestimmte Zugriffsrechte gestattet sind, beispielsweise auf Verzeichnisse, Drucker oder Computer. Dann fügen Sie diesen Gruppen diejenigen Benutzer hinzu, die die entsprechenden Rechte bekommen sollen, oder entfernen Sie Benutzer, die keinen Zugriff mehr benötigen. Idealerweise sollten Sie im laufenden Betrieb nur Benutzerkonten zwischen Gruppen verschieben, diesen hinzufügen oder von diesen entfernen, die Benutzerkonten selbst aber unangetastet lassen. Passt ein Benutzer nicht in Ihr bisheriges Schema von Gruppen, legen Sie eine neue Gruppe an und platzieren den Benutzer dort. Ändern Sie Rechte nur für Gruppen, nicht für Benutzer.
Gruppen sind ein Sicherheitsinstrument
Die Bearbeitung von Gruppen anstatt Benutzern reduziert die Verwaltungskosten für ein großes Netzwerk erheblich. Gruppen sind kein Organisationsinstrument (das ist die Aufgabe von Active Directory), sondern ein Sicherheitsinstrument. Bei der Vergabe von Rechten können Sie die Verschachtelung der Gruppen ausnutzen. Rechte werden an eingebettete Gruppen vererbt, wenn dies nicht explizit verhindert wird. Wie Windows 2000 die Verschachtelung handhabt, deutet auch auf den Sinn der Gruppen hin.
Praxistipps zur Verschachtelung von Gruppen Verschachtelung und Vererbung in der Praxis
Die Verschachtelung von Gruppen erleichtert zwar die Definition logischer Abhängigkeiten, eine flache Hierarchie bleibt es trotzdem. Wenn Sie Dutzende Gruppen anlegen, werden diese trotzdem auf einer Ebene angezeigt. Sie stoßen hier sehr schnell an die Grenzen der
6.6 Benutzer und Gruppen
351
grafischen Darstellung. Auch Ihre Benutzer können nicht Gruppen zur Auswahl von anderen Benutzern verwenden. Hier bleibt Ihnen nur der Weg über Organisationseinheiten. Um es noch einmal klar zu sagen: Gruppen in Organisationseinheiten haben keine Auswirkungen auf andere Objekte derselben oder untergeordneter Organisationseinheiten. Ebenso wirken Sicherheitsrichtlinien nicht auf Gruppen. Die Platzierung in Organisationseinheiten dient nur »optischen« Gesichtspunkten. Die Einrichtung von Gruppen ist deshalb auch nicht auf das Verzeichnis Users begrenzt. Abbildung 6.17: Mangelnde Übersicht bei der Anzeige der Gruppen
Eine gute Idee ist es, die Definition der Gruppen in der obersten Ebene der OU-Struktur abzulegen und Objekte dann innerhalb der Ebenen zuzuordnen. Dann haben Sie die eingebauten Gruppen und Standardgruppen sauber getrennt, eine halbwegs übersichtliche Struktur und eine klare Trennung der Logik von der Organisation. Grundsätzlich gelten aber folgende Hinweise mit Blick auf die System- Gruppen und die Systemleistung leistung: • Geringere Verschachtelungstiefen vereinfachen die Erstellung von Sicherheitstoken und die Verwaltung von Vererbungsprozessen. Sicherheitstoken enthalten die tatsächlichen Zugriffsrechte auf ein Objekt. Dies ist zwar ein vollkommen intern ablaufender Prozess, die Leistung des Gesamtsystems kann aber beeinflusst werden, wenn man die Zusammenhänge der Arbeitsweise solcher Objekte kennt. Mehr dazu finden Sie im Abschnitt Verwendung von Verteiler- und Sicherheitsgruppen auf Seite 353.
352
6 Grundlagen Active Directory • Dokumentieren Sie die Verschachtelung – Sie werden sonst sehr schnell den Überblick verlieren.
Die Gruppenstrategie Strategische Aspekte für die Nutzung von Gruppen
Der folgende Ablauf hilft, die richtige Strategie für Gruppen zu entwerfen: • Erzeugen Sie Gruppen, die Sicherheitsrichtlinien enthalten, und solche, die als Verteilergruppen dienen. • Definieren Sie, wo der Schwerpunkt der Aufgabe liegt: -
Verfügbarkeit des Netzwerkes
-
Zugriffssteuerung auf Ressourcen
-
E-Mail-Listen
• Nutzen Sie zuerst eingebaute Gruppen, solange es geht. • Erzeugen Sie dann zusätzliche Gruppen nach den definierten Aufgaben und für die Fälle, die nicht mit eingebauten Gruppen abgedeckt werden können. • Vergeben Sie die Rechte der Sicherheitsgruppen, bevor Sie den ersten Benutzer erzeugen. Dazu beachten Sie folgende Strategien: -
Innerhalb der Domäne. Ordnen Sie die globale Sicherheitsgruppe der Domäne der lokalen Sicherheitsgruppe zu. Weisen Sie dann der lokalen Sicherheitsgruppe die Rechte zu.
-
Zwischen Domänen. Ordnen Sie die universelle Sicherheitsgruppe der Domäne der lokalen Sicherheitsgruppe zu. Weisen Sie dann der lokalen Sicherheitsgruppe die Rechte zu.
• Enthält eine Domäne verschachtelte Organisationseinheiten, können auch verschachtelte Gruppen sinnvoll sein. Sie erzeugen für jede mit Benutzerkonten belegte Organisationseinheit eine Gruppe und verschachteln diese dann wie die Organisationseinheiten. So haben Sie eine transparente Kontrolle über die Rechte der Objekte in den Organisationseinheiten. • Übertragen Sie die Kontrolle und Administration von Gruppen auf Gruppenadministratoren. • Ordnen Sie dann erst Benutzerkonten den Gruppen zu. Achten Sie auf die Unterschiede zwischen Sicherheitsgruppen und Verteilergruppen.
6.6 Benutzer und Gruppen
353
Benennungsvorschriften für Gruppen Gruppen unterliegen wie die Benutzernamen bestimmten Benen- Namen für Gruppen nungsvorschriften: • Gruppennamen müssen auf dem Computer, wo sie administriert werden, eindeutig sein. Lokale Gruppen also auf einem lokalen System, globale Gruppen innerhalb der Domäne und universelle Gruppen im Domänenwald. • Universelle und globale Gruppennamen dürfen 64 Zeichen lang sein, wenn Active Directory im einheitlichen Modus läuft. Folgende Zeichen sind nicht erlaubt: “ \ ; = , + < >
• Im gemischten Modus ist die Länge auf 20 Zeichen begrenzt. Folgende Zeichen sind nicht erlaubt: “ \ / [ ] ; | = , + < >
• Namen von Gruppen dürfen nicht ausschließlich aus Leerzeichen und Satzzeichen bestehen. • Lokale Gruppen dürfen 256 Zeichen lang sein und dürfen alle Zeichen außer \ enthalten.
Verwendung von Verteiler- und Sicherheitsgruppen Wenn ein Benutzer sich anmeldet, erkennt Windows 2000, in welchen Wie die Anmeldung Gruppen er Mitglied ist. Dann wird ein Sicherheitstoken erzeugt und abläuft dem Benutzer zugeordnet. Dieses Token enthält eine Liste aller IDs aller Sicherheitsgruppen, in denen der Benutzer Mitglied ist. Dieses Token wird dann zu allen Computern gesendet, auf die der Benutzer zuzugreifen versucht. Damit kann der angesprochene Computer erkennen, ob er dem Zugriffsversuch stattgeben kann oder nicht. So erlangt ein Benutzer Zugriff auf eine Ressource. Die Mitgliedschaft in Verteilergruppen wird bei diesem Vorgang ignoriert. Das führt natürlich zu kleineren Sicherheitstoken und damit zu einem beschleunigten Anmeldevorgang. Wenn die Mitgliedschaft in einer Verteilerliste ausreichend ist, sollten Sie keine Sicherheitsgruppen verwenden, auch wenn dies funktional keinen Unterschied macht.
Typische Einschränkungen beim Umgang mit Gruppen Aus Sicht des Administrators sind globale oder universelle Gruppen zu bevorzugen. Universelle Gruppen sind leistungsfähiger und flexib-
354
6 Grundlagen Active Directory ler – der Name ist hier Programm. Vor allem bei mehreren Domänen erleichtern sie die Administration erheblich. Wenn Sie im einheitlichen Modus arbeiten und keine langsamen Verbindungen haben, können Sie grundsätzlich mit universellen Gruppen arbeiten. Sie können damit alle Anwendungsfälle verarbeiten und müssen nicht viel Zeit in die Auswahl des richtigen Gruppentyps investieren. Die Anzahl der Replikationen ist steuerbar und in einem Netzwerk, das komplett im lokalen Netz läuft, dürfte die Anzahl der Gruppen und Benutzer nicht exorbitante Größen erreichen. Im gemischten Modus führt an globalen und lokalen Gruppen kein Weg vorbei – NT 4-Computer haben sonst keine Chance, am Austausch teilzunehmen. Wenn Sie später komplett migrieren, verwandeln Sie die globalen Gruppen in universelle. Wenn Sie eine langsame Verbindung haben, über die Replikationsprozesse laufen, müssen Sie ebenfalls globale Gruppen verwenden. Der Begriff »langsam« ist bei Microsoft klar definiert, leider nicht ganz einfach. In der Praxis kann man davon ausgehen, dass WANVerbindungen, die langsamer als das lokale Netzwerk sind, als langsam gelten. Wenn Sie lokal ein 100-Mbit-Netz einsetzen und über eine 2-Mbit-Festverbindung replizieren, ist diese Verbindung langsam. Setzen Sie intern 10-Mbit-Leitungen ein und replizieren über 10-Mbit (beispielsweise ein Funk-LAN), dann ist es nicht langsam. Die Gruppenrichtlinie zum Erkennen langsamer Verbindung setzt 500 Kbit/s an, die unterschritten werden müssen. Der Wert kann frei gewählt werden. Noch einmal zur Erinnerung der Hintergrund der Maßnahmen: Universelle Gruppen, deren Mitglieder sich ändern, replizieren den globalen Katalog. Das ist aufwändiger und umfangreicher als andere Replikationen. Wenn Sie mit langsamen Verbindungen universelle Gruppen einsetzen, sollten sich diese nur selten ändern. Das erreichen Sie, indem den universellen Gruppen keine Benutzerkonten zugeordnet werden, sondern nur globalen Gruppen. Die Benutzerkonten werden in den globalen (oder lokalen) Gruppen quasi gekapselt. Der globale Katalog enthält keine Objekte, die Mitglied in globalen oder lokalen Gruppen sind (nur die Gruppeninformationen selbst). Diese Maßnahme reduziert also konkret die Größe des globalen Katalogs. Wenn Sie sich der Mühe des Entwurfs einer dedizierten Gruppenstruktur unterziehen möchten, ist die Reduktion des globalen Katalogs natürlich immer eine gute Idee.
Praxisbeispiel
Angenommen, Sie möchten eine universelle Gruppen anlegen, die alle Administratoren aller Domänen Ihres Domänenwaldes enthält. Sie nennen diese Gruppe sysops. Wenn Sie fünf Domänen haben und in diesen 14 Administratoren sind, werden diese im globalen Katalog
6.7 Gruppenrichtlinien
355
gespeichert. Besser ist es, in den fünf Domänen jeweils eine globale Gruppe mit dem Namen sysop anzulegen. Dann ordnen Sie die Administratoren der jeweiligen Domäne der globalen Gruppe zu. Anschließend werden die fünf globalen Gruppen mit dem Namen sysop Mitglied der universellen Gruppe sysops. Ordnen Sie als Domänenadministrator die Administration der Filialen neu, muss dies nicht im globalen Katalog repliziert werden.
6.7
Gruppenrichtlinien
Gruppenrichtlinien sind eine der radikalsten Weiterentwicklungen in Windows 2000. Der erste Blick auf die Werkzeuge mag verwirrend sein. Lassen Sie sich davon nicht abschrecken. Gruppenrichtlinien sind ein mächtiges Werkzeug, das bei korrekter Verwendung den Administrationsaufwand auch in sehr großen Netzwerken drastisch reduziert.
6.7.1
Einführung
Gruppenrichtlinien erlauben dem Administrator die einmalige Definition bestimmter Regeln über den Status von Benutzern im Netzwerk. Die Wirkung wird dabei bis auf den Desktop ausgedehnt, was in Kombination mit IntelliMirror (siehe auch Abschnitt 8.1 IntelliMirror ab Seite 407) zu einem exzellent administrierbaren Netzwerk führt. Diese Einführung soll die grundlegenden Prinzipien und Methoden der Gruppenrichtlinien erläutern, bevor praktische Aspekte des Einsatzes gezeigt werden.
Abgrenzung zu Benutzern und Gruppen Gruppenrichtlinien suggerieren einen Zusammenhang mit Gruppen Gruppenrichtlinien oder Benutzern. Sie sind Verwaltungsvorschriften, die Sie auf Organi- haben nichts mit sationseinheiten, Sites oder Domänen anwenden können – also prak- Gruppen zu tun tisch auf Gruppen von Benutzern oder Computern, daher der Name. Mitglieder von Containerobjekten können Computer oder Benutzer sein. Auf diese üben die Gruppenrichtlinien auch eine Wirkung aus. Ein Zusammenhang mit den Sicherheits- oder Verteilergruppen (die unter Windows NT 4 noch einfach als »Gruppen« bezeichnet wurden) besteht nicht.
356
6 Grundlagen Active Directory Profile und Gruppenrichtlinien Die Definition der Regeln, unter denen sich Benutzer im Netzwerk bewegen, erfolgt mit Hilfe von zwei Maßnahmen: • Profile Ein Profil ist eine Sammlung von Einstellungen der Umgebung, die der Benutzer weitestgehend selbst beeinflussen kann. Das gesamte Profil wird an verschiedenen Stellen gespeichert, in der Registrierung, in lokalen Ordnern, auf dem Desktop usw. Einige Einstellungen können auch vorgegeben und unveränderlich sein. Profile sind eine Mischung aus computer- und benutzerorientierten Einstellungen. • Gruppenrichtlinien Gruppenrichtlinien sind dagegen eine Sammlung von Regeln und Einstellungen – auch solche der Arbeitsumgebung –, die von einem Administrator vorgegeben werden. Sie werden zentral gespeichert und gelten pro Benutzer, egal an welchem Computer er sich anmeldet.
Aufgaben der Gruppenrichtlinien
Gegenüber den Sicherheitsrichtlinien in NT 4 sind die Gruppenrichtlinien drastisch erweitert worden. Sie beinhalten die Verwaltung folgender Aspekte: • Software-Installation Administratoren können die Verwendung bestimmter Formen der Installation auf den Arbeitsplatzcomputern erzwingen. • Zuweisung von Anwendungsprogrammen Sie können Anwendungsprogramme zwangsweise zuordnen, diese aktualisieren und wieder entfernen – von einem zentralen Punkt im Netzwerk aus. Ebenso werden die Zuordnungen von Dateitypen zentral und für Benutzer unveränderlich festgelegt. • Verteilung von Anwendungsprogrammen Hierunter wird die Bereitstellung von Anwendungsprogrammen verstanden, die sich Benutzer nach Bedarf selbst installieren können. • Sicherheitseinstellungen Hier wird der Zugriff auf Ordner, Registrierungseinträge und Systemdienste ebenso wie die Nutzung von Ressourcen aller Art geregelt. Dies gilt sowohl für lokale Computer als auch Ressourcen im Netzwerk und in der Domäne.
6.7 Gruppenrichtlinien • Administrative Vorlagen Hiermit werden die Einträge der benutzerspezifischen Teile der Registrierung gesteuert. Dies betrifft dort die beiden Zweige HKEY_LOCAL_MACHINE und HKEY_CURRENT_USER. • Umleitung von Ordnern Damit werden Dateien auf dem Desktop in Ordner auf dem Server umgeleitet. So finden Benutzer ihren Desktop auch dann vor, wenn sie sich an anderen Computern anmelden. Dadurch können echte »Roaming«-Profile gestaltet werden. • An- und Abmeldeskripte Hier werden Skripte – Shellskripte, WSH-Skripte u.ä. – gestartet, wenn der Benutzer sich an- oder abmeldet bzw. der Computer hoch- oder runtergefahren wird.
Kompatibilität Die Gruppenrichtlinien sind nicht mit Windows 9x oder NT kompatibel. Um alle Vorteile nutzen zu können, benötigen Sie eine reine Windows 2000-Umgebung. Auf der anderen Seite sind Gruppenrichtlinien fest in Active Directory integriert und verleihen dem Verzeichnisdienst ein fein steuerbares Rechtesystem. Sie können einer Site, einer Domäne oder einer Organisationseinheit zugeordnet werden. Es gibt zwar auch lokale Gruppenrichtlinien, die auch lokal gespeichert werden, der häufigere Einsatzfall ist jedoch die Zuordnung zu Objekten im Active Directory.
Eigenschaften Gruppenrichtlinien haben bestimmte grundlegende Eigenschaften, die Sie kennen sollten: • Gruppenrichtlinien nutzen Vererbung. • Sie werden nicht permanent in der Registrierung gespeichert. • Zuordnung zu Computern oder Benutzern. • Zentrale Verwaltung im Snap-In GRUPPENRICHTLINIEN oder im Active Directory. Die Verwaltung in einer gesonderten MMC setzt die Installation von Hand voraus, da dies nicht der standardmäßig vorgesehene Weg ist.
357
358
6 Grundlagen Active Directory
6.7.2
Hintergrundinformationen
Nach diesem groben Überblick ist es an der Zeit, Gruppenrichtlinien etwas tiefgehender zu betrachten. Im nächsten Abschnitt wird dann eine Planungsstrategie für Gruppenrichtlinien entworfen und anschließend praktisch umgesetzt.
Gruppenrichtlinien im Active Directory Innerhalb des Active Directory können Sie Gruppenrichtlinien Sites, Domänen oder Organisationseinheiten zuweisen. Wenn außerdem lokale Maschinen existieren, die nicht an ein Active Directory angeschlossen sind, gibt es auch dort lokale Gruppenrichtlinien. Wie Sie damit umgehen, wurde in Band I Windows 2000 im professionellen Einsatz unter Gruppenrichtlinien beschrieben. Die folgende Darstellung stützt sich ausschließlich auf AD. Hierarchie
Die Gruppenrichtlinien bilden eine Hierarchie. Dabei ist die höchste Ebene (Site) am wenigsten restriktiv. Mit zunehmender Tiefe in der Hierarchie – hin zu den Organisationseinheiten – nimmt die Restriktion zu. Abgeleitete Gruppenrichtlinien-Objekte erben die Restriktionen der darüber liegenden Ebene und fügen, wenn es sinnvoll ist, weitere hinzu. Das heißt natürlich auch, dass das Hinzufügen eines Gruppenrichtlinien-Objekts zu einem OU einer oberen Ebene alle Richtlinien der darunter liegenden Organisationseinheiten beeinflusst.
Wie Sie Chaos erzeugen und vermeiden
Wenn Sie aber eine Richtlinie in einem OU explizit definieren, überschreibt dieser Wert den ererbten Wert. Damit Sie das nicht immer so einrichten müssen, kann die Vererbung ausgeschaltet werden. Umgekehrt können Sie die Vererbung aber auch erzwingen, um einen untergeordneten Container zu verändern, ohne dort einzugreifen. Bei sich widersprechenden Rechten – was bei solchen Konstellationen leicht passieren kann – gewinnt das restriktivere Recht. Solche verquickten Methoden sind in der Praxis ziemlich schwer zu beherrschen und führen oft zur Verzweiflung des Administrators, weil die tatsächlich herrschenden Verhältnisse nicht zu durchschauen sind. Es gibt zwar eine Sicherheitsprüfung, die in Abschnitt 16.5.3 Aktivieren und Konfigurieren des Sicherheitsprotokolls ab Seite 955 erklärt wird, diese zeigt aber nur das Resultat des selbst verursachten Chaos an, keine Lösungsstrategie. Ordnen Sie Gruppenrichtlinien-Objekte einem Container zu, betreffen diese alle enthaltenen Computer und Benutzer. Auch wenn einige Einstellungen die Oberfläche, also eigentlich Benutzeroptionen darstellen, können diese auch Computer betreffen. Das trifft zu, wenn an bestimmten Computern Systemressourcen, wie spezielle Drucker oder Scanner ohne Netzwerkanschluss, verfügbar sind. Dann sollten auto-
6.7 Gruppenrichtlinien
359
risierte Benutzer an dieser Maschine – und nur dort – diese Ressourcen nutzen können und dafür beispielsweise auf dem Desktop entsprechende Symbole vorfinden. Dies leisten Gruppenrichtlinien problemlos. Eine andere Anwendung sind Hintergrundbilder, die sich auf den Standort des Computers beziehen. Wichtig ist auch hier zu beachten, was im Fall eines Konflikts passiert. Hier wird der Benutzereinstellung der Vorrang gegeben. Gruppenrichtlinien stellen eine globale Vorgabe für das Rechtespektrum eines Nutzers dar. Sicherheitsgruppen, wie sie in Abschnitt 6.6.6 Die integrierten Gruppen ab Seite 347 besprochen wurden, haben nichts mit Gruppenrichtlinien zu tun. Sie werden eingesetzt, um Zugriffsrechte (ACLs) effektiv zu verwalten. Hier wird auch klar, warum Gruppen mit Active Directory nicht obsolet werden. Gruppen steuern den Zugriff auf Ressourcen, Gruppenrichtlinien dagegen die Verwendung derselben. Die Unterordnung der Gruppenrichtlinien unter die Gruppen, die in ACLs gespeichert und beim Anmelden analysiert werden, verbessert die Systemleistung beim Anmelden erheblich. Sicherheitsrelevant ist das nicht. Active Directory enthält ein ACE mit dem Namen ZUWEISUNG GRUPPENRICHTLINIE. Sie müssen die Rechte Lesen und Zuweisen von Gruppenrichtlinien besitzen, um Gruppenrichtlinien-Objekte den Objekten im Active Directory zuzuweisen. Diese Information ist für die Delegation von Administratorrechten wichtig. Domänenadministratoren haben dieses Recht ohnehin.
Zuweisung von Richtlinien an Gruppen dient lediglich der Delegation der Administration
Abbildung 6.18: Typen von Gruppenrichtlinien
Es gibt zwei Typen von Gruppenrichtlinien, die im Richtlinieneditor auch getrennt bearbeitet werden können (siehe Abbildung 6.18): • COMPUTERKONFIGURATION Dies betrifft Einstellungen des Betriebssystems, das Erscheinungsbild des Desktops (soweit es nicht Benutzereinstellungen über-
360
6 Grundlagen Active Directory schreiben), die Zuweisung von Anwenderprogrammen, Sicherheitseinstellungen und Skripte, die zum Hoch- oder Runterfahren des Betriebssystems ausgeführt werden. • BENUTZERKONFIGURATION Hier werden alle benutzerspezifischen Einstellungen vorgenommen, also auch entsprechende Einstellungen der Software, des Desktops sowie Skripte, die beim An- und Abmelden ausgeführt werden sollen. Jede dieser Einstellungen kennt drei Gruppen: • SOFTWAREEINSTELLUNGEN Hier erfolgt die Zuordnung der Anwenderprogramme. Dieser Teil wird im Kapitel 8 Softwareverteilung und Remoteinstallation ab Seite 407 detailliert beschrieben. • WINDOWS-EINSTELLUNGEN Hier können Sie Einstellungen zur Systemsicherheit, zu den Skripten und zur Ordnerumleitung vornehmen. Die Ordnerumleitung ist nur in den Benutzereinstellungen enthalten. • ADMINISTRATIVE VORLAGEN In der Computerkonfiguration finden Sie: -
Windows-Komponenten
-
System
-
Netzwerk
-
Drucker
In der Benutzerkonfiguration finden Sie: -
Windows-Komponenten
-
Startmenü und Taskleiste
-
Desktop
-
System
-
Netzwerk
-
Drucker
Einstellungen auf der Domänenebene Bevor Sie daran gehen, alle Einstellungen der Computer und Benutzer vorzunehmen, sollten Sie sich mit der Standardgruppenrichtlinie der Domäne auseinandersetzen. Dazu finden Sie ausführliche Informatio-
6.7 Gruppenrichtlinien nen im administrativen Teil, Abschnitt 12.7.1 Bearbeiten der Standardrichtlinie ab Seite 712.
6.7.3
Strategische Planung
Die Planung von Gruppenrichtlinien ist nicht trivial. Die erforderlichen Grundkenntnisse und einige Hinweise zur prinzipiellen Arbeitsweise sowie ein Überblick über die zur Verfügung stehenden Richtlinien wurden bereits gegeben. In diesem Abschnitt geht es um den Entwurf einer Strategie für die Vergaben von Gruppenrichtlinien im AD.
Allgemeine Hinweise zur Planung Der Umgang mit Gruppenrichtlinien ist eine Herausforderung für jeden Administrator. Sie sind sehr leistungsfähig und können, falsch angewendet, ein unglaubliches Chaos anrichten. Mit dem nötigen Verständnis und Wissen ist dafür aber auch die einwandfreie und sichere Administration sehr großer Netzwerke mit mehreren Tausend Benutzern möglich. Je intensiver Sie Gruppenrichtlinien benutzen werden, umso schwieriger wird der Umgang damit. Sie sollten die folgenden Aspekte verstanden haben, bevor Sie in der Praxis Gruppenrichtlinien anwenden: • Gruppenrichtlinien können verwendet werden, um die Arbeitsumgebung der Benutzer komplett zu gestalten. Dazu gehört der Zugriff auf Applikationen, Ressourcen, administrative Rechte, Gestaltung des Desktops und der Standardprogramme wie der Internet Explorer. • Gruppenrichtlinien-Einstellungen werden in Gruppenrichtlinienobjekten gespeichert. Diese Objekte werden mit Objekten im Active Directory verknüpft. Außerdem können Gruppenrichtlinien mit Computern außerhalb des Active Directory verbunden werden. • Gruppenrichtlinien werden an Domänen, Sites oder Organisationseinheiten gebunden. Sie werden in eben dieser Reihenfolge verarbeitet. • Werden Gruppenrichtlinien an eine Organisationseinheit gebunden, gelten sie für alle dort enthaltenen Benutzer und Computer und vererben sich auf untergeordnete Organisationseinheiten. • Gruppenrichtlinien wirken nicht auf andere Container-Objekte, wie beispielsweise Gruppen.
361
362
6 Grundlagen Active Directory • Gruppenrichtlinien, die nicht miteinander in Konflikt stehen, werden kumulativ angewendet. Das gilt vor allem bei der Wirkung der Vererbung in der Hierarchie. Die Vererbung kann jedoch explizit unterbunden werden. • Befinden sich zwei Gruppenrichtlinien miteinander im Konflikt, gewinnt die Gruppenrichtlinie, die sich näher am Objekt befindet. Konflikte treten aber nur auf, wenn zwei identische Einstellungen explizit aktiviert wurden und eine entgegengesetzte Wirkung definieren. Dadurch ist es sehr einfach, globale Richtlinien zu entwerfen – die Wirkung am Objekt lässt sich durch dort platzierte Gruppenrichtlinien leicht aufheben. Es gibt einige spezielle Einstellungen, die dieses Verhalten nicht aufweisen und zwangsweise wirken, diese Wirkung ist jedoch ebenfalls steuerbar. • Gruppenrichtlinien vom Typ COMPUTEREINSTELLUNGEN werden im Augenblick des Hochfahrens des Computers angewendet, BENUTZEREINSTELLUNGEN unmittelbar nach dem Anmelden. • Computereinstellungen haben im Falle eines Konflikts Vorrang vor Benutzereinstellungen. Es gibt einige wenige Gruppenrichtlinien, bei denen dieses Verhalten anders ist. Sie erkennen dies im Dialogfenster des Richtlinieneditors.
Praktische Hinweise Aktualisierung
Gruppenrichtlinien werden standardmäßig alle 90 Minuten aktualisiert. Wenn Sie Änderungen vornehmen und die Standardeinstellungen nicht geändert haben, werden Benutzer dies also nicht sofort bemerken. Die Wirkung setzt natürlich sofort ein, wenn der Benutzer sich neu anmeldet oder ein Computer gestartet wird.
Zuweisung
Gruppenrichtlinien können nicht direkt Benutzern, Computern oder Gruppen zugewiesen werden, nur dem übergeordneten Container. Die Zuweisung zu Gruppen innerhalb einer Organisationseinheit kann jedoch zum Filtern der Einstellungen verwendet werden. Die Einstellungen selbst müssen aber bereits erfolgt sein.
Eigene Rechte
Sie müssen, um Gruppenrichtlinien einstellen zu können, Zugriff auf einen Domänencontroller und Schreibrechte auf den Ordner SYSVOL haben.
Computerrichtlinien
Computerrichtlinien, die nur für einen speziellen Computer angelegt wurden, werden auf dem betreffenden Computer gespeichert, nicht im AD. Sie müssen dann die Managementkonsole Computerverwaltung verwenden, um an das Gruppenrichtlinien-Snap-In zu gelangen.
Migrationshinweise Wenn Sie ein Upgrade von NT 4 ausführen, werden Clients mit den
Betriebssystemen Windows 9x/NT4 weiterhin NT4-Richtlinien erhal-
6.7 Gruppenrichtlinien
363
ten, weil die von Windows 2000 verwendeten Richtlinien nur mit diesem kompatibel sind. Wenn Sie später die Clients auf Windows 2000 aktualisieren, ändert sich dieses Verhalten nicht automatisch. Sie müssen die Richtlinie DEAKTIVIERE NT 4-KOMPATIBLE RICHTLINIEN von Hand aktivieren. Gruppenrichtlinien werden in der folgenden Reihenfolge verarbeitet: 1. Lokale Gruppen
Reihenfolge der Verarbeitung
2. NT-4-kompatible Gruppen 3. Site-Gruppenrichtlinien 4. Domänen-Gruppenrichtlinien 5. Gruppenrichtlinien, die an Organisationseinheiten gebunden sind Einige Gruppenrichtlinien verhalten sich bei langsamen Verbindun- Verhalten bei gen anders. Dies kann unter Umständen zu schwer nachvollziehbaren langsamen Effekten führen, wenn die Bandbreite einer Verbindung starken Verbindungen Schwankungen unterworfen ist. Zusammenfassend treten folgende Effekte auf, wenn eine langsame Verbindung erkannt wurde: • Software-Installationen (IntelliMirror) werden nicht ausgeführt. • Ordner werden nicht umgeleitet.
6.7.4
Entwurf des Richtlinienmanagements
Bevor Sie mit der Planung der Richtlinien beginnen, sollten Sie eine Antwort auf folgende Fragen haben: • Ist die Administration zentralisiert oder nicht? • An wen wird die Administrationsautorität delegiert? • Gibt es Abteilungen, Arbeitsgruppen, Filialen etc., die sich selbst administrieren sollen? • Wie flexibel muss das Design sein? Designmodelle werden nachfolgend ausführlich besprochen.
Designmodelle Beim monolithischen Modell wird jedem Containerobjekt eine eigene Monolithisches Gruppenrichtlinie zugewiesen. Diese Gruppenrichtlinie enthält jeweils Modell alle wesentlichen Einstellungen und die Vererbung wird nur über die Gruppenrichtlinien der Domäne genutzt – für ganz elementare Einstellungen. Dieses Modell eignet sich für eine kleine Organisation mit sehr dedizierten Rechten. Von Vorteil ist die geringe Anmeldezeit, wenn Sie es schaffen, jedem Benutzer tatsächlich nur eine einzige
364
6 Grundlagen Active Directory Gruppenrichtlinie zuzuweisen. Nachteilig ist die mangelnde Flexibilität, die in größeren Netzen bis zum Verlust der Administrierbarkeit führen kann. Die praktische Folge sind dann anarchische Zustände durch unkoordinierte Gruppenrichtlinien-Objekte, die per zwangsweiser Vererbung Probleme anderer Gruppenrichtlinien-Objekte lösen sollen.
Abbildung 6.19: Das monolithische Design
Schichtendesign
Flexibler ist das Schichtendesign, das im Wesentlichen auf Vererbung basiert. Hierbei vergeben Sie auf der obersten Ebene ein Gruppenrichtlinien-Objekt mit den Rechten der obersten Ebene und gültig für alle tieferliegenden. In den unteren Ebenen wird die Vererbung ausgenutzt und nur Änderungen gegenüber den oberen Ebenen werden in Gruppenrichtlinien eingestellt. Dies ist ein sehr flexibles und verhältnismäßig leicht zu wartendes Design. Sie müssen allerdings viel Sorgfalt in den Entwurf der Struktur der Organisationseinheiten setzen. Das Schichtendesign erlaubt außerdem relativ leicht die Delegierung der Administration von Einheiten an andere Personen.
Strukturierung von Gruppenrichtlinien-Objekten Beide Designmodelle können weiter strukturiert werden. Sie können sich nun entscheiden, ob Sie für alle Einstellungen ein Gruppenrichtlinien-Objekt anlegen oder diese gruppieren. Bei der einfachen Gruppenrichtlinien-Objekt-Struktur werden alle Einfache Gruppenrichtlinien- Einstellungen in einer Richtlinie vorgenommen. Diese Form erlaubt Objekt-Struktur eine sehr zentrale Administration, komfortable Delegation und einfache Verwaltung. Bei der multiplen Gruppenrichtlinien-Objekt-Struktur legen Sie für Multiple Gruppenrichtlinien- jede Gruppe von Einstellungen ein eigenes Gruppenrichtlinien-Objekt Objekt-Struktur an. Eine vernünftige Aufteilung könnte folgendermaßen aussehen: • Benutzereinstellungen • Computereinstellungen • Softwarerichtlinien
6.7 Gruppenrichtlinien
365
Wenn Sie ein sehr großes Netzwerk betreuen, könnten die Einstellungen für Internet Explorer und Windows Explorer usw. abgetrennt werden und in eigenen Gruppenrichtlinien-Objekten stehen. Ebenso können Einstellungen für Skripte in einem eigenen Gruppenrichtlinien-Objekt platziert werden usw. Wenn Sie GruppenrichtlinienObjekte einem Objekt zuweisen, werden natürlich mehrere Zuweisungen nötig sein. Abbildung 6.20: Multiple Strukturierung von GruppenrichtlinienObjekten
Vorteil ist die sehr flexible Verteilung. Möglicherweise werden Sie insgesamt weniger Gruppenrichtlinien-Objekte benötigen als bei der einfachen Struktur. Allerdings werden bei der Zuweisung nach dem Anmelden Benutzern mehrere Gruppenrichtlinien-Objekte zugewiesen, was den Anmeldeprozess verlängert und Netzwerkbandbreite benötigt. Eine ausufernde Nutzung dieser Methode sollte mit guten Hardware-Ressourcen einhergehen. Unter Umständen kann auch die Fehlersuche komplizierter sein.
Überlegungen zur Hierarchie der Gruppenrichtlinien-Objekte Wenn Sie es schaffen, Ihre Organisation in einer exakten Hierarchie abzubilden, in der jedes Objekt nur eine übergeordnete Instanz hat, dann ist Active Directory sicher in der Lage, dies exakt abzubilden. In den meisten Firmen wird die Struktur jedoch komplexer sein. Es werden zeitweilig Arbeitsgruppen zusammengestellt, Mitarbeiter erfüllen mehrere Aufgaben und Abteilungen kooperieren mit anderen, die denselben Chef haben. Es gibt in der Zuständigkeit Querverbindungen und manchmal ist eine Zuordnung nicht eindeutig. Ist eine solche Mehrdeutigkeit gegeben, können Sie nur eines von zwei grundlegenden Modellen darstellen. Entweder Sie gruppieren Objekte nach der Funktion oder nach den Teams.
366 Das funktionale Design
6 Grundlagen Active Directory Beim funktionalen Design ist die Position des Mitarbeiters in der Unternehmenshierarchie entscheidend. Dies ist meist nicht so schwer festzustellen. Typische Gruppen sind: • Verkauf • Einkauf • Produktion • Verwaltung • Forschung
Abbildung 6.21: Beim Funktionalen Design folgen die GruppenrichtlinienObjekte der OUStruktur
Wenn Ihr Unternehmen aber überwiegend auf Projektgruppen setzt oder Abteilungen matrizenartig zusammenstellt, stoßen Sie hiermit auf ernsthafte Probleme. Wenn eine Projektgruppe einen Mitarbeiter aus der Forschung, einen aus dem Einkauf, zwei aus der Verwaltung und drei aus der Produktion hat, werden Sie eine vernünftige Zuordnung von Rechten kaum erreichen. In diesem Fall ist das Teamdesign besser geeignet. Teamdesign
Hier bauen Sie zuerst gute globale Gruppenrichtlinien-Objekte, die in der gesamten Domäne gelten. Dann werden die Mitarbeiter entsprechend der Teamzugehörigkeit zusammengestellt. Das Filtern spezifischer Rechte erfolgt durch die Zugehörigkeit zu Sicherheitsgruppen. Da Teams häufig wechseln und in großen Organisationen auch sehr viele Teams existieren, stellt dieses Modell höhere Anforderungen an die Administration. Dieses Modell ist sehr flach, weil Teams nur selten über abgeleitete »Unterteams« verfügen. Möglicherweise werden Sie auch mit den zur Verfügung stehenden Werkzeugen nicht so glücklich. Ein Mischung beider Modelle wäre sicher wünschenswert. Benutzer und auch Computer können aber in der Hierarchie nur einmal existieren. Zwangsläufig ist eine mehrfache Zuordnung wie bei den Gruppenrichtlinien-Objekten nicht möglich. Eine konkrete Lösung dafür gibt es nicht. Es ist aber eine gute Empfehlung, nicht von vornherein
6.7 Gruppenrichtlinien
367
eine besonders komplexe Struktur zu entwerfen, um ganz fein abgestimmte Richtlinien zu verteilen. Versuchen Sie hier, soweit es sinnvoll ist, zu vereinfachen. Wenn sich Ihr Modell in der Praxis nicht bewährt, können Sie eine einfache falsche Struktur leichter umbauen als eine komplizierte falsche Struktur.
Delegationsmodelle In großen Unternehmen werden Sie zwangsläufig weitere Administratoren einsetzen, die die Verwaltung von Ebenen in der Hierarchie oder von Teams übernehmen. Es gibt auch hier zwei Modelle, die auf die Vergabe der Gruppenrichtlinien wirken. Das verteilte Modell geht davon aus, dass jeder Administrator in sei- Verteiltes Modell nem Bereich eigene Gruppenrichtlinien-Objekte anlegt und selbstständig agiert. Sie geben lediglich zentrale Empfehlungen, erlauben aber das Abblocken der Richtlinien. Solche Modelle sind sehr flexibel und verringern den zentralen Administrationsaufwand. Im zentralisierten Modell werden möglichst viele Richtlinien zentral Zentralisiertes definiert und zwangsweise vererbt. Die Administratoren der Abtei- Modell lungen haben darauf keinen Einfluss. Sie können nur zusätzliche Restriktionen einführen. Dieses Modell ist vorteilhaft, wenn die Kontrolle der untergeordneten Einheiten schwer fällt und die Sicherheitsansprüche relativ hoch sind. Der Verwaltungsaufwand ist höher, weshalb dieses Modell eher größeren Firmen vorbehalten ist.
Leistungsoptimierung Auch auf die allgemeine Systemleistung haben Gruppenrichtlinien einen Einfluss. Worin sich diese Leistung darstellt, ist natürlich von vielen Faktoren abhängig. Der Mitarbeiter hat ganz bestimmte Ansprüche an die Leistung seines Computers. Er soll sich schnell anmelden, Daten schnell von und zum Server schaffen, schnell drucken, Programme zügig abarbeiten usw. Von den GruppenrichtlinienObjekten wird die Start- und Anmeldezeit beeinflusst – alle anderen Faktoren müssen Sie durch geeignete Kombinationen aus Hard- und Software beeinflussen. Gruppenrichtlinien-Objekte werden beim Anmeldeprozess gelesen. Je mehr davon genutzt werden, desto länger dauert dieser Vorgang. Der Anmeldeprozess wird erst fortgesetzt, wenn alle Richtlinien verarbeitet worden sind. Problematisch können hier auch Skripte sein. Skripte, die in Gruppenrichtlinien definiert werden, müssen ausgeführt werden, bevor die Abarbeitung der Gruppenrichtlinien-Objekte beendet wird. Wenn Sie Probleme mit Skripten haben, wartet der Anmeldeprozess bis zum Abbruch des Skripts mit Zeitüberschreitung. Standardmäßig liegt dieser Wert bei 10 Minuten – keine gute Zeit für den Anmeldevorgang.
368
6 Grundlagen Active Directory Ein guter Weg, hier zu optimieren, sind Sicherheitsgruppen. Sicherheitsgruppen können Gruppenrichtlinien filtern. Durch die Filterung wird die Anzahl anzuwendender Richtlinien reduziert, was relativ effizient erfolgt. Ein anderer Weg führt über die Betrachtung der Reichweite der Gruppenrichtlinien-Objekte. Die Objekte werden auf Domänencontrollern gespeichert. Wenn Sie Gruppenrichtlinien-Objekte auf Siteebene verwenden, werden diese nur über Verknüpfungen auf anderen Domänen registriert. Beim Anmeldeprozess muss aber ein Zugriff erfolgen – bei WAN-Verbindungen ist das keine gute Idee. Generell ist die Verknüpfung mit Organisationseinheiten am effizientesten. Eine weitere Optimierung besteht in der Abtrennung nicht benötigter Teile. Wenn Sie mehrfache Gruppenrichtlinien-Objekte verwenden, dann sind die Teile Benutzer-, Computer- oder Softwareeinstellungen getrennt. Solange keine Einstellungen vorgenommen wurden, ist die Versionsnummer 0. Solche Gruppenrichtlinien-Objekte werden nicht gelesen. Lassen Sie deshalb nicht benötigte Einstellungen unbedingt auf NICHT KONFIGURIERT. Wählen Sie nicht die Option DEAKTIVIERT, auch wenn dies denselben Effekt hat. Standardmäßig werden Gruppenrichtlinien alle 90 Minuten aktualisiert. Wenn Sie Änderungen erst dann sichtbar machen möchten, wenn sich die Benutzer erneut anmelden, setzen Sie diesen Wert höher. Sie sparen damit Netzwerkbandbreite. Günstig wirkt es sich auch aus, die Anzahl der Administratoren zu verringern, die Gruppenrichtlinien-Objekte verwalten dürfen. Vermeiden Sie außerdem die folgenden Funktionen: • Verhindern der Vererbung • Erzwingen der Vererbung • Zuweisungen eines Gruppenrichtlinien-Objekts über mehrere Domänen hinweg
6.7.5
Praktischer Richtlinienentwurf
Das gesamte Modell der Richtlinien hat einen gewissen »Hang zur Flachheit«. Sie müssen sich in der Praxis immer wieder zwingen, Hierarchien und Vererbung zu verwenden. Das ist ein Designproblem, was in der Kompatibilität zu NT 4 seine Ursache hat. Auf der anderen Seite ist auch die Denkweise der Administratoren an die alten NT 4Konzepte gebunden. Im Gegensatz zu dieser Aussage muss aber festgestellt werden, dass Active Directory alle Voraussetzungen für ein modernes, hierarchi-
6.7 Gruppenrichtlinien
369
sches Design bietet. Man muss bestimmte Optionen nur hartnäckig genug ignorieren. In diesem Abschnitt werden deshalb allgemeingültige Entwurfsregeln gezeigt, die Sie für die Planung im Hinterkopf haben sollten.
Entwurf der Benutzernamen Hier ist tatsächlich »Flachheit« angesagt – Benutzernamen müssen global eindeutig sein. Zugleich sind sie direkt an die E-Mail-Adresse gekoppelt, die weltweit eindeutig sein muss (in der Praxis natürlich innerhalb der Domäne). Machen Sie die Struktur der E-Mail-Namen zum dominanten Entwurfskriterium und ordnen Sie die Benutzernamen dem unter.
Richtlinien für die Benutzerrechte Entscheiden Sie, welche Rechte überhaupt Benutzern zugeteilt und explizit verweigert werden sollen. Oft sind es nur sehr wenige Einstellungen, die wirklich sinnvoll sind. Je weniger Sie hier finden, desto einfacher wird die Administration und umso schneller ist das Netzwerk. Denken Sie daran, welche Informationen über mehrere Domänen hinweg (im Domänenwald) benötigt werden – dies wirkt sich auf den globalen Katalog aus. Legen Sie vor allem Konto-Richtlinien fest, feinere Einstellungen anderer Funktionen werden nur sehr selten global benötigt.
Planen Sie Sicherheitsgruppen sorgfältig Verwenden Sie unbedingt Sicherheitsgruppen für die Verwaltung der Zugriffsrechte auf Ressourcen und zum Filtern von Gruppenrichtlinien. Ohne Gruppen herrscht in Ihrem Netzwerk bald Anarchie und damit besteht die Gefahr von Sicherheitslücken. Gruppen sind, trotz der Gruppentypen, ein vollkommen flaches Mo- Entwurf eines dell. Eine sorgfältige Anlage der Verwendung ist deshalb noch wichti- Gruppenmodells ger als bei den hierarchischen Objekten im AD. Die Verwendung universeller Gruppen ist günstiger als die globalen Gruppen. Legen Sie nicht mehr Gruppen an, als unbedingt notwendig. Verzichten Sie aber auch nicht auf Gruppen – ohne wird es noch schwerer, das Netzwerk zu beherrschen. Wegen des flachen Modells ist die Namenswahl wichtig. Lassen Sie Design der sich Gruppennamen einfallen, die eindeutig sind und mit denen auch Gruppen andere Administratoren etwas anfangen können. Die Namen sollten die Zuordnung der Benutzer eindeutig machen – so verhindern Sie die
370
6 Grundlagen Active Directory bei Zuordnungsproblemen übliche Inflation neuer Gruppen. Verwenden Sie vorzugsweise die eingebauten Gruppen, wenn es möglich ist.
Notwendigkeit prüfen
Analysieren Sie bei jeder neuen Gruppe folgende Fragen: • Können Sie Benutzer und Ressourcen eindeutig zuordnen? • Können Sie Gruppen intelligent verschachteln und so die Anzahl der Gruppen auf der obersten Ebene reduzieren? • Wissen Sie, wie Sie die Gruppe verwenden möchten? • Wer soll die Gruppen verwalten?
Keine Einzelentscheidungen
Das Anlegen von Gruppen ist oft mit tiefgreifenden Konsequenzen verbunden. Entscheiden Sie das nicht alleine, sondern immer zusammen mit anderen Administratoren. Delegieren Sie die Macht, Gruppen anzulegen, nicht auf Personen, die nur geringes Fachwissen oder mangelnde Kenntnisse über innere Strukturen des Netzwerks haben.
Klare Kompetenzen Legen Sie klar fest, wer Gruppen anlegen darf und wer diese dann
verwaltet. Speicherplatz für Gruppen
Auch wenn Gruppen auf einem flachen Konzept basieren, können Sie diese irgendwo in der OU-Hierarchie ablegen. Dies sollte nicht wahllos erfolgen, weil man durch die koordinierte Wahl des Speicherplatzes Hinweise auf die Verwendung erhält.
Auf Konsistenz achten Wenn Sie mit mehreren Domänen arbeiten, achten Sie auf konsistente Namensschemata. Sie sollten auch in allen Domänen vergleichbare Gruppenstrukturen und Hierarchiemodelle aufsetzen. Passen Sie das Design ggf. an.
Entwurf von Regeln für das Design Designregeln helfen Ihnen künftig, die Konsistenz aufrechtzuerhalten. Wenn künftig andere Administratoren neue Gruppen und Benutzer anlegen, müssen Sie nur diesen Regeln folgen, um die bestehende Ordnung nicht zu zerstören. Dokumentieren Sie diese Regeln sorgfältig.
Entwurf eines Gruppenrichtlinienmodells Der Entwurf des Gruppenrichtlinienmodells ist vermutlich eine größere Herausforderung. Nehmen Sie sich die Zeit dafür. Es gibt einige Kernaufgaben, die damit gut gelöst werden können. Die folgende Aufstellung hilft Ihnen, die Überlegungen zu strukturieren:
6.7 Gruppenrichtlinien • Automatisierung der Software-Installation • Verwaltung von Sicherheitseinstellungen • Kundenspezifische Registrierungseinstellungen • Umleiten von Ordnern • Scripting Gruppenrichtlinien werden an Containerobjekte im Active Directory gebunden. Sie erlauben mehrfache Zuordnungen und Vererbung. Folgende mögliche Implementierungen gibt es: • In einer flachen Hierarchie erlauben Gruppenrichtlinien feinere Einstellungen, wenn Sie mit Sicherheitsgruppen Filter setzen. • In einer tiefen Hierarchie sollten die Vererbungskonzepte der Gruppenrichtlinien genutzt werden, um feinere Steuerungen vorzunehmen.
Die Kunst, Namen zu finden Der Umgang mit dem Netzwerk basiert auf Namen. Auf den sorgfältigen Entwurf von Benutzer- und Gruppennamen wurde bereits hingewiesen. In Ergänzung des Kapitels zu Active Directory hier noch einmal eine Zusammenfassung, welche Namen Sie in Ihrem Namensraum verwalten müssen: • Benutzernamen haben drei Erscheinungsformen: -
UPN
-
Rückwärtskompatible Namen
-
E-Mail-Adressen
• Gruppen können in zwei Versionen benannt werden: -
Rückwärtskompatible Namen
-
E-Mail-Adressen
• Computernamen erscheinen auch in zwei Formen: -
DNS-Namen
-
NetBIOS-Namen
Machen Sie es so einfach wie möglich Active Directory, Gruppenrichtlinien, Gruppen und viele weitere Optionen verleiten dazu, komplexeste Strukturen zu errichten. Lassen Sie sich durch das Überangebot an Möglichkeiten nicht dazu verleiten,
371
372
6 Grundlagen Active Directory diese auch zu nutzen. Wenn es keinen Grund gibt, sollten Sie angebotene Einstellungen nicht aktivieren. Es ist keine Schande, ein Netzwerk sehr einfach zu verwalten, sondern die hohe Kunst! Nutzen Sie Standardwege, wie beispielsweise die Vererbung, wenn immer es geht. Wenn Sie tausend Benutzer haben und diese mit einer dreistufigen Hierarchie, sechs Gruppen und zehn Gruppenrichtlinien-Objekten verwalten und alle Ansprüche damit erfüllen, haben Sie gewonnen – nicht mit Dutzenden Gruppen, bis auf Benutzerebene sich vertiefenden Organisationseinheiten und einem Konglomerat aus hundert Gruppenrichtlinien-Objekten.
ADSI-Scripting
Mit Hilfe von ADSI können Sie Organisationseinheiten auch per Skript erzeugen. Der Vorteil macht sich schon bei wenigen Dutzend Objekten bemerkbar. Sie können Ihre Organisationseinheiten mit allen Daten bequem in Excel oder einer Datenbank anlegen und dann in einem Zug installieren.
6.8
Migration von Windows NT 4
Wie bei jedem neuen Produkt, so stellt sich auch bei Windows 2000 die Frage, inwieweit sich dieses System in eine bestehende Netzwerkumgebung integrieren lässt. Des Weiteren ist damit natürlich die Frage verbunden, auf welche Art und Weise eine Migration vom NTDomänenkonzept hin zum Active Directory durchgeführt werden sollte beziehungsweise kann.
6.8.1 Abwärtskompatibilität
Kompatibilität zu Windows NT 4
Da sich Microsoft dieser Problematik bewusst war, hat es Active Directory von Beginn an mit einer entsprechenden AbwärtsKompatibilität ausgestattet. Deswegen liegt eine komplette Emulation des Domänenkonzepts von Windows NT 3.51 und Windows NT 4 vor. Damit kann gewährleistet werden, dass sich ein in einer NTUmgebung installierter Windows 2000 Domänencontroller genauso wie ein NT-Domänencontroller verhält.
Praxismigration Um das Szenario einer Migration anhand eines Praxisbeispiels zu veranschaulichen, soll folgende Vorgabe gelten: Es existieren ein primärer NT-Domänen-Controller (PDC) und zwei Backup-Domänen-Controller (BDC), auf denen allesamt Windows NT 4 Server installiert sind. Um diese drei Domänencontroller zu Windows 2000 zu migrieren, muss zunächst der PDC zu einem Windows 2000-DC aufgerüstet
6.8 Migration von Windows NT 4 werden. Zu diesem Zweck kommt die Installationsroutine von Windows 2000 zum Einsatz, die eine entsprechende Aufrüstungsoption zur Verfügung stellt. Im Laufe der Aufrüstung übernimmt der neue Domänencontroller die Informationen aus dem Windows-NT-Verzeichnis (NTDS) und überträgt diese in die Active Directory-Verzeichnisdatenbank. Danach hält der neue Windows 2000 Domänencontroller die Master-Kopie des Domänenverzeichnisses. Ab diesem Zeitpunkt kann ein Systemverwalter die graphischen Verwaltungsprogramme zur Systemverwaltung und zur Pflege der Benutzerkonten verwenden. Dabei ist es sehr wichtig, dass die Windows-NT-BDCs sowie die einzelnen Client-Systeme der Domänen von den durchgeführten Änderungen überhaupt nichts mitbekommen. Sie funktionieren wie bisher, wobei der neue Windows 2000 Domänencontroller als PDC für die (noch) bestehende NT-Domäne eingesetzt wird. Der abschließende Migrationsschritt besteht dann noch in der Aufrüs- BDC aufrüsten tung der beiden BDCs zu Windows 2000 Domänencontrollern. Auch dazu kann die entsprechende Installationsroutine von Windows 2000 Server eingesetzt werden. Beim Aufrüsten der BDCs wird die Windows-NT-Replikation durch die neue Multimaster-Replikation des Active Directory Services ersetzt. Bei der Migration bzw. Aufrüstung ist zu beachten, dass jeder Win- dcpromo.exe dows 2000 Server zunächst als normaler Mitgliedsserver installiert wird. Soll er eine Active Directory Domäne verwalten, so muss er vorher zum Domänen-Controller konvertiert werden. Das geht mit Hilfe des Programms DCPROMO.EXE. Nach dem Start wird ein Assistent (Wizzard) gestartet, der bei der Einrichtung von Active Directory hilft (siehe auch Abschnitt 12.1.2 Einrichtung eines Domänencontrollers ab Seite 608).
Abschließende Gedanken Die Migration eines komplexen NT-Domänenmodells zu Active Directory will grundsätzlich gut überlegt sein. Immer gilt, dass einer Migration oder Aufrüstung auch eine entsprechende Planungsphase vorausgehen sollte. Wo eine relativ einfache Windows-NTDomänenumgebung zum Einsatz kommt, dort wird auch die Migration zu Active Directory im Regelfall schnell und problemlos gelingen. Die Beurteilung, ob es sich um eine einfache oder eine komplexe Migrationsumgebung handelt, lässt sich am einfachsten anhand folgender Fragen beantworten: • Handelt es sich um eine Multi-Domänenumgebung?
373
374
6 Grundlagen Active Directory • Einsatz im lokalen Netzwerk (LAN) oder im WAN-Verbund? • Zentrale Administration oder Verwaltung auf Arbeitsgruppenebene? Eine Installation kann problemlos sehr viele Benutzer beinhalten, solange diese zentral administriert werden und in einer einzigen Domäne abgelegt sind, die sich innerhalb eines lokalen Netzes befindet. Je weniger dies jedoch zutrifft, desto besser muss geplant und vorher getestet werden. Alle Spielarten der Migration aufzuführen, würde den Rahmen dieses Buches sprengen. Es ist auch ein Weg, den die Autoren grundsätzlich nicht empfehlen. Eine detaillierte Darstellung der Installation einer Active DirectoryDomäne finden Sie in Abschnitt 12.1 Installation und Erweiterung ab Seite 607 im Administrationsteil.
6.8.2 Gemischter und einheitlicher Modus
Die Modi einer Domäne
Nach der Installation eines Domänencontrollers ist dieser im so genannten Gemischten Modus. Dies ist ein temporärer Betriebszustand, der die Koexistenz mit bestehenden Windows NT-Domänencontrollern sichern soll. Ist der letzte NT-Domänencontroller migriert oder abgeschaltet, kann Active Directory in den Einheitlichen Modus versetzt werden. Dies ist unbedingt als endgültiger Betriebszustand anzustreben, weil viele wertvolle neue Funktionen im gemischten Modus nicht verfügbar sind. Der gemischte Modus sichert nur die Kompatibilität und ist kein für den dauerhaften Betrieb optimaler Konfigurationszustand. Die Umschaltung vom gemischten in den einheitlichen Modus muss vom Administrator explizit vorgenommen werden. Dazu finden Sie in Abschnitt 12.1.4 Übergang in den einheitlichen Modus ab Seite 624 die entsprechenden Informationen. Diese Umschaltung kann nicht wieder rückgängig gemacht werden, da damit grundsätzliche Umstellungen in der Verhaltensweise von Active Directory verbunden sind. Nach der Umschaltung ist es nicht mehr möglich, einen Windows NTDomänencontroller in Active Directory zu integrieren.
Vorgang der Umschaltung Die Umschaltung vom gemischten in den nativen Modus geht mit folgenden Vorgängen einher:
6.8 Migration von Windows NT 4
375
• Zur Replikation wird nur noch das neue Active DirectoryProtokoll verwendet. • Der PDC-Emulator (siehe Abschnitt Betriebsmaster ab Seite 303) beendet die NTLM-Replikation. • NT-BDCs werden nicht mehr erkannt. • Der PDC des gemischten Modus ist nicht mehr der FSMO (Masterserver). In einer nativen Active Directory Domäne arbeiten alle Domänencontroller gleichberechtigt (Peer-Modus). • Downlevel-Clients profitieren von neuen Funktionen: -
Übertragung von Sicherheitsinformationen
-
Clients werden von allen Domänencontrollern der DomänenGesamtstruktur authentifiziert.
Einige Funktionen stehen aber weiter zur Verfügung: • Downlevel-Clients wie Windows 98 werden weiter unterstützt. • Alleinstehende Server mit Windows NT werden im Netzwerk weiter akzeptiert. Die Umschaltung ist für die Clients unkritisch, da diese und auch andere im Netzwerk verfügbare Server unter Windows NT weiterhin aktiv bleiben können – sie verlieren nur die Fähigkeit, als Domänencontroller zu arbeiten. Nichts spricht dagegen, einen NT 4-Server mit Druckdiensten in einer nativen Active Directory-Domäne zu beauftragen. Es gibt einige Quellen in der Literatur, die davor warnen, große Weniger Objekte im Netzwerke mit mehreren 10 000 Objekten im gemischten Modus zu gemischten Modus betreiben. Dies liegt vermutlich an Limitierungen der NT 4Domänencontroller, die ja im gemischten Modus die Änderungen im Active Directory replizieren müssen. Im Active Directory sind die Grenzen aber sehr viel höher.
6.8 Migration von Windows NT 4
Kapitel 7 Drucken
7.1
Neue Funktionen ................................................ 379
7.2
Grundprinzipien der Druckansteuerung ...... 381
7.3
Druckserver-Funktionen im Netzwerk.......... 392
7.4
Weitere Druckserverfunktionen...................... 399
7.5
Sicherheit und Verwaltung von Druckern.... 400
377
378
6 Grundlagen Active Directory
7.1 Neue Funktionen
379
7 Drucken Eine der häufigsten Serveraufgaben besteht neben der Bereitstellung von Datenbeständen im Netzwerk sicherlich in der Wahrnehmung zentraler Druckfunktionen. Die Windows 2000 Serverversionen verfügen hier über ein breites Spektrum an Lösungen, mit denen Druckdienste im Netzwerk realisiert werden können. Dabei werden auch Drucksysteme von Herstellern unterstützt, die nicht für den direkten Einsatz in Windows-Netzwerken konzipiert worden sind. So lassen sich beispielsweise Unix- oder AppletalkDrucker problemlos einbinden oder Druckdaten zu NetwareWarteschlangen senden. Aber auch in heterogenen Netzwerkumgebungen kann ein Windows 2000 Serversystem Druckdienste anderen Clients anbieten. Es stehen verschiedene Schnittstellen zur Verfügung, um Unix- oder MacintoshClients den Zugriff auf unter Windows 2000 verwaltete Drucker zu ermöglichen. Für kleinere Netzwerke bietet die Professional-Version einen großen Windows 2000 Teil der unter Windows 2000 möglichen Druckdienste an. Dabei ist die Professional als maximale Anzahl an Benutzern im Netzwerk, die auf einen solchen Druckserver Druckserver zugreifen können, auf 10 beschränkt. Weitergehende Informationen finden Sie zu diesem Thema auch in Band I Windows 2000 im professionellen Einsatz. In diesem Kapitel werden die grundlegenden Aspekte der Netzwerk- Administration ab druckunterstützung der Windows 2000 Serverfamilie behandelt. In Seite 853 Kapitel 14 Drucker einrichten und verwalten ab Seite 853 finden Sie dann die entsprechenden konkreten Anleitungen für die Administration und Einrichtung dieser Ressourcen.
7.1
Neue Funktionen
Dieser Abschnitt gibt Ihnen einen Überblick über die wichtigsten neuen Druckfunktionen, die unter Windows 2000 zur Verfügung stehen. Das vorliegende Kapitel beschäftigt sich mit den für den Netzwerkbetrieb wichtigen Funktionen. • Erleichterte Installation von Druckern Insbesondere durch die neuen »richtigen« Plug&Play-Funktionen Plug&Play können unter Windows 2000 neue Drucker einfacher installiert werden. So werden neue Geräte beim Systemstart oder beim manuellen Aufruf des Installationsassistenten automatisch erkannt
380
7 Drucken und bei Verfügbarkeit eines eigenen Treibers selbstständig eingebunden. Besonders bei der Einrichtung von Druckern unter Windows 2000 Server ist die Verfügbarkeit von Microsoft-zertifizierten Treibern eine wichtige Voraussetzung, um einen reibungslosen Betrieb zu gewährleisten. Instabilitäten bis hin zum Absturz des Druckspoolers ergeben sich häufig mit der Verwendung nicht geeigneter Treiber. • Unterstützung neuer Schnittstellen
Neue Schnittstellen
Neben den bisher unter Windows NT unterstützten Schnittstellen für die Anbindung von Druckern kommen aufgrund der modernisierten Hardware-Ansteuerung erstmalig oder grundlegend überarbeitet neue Schnittstellen hinzu. Das sind unter anderem USB und IEEE 1394 (Firewire). Inwieweit diese allerdings beim Serverbetrieb mit Windows 2000 Bedeutung erlangen, bleibt abzuwarten. Diese neuen Schnittstellen werden in Band I Windows 2000 im professionellen Einsatz beschrieben. Im vorliegenden Band werden ausschließlich Drucksysteme und -lösungen betrachtet, welche über eine Netzwerkschnittstelle angesteuert werden. In Abschnitt 7.2.3 Anschlussmonitore ab Seite 388 finden Sie dazu weitergehende Informationen. • Internet Printing Protocols (IPP)
IPP
Eine neue und komfortable Ansteuerungsmöglichkeit von Druckdiensten im Netzwerk ist über das IPP möglich. Dieses vor allem für die Standardisierung von Schnittstellen zum Druck im Netzwerk entwickelte Protokoll ermöglicht plattformübergreifend den Zugriff auf Netzwerkdrucker über eine URL und die Verwaltung über einen Browser. IPP wird eingehender in Abschnitt 7.3.3 Drucken mit dem Internet Printing Protocol ab Seite 395 betrachtet. • Druckserver-Clustering
DruckserverCluster
Für die Sicherung einer hohen Performance und maximaler Ausfallsicherheit können im Rahmen der Clustering-Fähigkeiten der Advanced Server-Version von Windows 2000 auch DruckserverCluster gebildet werden. Weitere Informationen finden Sie dazu in Band III Internet Information Server 5. • Integration in das Active Directory
Integration in das Active Directory
Bereit gestellte Druckressourcen im Netzwerk lassen sich auch direkt in die logischen Strukturen des Active Directory einbinden.
7.2 Grundprinzipien der Druckansteuerung
381
Darüber hinaus erlaubt die Verwaltung im Verzeichnisdienst auch die Suche nach bestimmten Merkmalen (wie Farbfähigkeit, Materialarten, Papierformate etc.) von Drucksystemen, um beispielsweise spezielle Druckjobs auf den dafür optimal geeigneten Druckern ausgeben zu können. Tiefergehende Hinweise dazu finden Sie in Abschnitt 7.3.1 Windows-Netzwerk und Active Directory ab Seite 392. • Drucker-Pools Diese Funktionalität ist an und für sich nicht neu und konnte schon Drucker-Pools unter dem Vorgänger NT genutzt werden. Trotzdem sei sie der Vollständigkeit halber erwähnt. Über die Zusammenfassung mehrerer Drucker eines Typs lassen sich sehr einfach leistungsfähige Netzwerkdrucklösungen mit einer hohen Fehlertoleranz schaffen. Weitere Informationen dazu finden Sie in Abschnitt 7.4.1 Druckerpools ab Seite 399. Die folgenden Merkmale der Windows 2000-Druckunterstützung sind für die Arbeit lokal am System relevant und Inhalt von Band I Windows 2000 im professionellen Einsatz:
Merkmal
Beschreibung
Unidriver 5
Der universelle Druckertreiber (Unidriver) liegt nun in der Version 5 vor und bietet unter anderem erweiterte Möglichkeiten für den Farbdruck.
Postscript-Treiber
Der neue Postscript-Treiber bietet jetzt Postscript 3Unterstützung sowie Kompatibilität zu Adobes PPDs (Version 4.3).
Farbmanagement ICM 2.0
Das in Windows 2000 ICC-konforme integrierte Farbmanagement ICM (Image Color Management) bietet in der Version 2.0 verbesserte Leistungsmerkmale für qualitativ hochwertige Farbdrucke.
7.2
Grundprinzipien der Druckansteuerung
In diesem Abschnitt werden grundlegende Funktionen der Druckansteuerung unter Windows 2000 im Netzwerk behandelt. Weitergehende Informationen zur internen Aufbereitung der Druckdaten von der Anwendung bis in den Windows-Druckspooler finden Sie in Band I Windows 2000 im professionellen Einsatz.
Tabelle 7.1: Weitere neue Merkmale der Druckunterstützung unter Windows 2000
382
7 Drucken
7.2.1
Logische und physische Drucker
Unter allen heute auf dem Markt befindlichen WindowsBetriebssystemen (Windows 9x/ME, NT und 2000) wird zunächst eine Unterscheidung zwischen logischen und physischen Druckern getroffen.
Logische Drucker Druckertreiber
Logische Drucker werden unter dem Betriebssystem mit der Installation eines Druckertreibers (siehe auch Abschnitt 7.2.4 Druckertreiber ab Seite 390) eingerichtet. Diese Softwarekomponente ist ihrerseits wiederum eng mit dem Windows 2000 Druckerspooler (siehe auch Abschnitt 7.2.2 Interner Ablauf im Server ab Seite 384) verbunden. Dieser leitet die mit dem logischen Drucker generierten Daten an den oder die entsprechenden physischen Drucker weiter.
Physische Drucker Gerät
Logische Drucker können Sie wiederum einem oder mehreren physischen Druckern oder auch einem virtuellen Port, beispielsweise für die Ausgabe in eine Datei oder die Übergabe an eine Faxsoftware, zuordnen. Als physischer Drucker wird das konkrete technische Gerät bezeichnet, auf dem der Druck hergestellt wird.
Hohe Flexibilität
Diese konsequente Trennung von logischen und physischen Komponenten verhilft zu einer hohen Flexibilität bei der Einbindung und Organisation von Druckressourcen.
Abbildung 7.1: Logischer und physischer Drucker
Offline drucken
Einen logischen Drucker können Sie auch dann für die Druckausgabe benutzen, wenn der physische Drucker nicht vorhanden ist. So haben Sie die Möglichkeit, den Anschlussport des logischen Druckers auf
7.2 Grundprinzipien der Druckansteuerung
383
FILE umzustellen und den Druckdatenstrom in eine Datei umzuleiten und dann bei einem anderen, kompatiblen Drucksystem zu laden. Oder Sie stellen den logischen Drucker auf Offline verwenden. Im zugeordneten Spooler werden die Druckdaten dann so lange aufbewahrt, bis Sie den logischen Drucker wieder Online schalten. So können Benutzer im Netzwerk auch weiterhin Druckaufträge senden, wenn ein Drucker kurzzeitig ausgefallen ist. Ist der Drucker wieder verfügbar, werden alle bisher aufgelaufenen Druckjobs abgearbeitet. Neben der Möglichkeit, logische Drucker offline zu verwenden, kön- Umleitung nen Sie auch für die Benutzer transparent eine Umleitung von Druckjobs vornehmen. Ohne dass sich für den Benutzer in der Bedienung »seines« Netzwerkdruckers etwas ändert, kann der Auftrag auf einem anderen, allerdings kompatiblen Drucksystem ausgegeben werden. Dem logischen Drucker wird dann einfach nur ein anderer physischer Drucker zugeordnet. Über einen logischen Drucker können auch mehrere (gleichartige) Druckerpool physische Drucker zu einem so genannten Druckerpool zusammengefasst werden. Weitere Informationen dazu finden Sie in Abschnitt 7.4.1 Druckerpools ab Seite 399.
Mehrere logische Drucker verwenden Für bestimmte Anwendungsfälle kann es sinnvoll sein, für einen physischen Drucker mehrere logische Drucker einzurichten. Sie sind da in der Entscheidung völlig frei. Unter Windows 2000 Server können Sie beliebig viele logische Drucker einrichten. Die einzige Bedingung ist die eindeutige Unterscheidbarkeit durch den gewählten Namen. Abbildung 7.2: Zwei logische Drucker für ein physisches Gerät
In Abbildung 7.2 sehen Sie einen möglichen Anwendungsfall für die Verwendung mehrerer logischer Drucker für den Betrieb eines physischen Gerätes. Das angenommene Drucksystem versteht zwei Dru-
384
7 Drucken ckersprachen: PCL und Postscript. Der PCL-Druckertreiber verfügt gegenüber dem Postscript-Treiber über mehr Funktionen, beispielsweise um aus einem mehrseitigen Dokument elektronisch eine fertige Broschüre zu erstellen und auszugeben. Mit dem Postscript-Treiber können Sie wiederum aus Layout-Programmen wie PageMaker oder Quark XPress zum Offsetdruck standverbindliche Probedrucke herstellen. Um die Vorteile beider Druckertreiber jeweils nutzen zu können, installieren Sie diese und erhalten im Ergebnis zwei logische Drucker, die mit einem physischen Gerät verbunden sind.
Druckertreiber am Server
Für den Einsatz eines Windows 2000 Systems als Druckserver reicht es eigentlich aus, wenn Sie einen beliebigen logischen Drucker einrichten, der dem betreffenden physischen Drucker zugeordnet ist. Für die Sicherstellung der Spoolfunktionen im Netzwerkbetrieb ist der konkrete, am Server installierte Druckertreiber unerheblich. Allerdings fragen bestimmte Clients (beispielsweise Apple Macintosh-Computer) die Fähigkeiten eines Netzwerkdrucksystems ab und benötigen dabei »halbwegs« verlässliche Angaben, um bestimmte Funktionen wie etwa Farbfähigkeit dem Benutzer zur Verfügung stellen zu können. Deshalb empfiehlt es sich, auch am Druckserver entsprechende korrekte Druckertreiber zu installieren.
7.2.2
Interner Ablauf im Server
Dieser Abschnitt gibt einen kurzen Überblick in die internen Abläufe in einem Windows 2000 Druckserver.
Druckspooler Nach der Generierung der Druckdaten durch den Druckertreiber am Netzwerk-Client werden diese an den Druckspooler übergeben. Der konkrete Weg, den die Daten dabei nehmen, ist abhängig vom ClientBetriebssystem. Windows 2000 Clients
Zwischen Windows 2000 Clients und einem Windows 2000 Druckserver besteht beim Druck eine besonders enge Verbindung, welche eine hohe Verarbeitungsgeschwindigkeit und Entlastung des Clients zum Ziel hat. So ist der Windows 2000 Druckspooler als typische ClientServer-Anwendung aufgebaut. Clientseitig arbeitet hier die Komponente WINSPOOL.DRV, welche die über die GDI (Graphical Device Interface) und den Druckertreiber generierten Druckdaten entgegennimmt und einen RPC (Remote Procedure Call) an die Serverseite (SPOOLSV.EXE auf dem Windows 2000 Server) absetzt. SPOOLSV.EXE übernimmt die Druckdaten und leitet sie direkt über den Druckrouter (SPOOLSS.DLL) an den lokalen Druckanbieter (siehe weiter unten) weiter.
7.2 Grundprinzipien der Druckansteuerung
385 Abbildung 7.3: Ablauf des Drucks beim Windows 2000 Druckserver
Bei einem lokalen Druckvorgang auf einem Windows 2000 PC arbeiten die gleichen Komponenten, nur befinden sie sich dann auf dem selben System. Andere Windows-Clients senden ihre Daten über ihren SMB- Andere WindowsRedirector (Server Message Block) an den Druckserver des Windows Clients 2000 Serversystems, der sie wiederum an den lokalen Druckanbieter weiterleitet. Die Druckdaten von einem LPR-Client nimmt der LPD-Dienst entge- Unix-Clients gen und sendet sie an den Druckspooler weiter. Weitere Informationen finden Sie dazu auch im Abschnitt 7.3.2 TCP/IPDruckunterstützung ab Seite 394. Macintosh-Clients können Druckdaten sowohl über Appletalk als Apple Macintosh auch über TCP/IP mit einem optionalen LPR-Client senden. Für die Entgegennahme der Druckdaten über Appletalk zeichnet der SFMDruckserverdienst verantwortlich. Lesen Sie dazu auch Abschnitt 7.3.5 Appletalk-Druckunterstützung ab Seite 398. Über das IPP (Internet Printing Protocol) können theoretisch aus belie- IPP bigen Systemwelten Druckdienste auf einem Windows 2000 Serversystem in Anspruch genommen werden. Voraussetzung ist das Protokoll TCP/IP sowie ein entsprechender IPP-Client. Auf dem Server nimmt der HTTP-Druckserverdienst die Daten entgegen, der mit dem IIS (Internet Information Server) oder den PWS (Peer Web Services) instal-
386
7 Drucken liert wird. In Abschnitt 7.3.3 Drucken mit dem Internet Printing Protocol ab Seite 395 finden Sie dazu weitere Informationen.
Lokaler Druckanbieter
Der lokale Druckanbieter umfasst die folgenden Komponenten: • Druckprozessor Druckprozessoren stellen spezielle Treiber für die Spooldatenformate dar, welche auch eng mit den Druckertreibern zusammen arbeiten. Sie sorgen beispielsweise für den Einbau von Trennseiten oder das Hinzufügen der abschließenden Seitenumbrüche beim Datentyp RAW [FF APPENDED]. Dritthersteller können auch eigene Druckprozessoren entwickeln, um spezielle Aufgabenstellungen bei der Druckdatenformatierung zu lösen. Die wichtigsten Spooldatenformate werden im nächsten Abschnitt vorgestellt. • Sprachmonitor Ermöglicht ein Drucksystem eine bidirektionale Kommunikation, wird diese über einen Sprachmonitor abgewickelt. Standardmäßig enthält Windows 2000 beispielsweise den Sprachmonitor PJLMON.DLL, über den die Kommunikation mit bestimmten HPLaserdruckern realisiert wird. • Anschlussmonitor Die Anschlussmonitore steuern die physischen Anschlüsse zu den Drucksystemen. Es wird zwischen lokalen und Remote-Anschlussmonitoren unterschieden. Lokale Anschlussmonitore steuern beispielsweise die Ausgabe über die parallele oder serielle Schnittstelle sowie in Druckdateien (FILE). Remote-Anschlussmonitore dienen der Verbindung mit Netzwerkdrucksystemen (siehe auch Abschnitt 7.2.3 Anschlussmonitore ab Seite 388).
Spooldatei
Die Druckdaten werden über den Druckspooler in Spooldateien zwischengespeichert. Dazu werden pro Druckjob zwei Dateien angelegt: • .SPL steht für einen Dateinamen, der aus einem fünfstelligen numerischen Zähler gebildet wird. 00012.SLP steht beispielsweise
für die zwölfte Spooldatei. In der SPL-Datei sind die reinen Druckdaten abgelegt, welche dann so an den Drucker gesendet werden. • .SHD
Der Dateiname der SHD-Datei entspricht exakt dem der dazugehörigen SPL-Datei. In der SHD-Datei werden administrative Informationen zum Druckjob wie Benutzer- und Dokumentname gespeichert.
7.2 Grundprinzipien der Druckansteuerung
387
Diese Dateien bleiben so lange gespeichert, bis der Druckvorgang erfolgreich beendet worden ist. Damit gehen keine Daten verloren, auch wenn es zu einem vorübergehenden Ausfall eines Druckers oder Servers kommt. Standardmäßig werden die Spooldateien in folgendem Verzeichnis Speicherort abgelegt: %Systemroot%\System32\Spool\Printers
Sie können als Administrator den Speicherort sowohl für den Server insgesamt als auch für einzelne Drucker ändern. Die entsprechenden Administrationsschritte finden Sie in Abschnitt 14.3.2 Druckserver anpassen ab Seite 863.
Spool-Datenformate Für die Übergabe der Druckaufträge an den Spooler stehen die folgenden Formate unter Windows 2000 zur Verfügung: • EMF EMF (Enhanced Metafile) ist das Standardformat. Hierbei wird der Enhanced Metafile Druckauftrag beim Client zusammengestellt. Die eigentliche Verarbeitung, beispielsweise das Erzeugen von Kopien oder die Umdrehung der Druckreihenfolge, erfolgt im Spooler. Wenn der Spooler auf einem Druckserver im Netzwerk läuft, wird der lokale Client erheblich entlastet. • Raw Raw ist das Standardformat für alle Clients, die nicht unter Win- Raw dows 2000 laufen. Die Daten werden im Spooler nicht verändert und direkt an den Drucker weitergeleitet. Es gibt zwei Modifikationen des Datentyps: -
Raw [FF appended]
[FF appended]
Hierbei wird bei jedem Druckauftrag ein Seitenvorschub angehängt. Laserdrucker und andere Seitendrucker geben die letzte Seite nicht aus, wenn sie nicht vollständig ist. Bricht ein Programm den Druckprozess ab, ohne die Seite zu füllen, wartet der Drucker auf den Abschluss. Mit dieser Option erzwingen Sie den abschließenden Umbruch. -
Raw [FF auto] Mit dieser Option prüft der Spooler, ob die letzte Seite bereits mit einem Seitenumbruch abgeschlossen wird. Ist das der Fall, unternimmt der Spooler nichts, andernfalls wird der Seitenumbruch angehängt.
[FF auto]
388
7 Drucken • PSCRIPT1
Apple Macintosh
Hinter diesem Datentyp verbirgt sich ein einfacher PostscriptInterpreter, der in Windows 2000 vor allem für die Verarbeitung von Druckaufträgen von Apple Macintosh-Clients (siehe auch Abschnitt 7.3.5 Appletalk-Druckunterstützung ab Seite 398) vorgesehen ist. Es wird nur einfarbiges Postscript Level I unterstützt. Auf den Macintosh-Clients können Sie einen standardmäßigen LaserwriterPostscripttreiber mit der entsprechenden PPD verwenden. Damit wird die Ausgabe von Postscript-Code auch auf NichtPostscriptdruckern ermöglicht. Die Qualität des Interpreters beschränkt die Möglichkeiten auf Text und einfache Strichgrafiken, Halbtonbilder werden nur sehr grob umgesetzt. Darüber hinaus werden keine binären, sondern nur ASCII-codierte Druckdaten korrekt verarbeitet. • Text
Text
Mit der Einstellung TEXT werden reine ANSI-Daten gesendet, die nicht vom Spooler modifiziert werden. Der Drucker druckt in seiner Standardschriftart.
7.2.3
Anschlussmonitore
Wie im vorhergehenden Abschnitt erläutert, wird die physische Schnittstelle zu den Drucksystemen über Anschlussmonitore gesteuert. In diesem Abschnitt werden die wichtigsten standardmäßig vorhandenen lokalen und Remote-Anschlussmonitore vorgestellt.
Lokale Anschlussmonitore In der folgenden Tabelle sind die lokalen Anschlussmonitore aufgeführt, welche Sie unter Windows 2000 standardmäßig vorfinden: Tabelle 7.2: Lokale Anschlussmonitore
Anschluss
Erklärung
LPT1 ... n
Parallelport 1 bis n (Standard 1 bis 3)
COM1 ... n
Serieller Port 1 bis n (Standard 1 bis 4)
FILE
Ausgabe in Datei
Local Port
weitere Lokale Anschlüsse (siehe Tabelle unten)
Weitere lokale Ports können Sie als Administrator hinzufügen. Die folgende Tabelle enthält dafür mögliche Werte, welche Sie dabei für die Portbezeichnung verwenden können:
7.2 Grundprinzipien der Druckansteuerung Lokaler Port
Erklärung
Geben Sie einfach einen Namen einer beliebigen Ausgabedatei fest an. Der Druck wird dann automatisch in diese Datei geleitet. Damit lassen sich beispielsweise Druckaufträge in Netzwerkverzeichnissen ablegen, wo sie durch andere Programme automatisch weiterverarbeitet werden können. Existiert bereits eine Datei gleichen Namens, wird diese ohne Vorwarnung überschrieben.
Sie können auch direkt einen im Netzwerk freigegebenen Drucker als Port angeben. Damit können Sie beispielsweise das Spoolen auf dem entsprechenden Druckserver unterbinden. Die Druckdaten werden stattdessen lokal auf dem Server zwischengespeichert, der über diesen Port die Daten versendet. Als Portbezeichnung ist nur diese Notation zulässig: \\<server oder domäne>\
NUL
Gibt als Ausgabeziel das NUL-Device an. Damit können Sie Druckaufträge ins »Nichts« leiten und so beispielsweise die Funktionsfähigkeit von Druckservern überprüfen.
IrDA
Spezifiziert den Infrarot-Port nach dem IrDA-Standard (Infrared Data Association)
1394
Gibt als Ausgabeport einen Anschluss nach der IEEE1394-Spezifikation an.
USB
Angabe eines USB-Anschlussports. Dieser wird automatisch über die Plug&Play-Funktionen eingerichtet, wenn ein entsprechender Drucker an dieser Schnittstelle vorgefunden wird.
Die konkreten Einrichtungsschritte finden Sie in Abschnitt 14.1 Netzwerk-Drucksysteme installieren ab Seite 853 im Administrationsteil.
Remote-Anschlussmonitore Über die Remote-Anschlussmonitore werden Drucker angesteuert, welche über eine Netzwerkschnittstelle verfügen. Auch hier können Dritthersteller spezielle Monitore entwickeln, um bestimmte Funktionen ihrer Drucksysteme spezifisch ansteuern zu können. Die folgende Tabelle enthält die wichtigsten standardmäßig unter Windows 2000 Server verfügbaren Remote-Anschlussmonitore.
389 Tabelle 7.3: Lokale Ports
390
7 Drucken
Tabelle 7.4: Remote- Monitor Anschlussmonitore SPM
Erklärung Standard TCP/IP Port Monitor Dient der Verbindung mit TCP/IP-Drucksystemen. Dabei wird auch SNMP (Simple Network Management Protocol; RFC 1759) unterstützt, über das erweiterte Statusabfragen des Druckers erfolgen können. SMP ist leistungsfähiger und besser konfigurierbar als der LPR-Portmonitor und sollte diesem, wenn möglich, vorgezogen werden.
LPR
LPR-Anschlussmonitor Diese unter Unix weit verbreitete Methode der Anbindung von Drucksystemen wird unter Windows 2000 durch einen entsprechenden LPR-Client unterstützt. Für die Ansteuerung wird auf der Seite des Druckers ein LPD-Dienst benötigt. Beim LPR-Client wird dann der Hostname des LPD-Servers und der Remotedruckername für den Netzwerkdrucker angegeben.
HPMON
HP-Anschlussmonitor Diese heute nur noch wenig gebräuchliche, von bestimmten HP-Druckern unterstützte Methode basiert allein auf dem DLC-Protokoll. In einem Netzwerk lassen sich damit auch ältere Drucksysteme einbinden, die nicht über einen der IPAnschlussmonitore (SPM oder LPR) ansprechbar sind.
NWMON
Netware-Anschlussmonitor Über diesen Anschlussmonitor und das NWLink-Protokoll können Sie Druckdaten auf Netware-Druckwarteschlangen senden.
SFMMON
Appletalk-Anschlussmonitor Mit Hilfe dieses Anschlussmonitors und dem Protokoll Appletalk sind entsprechende Drucker direkt von Windows 2000 ansteuerbar.
7.2.4
Druckertreiber
Unter Windows 2000 werden im Wesentlichen drei Grundtypen von Druckertreibern unterschieden, die in diesem Abschnitt kurz vorgestellt werden. Tiefergehende Informationen finden Sie dazu in Band I Windows 2000 im professionellen Einsatz.
7.2 Grundprinzipien der Druckansteuerung Universeller Druckertreiber Der Universelle Druckertreiber wird für die meisten Druckertypen Unidriver eingesetzt, die sich im typischen Geschäfts- oder Heimumfeld befinden. Dieser Treibertyp wird auch als Rastertreiber bezeichnet, da er das Drucken von Rastergrafiken direkt übernehmen kann. Für den Farbdruck werden verschiedene Farbtiefen und eine Reihe von Rasterverfahren unterstützt. Als eine Untermenge der durch den Unidriver unterstützten Drucker- PCL sprachen findet sich auch die von Hewlett Packard entwickelte Printer Control Language (PCL) wieder, heute neben Postscript ein Standard für viele Drucksysteme im geschäftlichen Umfeld.
Postscript-Druckertreiber Der Standard in der grafischen Industrie schlechthin ist heute Post- Postscript script. Die bislang eher mäßige Unterstützung dieser Seitenbeschreibungssprache in Windows NT wurde jetzt deutlich verbessert. So ist ein in Zusammenarbeit mit Adobe entwickelter moderner PostscriptTreiber in Windows 2000 enthalten, der unter anderem auch Postscript 3 unterstützt. Der Postscript-Treiber bildet das universelle Grundsystem für die Generierung der Befehle dieser Seitenbeschreibungssprache.
HPGL/2-Druckertreiber Der Ausgabe auf Plottern mit der Beschreibungssprache HPGL (Hew- HPGL/2 lett Packard Graphics Language) dient dieser Druckertreibertyp. Dabei wird nur noch die Version HPGL/2 unterstützt.
Druckertreiber an Clients bereitstellen Wenn Sie Netzwerkdrucker installieren, können Sie die Treiber für andere Betriebssysteme auf dem Server bereithalten und so die Installation auf den Clients automatisch ablaufen lassen. Dafür müssen Sie – im Gegensatz zu NT 4 – nicht über die entsprechenden CDs der Betriebssysteme Windows 95/98 verfügen. Deren Druckertreiber sind auf der CD von Windows 2000 Server bereits einhalten. Für neue Treiber von Windows ME trifft das natürlich nicht zu. Lesen Sie in Abschnitt Clientdruckertreiber bereitstellen ab Seite 859, wie Sie hier konkret bei der Einrichtung auf dem Server vorgehen müssen.
391
392
7 Drucken
7.3
Druckserver-Funktionen im Netzwerk
Ein Windows 2000 Druckserver kann neben Windows-Clients auch die anderer Systemwelten bedienen. In diesem Abschnitt werden die wichtigsten Grundlagen dazu näher betrachtet.
7.3.1
Windows-Netzwerk und Active Directory
Die höchste Performance und Funktionalität bringt ein Windows 2000 Druckserver, wenn Windows 2000 Clientsysteme auf ihn zugreifen. Das beginnt mit dem RPC-Aufruf für die Übergabe der Druckdaten an den Druckspooler und reicht bis zur Verwendung des Spooldatenformats EMF, welches eine Entlastung der Clients mit sich bringt (siehe auch Abschnitt 7.2.2 Interner Ablauf im Server ab Seite 384).
Freigaben im Netzwerk Zunächst können Drucksysteme, die über lokale oder Netzwerkschnittstellen von einem Windows 2000 Computer angesteuert werden, anderen Benutzern im Netzwerk zur Verfügung gestellt werden. Dazu wird für den betreffenden logischen Drucker (siehe auch Abschnitt 7.2.1 Logische und physische Drucker ab Seite 382) eine Netzwerkfreigabe definiert. Das kann sowohl auf einer Professional- als auch einer Serverversion von Windows 2000 eingerichtet werden. Beschränkung der Professional-Version
Die Fähigkeiten eines Windows 2000 Professional Systems als Server sind generell beschränkt. So können maximal 10 Benutzer gleichzeitig auf einen Windows 2000 Professional-Druckserver zugreifen. Die Servervarianten des Betriebssystems kennen in dieser Hinsicht keine Limitierung.
Bereitstellung im Active Directory Freigegebene Drucker können Sie auch im Active Directory, beispielsweise direkt in einer organisatorischen Einheit, bereitstellen. Dazu gibt es grundsätzlich zwei Verfahren:
AD-integrierte Druckserver
• Freigegebene Drucker auf Windows 2000-Druckservern Auf Windows 2000-Systemen, welche über das Active Directory verwaltet werden, können Sie freigegebene Drucker auch im Verzeichnis veröffentlichen. Diese Drucker stehen dann allen Benutzern direkt zur Verfügung.
7.3 Druckserver-Funktionen im Netzwerk
393
Nach der Veröffentlichung im Verzeichnis können Sie diese Drucker auch in eine bestimmte organisatorische Einheit verschieben. • Freigegebene Drucker auf anderen Windows-Druckservern Freigegebene Drucker, die auf anderen Windows-Druckservern angelegt sind, die nicht direkt Active Directory unterstützen, können Sie über ihre Freigabenamen \\<server>\ in das Verzeichnis integrieren. Weitere Hinweise zu den entsprechenden administrativen Schritten finden Sie im Abschnitt Veröffentlichung im Active Directory ab Seite 860.
Merkmale eines Windows 2000 Druckservers Bei der Nutzung eines Windows 2000 Systems als Druckserver können Sie bei der Verwendung von Windows 9x, NT oder 2000 Clients von den folgenden technischen Merkmalen profitieren: • Einfache Installation auf Windows-Clients Wie bereits beim Vorgänger NT können Sie bei einem freigegebenen Drucker alle notwendigen Windows-Clienttreiber mit installieren. Möchten Sie einen neuen Netzwerkdrucker auf einem Windows-Client zur Nutzung einrichten, reicht es, den im Netzwerk oder Active Directory gefundenen Drucker per Mausklick zu installieren. Alle notwendigen Treiberdateien werden dann vom Druckserver übertragen und auf den Client kopiert. • Komfortable Suchen nach Druckern im Netzwerk Die Suche im Windows-Netzwerk kann auch nach Druckern erfolgen. Haben Sie Active Directory im Einsatz, können Sie nach ganz speziellen Merkmalen von Drucksystemen suchen. So ist es beispielsweise möglich, auch in einem großen Unternehmensnetz einen Farbdrucker zu finden oder ein Drucksystem, welches eine ausreichend hohe Geschwindigkeit für einen umfangreichen Druckjob aufweist. • Einsicht in die Druckerwarteschlange Die Liste der Druckjobs, die sich auf einem freigegebenen Netzwerkdrucker befinden, wird den Clients direkt angezeigt. Die entsprechenden Rechte vorausgesetzt, können Benutzer Jobs aus dieser Liste wieder entfernen oder die Druckreihenfolge ändern.
Nicht-AD-Druckserver
394
7 Drucken
7.3.2
TCP/IP-Druckunterstützung
Windows 2000 Server kann in heterogenen Netzwerkumgebungen sowohl auf eine breite Palette von IP-Drucksystemen zugreifen als auch direkt für andere IP-Clients Druckserverfunktionen wahrnehmen. In diesem Abschnitt werden die Methoden LPR/LPD sowie StandardTCP/IP-Druckansteuerung behandelt. Eine weitere, neue Technologie für die plattformübergreifende Druckansteuerung steht bei Nutzung des Internet Printing Protocols (IPP) zur Verfügung und wird eingehend in Abschnitt 7.3.3 Drucken mit dem Internet Printing Protocol ab Seite 395 betrachtet.
Ansteuerung von IP-Drucksystemen Für die Einbindung von IP-Drucksystemen bietet Windows 2000 zwei grundlegende Möglichkeiten: Standard TCP/IP Port Monitor (SPM)
• Ansteuerung über SPM Mit Hilfe des Standard TCP/IP Port Monitors (SPM; siehe auch Abschnitt Remote-Anschlussmonitore ab Seite 389) können Sie Drucker einbinden, die über das TCP/IP-Protokoll im Netzwerk erreichbar sind und sich dabei an die Standards gemäß RFC 1759 halten. Dieser auch Simple Network Management Protocol (SNMP) genannte Standard definiert unter anderem, wie entsprechende Drucker im Netzwerk kommunizieren. Ziel ist eine möglichst einfache Einbindung auf Clientseite und eine einfache Administration. Nach Angabe der erforderlichen IP-Adresse oder des Namens des Druckservers kann die weitere Installation meist automatisch vonstatten gehen. Typische Geräte, die über SPM in Windows 2000 eingebunden werden können, sind moderne Drucksysteme von HP (inklusive der HP JetDirect-Karten) oder auch Netzwerkports von Intel (Intel NetPort).
LPR
• LPR-Anschlussport Über den LPR-Anschlussmonitor (Line Printer; siehe auch Abschnitt Remote-Anschlussmonitore ab Seite 389) können Sie Drucker einbinden, die beispielsweise auf Unix-Systemen eingerichtet sind. Gegenüber SMP (siehe vorhergehender Abschnitt) ist die Einbindung weniger komfortabel und es werden weniger detaillierte Rückmeldungen zum Druckerstatus geliefert. Für die Einrichtung eines über LPR ansprechbaren Druckers muss dessen Hostname oder IPAdresse sowie der Name des Druckers (standardmäßig meist lp) angegeben werden. Zusätzlich kann es notwendig sein, dass das
7.3 Druckserver-Funktionen im Netzwerk Zugriffsrecht auf den Drucker am LPD-Druckserver explizit für den Benutzer eingerichtet werden muss. Die Einrichtung der Ansteuerung von Druckern über den LPRClient von Windows 2000 finden Sie in Abschnitt LPR-Drucker einbinden ab Seite 855.
Druckserverfunktion im IP-Netzwerk Neben einem LPR-Client stellt Windows 2000 auch einen LPDDruckserver zur Verfügung. Damit können alle im Netzwerk freigegebenen Drucker direkt über andere LPR-Clients, beispielsweise auf Unix-Systemen, angesteuert werden. Auf Clientseite müssen dann angegeben werden: • IP-Adresse oder Hostname des Windows 2000 Druckservers • Druckername, welcher dem Windows-Freigabenamen entspricht Die administrativen Schritte dazu finden Sie in Abschnitt 14.2.2 LPDDruckserverfunktion ab Seite 860.
7.3.3
Drucken mit dem Internet Printing Protocol
In Windows 2000 wurde auch die Unterstützung des Internet Printing Protocols (IPP) implementiert. Mit diesem Protokoll ist es möglich, Druckdienste über Betriebssystemgrenzen hinweg nutzen zu können. Voraussetzung dazu ist das Netzwerkprotokoll TCP/IP sowie HTTP, um die Konfiguration und Administration dieser Druckdienste mit einem Browser durchführen zu können.
Historisches IPP wurde von der Internet Engineering Task Force (IETF) entwickelt, um auch Druckvorgänge über das Internet ausführen zu können. Vor allem Dienstleister des Druckgewerbes könnten davon profitieren. Die Initiative zu IPP stammt schon aus dem Jahre 1996, in dem die Printer Working Group (PWG) erste Vorschläge dazu machte. An der PWG waren alle großen Hersteller beteiligt. Zu den Gründern gehörten IBM, Novell und Xerox. Mehr Informationen sind unter folgenden Links zu finden: • Internet Printing Protocol: www.pwg.org/ipp
• Printer Working Group: www.pwg.org
395
396
7 Drucken • Internet Engineering Task Force: www.ietf.org
Grundsätzlich erlaubt IPP das Drucken über eine Webverbindung, also über HTTP. Bestimmte Funktionen werden durch das darauf aufsetzende IPP realisiert: • Erlaubt Nutzern herauszufinden, welche Druckparameter der Drucker hat. • Erlaubt Nutzern, Druckaufträge an den Drucker zu senden. • Ermittelt den Status des Druckers. • Nutzer können gesendete, aber noch nicht gedruckte Aufträge stornieren. Die praktische Umsetzung wurde vor allem von Microsoft und Hewlett Packard vorangetrieben, die diese Arbeiten im Simple Web Printing-Papier (SWP) veröffentlichten. Die Erfüllung dieses Papiers liegt nun mit den Internetdruckdiensten in Windows 2000 vor.
Aktueller Status RFC zu IPP
IPP liegt derzeit in der offiziellen Version 1.0 vor. Die Version 1.1 ist als Draft veröffentlicht. IPP/1.0 ist bereits im Status der RFCs. Folgende RFCs geben detaillierte Auskunft: • RFC 2568: Rationale for the Structure of the Model and Protocol for the Internet Printing Protocol • RFC 2567: Design Goals for an Internet Printing Protocol • RFC 2566: Internet Printing Protocol/1.0: Model and Semantics • RFC 2565: Internet Printing Protocol/1.0: Encoding and Transport • RFC 2569: Mapping between LPD and IPP Protocols • RFC 2639: Internet Printing Protocol/1.0: Implementers Guide
IPP/1.1
IPP/1.1 ist in Windows 2000 noch nicht implementiert. Erwartet werden folgende Erweiterungen: • Spezielle Funktionen für die Administration • Nachrichtenübertragung vom Server zum Client • Abrechnungsfunktionen, beispielsweise Feststellung von Druckvolumen • Kopplung mit kommerziellen Transaktionen, beispielsweise Bezahlvorgängen
7.3 Druckserver-Funktionen im Netzwerk
397
Anwendungen Benutzer aus dem Internet können per Browser direkt auf Drucker zugreifen. Hotels könnten ihren Gästen Drucker zur Verfügung stellen, die diese Dokumente empfangen. Copyshops können ihre Kapazitäten im Internet anbieten und Druckaufträge nach Bezahlung direkt vom Kunden ausführen lassen. Im Intranet können auch Benutzer exotischer Betriebssysteme auf Drucker zugreifen, was die Migration erleichtert. Zusammen mit den Sicherheitsfunktionen unter Windows 2000 ist der Druck sehr sicher möglich – jeder Drucker ist so abgesichert wie ein klassisches Windows 2000-System. Umgekehrt ist IPP ein offener Standard, der beispielsweise auch in Linux implementiert werden kann. So können Drucker an anderen Systemen angesprochen werden, ohne die üblichen Probleme beim Umgang mit heterogenen Systemen in Kauf nehmen zu müssen. Gerade Unix, bei dem die Druckerunterstützung eher unterentwickelt ist, dürfte am stärksten von IPP profitieren.
IPP-Clients Derzeit ist ein IPP-Client nur für Windows 2000 verfügbar. Weitere Clients Clients für Windows 9x werden in Kürze von Microsoft folgen. Für Linux und Apples MAC OS sind ebenfalls Clients angekündigt beziehungsweise schon im Betateststadium.
Windows 2000 als IPP-Server Windows 2000 bringt bereits alle notwendigen Tools und Treiber mit, damit Sie IPP serverseitig benötigen. Notwendige Voraussetzungen dazu sind: • Installation der Internet Information Services • TCP/IP als Netzwerkprotokoll • Freigabe eines Druckers Die konkreten Installations- und Administrationsschritte zum Einrichten von IPP unter Windows 2000 finden Sie in Abschnitt 14.2.3 IPPDruckserver einrichten ab Seite 861.
7.3.4
Netware-Druckunterstützung
Windows 2000 bietet eine begrenzte Unterstützung für Druckdienste, Beschränkung auf die in einer Novell Netware-Netzwerkumgebung bereitgestellt wer- NWLINK den. Dabei ist allerdings bei Verwendung der standardmäßigen
398
7 Drucken GATEWAY- (UND CLIENT-) SERVICES FÜR NETWARE zu beachten, dass Netware-Druckservices nur über das Netzwerkprotokoll NWLINK (vollständige Bezeichnung: NWLINK IPX/SPX/NETBIOS-KOMPATIBLES TRANSPORTPROTOKOLL) unterstützt werden, nicht jedoch über TCP/IP.
Szenario: Erweiterung eines alten Netzwerks Denkbar ist aber ein Szenario, bei dem ein altes Netware 3.x-Netzwerk erweitert werden soll. Dabei sollen vielleicht alte Netware-Clients unverändert auf »ihren« Server zugreifen können. Neue WindowsClients können über einen entsprechend konfigurierten Windows 2000 Server ebenfalls über die Druckwarteschlangen auf dem NetwareServer Dokumente ausgeben. Der Zugriff auf eine Netware-Druckwarteschlange über einen Windows 2000 Server ist natürlich mit Abstrichen in der Geschwindigkeit verbunden. Schneller ist der direkte Weg, den Sie mit Installation entsprechender Netware-Clientsoftware auf den Netzwerkclients gehen können.
Windows 2000 als Druckserver für Netware-Clients Über die optional erhältliche Komponente File- und Printservices für Netware v5, auch als Bestandteil der Windows Services for NetWare 5 zu beziehen, können Sie einen Windows 2000 Server auch als Datei- und Druckserver für Netware-Clients einsetzen.
7.3.5
Appletalk-Druckunterstützung
Windows 2000 bringt eine weitreichende Unterstützung für Apple Macintosh-Clients mit (siehe auch Abschnitt 5.7.3 AppleTalk und die Macintosh-Services ab Seite 201).
Windows 2000 als Appletalk-Druckerclient Auch in Professional-Version
Bereits mit der Professional-Version ist es möglich, das Netzwerkprotokoll APPLETALK einzusetzen und damit Drucker zu bedienen, die über dieses Protokoll angesteuert werden. Die Ansteuerung erfolgt dabei über den Appletalk-Druckmonitor (SFMMON; siehe auch Abschnitt 7.2.3 Anschlussmonitore ab Seite 388).
Drucker übernehmen
Ein Appletalk-Druckgerät kann durch den Windows 2000 Computer dabei »übernommen« werden. Das bedeutet, dass dann nur noch dieser Windows 2000 Computer die Kontrolle über diesen Drucker hat. Andere Appletalk-Clients sehen den Drucker dann nicht mehr. Diese
7.4 Weitere Druckserverfunktionen
399
Option macht beispielsweise dann Sinn, wenn Sie einen Drucker haben, der ausschließlich über Appletalk angesteuert werden kann und garantiert von niemandem sonst im Netzwerk mit Daten versorgt werden soll. Damit können Sie verhindern, dass ein Auftragsstau entsteht, wenn der Drucker über keine eigenen Spooling-Funktionen verfügt und mehrere Clients gleichzeitig Daten an ihn senden. Die Einrichtung von Appletalk-Druckern unter Windows 2000 ist Inhalt des Abschnitts 14.1.2 Appletalk-Drucker einbinden ab Seite 857.
Windows 2000 Druckserver für Macintosh-Clients Die Serverversion von Windows 2000 verfügt über die Möglichkeit, SFM-Druckserver auch als SFM-Druckserver (SFM - Services for Macintosh) aufzutreten. Mit der Installation der DRUCKDIENSTE FÜR DEN MACINTOSH wird der entsprechende SFM-Druckserverdienst mit eingerichtet. Standardmäßig werden dann alle freigegebenen Drucker auch als AppletalkDrucker im Netzwerk angezeigt und können durch Apple MacintoshClients angesteuert werden. Die notwendigen Administrationsschritte dazu finden Sie in Abschnitt 14.2.4 Druckserver für Apple Macintosh-Clients ab Seite 862.
7.4
Weitere Druckserverfunktionen
Windows 2000 verfügt über weitere Druckserverfunktionen, mit denen Sie die Leistung und Verfügbarkeit von zentralen Druckdiensten im Netzwerk steigern können.
7.4.1
Druckerpools
Unter Druckerpools versteht man die Zusammenfassung mehrerer Druckerpools fasphysischer Geräte für die Ansteuerung über einen logischen Drucker sen mehrere Gerä(siehe auch Abschnitt 7.2.1 Logische und physische Drucker ab Seite 382). te zusammen Bedingung ist allerdings, dass die so zusammengefassten Drucker vom gleichen Typ sind. Mit so einer Lösung lässt sich beispielsweise im Netzwerk ein gestie- Gestiegenes genes Druckvolumen abdecken. Für die Benutzer ändert sich nichts – Druckvolumen sie sehen nach wie vor einen (logischen) Netzwerkdrucker, der ihre Druckaufträge entgegennimmt. So lässt sich auch schrittweise eine höhere Druckleistung implementieren.
400
7 Drucken
Abbildung 7.4: Druckerpool
Der Windows Druckmanager steuert automatisch die Verteilung der Druckaufträge auf das jeweils freie Gerät. Die konkreten Einrichtungsschritte finden Sie in Abschnitt 14.3.1 Einrichten eines Druckerpools ab Seite 862.
7.4.2
Servercluster
Mit Windows 2000 Advanced Server-Systemen können Sie leistungsfähige und fehlertolerante Servercluster implementieren. Diese können natürlich auch zur Abdeckung von Druckdiensten im Netzwerk genutzt werden. Weitere Hinweise für die Bildung von Serverclustern finden Sie in Band III Internet Information Server 5.
7.5
Sicherheit und Verwaltung von Druckern
Das in Windows 2000 integrierte Sicherheitskonzept gilt uneingeschränkt auch für Drucker. Dabei werden verschiedene Sicherheitsstufen unterschieden.
7.5.1
Allgemeine Berechtigungen
Windows 2000 bietet dem Administrator die Möglichkeit, die Zugriffsberechtigungen in drei Stufen einzustellen. Damit können Benutzern, untergeordneten Administratoren und Druckadministratoren unterschiedliche Rechte zugeordnet werden. Unterschieden werden folgende Berechtigungen:
7.5 Sicherheit und Verwaltung von Druckern • Drucken Inhaber dieses Rechts dürfen auf dem betreffenden Drucker Dokumente zum Druck ausgeben. Auf die Konfiguration des Druckers oder auf andere Druckjobs hat der Benutzer keinen Zugriff. • Dokumente verwalten Dieses Recht umfasst den Zugriff auf den Spooler. Das gilt nicht nur für die eigenen, sondern für alle Dokumente, die im Spooler zum Druck bereitgestellt worden sind. Druckaufträge können gelöscht, angehalten oder fortgesetzt werden. • Drucker verwalten Dieses Recht gewährt den vollen Zugriff auf den Drucker und auch auf dessen Druckaufträge. Inhaber der Berechtigung können die Eigenschaften des Druckers soweit ändern, wie es die Druckertreiber zulassen.
7.5.2
Richtlinien in Active Directory
Für Computer und Benutzer sind Gruppenrichtlinien speziell für Drucker verfügbar. Diese Einstellungen sind feiner als die mit den Zugriffsberechtigungen möglichen. Die folgende Tabelle zeigt die Einstellungen für die Computerkonfiguration (Richtlinie für Computer). Tabelle 7.5: Richtlinien für Druckerveröffent- Legt fest, ob freigegebene Drucker dieses Computers Drucker in den Computereinlichung zulassen im Active Directory veröffentlicht werden dürfen. stellungen
Richtlinie
Bemerkung
Neue Drucker automatisch im Active Directory veröffentlichen
Legt fest, ob freigegebene Drucker im Active Directory automatisch vom Druckerinstallations-Assistent veröffentlicht werden.
Löschen von öffentlichen Druckern zulassen
Standardmäßig löscht der Löschdienst auf dem Domänencontroller Drucker aus dem Active Directory, wenn der Computer, der die Drucker veröffentlicht hat, nicht auf Anfragen reagiert. Beim Starten des Computers werden dann die gelöschten Drucker erneut veröffentlicht.
Freigegebene Drucker können aber weiterhin manuell veröffentlicht werden.
Der Domänencontroller löscht die Drucker dieses Computers, wenn Sie diese Richtlinie aktivieren oder nicht konfigurieren. Diese Einstellung wurde jedoch entwickelt, damit Drucker nicht gelöscht werden, wenn der Computer vorübergehend vom Netzwerk getrennt wurde.
401
402
7 Drucken Richtlinie
Bemerkung
Nach Druckern suchen
Kündigt freigegebene Drucker den Druckerhauptsuchservern für die Domäne an. Auf Windows 2000-Domänen mit Active Directory werden freigegebene Druckerressourcen im Active Directory zur Verfügung gestellt und nicht angekündigt. Durch Aktivieren dieser Richtlinie werden über die Druckerwarteschlange freigegebene Drucker den Druckerhauptsuchservern angekündigt. Dadurch werden freigegebene Drucker in der Domänenliste im Dialogfeld "Drucker suchen" im DruckerinstallationsAssistent angezeigt.
Nicht wiederveröffentlichte Drucker löschen
Legt fest, ob Drucker, die nicht automatisch erneut veröffentlicht werden, aus dem Active Directory gelöscht werden. Diese Richtlinie gilt für Drucker, die nicht auf Windows 2000 veröffentlicht wurden, und für Drucker, die auf Windows 2000, aber außerhalb ihrer Domäne veröffentlicht wurden. Windows 2000 ausführende Computer ermitteln gelöschte Drucker und veröffentlichen diese erneut, wenn sie wieder über eine Netzwerkverbindung verfügen.
Verzeichnislöschintervall
Legt fest, wie häufig der Löschdienst auf einem Domänencontroller Anfragen an Computer stellt, um sicher zu stellen, dass die Drucker der Computer funktionstüchtig sind.
Verzeichnislöschwiederholungen
Legt fest, wie oft der Löschdienst auf einem Domänencontroller die Anfrageversuche von Computern wiederholt, bevor die Drucker eines Computers gelöscht werden.
Verzeichnislöschpriorität
Bestimmt die Priorität des Löschthreads. Der Löschthread, der nur auf Domänencontrollern ausgeführt wird, löscht Druckerobjekte aus dem Active Directory, wenn der Drucker, der das Objekt veröffentlicht hat, nicht auf Anfragen reagiert. Somit bleiben Druckerinformationen im Active Directory aktuell.
Veröffentlichungsstatus überprüfen
Überprüft regelmäßig, ob die von diesem Computer veröffentlichten Drucker im Active Directory angezeigt werden. Zusätzlich wird durch diese Richtlinie festgelegt, wie häufig diese Überprüfung wiederholt wird.
7.5 Sicherheit und Verwaltung von Druckern Richtlinie
Bemerkung
Webbasiertes Drucken
Legt fest, ob Internetdrucken auf diesem Server unterstützt wird. Standardmäßig wird Internetdrucken auf Windows 2000 unterstützt. Durch Deaktivieren dieser Richtlinie wird Internetdrucken nicht unterstützt.
403
Diese Richtlinie gilt nur für das serverseitige Internetdrucken. Die Richtlinie verhindert nicht, dass auf dem Druckclient auf dem Computer über das Internet gedruckt wird. Benutzerdefinierter Support-URL im linken Fensterbereich des Ordners DRUCKER
Fügt einen benutzerdefinierten Webseitenlink dem Ordner "Drucker" hinzu. Standardmäßig enthält der Ordner DRUCKER einen Link zu der Microsoft-Supportwebseite. Der Ordner kann aber auch einen Link zu einer vom Hersteller des aktuellen Druckers angegebenen Webseite enthalten.
Computerstandort Legt die Standardstandortkriterien für die Druckersuche fest. Diese Richtlinie ist eine Komponente der Standortnachverfolgungsfunktion der Windows 2000Drucker. Druckerstandortsuchtext im vorhinein ausfüllen
Aktiviert die physikalische Unterstützungsfunktion der Standortnachverfolgung für Windows 2000Drucker. Standortnachverfolgung ermöglicht es Ihnen, ein Standortschema für Ihre Organisation zu entwerfen und Computer und Drucker Standorten dementsprechend zuzuweisen. Standortnachverfolgung setzt die Standardbenutzerund computersuche außer Kraft. Standardmäßig werden IP-Adresse und Subnetzmaske eines Computers zum Suchen und für die Entfernungseinschätzung zu anderen Computern verwendet.
Für Benutzer stehen andere Richtlinien zur Verfügung. Im Falle von Konflikten sind die Benutzerrichtlinien höher priorisiert.
Richtlinie
Bemerkung
Löschen von Druckern deaktivieren
Verhindert, dass Benutzer lokale oder Netzwerkdrucker löschen. Diese Richtlinie verhindert nicht, dass Benutzer andere Programme zum Löschen von Druckern ausführen.
Tabelle 7.6: Richtlinien für Drucker in den Benutzereinstellungen
404
7 Drucken Richtlinie
Bemerkung
Hinzufügen von Druckern deaktivieren
Verhindert, dass Benutzer lokale und Netzwerkdrucker mit üblichen Methoden hinzufügen. Allerdings können Benutzer weiterhin Drucker mit dem Hardware-Assistenten hinzufügen. Ebenso können Benutzer weiterhin andere Programme zum Hinzufügen von Druckern ausführen. Durch Aktivieren dieser Richtlinie werden bereits hinzugefügte Drucker nicht entfernt, aber Druckaufträge können nicht ausgeführt werden.
Netzwerk nach Druckern durchsuchen
Ermöglicht Benutzern, im DruckerinstallationsAssistenten das Netzwerk nach freigegebenen Druckern zu durchsuchen. Durch Deaktivieren dieser Richtlinie können Benutzer das Netzwerk nicht nach Druckern durchsuchen, sondern müssen den Druckernamen selbst eingeben. Die Nutzung selbst schränkt dies nicht ein.
Standardpfad im Active Directory für die Suche nach Druckern
Bestimmt, auf welchem Active Directory-Pfad zuerst nach Druckern gesucht werden soll. Die Angabe erfolgt als LDAP-Pfad.
Websites nach Druckern durchsuchen
Fügt dem Druckerinstallations-Assistent einen Link einer Internet- oder Intranetwebseite hinzu. Sie können diese Richtlinie verwenden, um Benutzer auf eine Webseite, von der sie einen Drucker installieren können, zu verweisen. Die Option hat nichts mit IPP zu tun.
Weiterführende Hinweise finden Sie auch in Abschnitt 6.7 Gruppenrichtlinien ab Seite 355.
7.5 Sicherheit und Verwaltung von Druckern
Kapitel 8 Softwareverteilung und Remoteinstallation
8.1
IntelliMirror ........................................................ 407
8.2
Benutzerprofile ................................................... 411
8.3
Softwareverteilung............................................. 415
8.4
Die Remoteinstallationsdienste ...................... 424
405
406
0
8.1 IntelliMirror
407
8 Softwareverteilung und Remoteinstallation Mit IntelliMirror hat Microsoft einen Marketingbegriff kreiert, der mehrere Technologien im Bereich Softwareverteilung und Konfigurationsmanagement umfasst. IntelliMirror nutzt Funktionen in Windows 2000 Server und Windows 2000 Professional gleichermaßen. Zu den Kernfunktionen gehören die Softwareverteilung, die Remoteinstallation und Benutzerprofile. In diesem Kapitel werden ein Überblick über Begriffe und Hintergründe sowie eine Einführung in die Kerntechnologien gegeben. Die weitergehenden Administrationsschritte sind Inhalt des Kapitels Administration ab Seite 871 15 Administration von Softwareverteilung ab Seite 871.
8.1
IntelliMirror
IntelliMirror ist ein mit Windows 2000 neu eingeführter Begriff, dessen Elemente Ihnen bei den ersten Schritten nicht unbedingt auffallen. IntelliMirror ist ein Teil der Umsetzung der Zero Administration Initiative von Microsoft, die vor allem die Administrationskosten der Clients senken soll. Um es vorweg zu nehmen – IntelliMirror setzt, wenn man alle Funktionen nutzen möchte, Windows 2000 sowohl im Server als auch auf der Workstation voraus. Windows NT 4 und Windows 9x werden nur unzureichend unterstützt.
Zero Administration Initiative for Windows Der etwas umständliche offizielle Name der Zero Administration Stra- ZAW tegie lautet: »Zero Administration Initiative for Windows«. Glücklicherweise gibt es auch dafür eine Abkürzung: ZAW. Einige Bestandteile der ZAW kennen Sie bereits: • MMC – Die Microsoft Management Console • WBEM – Web Based Enterprise Management Nun sind dies zwar nette Features, die dem Administrator die Arbeit erleichtern. Von »Zero« kann beim Administrationsaufwand aber wirklich keine Rede sein. Es muss also mehr dahinter stecken, auch wenn der Begriff aus dem Marketing kommt. Die eigentlichen Kernfunktionen dafür entstammen dann auch IntelliMirror.
408
8 Softwareverteilung und Remoteinstallation Bestandteile von IntelliMirror
Kerntechnologien
IntelliMirror umfasst drei Kerntechnologien: • Verwalten von Benutzereinstellungen. Hierunter wird die gesamte Verwaltung der Konfiguration von Clients verstanden. Den Schwerpunkt bilden die Gruppenrichtlinien. • Verwalten von Benutzerdaten. Hier geht es um die Sicherung einer einheitlichen Struktur der Benutzerdaten, sodass Nutzer an verschiedenen Arbeitsplätzen eine identische Umgebung vorfinden. • Verteilen, Installieren und Warten von Software. Mit Funktionen wie der entfernten Installation und der zentralen Verwaltung von Updates kann der Administrator leicht eine große Anzahl von Windows 2000 Professional-Arbeitsstationen pflegen. Diese drei Kerntechnologien sind unabhängig voneinander und können einzeln oder zusammen eingesetzt werden. Sie werden nachfolgend genauer vorgestellt.
Kerntechnologie Management von Benutzerdaten
Beschreibung
Funktionen
Daten folgen dem Benutzer im Netzwerk
- Active Directory - Gruppenrichtlinien - Synchronisations-
Manager - Ordnerumleitung
Intellimirror
Tabelle 8.1: Anwendungsbereiche für IntelliMirror
Installation und Wartung von Software
Konfigurationsmanagement
Remoteinstallation des Betriebssystems
Software folgt dem Be- - Active Directory - Gruppenrichtlinien nutzer im Netzwerk und Funktionen werden - Windows Installer installiert, wenn sie erstmalig angefordert werden - Active Directory Vorgaben und Einstel- Gruppenrichtlinien lungen des Desktops - Offline-Ordner folgen dem Benutzer Installation von Windows 2000-Clients über das Netzwerk
-
Active Directory Gruppenrichtlinien DHCP Remote Installation Services (RIS)
Active Directory und Gruppenrichtlinien spielen eine zentrale Rolle bei IntelliMirror. Allerdings sind nicht alle Funktionen darauf angewiesen, sodass Sie einen Teil der Leistungen auch einsetzen können, ohne Zugriff auf Active Directory zu haben. In vielen Fällen stehen
8.1 IntelliMirror
409
dazu lokale Richtlinien für Benutzer oder den Computer zur Verfügung. Einige Funktionen, wie die Offline-Ordner, basieren nur auf SMB (Server Message Block) und anderen standardmäßig installierten Protokollen und müssen nicht gesondert installiert werden.
8.1.1
Die Kerntechnologien von IntelliMirror
Die Kerntechnologien von IntelliMirror werden in diesem Abschnitt genauer beschrieben.
Management von Benutzerdaten Bei der Nutzung eines Computersystems wechselt in vielen Situationen die Art und Weise der Verarbeitung von Daten. Nicht immer kann sichergestellt werden, dass jeder Mitarbeiter immer nur an seinem eigenen Computer arbeitet. Neben einem Wechsel des Arbeitsplatzes kann auch ein Hardwareausfall den Austausch des PC erzwingen. Viele Mitarbeiter nutzen Notebooks, um unterwegs weiter mit persönlichen Daten arbeiten zu können. Diese unterschiedlichen Anwendungsfälle werden von IntelliMirror exzellent unterstützt. Die Daten »folgen« dem Benutzer an die Arbeitsstation, an der er sich anmeldet. Daten anderer Benutzer dieser Arbeitsstation bleiben dagegen zuverlässig geschützt. Die Speicherung der persönlichen Daten auf dem Server gewährleistet die regelmäßige zentrale Datensicherung. Durch den Synchronisationsmanager können offline bearbeitete Daten Synchronisationsleicht – im Idealfall vollautomatisch und völlig transparent – mit den manager Daten auf dem Server abgeglichen werden. Mit der Funktion Ordnerumleitung können Ordner an einem Ort im Ordnerumleitung Netzwerk verbleiben und dennoch an jedem Arbeitsplatz zur Verfügung stehen. Das ist bei großen Datenmengen weitaus effizienter als die unter NT 4 nutzbaren servergespeicherten Benutzerprofile, die darüber hinaus weiterhin verwendbar sind und nochmals deutlich verbessert wurden. Mit IntelliMirror werden dem Anwender an einem Arbeitsplatz jedoch nicht nur die Daten zur Verfügung gestellt, sondern auch die zur Bearbeitung nötigen Programme. Den Besonderheiten und der praktischen Nutzung des Synchronisati- Informationen zu onsmanagers wurde bereits in Band I Windows 2000 im professionellen Windows 2000 Einsatz breiter Raum gewidmet. Auf dieses Thema wird hier nicht er- Professional neut eingegangen, zumal es weniger zur Konfiguration eines Servers gehört.
410
8 Softwareverteilung und Remoteinstallation Installation und Wartung von Software
Windows Installer
Anwendungsprogramme können Benutzern genauso wie ihre Daten folgen. Aus Benutzersicht muss dabei kein Installationsprozess ausgeführt werden – auch wenn die Bereitstellung ein paar Sekunden zum Kopieren der Daten in Anspruch nimmt. Die vorgefertigten Installationspakete werden mit Windows Installer vollautomatisch aufgespielt. Installiert wird erst, wenn der Benutzer das Programm wirklich benötigt. Ebenso einfach sind Softwareupdate und Reparaturen auszuführen.
Softwarerichtlinien
Durch Gruppenrichtlinien, die die Installation von Software bestimmen, kann nicht nur eine Verfügbarmachung des Programms erfolgen. Auch Einträge in das Startmenü und die Registrierung sowie das Übertragen von Konfigurationsdateien und Musterdaten erfolgen im Hintergrund. Der Benutzer empfindet die Darstellung, die er gewohnt ist – mit den richtigen Symbolen auf dem Desktop und der passenden Sortierung in der Menüstruktur.
Bereitstellung von Software
Manchmal soll dem Benutzer die Wahl überlassen werden, eine Software zu benutzen. Dann können Sie diese so im Netzwerk bereitstellen, dass sie bei ausgewählten Benutzern im Programm Software in der Systemsteuerung erscheint. Mit Hilfe der Funktion Installieren kann der Benutzer dann die Installation starten. Im Gegensatz zu der klassischen Methode über SETUP.EXE sind dabei Eingriffe in den Installationsprozess unnötig. Entsprechend vorbereitete Installationsskripte entscheiden die Auswahl der Optionen. Technisch erfolgt diese Vorbereitung durch Ausführen einer Musterinstallation auf einem Referenzcomputer.
Reparatur
Die Reparatur von Software erfolgt mit denselben Mechanismen. Bei jedem Start der Applikation – auch der bereits installierten Variante – prüft Windows Installer, ob alle benötigten Dateien vorhanden sind. Ist das der Fall, startet die Applikation sofort. Stellt der Installer Probleme fest, versucht er eine Reparatur durch Installation der fehlenden oder defekten Software.
Konfigurationsmanagement mit Gruppenrichtlinien Gruppenrichtlinien erlauben die Festlegung von Eigenschaften der Desktops, Ausführungsrechte für Systemdienste und Anwendungen sowie verschiedene administrative Vorlagen für Anwendungsprogramme. Eine genauere Darstellung der Funktionsweise der Gruppenrichtlinien finden Sie in Abschnitt 6.7 Gruppenrichtlinien ab Seite 355 innerhalb der Vorstellung von Active Directory. Prinzipiell sind die Gruppenrichtlinien primär keine Sicherheitsfunktion, sondern dienen der Administration der Konfigurationen der Ar-
8.2 Benutzerprofile beitsumgebungen der Benutzer. IntelliMirror erlaubt die Übertragung komplexer Konfigurationen des Desktop durch die Speicherung in Gruppenrichtlinien im Active Directory. Administratoren können den Desktop und die Ausführungsmöglichkeiten bestimmter Benutzer oder Benutzergruppen detailliert festlegen. Einigen Benutzern können dabei mehr Rechte zum Eingriff in die Konfiguration gewährt werden als anderen. Dazu gehören: • Verhinderung des Zugriffs auf Systemordner • Sperren zur Ausführung oder Konfiguration bestimmter Systemprogramme, beispielsweise unveränderliche Voreinstellungen des Proxys im Internet Explorer Die Festlegung der Konfiguration der Oberfläche aus administrativer Sicht erfolgt mit Gruppenrichtlinien. Dagegen werden Benutzerprofile verwendet, um persönliche Konfigurationen der Benutzer ohne administrativen Eingriff auf Servern zu speichern. Damit wird die Möglichkeit geschaffen, dass auch diese Informationen an allen Arbeitsstationen zur Verfügung stehen, wo der Benutzer sich anmeldet. Zu den Einstellmöglichkeiten gehören: • Favoriten des Internet Explorers, Cookies, persönliche Adressbücher in Outlook Express • Bereitstellung von Daten für die Offline-Verwendung nach der Trennung vom Netzwerk (vor allem für Notebooks) • Einstellung des Desktops, Anzeige von Ordnern usw.
8.2
Benutzerprofile
Profile enthalten Informationen über die Einstellungen eines Benutzers. Dazu gehören Bildschirmeinstellungen, die Struktur des Startmenüs und die Einträge der Registrierung, die benutzerspezifisch sind.
8.2.1
Arbeitsweise von Benutzerprofilen
Benutzerprofile werden immer erstellt. Ohne weitere Eingriffe liegen diese aber auf dem Client. Werden sie auf dem Server gespeichert, stehen Sie dem Benutzer an jeder Arbeitsstation zur Verfügung, an der er sich anmeldet. Die gesamte Steuerung erfolgt über die Profile. Die Entscheidung, wo Profile gespeichert werden, wird in der Verwaltung der Profile getroffen.
411
412
8 Softwareverteilung und Remoteinstallation Bei Netzwerken ohne Active Directory wurde das bereits in Band I Windows 2000 im professionellen Einsatz beschrieben. Hier werden die Profile durch Angabe eines Pfades auf dem Server abgelegt. Meldet sich der Benutzer auf einer anderen Arbeitsstation an, wird das Profil übertragen. Gespeichert wird es in der Datei NTUSER.DAT.
Konfliktsituationen In der Praxis kann es dabei zu Konflikten kommen. Falls ein Benutzer sich anmeldet, Änderungen vornimmt und dann die Sitzung korrekt beendet, ist die Information auf dem Server aktuell. Bei der nächsten Anmeldung an einer anderen Arbeitsstation kann problemlos weitergearbeitet werden. Manchmal ist ein Server aber nicht verfügbar. Dann kann der Benutzer trotzdem weiterarbeiten, weil das Profil für den Zeitraum der Bearbeitung lokal vorliegt. Wenn er nun an einer anderen Arbeitsstation weiterarbeitet und dort ein Profil speichert, ist dieses aktueller als das zuvor lokal erzeugte. Beim nächsten Zugriff der Arbeitsstation auf das Netzwerk ist nun das Serverprofil aktueller als das lokale. Das lokale Profil enthält aber möglicherweise wichtige Änderungen an Daten, die nicht überschrieben werden dürfen. Behandlung der verschiedenen Fälle
Windows 2000 unterscheidet unterschiedlich aktuelle Fälle folgendermaßen: • Ist das Serverprofil aktueller, wird es automatisch und ohne weitere Rückfrage geladen und das lokale Profil wird zerstört. • Ist das lokale Profil aktueller, wird der Benutzer gefragt, welche Version benutzt werden soll. Vor allem der erste Fall ist kritisch, wenn Benutzer den Ausfall des Netzwerkes ignoriert haben und lokal weiterarbeiten, zugleich aber das Profil auf dem Server aktuell halten. Dies kommt in der Praxis häufiger vor. So arbeiten viele Benutzer mit MS Office und speichern Dateien scheinbar lokal ab. Tatsächlich liegen die Dateien im Verzeichnis Eigene Dateien und damit im Home-Pfad – diese Daten sind Bestandteil des Profils und werden auf den Server übertragen. Nun fällt die Netzwerkverbindung aus. Der Benutzer geht schnell zum Nachbarn und ruft über dessen Outlook wichtige E-Mails ab – dank der Serverprofile ist dies kein Problem. Jetzt ist das Serverprofil aktueller als das lokale. Am nächsten Morgen funktioniert das Netzwerk wieder. Mit dem Einschalten vergleicht der Server die Profile und stellt fest, dass das lokale Profil veraltet ist – nun werden die Daten kommentarlos überschrieben. Im Zweifelsfall ist die gesamte während des Netzwerkausfalls ausgeführte Arbeit verloren. Es ist für Benutzer kaum transparent, dass sie die Arbeit abbrechen müssen, wenn das Netzwerk nicht erreicht werden kann, obwohl die
8.2 Benutzerprofile
413
lokal installierten Programme offensichtlich störungsfrei weiterarbeiten. Mit IntelliMirror kann hier vorgebeugt werden. Dabei wird die Syn- Client-Sidechronisation mit Hilfe des Client-Side-Caching gesteuert. Praktisch Caching handelt es sich um eine Synchronisationsfunktion, die den oben beschriebenen unkontrollierten Datenverlust verhindern kann. Voraussetzung ist allerdings, dass der virtuelle Ordner Eigene Dateien verwendet wird. Außerhalb der Struktur liegende Dateien bleiben unberührt. Noch kritischer ist die Nutzung bestimmter Anwenderprogramme. In die Spiegelung des Profils werden die Registrierungsdaten des Benutzers mit einbezogen. Das betrifft den gesamten Zweig HKEY_CURRENT_USER. Wenn nun ein Programm installiert wird, sollte dieses ebenso unter Eigene Dateien abgelegt werden und seine Konfiguration unter HKEY_CURRENT_USER eintragen. Windows 2000-konforme Programme erledigen das. Windows 9x-Programme, die augenscheinlich problemlos laufen, kennen diesen Schlüssel aber nicht. Sie installieren sich deshalb maschinenabhängig. Das führt zu merkwürdigen Effekten. So bleiben beim Wechsel der Arbeitsstation die Einträge erhalten – die dahinter liegenden Programme sind jedoch verloren gegangen. Auch wenn Sie auf die Programmordner achten, müssen die Applikationen nicht funktionieren, weil die Registrierungseinträge nicht mehr vorhanden sind. Die Spiegelung der Daten ist schon ein Fortschritt, kommt jedoch nur Besonderheiten mit geeigneten Programmen zur Anwendung. Weitere Funktionen können Sie aber jederzeit benutzen: • Speicherung von Webseiten. Damit stehen Webseiten lokal zur Verfügung, die zuvor aus dem Internet geladen wurden. • Spiegelung freigegebener Ressourcen. Geben Benutzer Ressourcen frei, werden auch die Freigaben erhalten bleiben. Die Optionen für das Zwischenspeichern sind für den korrekten Einsatz von IntelliMirror unbedingt zu konfigurieren. Die Möglichkeiten umfassen: • Manuelles Zwischenspeichern von Dokumenten. Damit ist der Offline-Zugriff auf Dokumente möglich. • Automatisches Zwischenspeichern von Dokumenten. Alle lokal bearbeiteten Dokumenten werden lokal zwischengespeichert. • Automatisches Zwischenspeichern von Programmen. Hier werden sowohl Programme als auch Dokumente lokal gespeichert. Das ist auch sinnvoll, wenn Dokumente auf dem Server schreibgeschützt sind. Zurückschreiben können Benutzer ohne ausreichende Rechte die Daten natürlich nicht.
414
8 Softwareverteilung und Remoteinstallation Wichtig ist es, Benutzer darauf hinzuweisen, dass die Synchronisationsfunktionen auf Dateiebene arbeiten. Unterschiedliche Arbeitsstände innerhalb der Datei bleiben davon unberührt. Hier wird im Zweifelsfall die letzte Version genommen, auch wenn Teile der alten Datei neueren Datums sind. IntelliMirror ist eine Weiterentwicklung der serverbasierten Benutzerprofile. Bevor Sie sich intensiv damit auseinandersetzen, sollten Sie die Technik der serverbasierten Benutzerprofile verstanden haben. Zentraler Punkt in diesem System ist die Datei NTUSER.DAT. Neu ist aber auch das Einbeziehen der Gruppenrichtlinien.
8.2.2
Anwendungsfälle für Benutzerprofile
Auch wenn nur wenige Arbeitsstationen bedient werden sollen, kann IntelliMirror sinnvoll sein. Wenn Sie Arbeitsplätze mit hoher Ausfallsicherheit benötigen, müssen Sie im Falle eines Defekts nur neue Hardware mit einer Remote-Boot-fähigen Netzwerkkarte beschaffen. Die »Installation« des Betriebssystems erledigt dann IntelliMirror in wenigen Minuten. Abbildung 8.1: Ablauf der Remote Installation
System- und Benutzerdaten auf dem Server Soweit ist die Funktionalität relativ primitiv. Tatsächlich liegt für jeden Client ein komplettes Image auf dem Server, immerhin einige Hundert MByte groß, zuzüglich der Benutzerdaten. Bei durchschnittlichen Anwendungen sollten Sie mit mindestens 1 bis 2 GByte pro Arbeitsplatz rechnen. Der Server kann dadurch schnell eine Preisklasse größer ausfallen als ursprünglich geplant. Durch die Möglichkeit der Ordnerumleitung wird aber das aufwändige Kopieren der gesamten Daten auf den Client verhindert, wie es noch mit NT 4 notwendig war. Andererseits besteht diese Möglichkeit weiterhin.
8.3 Softwareverteilung Nur Benutzer- und Konfigurationsdaten auf dem Server Es gibt aber einen guten Kompromiss für solche Fälle, bei denen lokal bereits eine Standardversion von Windows 2000 Professional installiert ist und nur die benutzerspezifischen Einstellungen und Daten auf dem Server gehalten werden. Für den Benutzer unterscheidet sich dies nicht von der ersten Variante. Für den Administrator bedeutet das, dass immer noch eine vorinstallierte Arbeitsstation bereit gehalten oder im Notfall aufgebaut werden muss. Dafür ist der Verbrauch an Speicherplatz und Netzwerklast deutlich geringer.
8.3
Softwareverteilung
Eine der Aufgaben, die IntelliMirror nutzen, ist die Softwareverteilung. Dieses Thema ist sicher für viele Administratoren ein rotes Tuch, denn die Verteilung von Software im Netzwerk ist ein umfangreiches und riskantes Unterfangen. Üblicherweise wird dazu in größeren Netzwerken Systemmanagement-Software (SMS) eingesetzt, die jedoch selbst wieder anspruchsvolle Konfigurationsschritte erfordert. Außerdem ist die Softwareverteilung eng mit Betriebssystemfunktionen verknüpft, was nicht jede SMS ausreichend unterstützt. Alternativen für die Bereitstellung einheitlicher Desktops und gemein- Alternativen sam genutzter Software gibt es auch mit den Terminaldiensten. Diese werden in Abschnitt 10.3 Terminaldienste ab Seite 474 beschrieben. Hier muss man sich aber darüber im Klaren sein, dass eine effektive Nutzung durch eine größere Anzahl Terminals außerordentlich hohe Ansprüche an die Serverhardware und das Netzwerk stellt. Dies umfasst möglicherweise erhebliche Investitionen in die Infrastruktur, die nicht unbedingt mit einer äquivalenten Kosteneinsparung bei den Clients einhergehen. Die mit IntelliMirror bereitgestellte Softwareverteilung ist deshalb eine echte Alternative. So ist die Software im Betriebssystem integriert, sodass keine Zusatzkosten entstehen. Dadurch eignet sich der Einsatz auch für kleinere und mittlere Netzwerke, wo sich SMS bisher kaum rechnete. Für sehr große Netzwerke dürften professionelle SMS aber nicht überflüssig werden. Darauf wird am Ende des Abschnitts eingegangen.
8.3.1
Prinzipien der Softwareverteilung
Vor dem Einsatz der Softwareverteilung müssen Sie sich über die Grundprinzipien in Ihrem Netzwerk im Klaren sein. Es gibt drei Modi, mit denen die Software verteilt werden kann:
415
416
8 Softwareverteilung und Remoteinstallation • Zuweisung an Computer. Hier wird die Software auf einem bestimmten Computer installiert und steht normalerweise allen Benutzern zur Verfügung, die sich dort anmelden. Dies ist dann sinnvoll, wenn an diesem Computer bestimmte Hardware wie Scanner oder Drucker installiert ist, die softwareseitig unterstützt werden muss. • Zuweisung an Benutzer. Dieser Modus dürfte der Standardfall für Benutzer sein. Hier erzwingen Sie die Installation einer bestimmten Software auf dem Computer, auf dem sich der Benutzer anmeldet. • Veröffentlichung für Benutzer. Dieser Modus installiert Software ebenfalls für einen bestimmten Computer. Allerdings kann der Benutzer aus dem vom Administrator zur Verfügung gestellten Angebot selbstständig auswählen. So könnten Sie im Netzwerk beispielsweise eine alternative Präsentationssoftware anbieten, welche sich der Benutzer bei Bedarf zusätzlich zu einer vorinstallierten Lösung installieren kann.
Wie die Zuweisung funktioniert Bei der Zuweisung von Software läuft ein mehrstufiger Prozess ab. Die Einrichtung der Software erfolgt über die entsprechenden Gruppenrichtlinien. Je nach Zuordnung der Richtlinie erfolgt dann die Installation auf einem Computer oder für einen Benutzer. Dabei geschieht dies nicht sofort. Nach dem Anmelden wird der Installationswunsch registriert. Außerdem werden Grundelemente eingerichtet, dazu gehören die Programmgruppen, Verknüpfungen im Startmenü und die Dateizuordnungen in der Registrierung. Erst wenn der Benutzer die Anwendung tatsächlich verwendet – egal ob durch Auswahl des Programmsymbols oder Öffnen einer Datei des entsprechenden Typs, wird die Software installiert. Das mag lästig erscheinen, verhindert aber ein Zusammenbrechen des Netzwerks nach einer globalen Verteilung. Wenn Sie hundert Computer betreuen und eine neue Version von MS Office verteilen, würde diese am nächsten Morgen von allen hundert Anwendern gleichzeitig mit dem Hochfahren der Arbeitsplatzrechner angefordert werden. Bei der »Anforderung nach Verwendung« wird nur ein kleiner Teil der Anwender die Übertragung sofort auslösen. Benutzer können die Anwendung auch jederzeit wieder deinstallieren. Allerdings wird der Installationsprozess bei der nächsten Verwendung der Daten wieder gestartet – der Benutzer kann die Software nicht endgültig »loswerden«.
8.3 Softwareverteilung Die Zuweisung zu Computern oder Benutzern erfolgt ausschließlich Computer oder über die Gruppenrichtlinien. Allein durch die Wahl der Richtlinie Benutzer? wird das Verhalten bestimmt.
Wie die Veröffentlichung funktioniert Die Veröffentlichung arbeitet mehr im Hintergrund. Neue Software steht im Dialogfeld SOFTWARE in der Systemsteuerung zur Verfügung. Anwender können das Programm dann von dort aus installieren. Die Aufforderung dazu versenden Sie am besten per E-Mail. Benutzer können die Anwendung auch jederzeit wieder deinstallieren. Hier kann der Administrator nicht eingreifen.
8.3.2
Voraussetzungen für die Software-Installation
Bevor Sie die Software-Installation nutzen können, sind zwei Voraussetzungen zu prüfen: • Die Software muss Microsoft-Installer-Pakete liefern. Dies sind Konfigurationsdateien mit der Endung *.MSI. Nicht jede Software wird mit MSI-Paketen ausgeliefert. Dies ist aber Voraussetzung für das Windows 2000- Kompatibilitätslogo. Es ist deshalb damit zu rechnen, dass in Zukunft diese Pakete beiliegen. • Sie müssen Zugriff auf das Gruppenrichtlinien-Objekt des Domänencontrollers haben. Dies wird im Abschnitt 6.7 Gruppenrichtlinien ab Seite 355 ausführlich behandelt.
Überblick über den Windows Installer Der Windows Installer ist keine spezifisch für Windows 2000 entwickelte Komponente. Sie finden diese Technologie auch in Windows 9x/Me und Windows NT 4.0. Der Windows Installer ist kein einfaches Installationsprogramm, sondern ein Softwaremanagementsystem (SMS). Verwaltet werden außer der Installation auch das Löschen von Programmen oder Programmteilen und die Wiederherstellung defekter Programme. Die Installation von verschiedenen Quellen wird ebenfalls unterstützt. So spielt es keine Rolle, ob Sie als Quelle die originale Diskette oder eine Kopie auf der Festplatte nutzen.
417
418 Basisfunktionen
8 Softwareverteilung und Remoteinstallation Die Basisfunktionen umfassen: • Wiederherstellung des Ausgangszustandes, wenn die Installation misslingt. • Verhinderung von gegenseitigen Beeinflussungen von Programmen. Hier ist vor allem der Schutz vorhandener DLLs hervorzuheben, die bei früheren Installationsmethoden einfach durch neuere Versionen ersetzt wurden, obwohl sie von anderen Programmen in der vorliegenden Fassung benötigt wurden. Wenn sich Programme eine DLL teilen, wird verhindert, dass diese DLL bei der Deinstallation eines der Programme gelöscht wird. • Diagnose- und Reparaturfunktionen. Dazu gehört vor allem das Nachinstallieren von defekten Dateien, ohne dass der gesamte Installationsprozess wiederholt werden muss. • Der Deinstallationsprozess ist äußerst zuverlässig. Er erkennt alle nicht mehr benötigten Dateien und entfernt diese. Das betrifft auch die Registrierungseinträge. • Unterstützt wird die dynamische Nachinstallation von selten benötigten Programmfunktionen. Die Applikation kann diese Installation selbst anfordern, wenn der Benutzer eine Funktion wählt, die nicht installiert wurde. • Möglich ist auch die unbeaufsichtigte Installation. Mit Hilfe von Skripten kann ein vorkonfigurierter Ablauf genutzt werden.
Arbeitsweise des Windows Installers Der Windows Installer ist in zwei Teile getrennt: Ein clientseitiges Programm (MSIEXEC.EXE) und ein Installationsskript mit der Dateierweiterung MSI. Zusätzlich können noch Transformationsanweisungen in einer MSI-Datei existieren. Das Installationsprogramm führt dann alle Aufgaben der Installation aus: • Kopieren der Dateien • Generierung von Dialogen für Benutzereingaben • Einstellungen in der Registrierung • Verknüpfung auf dem Desktop • Einrichtung im Startmenü MSI-Paket
Das MSI-Paket ist ein primitives relationales Datenbankformat. Diese Datenbank enthält alle Installations- und Deinstallationsinformationen. Es ist normalerweise Aufgabe des Herstellers der Software, das MSI-Paket zu erzeugen. Für das begehrte Windows 2000-Kompatibili-
8.3 Softwareverteilung tätslogo ist es eine Voraussetzung, MSI-Dateien mitzuliefern. Da nicht alle Hersteller dieses Logo heute schon besitzen, deren Software aber unter Windows 2000 durchaus eingesetzt werden kann, ist die Verwendung von MSI nicht immer gegeben. Dies ist aber eine Voraussetzung für die Softwareverteilung mit IntelliMirror.
Software von Drittherstellern Glücklicherweise gibt es Software von Drittherstellern, die das erledigt. Die Installation können Sie sofort vornehmen – eine interessante Version finden Sie auf der Windows 2000 Server-CD unter den ThirdParty-Modulen. Diese Software wird nachfolgend beschrieben.
8.3.3
VERITAS WinInstall LE
Mit Hilfe von VERITAS WinInstall LE können Sie Windows InstallerPakete erstellen und diese Pakete dann zur Softwareverteilung mit IntelliMirror verwenden. Zu dieser Software gibt es eine Vollversion – WinInstall 2000 –, die auch erweiterte Systemmanagementaufgaben übernimmt. Sie finden dazu mehr Informationen bei VERITAS: http://www.veritas.com/de
Einführung Typische Fragen, die am Anfang eines Installationsprozesses beantwortet sein müssen, sind folgende: • Welche Applikation wird installiert? • Welche Dateien müssen kopiert oder gelöscht werden? • Welche Verknüpfungen mit Dateierweiterung sind zu erstellen und gibt es Kommandozeilen- oder Startparameter? • Welche Einträge müssen in der Registrierung gemacht werden? • Welche Windows 2000-Version wird benötigt? • Wie wird Windows 2000 kontrolliert? • Gibt es Einträge in INI-Dateien? Die folgende Dokumentation zeigt Ihnen, wie Sie MSI-Dateien erstellen und damit die Voraussetzungen für die Softwareverteilung mit IntelliMirror schaffen.
419
420
8 Softwareverteilung und Remoteinstallation Voraussetzungen Die folgende Darstellung benötigt Windows 2000 Server und Active Directory. Sie müssen aber nicht an der Konsole des Servers arbeiten, es eignet sich auch eine Windows 2000 Professional-Station im lokalen Netz. Bei der Beschreibung wird von einer derartigen Konfiguration ausgegangen. Auf einer Workstation wird das Paket erstellt und dann über den Server an eine andere Maschine im selben Netzwerk verteilt. Für die Software werden außerdem neben den Installationsdateien des zu verteilenden Programms 15 MB benötigt.
Discover Das Hauptprogramm ist das Programm DISCOVER. Sie starten das Programm mit DISCOZ.EXE aus dem Verzeichnis WININSTALL. DISCOVER benötigt drei Schritte, um den Installationsprozess zu erkennen: 1.
Ein Schnappschuss des Referenz-PC vor der Installation
2.
Der Ablauf der Installation in exakt der gewünschten Form
3.
Ein Schappschuss des Referenz-PC nach der Installation
Abbildung 8.2: Struktur eines Netzwerks zur Softwareverteilung
Das Programm vergleicht dann die beiden Schnappschüsse und erkennt alle Unterschiede. Mit diesen Informationen wird das InstallerPaket erzeugt. Sie können dieses Paket dann noch mit Hilfe des mitgelieferten Editors nachträglich bearbeiten. Bevor der Ablauf anhand eines Beispiels gezeigt wird, finden Sie Hinweise auf typische Probleme.
8.3 Softwareverteilung
421
Typische Probleme Um Probleme von vornherein zu vermeiden, achten Sie auf folgende Hinweise: • Lassen Sie die Installation auf einem reinen Referenz-PC ablaufen, nicht auf dem Computer, wo die VERITAS Konsole läuft. • Erzeugen Sie für jede Applikation ein eigenes Installationspaket. • Wenn Sie ein Paket auf dem Referenz-PC installiert und das Paket erstellt haben, löschen Sie es komplett und stellen den Ausgangszustand wieder her – jede Aktion sollte mit einem unberührten Windows 2000 starten. Den geringsten Aufwand haben Sie bei der Wiederherstellung einer Windows 2000-Ausgangsinstallation, wenn Sie mit einer Disc Imageging-Software arbeiten (wie beispielsweise Norton Ghost). Sie brauchen dabei nur einmal nach einer ersten Installation von Windows 2000 das Disc Image zu erstellen und können es ohne großen Aufwand auf den Referenz-PC jeweils wieder aufspielen.
Hinweise zur Auswahl des Referenz-PC Der Referenz-PC muss nicht besonders leistungsfähig sein. Immerhin soll die Software nur installiert werden, nicht dort ablaufen. Die Leistungsfähigkeit hat nichts mit den später verwendeten Arbeitsstationen zu tun. Leider steht in der Praxis nicht immer ein völlig unbenutzter Computer zur Verfügung. Bei der Erstellung mehrerer MSI-Pakete werden Sie sich vielleicht wünschen, sogar zwei oder drei ReferenzPC zu haben, um diese parallel zu verwenden. Es können deshalb auch Computer verwendet werden, die nicht völlig »rein« sind. Daher wird zwischen zwei Typen von Referenz-Computern unterschieden: »reine« und »saubere«. Als rein gilt ein Computer, der ausschließlich folgende Konfiguration Was ist »rein«? aufweist und auf dem sonst keine andere Software läuft: • Das Betriebssystem • Das aktuelle Service Pack Der Referenz-Computer muss über das Netzwerk auf Discover zugreifen können, die VERITAS Discover Console darf dort aber nicht installiert sein. Außerdem achten Sie auf Folgendes: • Verwenden Sie keine Laufwerkzuweisung zu \WININSTALL. Ansonsten wird die Existenz der Zuweisung in die Installationsanweisung mit einbezogen.
422
8 Softwareverteilung und Remoteinstallation • Starten Sie DISCOZ.EXE über START | AUSFÜHREN NETZWERKUMGEBUNG.
oder die
Warum ist das so wichtig?
Das Discover-Programm entnimmt die Informationen über die Installation aus den Veränderungen am Referenz-Computer. Damit werden aber möglicherweise auch Informationen anderer Programme mitgelesen. Die Tatsache, dass auch auf der Zielmaschine schon andere Programme laufen, stört hier nicht. Davon können Sie ohnehin ausgehen, weil Sie ja meist mehrere Programme verteilen und das zweite dann auf dem ersten aufsetzt. Umgekehrt kann dieser Zustand aber nicht als Norm angesehen werden. Eine andere Maschine im Netzwerk hat vielleicht tatsächlich kein Programm installiert. Wenn Discover nun aber dieses andere Programm voraussetzt, wird es bei frisch installierten Computern fehlende Dateien und Registrierungseinträge anmerken.
Nutzung einer »sauberen« Maschine
Wenn Sie keinen »reinen« Computer beschaffen können, versuchen Sie es mit einem »sauberen«. Dieser wird folgendermaßen definiert: • Stellen Sie sicher, dass keine der Komponenten, die Sie installieren, vor der Installation schon vorhanden ist. Das gilt insbesondere für DLLs. Wenn eine DLL schon existiert, wird sie nicht als »Neuigkeit« in die Installationsanweisung mit einbezogen und fehlt dann auf der Zielmaschine. • Beenden Sie alle Anti-Virus-Programme. • Beenden Sie alle Dienste und Programme, die Informationen in temporäre Ordner schreiben. • Starten Sie keine E-Mail- oder Textverarbeitungsprogramme. • Lassen Sie den Papierkorb unberührt. • Stoppen Sie Bildschirmschoner, Taskplaner oder andere Programme, die im Hintergrund ablaufen. Zusammenfassend kann man davon ausgehen, dass die Installation gelingt, wenn keine Dienste, Programme oder Prozesse von Anwenderprogrammen laufen. Der Zustand der Festplatte, also bereits früher installierte, fremde Programme, stören nicht unbedingt. Kritisch ist allerdings die Verwendung gemeinsamer DLLs. Hier ist letztendlich ein wenig Forschungsarbeit angesagt; spätestens, wenn die Installation misslingt.
Ein Paket für jede Installation? Eine große Versuchung stellt auch die Zusammenfassung mehrerer Programme zu einem großen Paket dar. Wenn alle Arbeitsstationen
8.3 Softwareverteilung mit denselben Programmen beliefert werden sollen, wäre es naheliegend, ein Riesenpaket zu bauen. Tun Sie das nicht! Wenn Sie ein einzelnes Programm aktualisieren, regenerieren, reparieren oder löschen möchten, können Sie das nicht, wenn Sie nur ein Paket erzeugt haben. Spätere Versionen einzelner Softwarebestandteile haben möglicherweise Konflikte mit bereits installierten Modulen. Wenn Sie nur ein Paket haben, können Sie das nicht wieder »aufschnüren«. Eventuell läuft dann das gesamte Paket nicht mehr oder kann nicht aktualisiert werden. Nicht zuletzt führt die Verteilung von riesigen Pakten zu hoher Netzwerklast, die zudem bei jeder Änderung noch häufiger auftritt.
Den Computer zwischen den Paketen reinigen Da Sie wahrscheinlich mehrere Pakete erstellen, müssen Sie den Referenz-Computer jedes Mal wieder in den Urzustand versetzen. Idealerweise arbeiten Sie mit zwei Computern. Auf einem wird ein Paket installiert, auf dem anderen wird das letzte Paket deinstalliert. Nutzen Sie alte 200-MHz-Maschinen. Für Installationsabläufe reichen diese völlig aus.
Installation Die praktische Installation wird in Abschnitt 15.2.1 Ablauf der Installation mit VERITAS LE ab Seite 902 beschrieben.
8.3.4
Einrichten der Gruppenrichtlinie
Die vom Softwarelieferanten gelieferten oder mit VERITAS LE erzeugten MSI-Pakete können nun zur Verteilung im AD bereit gestellt werden. Wenn Sie das erste Mal mit einem Paket arbeiten, sollten die Richtlinien konfiguriert werden. Diese Standardeinstellungen gelten dann für alle folgenden Pakete, können aber im Detail geändert werden. Die Grundlagen zu Gruppenrichtlinien finden Sie in Abschnitt 6.7 Gruppenrichtlinien ab Seite 355. Die praktische Umsetzung der Einrichtung der Richtlinien für die Softwareverteilung wird in Abschnitt 12.9 Computerkonfiguration mit Richtlinien ab Seite 745 beschrieben.
8.3.5
Clientinstallation mit IntelliMirror
Wurde eine Software einem Client – egal ob einem Computer oder einem Benutzer – zugeordnet, wird diese Richtlinie nach Ablauf der
423
424
8 Softwareverteilung und Remoteinstallation Aktualisierungszeit oder beim nächsten Anmelden aktiv. Je nach Typ des Pakets verhält sich der Client unterschiedlich. Zugewiesene Pakete werden installiert, wenn der Benutzer eine entsprechende Datei öffnet oder das Symbol im Menü anwählt. Veröffentlichte Pakete stehen im Programm Software bereit.
Installation zugewiesener Applikationen Hier sind für den Benutzer normalerweise keine weiteren Schritte notwendig. Die Applikation wird installiert, wenn der Eintrag im Menü aktiviert oder – falls dies gestattet ist – eine Datei mit der entsprechenden Erweiterung geöffnet wird. Der Benutzer kann zwar - entsprechende Rechte vorausgesetzt - das Programm wieder deinstallieren, bei der erneuten Aktivierung wird es jedoch wieder installiert.
8.4 Windows 2000 Server
Die Remoteinstallationsdienste
Die Remoteinstallationsdienste (Remote Installations Services – RIS) sind Bestandteil der Serverfamilie von Windows 2000 (Server und Advanced Server). In diesem Abschnitt werden diese vorgestellt und die Implementierung einer einfachen RIS-Konfiguration praktisch gezeigt. Dieser Abschnitt erklärt die Installation und Konfiguration der Remoteinstallationsdienste so weit, dass es Ihnen möglich sein wird, diese auf einem bestehenden Windows 2000 Server in einem Active Directory zu implementieren und für die einfache Installation von Windows 2000 Professional über das Netzwerk zu nutzen.
8.4.1
Einleitende Überlegungen
Wie jedem Installationsprozess muss auch der Nutzung von RIS eine sorgfältig Planung vorausgehen. Dazu gehört die Frage, ob die mitgelieferte Software ausreicht oder solche von Drittanbietern hinzugekauft werden muss. Generell gilt, dass RIS nicht so umfangreich und komfortabel ist wie die Software anderer Hersteller. Allerdings kosten Installationspakete anderer Anbieter viel Geld. Gerade für mittlere Netze bietet sich RIS an. Hier wären die Kosten kommerzieller Software zu hoch und der Aufwand einer händischen Verteilung zu groß. Die Grundprinzipien der Verteilung ähneln sich bei allen Produkten und beim RIS. Damit ist RIS auch ein erster Schritt, um sich mit den Möglichkeiten der Ferninstallation vertraut zu machen. Wenn Sie dann Tausende Computer installieren müssen, fällt die Begründung für ein anderes Paket leichter.
8.4 Die Remoteinstallationsdienste
425
Bestandsaufnahme Die unbeaufsichtigte Installation von Computern ist zwar bequem, aber keineswegs problemlos. So müssen Sie sicherstellen, die Zielhardware genau zu kennen. Auf falsche Treiber, inkompatible Hardware oder fehlende Ressourcen kann kein Installationsprogramm vernünftig reagieren, wenn es ohne Benutzerschnittstelle abläuft. Werfen Sie deshalb zuerst einen Blick in die HCL (Hardware Compatibility List), die unter der folgenden Adresse zu finden ist: http://www.microsoft.com/hcl
Weitergehende Hinweise zur HCL finden Sie auch im Abschnitt Die Hardware-Kompatibilitätsliste ab Seite 433. Wenn Ihre Systeme oder die betreffenden Komponenten nicht in der HCL zu finden sind, lohnt sich ein Test, der allerdings auch die Installation typischer Anwendungsprogramme umfassen sollte. Bequem ist außerdem die Nutzung der folgenden Adresse, wo Sie gezielt nach Gerätenamen und Herstellern suchen können: http://www.microsoft.com/windows2000/upgrade/compat/
Abbildung 8.3: Ergebnis einer Suche nach kompatiblen Geräten
Wenn Sie alte Geräte haben, die prinzipiell kompatibel sind, müssen noch einige zusätzliche Fragen geklärt werden:
426
8 Softwareverteilung und Remoteinstallation • Gibt es ein aktuelleres BIOS? Es ist immer zu empfehlen, das neueste BIOS zu verwenden. Manche systemnahe Funktion kann mit alten Versionen nicht arbeiten. • Ist der Computer ACPI-fähig? ACPI (Advanced Configuration and Power Interface) ist nicht zwingend erforderlich, das Vorhandensein wirkt aber auf manche Funktionen. • Ist genug Festplattenspeicher vorhanden? Das Betriebssystem Windows 2000 Professional benötigt etwa 800 MB freien Festplattenspeicher. • Eignet sich die Hardware überhaupt für Windows 2000? Nach unserer Erfahrung sollten Sie nicht auf Windows 2000 aktualisieren, wenn die folgenden Leistungsmerkmale nicht erfüllt werden: -
Mindestens 300 MHz Pentium II
-
Mindestens 128 MByte RAM
-
Mindestens 2 GByte freier Platz auf der Festplatte
8.4.2 Neuinstallation über das Netzwerk
Das Grundprinzip
Über die Remoteinstallationsdienste können Sie Windows 2000 Professional auf einem neuen Computer über das Netzwerk installieren. Die Hardwareanforderungen sind hinsichtlich der Speichermedien bei Verfügbarkeit einer bootfähigen Netzwerkkarte minimal. So können gerade in Unternehmen die Netzwerk-Arbeitsplatzcomputer ohne Floppy und CD-ROM-Laufwerk ausgestattet werden. Der Clientcomputer benötigt für den Installationsprozess kein eigenes Betriebssystem. Befinden sich Daten auf der Festplatte, werden diese durch das Setup-Programm allerdings gelöscht.
Start über Netzwerkkarte oder Diskette
Beim Startvorgang des Clients über eine bootfähige Netzwerkkarte oder eine spezielle RIS-Diskette wird über DHCP eine IP-Adresse vom Windows 2000 DHCP-Server bezogen (welcher nicht mit dem RISServer identisch sein muss) und die Verbindung mit dem RIS-Server hergestellt.
Anmeldung eines berechtigten Benutzers
Nach der Anmeldung eines für die Installation berechtigten Benutzers im Active Directory kann die Installation beginnen. Die Bootfestplatte des Clientcomputers wird neu eingerichtet und alle Installationsdateien werden vom RIS-Server bezogen.
8.4 Die Remoteinstallationsdienste
427
Nach der Installation steht ein neu eingerichteter Arbeitsplatzcomputer mit Windows 2000 Professional zur Verfügung. Für die benutzerspezifischen Anpassungen des Installationsprozesses kann der RISServer weitreichend konfiguriert werden. Der Installationsprozess selbst kann so automatisiert werden, beziehungsweise es können beispielsweise weitere Anwendungsprogramme mit installiert werden.
8.4.3
Technische Voraussetzungen
Die folgenden Voraussetzungen müssen serverseitig erfüllt sein, damit Serverseitige Sie die Remoteinstallationsdienste für die Einrichtung von neuen Voraussetzungen Clientcomputern über das Netzwerk nutzen können: • DNS-Server
DNS-Server
Die Remoteinstallationsdienste benötigen einen verfügbaren DNSServer (siehe auch Abschnitt 5.6 Domain Name System (DNS) ab Seite 185) für die Lokalisierung des Active Directory. • DHCP-Server
DHCP-Server
Für den Installationsprozess wird ein aktiver DHCP-Server (siehe auch Abschnitt 5.5.2 IP-Adressvergabe mit DHCP ab Seite 178) benötigt. Dieser weist den Clientcomputern während des Bootprozesses die entsprechende IP-Adresse zu. • Active Directory
Active Directory
Die Remoteinstallationsdienste müssen auf einem Windows 2000 Server installiert sein, welcher Zugriff zum Active Directory hat. Der RIS-Server kann ein Domänencontroller oder einfach ein Mitglied einer Domäne im Active Directory sein. • Speicherplatz für Remoteinstallationsdateien Auf dem RIS-Server muss neben dem Systemdatenträger ein weiterer ausreichend groß dimensionierter Datenträger existieren, der die Remoteinstallationsdateien beherbergt. Eine Speicherung dieser Daten auf dem Systemdatenträger ist grundsätzlich nicht möglich, auch wenn dort vielleicht noch genug Platz vorhanden ist.
Speicherplatz für RIS-Dateien
In einem lokalen Netzwerk mit nur einem Windows 2000 Server kann dieser die Funktionen des DNS-, DHCP- und RIS-Servers in sich vereinigen. Für den Clientcomputer sollten die folgenden Voraussetzungen erfüllt Clientseitige Voraussetzungen sein, um auf einen RIS-Server zugreifen zu können:
428 Netzwerkkarte
8 Softwareverteilung und Remoteinstallation • Netzwerkkarte Für den Bootprozess wird eine PXE-kompatible Netzwerkkarte benötigt, die über ein entsprechendes BIOS zum Booten über das Netzwerk verfügt. Dazu muss das BIOS des Computers explizit den Netzwerkbootprozess unterstützen. Je nach Hersteller stellen Sie im BIOS-Setup die Startsequenz entsprechend auf Netzwerkboot ein.
Floppy-Laufwerk Notlösung: Floppy
Festplatte
• Floppy-Laufwerk Haben Sie keine entsprechende Netzwerkkarte, können Sie über die Remoteinstallationsdienste eine spezielle Bootdiskette erstellen, welche eine Reihe der wichtigsten Netzwerkkarten unterstützt. • Festplatte Der Clientcomputer muss über eine ausreichend dimensionierte Festplatte verfügen, welche durch das Windows 2000-Setup neu eingerichtet und formatiert wird. Dabei spielt es keine Rolle, ob es sich um eine IDE- oder eine SCSI-Festplatte handelt. Prüfen Sie vor einer Installation über die Remoteinstallationsdienste, ob sich noch wichtige Daten auf der Festplatte des Clientcomputers befinden. Die Boot- und Systemfestplatte wird durch das Setup grundsätzlich neu eingerichtet und formatiert. Die praktische Umsetzung der Installation wird in Abschnitt 15.1.6 Starten der RIS-Installation über das Netzwerk ab Seite 900 behandelt.
8.4 Die Remoteinstallationsdienste
Teil III – Installation und Administration
Installation und Administration
429
8.4 Die Remoteinstallationsdienste
Kapitel 9 Installation
9.1
Vorüberlegungen................................................ 433
9.2
Inhalt der Installations-CDs............................. 442
9.3
Installation durchführen................................... 446
9.4
Installation der Verwaltungsprogramme ...... 453
431
432
8 Softwareverteilung und Remoteinstallation
9.1 Vorüberlegungen
433
9 Installation In diesem Kapitel werden die wichtigsten Schritte für die Installation eines Windows 2000 Serversystems beschrieben. Dank ausgefeilter Assistenten und einer recht zuverlässigen automatisierten Hardwareerkennung stellt dieser Vorgang auch keine allzu große Herausforderung an den Administrator mehr dar. Das grundsätzliche Vorgehen ähnelt dem bei Windows NT 4. Es wurde in vielen Bereichen im Detail verbessert und verlangt unter dem Strich weniger manuelle Eingriffe.
9.1
Vorüberlegungen
Bevor Sie das erste Mal ein Windows 2000 Serversystem installieren, sollten Sie die in diesem und den nächsten Abschnitten dargelegten Ausführungen lesen und in Ihre Planung mit einbeziehen. Wir haben mittlerweile eine Reihe von unterschiedlichsten Installationen durchgeführt und möchten hier die dabei gemachten Erfahrungen weitervermitteln.
9.1.1
Einsetzbare Hardware
Die von Microsoft angegebenen Mindest-Hardwarevoraussetzungen (siehe Abschnitt 2.1.2 Hardwareanforderungen auf Seite 38) geben nur die Eckwerte an, mit denen ein Windows 2000 Serversystem überhaupt zum Laufen kommt. Wichtiger als die reine Prozessorleistung oder die Hauptspeichergröße ist bei einem Serversystem die Voraussetzung, dass die Gesamtperformance und die Ressourcen an Massenspeichern mit einer definierten Zuverlässigkeit zur Verfügung stehen.
Die Hardware-Kompatibilitätsliste Das primäre Interesse von Microsoft ist natürlich die möglichst breite Unterstützung der am Markt verfügbaren Hardware-Komponenten. Eine Liste der generell unterstützten Geräte, die so genannte Hardware-Kompatibilitätsliste (HCL) wird regelmäßig von Microsoft selbst gepflegt und ist unter folgender Adresse im Internet einsehbar: www.microsoft.com/hcl
Hier können Sie nach allen wesentlichen Produktgruppen suchen und bekommen zuverlässige Informationen, für welche konkreten Geräte Microsoft ein zuverlässiges Arbeiten unter Windows 2000 zusagt.
HCL im Internet
434
9 Installation
Abbildung 9.1: HCL im Internet
In dieser Liste finden Sie zu den aktuellen Microsoft-Betriebssystemen Windows 98, ME, NT 4.0 und 2000 je Gerät Informationen zum Stand der Treiberentwicklung. Die wichtigsten dabei verwendeten Icons sind folgende: HCL-Icons
Die Komponente erfüllt alle Anforderungen für das Microsoft Windows Logo-Programm. ...wie zuvor, es stehen Treiber für das Gerät zum Download zur Verfügung. ...wie zuvor, es befinden sich Treiber auf der Installations-CD des Betriebssystems. Die Komponente erfüllt nicht alle Anforderungen des Microsoft Windows-Logo-Programms. Die Microsoft-Entwickler halten es allerdings für kompatibel und es findet sich ein Treiber auf der Betriebssystem-CD. Zusätzlich gibt es noch weitere Icons, welche beispielsweise BetaVersionen von Treiber kennzeichnen. Genaue Erklärungen dazu finden Sie auf der HCL-Internetseite von Microsoft.
HCL auf CD
Die HCL finden Sie ebenfalls auf der Installations-CD zu Windows 2000 Server (siehe auch Abschnitt 9.2 Inhalt der Installations-CDs ab Seite 442). Aktueller ist sie allerdings im Internet.
Komponente fehlt in der HCL
Wenn Sie für eine bestimmte Komponente keinen Eintrag in der Hardware-Kompatibilitätsliste finden, bedeutet das noch nicht, dass
9.1 Vorüberlegungen
435
diese nicht unter Windows 2000 einsetzbar ist. Sie sollten dann über den Hersteller Treiber sowie Aussagen zur Kompatibilität erhalten. Nicht empfehlenswert ist allerdings die Installation von Komponen- Nicht empfehlensten, welche nur über angepasste Windows 98-Treiber installierbar wert: WDM sind. Eigentlich sollten nach dem WDM (Windows Driver Model) entwickelte Treiber auf beiden Plattformen laufen. Allerdings hat sich WDM in der Praxis nicht durchsetzen können – nicht zuletzt, weil es immer wieder Probleme mit derart eingebundenen Geräten gab. Da ein ganz wesentliches Kriterium eines Serversystems die Zuverläs- Zuverlässigkeit sigkeit ist, sollten Sie besser auf alle Experimente mit exotischer oder steht im Vordernicht vollständig kompatibler Hardware verzichten. Kann bei einer grund Arbeitsstation ein Zusatznutzen einer bestimmten nicht hundertprozentig kompatiblen Komponente mit dem Preis eines möglichen Absturzes ab und zu vielleicht hingenommen werden, ist das bei einem Server sicher nicht akzeptabel. Das ist auch ein Grund, warum wir inzwischen allen unseren Kunden Spezielle Servergenerell empfehlen, nur spezielle Serversysteme namhafter Hersteller hardware einsetzen einzusetzen. Von »Bastellösungen« sollten Sie, wenn Sie eine leistungsfähige und stabile Konfiguration benötigen, besser absehen.
Digitale Signaturen Um die Diskussion um die Kompatibilität von Komponenten für Garantie für Windows 2000 etwas einzudämmen, hat Microsoft bei diesem Be- problemlose triebssystem erstmals Digitale Signaturen von Treibern eingeführt. Bei Treiber der Installation eines Treibers wird dies geprüft und im Falle einer nicht vorhandenen oder ungültigen Signatur eine entsprechende Warnmeldung ausgegeben. Die Signaturen selbst sind durch digitale Zertifikate geschützt und können auf keinen Fall ohne Weiteres gefälscht werden. Die in den vergangenen Monaten gemachten Erfahrungen mit Windows 2000 haben immer wieder gezeigt, dass für Instabilitäten in erster Linie fehlerhafte Treiber verantwortlich gemacht werden konnten. Aus dieser Sicht raten wir von der Verwendung nicht signierter Treiber eher ab. Weitere Informationen zu digitalen Signaturen und ihrer Überprüfung finden Sie in Abschnitt 17.1.4 Bedeutung digitaler Signaturen für Treiber ab Seite 975.
436
9 Installation Generelle Anforderungen an die Server-Hardware
Massenspeicher und Verarbeitungsleistung
Je nach Haupteinsatzgebiet des Serversystems werden in erster Linie eine hohe Performance der Massenspeichersysteme sowie ein leistungsfähiges Hauptprozessor-Hauptspeichersystem benötigt. Die Grafikleistung ist vernachlässigbar. So können Sie bedenkenlos eine normale PCI-VGA-Karte einsetzen, welche auch keine besonderen 3DFähigkeiten mitbringen muss. Als Grafiktreiber sollten Sie besser einen Windows 2000-eigenen einsetzen oder einen, der über eine digitale Signatur verfügt (siehe vorhergehenden Abschnitt).
Symmetrisches Multi-Processing
Für eine Erhöhung der Rechenleistung lassen sich bis zu vier (Server) oder acht CPUs (Advanced Server) zusammenschalten. Entsprechende Hardware vorausgesetzt können Sie dadurch die Menge an parallel abarbeitbaren Prozessen erhöhen. Windows 2000 unterstützt hierbei das Symmetrische Multi-Processing (SMP), bei dem nur identische CPUs mit der gleichen Taktfrequenz einsetzbar sind.
Hauptspeicher
Neben der reinen Rechenleistung ist natürlich auch die Größe und Performance des Hauptspeichers von entscheidender Bedeutung. Hier gilt ausnahmsweise der Spruch: Viel hilft viel. Je weniger vom kostbaren RAM zur Verfügung steht, umso mehr wird die (viel langsamere) Auslagerungsdatei bemüht.
Massenspeichersystem
Ein leistungsfähiges Massenspeichersystem für größere Serversysteme wird heute immer noch mit speziellen Hardware-RAID-Lösungen von Drittherstellern realisiert. Diese verlangen in der Regel eine Ansteuerung über einen SCSI-Controller und können dem Betriebssystem wie eine einzige große Festplatte erscheinen. Die Einrichtung dieser Systeme wird dann auch weniger über die Windows 2000 eigenen Tools als vielmehr über Hersteller-spezifische Software erfolgen. Aber Windows 2000 unterstützt für den Aufbau kleinerer Systeme auch selbst die wichtigsten Technologien, damit Sie eine optimale Performance in diesem Bereich erreichen können. So lassen sich SCSISysteme ebenso einsetzen wie Ultra-ATA-Geräte, welche bei der Ansteuerung weniger Festplatten den SCSI-Geräten nicht unbedingt unterlegen sein müssen. Für eine Erhöhung der Performance können Sie mehrere Festplatten zusammmenfassen oder mit gespiegelten Datenträgern für eine hohe Fehlertoleranz sorgen. Eine ausführliche Darstellung der in Windows 2000 gebotenen Funktionsmerkmale finden Sie dazu in Kapitel 3 Massenspeicher ab Seite 53.
9.1.2
Upgrade-Möglichkeiten
Ein direktes Upgrade ist generell nur von diesen älteren Windows NTServerversionen möglich:
9.1 Vorüberlegungen
437
• Windows NT 3.51 Server (ohne Citrix-Software) • Windows NT 4.0 Server • Windows NT 4.0 Terminal Server Sollten Sie noch Windows NT 3.1 im Einsatz haben, müssten Sie zunächst ein Upgrade auf Window NT 3.51 oder 4.0 vornehmen. Im laufenden Betrieb empfiehlt sich ein Upgrade eines Serversystems allerdings eher nicht. Sie sollten besser einen neuen Windows 2000 Server installieren und parallel zum bisherigen NT-Server betreiben. Weitere Hinweise finden Sie dazu auch in Abschnitt 6.8 Migration von Windows NT 4 ab Seite 372.
9.1.3
Zum Vorgehen bei einer Neuinstallation
Windows 2000 stellt sicherlich ein sehr leistungsfähiges und flexibel einsetzbares Netzwerkbetriebssystem dar. Um die volle gebotene Leistung auszuschöpfen, sollte allerdings der Planung der Installation besondere Aufmerksamkeit gewidmet werden. Die wichtigsten Aspekte, die bei der Erstinstallation eines Windows 2000 Serversystems zu beachten sind, werden in diesem Abschnitt dargelegt.
Herstellerspezifischer HAL (Hardware Abstraction Layer) Verwenden Sie Hardware eines Herstellers, für die ein spezieller HAL benötigt wird, vergewissern Sie sich, dass dieser auch in der HCL (siehe auch Abschnitt Die Hardware-Kompatibilitätsliste ab Seite 433) geführt wird und voll kompatibel mit Windows 2000 ist. Während der Installation sollten Sie die Windows 2000-Installationsdateien des HALs dann auf einer Diskette bereithalten.
Einteilung der Festplatten Die Partitionierung der eingesetzten Festplatten sollte vor der Installation genau geplant werden, da sonst mögliche Leistungsreserven verschenkt werden. Alle relevanten Grundlagen finden Sie dazu in Kapitel 3 Massenspeicher ab Seite 53. Beim Einsatz nur einer Festplatte im Server sollten Sie die Einteilung Eine Festplatte im so vornehmen, dass Sie zunächst nur eine einzige Boot- und System- Server partition einrichten, welche für die Aufnahme von Windows 2000 Server ausreichend groß sein sollte. Im Normalfall, wenn nicht noch aufwändige Serverapplikationen installiert werden sollen, reicht ein Bereich von ca. 2 bis 4 GB dafür aus. Den verbleibenden Rest sollten Sie noch nicht partitionieren. Nach erfolgter Installation und dem ersten
438
9 Installation richtigen Start von Windows 2000 sollten Sie dann die Festplatte zunächst in eine dynamische Festplatte umwandeln und dann im freien Rest neue dynamische Datenträger anlegen. Nur solche Datenträger können später einmal dynamisch erweitert werden. Beachten Sie dazu auch die Hinweise in Abschnitt 3.3 Dynamische Festplatten ab Seite 69.
Position der Auslagerungsdatei
In erster Linie sollte ein Serversystem insbesondere dann, wenn viele Prozesse gleichzeitig laufen sollen, über ausreichend Hauptspeicher verfügen. Trotzdem sollte der Auslagerungsdatei Aufmerksamkeit geschenkt werden. Die beste Performance erreichen Sie, wenn Sie diese auf der schnellsten Festplatte im System beziehungsweise im Bereich der höchsten Performance der Platte anlegen. Dieser Bereich befindet sich in der Regel am physischen Anfang einer Festplatte. So kann es sich lohnen, für die Auslagerungsdatei eine eigene Partition am Beginn einer Festplatte einzurichten. Eine Größe von maximal einem halben bis ein GB sollte dabei für die meisten Fälle ausreichen. Eine empfohlene Einteilung einer Serverfestplatte ist in Abbildung 9.2 dargestellt. Dabei wird davon ausgegangen, dass wirklich nur eine System- und Bootfestplatte benötigt wird und auch später keine Spiegelung hinzugefügt werden soll. Dies ist zwar jederzeit möglich, jedoch sollten Sie dann die entsprechenden Hinweise im Text weiter unten berücksichtigen.
Abbildung 9.2: Mögliche Einteilung einer Serverfestplatte
Einrichtung von gespiegelten Datenträgern
Sie können Datenträger auf dynamischen Festplatten auf einer weiteren Festplatte spiegeln, um eine höhere Ausfallsicherheit zur erreichen. Das betrifft insbesondere auch die System- und Bootdatenträger von Windows 2000. Weitergehende Hinweise dazu finden Sie in Abschnitt 3.4.2 Gespiegelte Datenträger ab Seite 80. Eine Spiegelung von Datenträgern können Sie erst nach vollständiger Installation von Windows 2000 und der Umwandlung der betreffenden Festplatte in eine dynamische Festplatte einrichten. Allerdings ist es nicht ratsam, die Auslagerungsdatei auf einem gespiegelten Datenträger zu führen. Damit wird die Performance beim Schreiben in diese Datei nur gemindert. Ein Vorgehen mit einer eigenen kleinen Partition für die Auslagerungsdatei am Beginn der System- und Bootfestplatte macht hier kei-
9.1 Vorüberlegungen
439
nen Sinn. Diese abgeteilte Systempartition (wie in Abbildung 9.2) sollte unbedingt mit gespiegelt werden, da sonst kein Start des Betriebssystems mehr möglich ist, wenn die ursprünglich erste Festplatte (hier mit Festplatte 1 bezeichnet) einmal ausfallen sollte. Besser ist es, wenn Sie für die Auslagerungsdatei eine dritte Festplatte einsetzen. Abbildung 9.3: Mögliche Konfiguration mit gespiegelten Datenträgern
Diese dritte Festplatte (»Swap«) muss nicht sehr groß sein, sollte aber eine hohe Performance aufweisen. Sie erreichen eine hohe Performance auch mit kleineren oder älteren Festplatten, indem Sie zwei oder mehr dieser Platten zu einem Stripesetdatenträger (siehe auch Abschnitt 3.3.4 Stripesetdatenträger ab Seite 73) zusammenfassen. Damit wäre aber auch eine Konfiguration vorstellbar, wo der Datenträger, der die Auslagerungsdatei enthält, als Stripesetdatenträger eingerichtet wird und Teil zweier weiterer Festplatten ist, welche einen oder mehrere gespiegelte Datenträger enthalten (siehe Abbildung 9.4). Hier wird eine optimale Performance erzielt, da sich zusätzlich Betriebssystem und Auslagerungsdatei auf verschiedenen physischen Datenträgern befinden. Diese Konfigurationsvorschläge sind natürlich kein Dogma, nach dem immer genau so verfahren werden müsste. Sie sollen nur deutlich machen, dass eine vorherige gründliche Planung der Festplattenkonfiguration ratsam ist, um eine optimale Performance und maximale Ausnutzung der mit Windows 2000 gebotenen Möglichkeiten erreichen zu können. Gerade das nachträgliche Ändern an der Festplattenkonfiguration eines laufenden Servers, insbesondere die Einteilung der System- und Bootdatenträger, ist in der Praxis kaum noch möglich. Deshalb sollte dies von Beginn an richtig gemacht werden.
440
9 Installation
Abbildung 9.4: Performance- und sicherheitsorientierte Konfiguration
RAID 5-Datenträger Auf die Einrichtung eines RAID 5-Datenträgers wird an dieser Stelle
nicht eingegangen. Eine reine Softwarelösung unter Windows 2000 erscheint aus unserer Sicht wenig effizient. Die Performance insbesondere beim Schreiben von Daten ist dedizierten Hardwarelösungen deutlich unterlegen. Weitere Hinweise finden Sie zu diesem Thema in Abschnitt 3.4.3 RAID 5-Datenträger ab Seite 82.
Mögliche Installationsverfahren Bootfähiges CDLaufwerk
Windows 2000 lässt sich auf verschiedene Art und Weise auf einem Computersystem installieren. Wenn wir davon ausgehen, dass Sie unserer Empfehlung folgen und nur Serverhardware einsetzen, welche in der HCL geführt beziehungsweise ausdrücklich vom Hersteller für den Einsatz unter Windows 2000 Server empfohlen wird, sollte eine problemlose Installation von CD kein Thema sein. Voraussetzung ist dabei nur, dass vom CD-Laufwerk gebootet wird und sich die ServerCD 1 darin befindet. Die weiteren Installationsschritte werden in Abschnitt 9.3 Installation durchführen ab Seite 446 behandelt.
Weitere Möglichkeiten:
Deneben gibt es aber noch weitere Möglichkeiten, Windows 2000 Server zu installieren:
Bootdisketten
• Installation mit den Windows 2000 Bootdisketten Im Lieferumfang sind normalerweise vier Bootdisketten enthalten, mit deren Hilfe Sie Setup starten können, wenn Sie über kein bootfähiges CD-Laufwerk verfügen. Falls diese Disketten nicht mitge-
9.1 Vorüberlegungen
441
liefert worden sind, können Sie diese über das Hilfsprogramm MAKEBOOT erzeugen. Gehen Sie dazu folgendermaßen vor: -
Legen Sie vier leere, formatierte 1.44 MB 3.5"-Disketten bereit.
-
Starten Sie von der Installations-CD 1 aus dem Verzeichnis \BOOTDISK das Programm MAKEBOOT.EXE: Makeboot a:
Aus einer 32 Bit-Umgebung heraus können Sie auch das Programm MAKEBT32.EXE starten. Makebt32 a:
Geben Sie als Parameter den Laufwerkbuchstaben des Diskettenlauwferks an. Das Programm verlangt dann nach allen vier Disketten. • Installation über das Netzwerk Dabei wird das Installationsverzeichnis \I386 von der CD 1 einfach im Netzwerk bereitgestellt. Sie müssen nur dafür sorgen, dass eine Netzwerkverbindung vom Serversystem dahin aufgebaut wird. Aus einer 16 Bit-Umgebung (beispielsweise über den MS-DOS Netzwerkclient zu einem NT- oder Windows 2000-Server) rufen Sie dann in diesem Verzeichnis das Programm WINNT.EXE auf. In einer 32 Bit-Umgebung starten Sie hingegen WINNT32.EXE.
WINNT.EXE und WINNT32.EXE
• Lokales Kopieren des Installationsverzeichnisses Ebenso wie über das Netzwerk können Sie das Installationsverzeichnis \I386 lokal auf eine der Serverfestplatten kopieren. Starten Sie dann WINNT.EXE beziehungsweise WINNT32.EXE. Für die Installation über einen Aufruf von WINNT.EXE oder KommandozeilenWINNT32.EXE steht eine Reihe von Kommandozeilen-Optionen zur Optionen Verfügung. Sie finden weitergehende Informationen dazu in Abschnitt 9.3.4 Kommandozeilen-Parameter von WINNT.EXE und WINNT32.EXE ab Seite 449. Windows 2000 sieht auch die Möglichkeit einer automatisierten Instal- Automatisierte lation vor. Dabei werden Antwortdateien mit den entsprechenden Pa- Installation rametern erstellt, welche dann ein unbeaufsichtigtes Setup ermöglichen. Alle Eingaben, die ein Administrator vornehmen könnte, sind dann in den Antwortdateien bereits enthalten. Da die gleichzeitige Installation von einigen Dutzend Servern aber eher die Ausnahme ist, wird auf eine Darstellung dieser Funktionen hier verzichtet. In Band I Windows 2000 im professionellen Einsatz finden Sie dazu weitergehende Informationen.
442
9 Installation Auswahl der Komponenten bei der Installation Ein Windows 2000 Serversystem kann aus verschiedenen SoftwareKomponenten zusammengesetzt werden und damit unterschiedlichste Anforderungen und Funktionsbereiche abdecken. Damit ergeben sich auch vielfältige Installationsmöglichkeiten. Sie können natürlich bei der Erstinstallation eines Systems gleich alle Komponenten individuell zusammenstellen und damit am Ende eine (fast) fertige Endkonfiguration erhalten.
Empfohlen: Standardinstallation und nachträglich Komponenten hinzufügen
Dieses Verfahren empfehlen wir jedoch nicht. Bei einer Erstinstallation hat es sich in der Praxis als besser erwiesen, zunächst eine Standardinstallation, natürlich mit der richtigen Einteilung der System- und Bootfestplatte sowie des richtigen HALs, vorzunehmen. Erst wenn das System steht und stabil läuft, sollten Sie die weiteren Komponenten wie beispielsweise DHCP-Server oder die RRAS-Dienste installieren und konfigurieren. Die Installation der betreffenden Komponenten werden in diesem Buch jeweils im Administrationsteil ab Seite 509 bei den verschiedenen Themen mit behandelt.
9.2
Inhalt der Installations-CDs
Die Installations-CDs der aktuellen deutschen Server-Version von Windows 2000 enthalten neben den Dateien für das Setup einige weitere recht interessante Informationsquellen und Hilfsprogramme. Die folgende Tabelle zeigt den Inhalt der CD 1: Tabelle 9.1: Inhalt der Windows 2000 Server CD 1
Verzeichnis
Inhalt
\BOOTDISK
Enthält Images der vier Bootdisketten von Windows 2000 sowie die dazugehörigen Dienstprogramme, mit denen die Images auf Disketten übertragen werden können: MAKEBOOT.EXE (16 Bit) und MAKEBT32.EXE (32 Bit)
\CLIENTS
Hier finden Sie den Active Directory Client sowie den IPP-Client für Windows 9x (siehe auch Abschnitt 7.3.3 Drucken mit dem Internet Printing Protocol ab Seite 395). Clients für andere Systeme können Sie gegebenenfalls über die Microsoft-Webseite beziehen.
\I386
Das eigentliche Installationsverzeichnis; enthält alle benötigten Windows 2000-Installationsdateien.
\SETUPTXT
Enthält Textdateien, die Hinweise zur Installation geben. Es sind nur deshalb mehrere Dateien, damit sie auch mit dem Texteditor NOTEPAD.EXE von Windows 9x geöffnet werden können.
9.2 Inhalt der Installations-CDs Verzeichnis
Inhalt
\SUPPORT
Unterverzeichnis TOOLS
443
Enthält verschiedene Support-Tools, die mit dem enthaltenen Programm SETUP.EXE installiert werden können. Diese Tools stellen eine Untermenge der Tools des Windows 2000 Ressource Kit dar. APCOMPAT.EXE Ein Dienstprogramm zum Auffinden inkompatibler Applikationen unter Windows NT 4 (ab Service Pack 3). BUILDCHK.EXE Lässt sich einsetzen, um die interne Windows BuildNummer auszulesen. CHKBUILD.BAT Kann im Login-Skript eines Benutzers eingesetzt werden. BUILDCHK.EXE muss dazu auf dem entsprechenden Logon-Server bereitgestellt werden. Textdatei HCL.TXT Enthält die Hardware Compatibility List für Windows 2000; die aktuelle Fassung ist auf der Website von Microsoft zu finden. \VALUEADD
Enthält zusätzliche Tools und Infos von Drittherstellern und von Microsoft (siehe nächste Tabellen). Datei VALUEADD.HTM HTML-Datei mit Hinweisen zu diesen Programmen.
Die zusätzlichen Tools und Informationen im Verzeichnis \VALUEADD verdienen Beachtung und sind in der folgenden Tabelle in einer Übersicht zusammengefasst:
Verzeichnis CA_ANTIV
Tabelle 9.2: Tools und Infos in Enthält die Antivirensoftware InoculateIT AntiVirus \VALUEADD\ AVBoot 1.1 der Firma Computer Associates Internatio- 3DPARTY\
Inhalt
nal, Inc. Beachten Sie die Hinweise der Datei README.TXT in diesem Verzeichnis. Das Programm ist ausgelegt zum Erkennen der wichtigsten Bootsektor- und speicherresidenter Viren. Es bietet keine Suchfunktionen zum Finden infizierter Dateien auf einem Datenträger und stellt keinen Ersatz für professionelle Antivirensoftware dar. Link: www.cai.com
444
9 Installation Verzeichnis
Inhalt
LEVEL8
Enthält das Programm Message Queuing Connector der Firma Level 8 Systems, Inc. Das Programm dient der Implementierung der Microsoft Message Queue (MSMQ) API in heterogenen Systemwelten zur Verbindung mit Betriebssystemen anderer Hersteller. Link: www.level8.com
MGMT\AGENTS
Die Datei README.HTM enthält einen Link auf Agenten, welche die Windows Management Instrumentarien über das Web unterstützen.
MGMT\CITRIX
Enthält die Citrix ICA-Clients für Windows 3x, Windows 9x, Windows NT und 2000. Diese erlauben die Ausführung von Programmen über den Windows Terminal Server mit Citrix MetaFrame. Link: www.citrix.com
MGMT\INTELDMI Tools für Intels Desktop Management Interface (DMI) zur Inventarisierung und Systemüberwachung über das Netzwerk. Link: www.intel.de MGMT\WINSTLE
Enthält den WinInstall LE (Limited Edition) von Veritas Software, mit dem sich normale WindowsSetup-Programme in das Windows 2000 InstallerFormat bringen lassen. Link: www.veritas.com/products/wile
In der letzten Tabelle zum CD-Inhalt wird das Verzeichnis \VALUEADD\MSFT betrachtet, in welchem Microsoft zusätzliche Tools und Informationen liefert: Tabelle 9.3: Inhalt in \VALUEADD\ MSFT\
Verzeichnis
Inhalt
FONTS
Enthält zwei zusätzliche TrueType-Fonts: Arial Alternative Symbol und Arial Alternativ Regular.
MGMT\ADC
Enthält den Active Directory Connector, mit welchem Sie Microsoft Exchange Server 5.5 MailKonten, Benutzereinstellungen und Verteilungslisten mit Windows 2000-Benutzern, -Gruppen und -Kontakten synchronisieren können.
MGMT\IAS
Hier finden Sie das Snap-In für den Windows NT 4 Internet Authentication Service (IAS), den Sie so direkt von Windows 2000 über eine Managementkonsole administrieren können.
9.2 Inhalt der Installations-CDs Verzeichnis
Inhalt
MGMT\MS_SMS
Enthält das Systems Management Installationsprogramm, mit welchem Sie ein Windows 2000 Professional-System zu einem Client des Systems Management Servers machen können.
MGMT\MSTSC_HPC
Enthält den Microsoft Terminal Server Client für Handheld PC (HPC), Version 2.11 und 3.0.
MGMT\PBA
Enthält den Telefonbuchadministrator von Windows 2000.
MGMT\WBEMODBC Enthält einen Adapter für das Windows Management Instrumentarium (WMI), mit welchem Sie über eine Standard-API mit ODBC-basierten Programmen auf die Daten der WMI Common Information Management (CIM) zugreifen können, als wäre es eine relationale Datenbank. XTRADOCS\SCRIPTS Vier zusätzliche Hilfedateien, die Dokumentationen enthalten zu • JScript • VBScript • Windows Scripting Components • Windows Scripting Host XTRADOCS\SERK
Das Frontpage 2000 Server Extensions Ressource Kit. Die HTML-Datei DEFAULT.HTM ist der Ausgangspunkt für das Lesen und Benutzen der Dokumentation für die Installation.
Auf der zweiten CD finden Sie weitere Tools des Windows 2000 Res- CD 2 source Kits, mit deren Hilfe Sie bestimmte Diagnose- und Reparaturaufgaben erledigen können. Diese CD können Sie erst benutzen, wenn Windows 2000 bereits installiert ist. Nach dem Einlegen der CD wird dann automatisch die Datei DBG.HTM aus dem Stammverzeichnis der CD angezeigt. Hier erhalten Sie auch weitere Hinweise zum Inhalt und zur Bedienung der einzelnen Tools.
445
446
9 Installation
Abbildung 9.5: HTML-Startseite der CD 2
9.3
Installation durchführen
In diesem Abschnitt werden überblicksweise die wichtigsten Schritte bei einer Standard-Installation von Windows 2000 Server beschrieben (siehe auch Abschnitt Auswahl der Komponenten bei der Installation ab Seite 442). Alle Aspekte von Upgrades oder speziellen Installationsprozeduren, die Hard- und Software von Drittherstellern mit umfassen, würden den Rahmen dieses Buches bei Weitem sprengen. Wir verweisen in diesem Zusammenhang auf die umfangreiche Knowledge-Base von Microsoft sowie die weiteren speziellen Windows 2000 Internet-Seiten (siehe auch Anhang A).
9.3.1
Checkliste vor der Installation
Bevor Sie eine Installation von Windows 2000 vornehmen, sollten Sie die folgenden Punkte überprüfen:
Kompatibilität von Anwendungen überprüfen Wichtig bei Upgrade
Haben Sie ein Upgrade eines NT-Serversystems vor, sollten Sie zunächst unter NT die installierten Anwendungen auf Kompatibilität mit Windows 2000 überprüfen. Insbesondere ältere Datensicherungslösungen von Drittherstellern könnten beispielsweise nach dem Upgrade Probleme verursachen oder einfach nicht mehr korrekt arbeiten.
9.3 Installation durchführen Informieren Sie sich zu Kompatibilität und gegebenenfalls neuen verfügbaren Informationen bei den entsprechenden Herstellern. Windows 2000 bietet zusätzlich eigene Tools für die Überprüfung von Anwendungen an: • WINNT32.EXE /CHECKUPGRADEONLY Das Windows 2000 Setup führt eine generelle Überprüfung auf Kompatibilität Ihres Systems für ein Upgrade durch. Das Ergebnis finden Sie im Installationsordner in der Datei WINNT32.LOG. • Tool APCOMPAT.EXE Dieses Tool überprüft das zu aktualisierende System auf Kompatibilität der installierten Anwendungen. Sie finden APCOMPAT.EXE auf der CD 1 im Verzeichnis \SUPPORT.
Deaktivieren der Spiegelung von Datenträgern Soll ein Upgrade von einem Windows NT System durchgeführt werden, bei dem Spiegelsätze eingerichtet sind, sollten diese Spiegelungen entfernt werden. Zwingend erforderlich ist dies vor allem bei Systemund Bootdatenträgern. Sie können Spiegelungen nach erfolgreicher Installation jederzeit wieder einrichten und profitieren dann von den neuen Möglichkeiten der Massenspeicherverwaltung von Windows 2000 (siehe auch Abschnitt 3.4 Fehlertolerante Datenspeicherung ab Seite 76).
Trennen einer angeschlossenen USV Trennen Sie eine eventuell angeschlossene Unterbrechungsfreie Stromversorgung (USV) vom zu installierenden Computersystem, wenn diese über den seriellen Port kommuniziert. Das Setup untersucht standardmäßig bei der Installation alle seriellen Ports und könnte beim Vorfinden anderer Geräte als »Mäuse« durcheinander kommen. Nach der Installation können Sie die Verbindung zur USV wiederherstellen.
9.3.2
Grundsätzliche Installationsschritte
Das Setup für Windows 2000 besteht aus einem textorientierten und einem grafischen Teil. Nach dem Start des Setups beim Booten von CD oder der ersten Installations-Diskette (siehe auch Abschnitt Mögliche Installationsverfahren ab Seite 440) wird ein textorientiertes »MiniWindows 2000« geladen. In den folgenden Dialogfenstern können Sie dann folgende Aufgaben ausführen:
447
448 Textorientierter Teil
9 Installation • Laden einer HAL-Datei eines Drittherstellers • Laden zusätzlicher Massenspeicher-Treiber (beispielsweise für eine Hardware-RAID-Lösung) • Auswahl und Einrichtung (Partitionierung und Formatierung) der Windows 2000 Bootfestplatte Im dann folgenden grafischen Teil können Sie weitere Einstellungen vornehmen:
Grafischer Teil
• Festlegung von Gebietsschema und Tastaturlayout • Benutzerinformationen (»Besitzer« des Servers) • Lizensierungsmodus (pro Server oder pro Arbeitsplatz) • Servername und Administratorkennwort • Auswahl weiterer zu installierender Komponenten Bei einer Erstinstallation eines Serversystems empfiehlt es sich, nur die Standardeinstellungen zu übernehmen und ein stabil laufendes Serversystem zu erreichen. Danach können Sie problemlos alle weiteren Komponenten über das Windows 2000 Setup (zu finden unter SYSTEMSTEUERUNG | SOFTWARE) oder über den Assistenten KONFIGURATION DES SERVERS, welchen Sie in START | PROGRAMME | VERWALTUNG finden, nachinstallieren. • Datum und Uhrzeit einstellen • Netzwerkeinstellungen Windows 2000 erlaubt auch eine automatisiert ablaufende Installation unter Verwendung von Antwortdateien. Ausführliche Informationen dazu finden Sie in Band I Windows 2000 im professionellen Einsatz.
9.3.3
Installation von HAL und Massenspeichertreibern
Gleich zu Beginn des Setups erscheint am unteren Bildschirmrand die Meldung, dass Sie über F6 SCSI-Treiber eines Drittherstellers installieren können. Während der kurzen Dauer dieser Meldung können Sie zwei Installationsvorgänge vornehmen: Funktionstaste F5
• Installation einer herstellerspezifischen HAL-Datei Windows 2000 lässt, beispielsweise zur Unterstützung spezieller Mehrprozessorsysteme, den Einsatz von HALs (Hardware Abstraction Layer) von Drittherstellern zu. Halten Sie die Diskette des Herstellers mit der entsprechenden HAL-Datei bereit. Nach Druck auf F5 (statt F6) werden Sie zum Einlegen der Diskette aufgefordert.
9.3 Installation durchführen
449
Nach dem Kopieren der HAL-Datei wird diese dann geladen und Windows 2000 arbeitet ab sofort damit weiter. • Installation herstellerspezifischer Treiber für Massenspeicher
Funktionstaste F6
Soll die Installation von Windows 2000 auf spezieller Massenspeicher-Hardware durchgeführt werden, für die kein Windows 2000eigener Treiber im Lieferumfang enthalten ist (beispielsweise für Hardware-RAID-Lösungen), benötigen Sie den Treiber des entsprechenden Drittherstellers, damit das Setup-Programm überhaupt auf diese Datenträger zugreifen kann. Über Druck auf die Funktionstaste F6 werden Sie dann aufgefordert, die Diskette mit dem Treiber einzulegen. Setup kopiert und lädt dann diesen Treiber.
9.3.4
Kommandozeilen-Parameter von WINNT.EXE und WINNT32.EXE
Die beiden folgenden Tabellen enthalten die wichtigsten Kommandozeilen-Optionen, die Sie im Zusammenhang mit der Installation über WINNT.EXE beziehungsweise WINNT32.EXE benötigen könnten.
Option /e:
Tabelle 9.4: Optionen für Führt den angegebenen Befehl nach Ende des WINNT.EXE
Bedeutung
grafischen Teils des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt /r:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.
/rx:
Entspricht exakt der Option /r:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/s:
Sie können die Position des Verzeichnisses der Windows 2000-Installationsdateien \i386 explizit angeben. Der Pfad muss vollständig angegeben werden, z. B. C:\INSTALL\I386 und kann sich auch auf Netzwerkfreigaben beziehen, wie \\DISTSERV\INSTALL\I386.
450
9 Installation Option
Bedeutung
/t:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
/u:
Geben Sie eine Textdatei an, welche die Antwort-Konfiguration für ein unbeaufsichtigtes Setup enthält. Diese Option erfordert auch die Angabe der Option /s.
/udf:[,] Mit dieser Option können Sie die unter /u angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Die Kommandozeilen-Optionen von WINNT32.EXE entsprechen in großen Teilen den oben beschriebenen von WINNT.EXE. Zusätzlich haben Sie Optionen, die Sie für ein Upgrade verwenden können. Tabelle 9.5: Optionen für WINNT32.EXE
Option
Bedeutung
/checkupgradeonly
Setup führt nur eine Überprüfung auf Kompatibilität Ihres Systems für ein Upgrade durch. Das Ergebnis finden Sie im Installationsordner in der Datei WINNT32.LOG.
/cmd:
Führt den angegebenen Befehl nach Ende des grafischen Teil des Setups aus. Sie können auch eine Textdatei angeben, die mehrere Befehle hintereinander enthält, beispielsweise: /e:befehle.txt
/cmdcons
Fügt dem Bootmenü in der Datei BOOT.INI (siehe auch Abschnitt 3.2.5 Die Datei Boot.ini ab Seite 63) einen Eintrag für den Start der Wiederherstellungskonsole hinzu.
9.3 Installation durchführen Option
Bedeutung
/copydir:
Sie können ein Verzeichnis angeben, in welchem Sie weitere für die Installation benötigte Dateien, beispielsweise spezielle Treiber, hinterlegt haben. Diese Option kann auch mehrfach angegeben werden, um mehr als ein Verzeichnis anzugeben. Nach der Installation bleiben diese Verzeichnisse im Windows 2000Stammverzeichnis erhalten.
/copysource:
Entspricht exakt der Option /copydir:, nur dass am Ende der Installation die angegebenen Verzeichnisse gelöscht werden.
/debug:
Erstellt während der Installation ein Protokoll in der Datei mit dem angegebenen Level. Die möglichen Level sind: 0 – Schwere Fehler 1 - Fehler 2 - Warnungen 3 - Informationen 4 – Detaillierte Informationen Beispiel: /debug3:C:\INSTALL.LOG
/m:
Sie können einen alternativen Ordner für die Installationsdateien angeben. Dort sucht Setup nach seinen Dateien zuerst dort, dann im Ursprungsverzeichnis \I386. Damit können Sie beispielsweise im unter /m angegebenen Verzeichnis Dateien des aktuellen Service Packs ablegen, welche so immer garantiert installiert werden. Alle anderen Dateien, die nicht im Service Pack enthalten sind, übernimmt Setup aus dem Ursprungsverzeichnis.
/makelocalsource
Setup kopiert alle Installationsdateien auf die lokale Festplatte, sodass die eventuell benutzte Installations-CD nach dem ersten Neustart nicht mehr benötigt wird.
/noreboot
Setup wird veranlasst, nach der ersten Initialisierungsphase nicht automatisch neu zu starten, so dass Sie eventuell weitere Einstellungen manuell vornehmen beziehungsweise Befehle ausführen können.
451
452
9 Installation Option
Bedeutung
/s:
Mit können Sie eine oder mehrere alternative Quellen der Installationsdateien angeben; der Parameter kann mehrfach verwendet werden. Die Pfadangabe muss dabei vollständig erfolgen mit :\ beziehungsweise der kompletten Netzwerkangabe: \\<server> \ So kann die Netzwerkinstallation beispielsweise beschleunigt werden, wenn verschiedene Installationsdateien von mehreren Servern bereitgestellt werden.
/syspart:
Präpariert eine mit angegebene Festplatte für eine anschließende Montage in einen anderen PC, um dort die Installation zu beenden. Die Bootpartition dieser Festplatte wird als aktiv gekennzeichnet und alle für das Setup benötigten Dateien werden temporär abgelegt. Dann wird die erste Phase des Setups ausgeführt. Nach dem Umbau der Festplatte kann der neue PC direkt von dieser starten und die Installation zu Ende führen. Das Setup mit dieser Option kann nur auf einem Windows NT oder 2000-System ausgeführt werden und erfordert zusätzlich die Angabe der Option /tempdrive: (siehe unten).
/tempdrive:
Geben Sie explizit ein Laufwerk zur Speicherung temporärer Dateien durch das Setup an, wenn Sie die standardmäßige Verwendung der Bootpartition oder die automatische Suche nach einem ausreichend großen Datenträger durch das Setup-Programm umgehen wollen. Haben Sie mehrere physische Festplatten in Ihrem System, empfiehlt sich die Angabe einer zur Bootpartition alternativen Partition auf einer anderen physischen Festplatte. Insbesondere bei SCSI-Systemen erreichen Sie dann ein schnelleres Setup.
9.4 Installation der Verwaltungsprogramme Option
Bedeutung
/unattend
Startet das Setup im unbeaufsichtigten Modus. Ohne eine weitere Angabe wird ein Upgrade unbeaufsichtigt durchgeführt; mit Optionen können Sie das Verhalten während einer Neuinstallation festlegen: <sec>:
/unattend [optionen]
<sec>
453
Wartesekunden vor Neustart beim Setup
Name der Antwortdatei /udf:[,]
Mit dieser Option können Sie die unter /unattend angegebene Antwortdatei für benutzerspezifische Anpassungen während des Setups ändern. Geben Sie keine UDF-Datei an, verlangt das Setup während der Installation nach einer Diskette, auf der sich die Datei $UNIQUE$.UDB befindet.
Wie Sie das unbeaufsichtigte Setup für eine vollautomatische Installa- Unbeaufsichtigtes tion einrichten können, erfahren Sie in Band I Windows 2000 im pro- Setup fessionellen Einsatz.
9.4
Installation der Verwaltungsprogramme
Eine Reihe von Verwaltungsprogrammen werden bei der Installation des Windows 2000 Serversystems nicht mit auf die Festplatte kopiert. Das ist beispielsweise das Snap-In ACTIVE DIRECTORY SCHEMA für die Änderung der Zuordnung des Active Directory Schema Masters. Es gibt aber eine Möglichkeit, die Windows 2000 Serververwaltungsprogramme nachträglich zu installieren. Diese Dienstprogramme befinden sich in einem MSI-Archiv namens ADMINPAK.MSI im Verzeichnis \i386 auf der Server-CD 1. So gehen Sie vor, um die Verwaltungsprogramme auf Ihrem Windows 2000 System, welches auch eine Professional-Version sein kann, zu installieren: Öffnen Sie den Windows 2000 Installationsordner \i368 auf der Win- ADMINPAK.MSI dows 2000 Server CD 1. Mit einem Doppelklick auf ADMINPAK.MSI starten Sie die Installation der Verwaltungsprogramme. Wählen Sie dann im folgenden Dialogfenster die zweite Option zum Installieren der Verwaltungsprogramme.
454
9 Installation
Abbildung 9.6: Assistent zum Installieren der Verwaltungsprogramme
Mit der ersten Option können Sie übrigens auch die Verwaltungsprogramme wieder von Ihrem System entfernen. Nach der Installation stehen alle Windows 2000 Server-Verwaltungsprogramme über START | PROGRAMME | VERWALTUNG zur Verfügung. Sie können diese Verwaltungsprogramme auch auf einer Windows 2000 Arbeitsstation installieren und so über die RemoteVerwaltungsfunktion der Managementkonsole die Server administrieren. Weitere Informationen zur Anpassung der Managementkonsole finden Sie im nächsten Kapitel in Abschnitt 10.2 Die Managementkonsole (MMC) ab Seite 461.
9.4 Installation der Verwaltungsprogramme
Kapitel 10 Windows-Verwaltungsinstrumente
10.1
Grundlagen.......................................................... 457
10.2
Die Managementkonsole (MMC) ................... 461
10.3
Terminaldienste.................................................. 474
10.4
Telnet-Server ....................................................... 493
10.5
Einführung in Scripting .................................... 497
455
456
9 Installation
10.1 Grundlagen
457
10 Windows-Verwaltungsinstrumente In diesem Kapitel geht es um Techniken zur Fernüberwachung und zum Fernzugriff. Damit lassen sich sowohl im Netzwerk verteilte Server als auch bildschirmlose Serverfarmen vom Arbeitsplatz des Administrators aus bedienen. Diese Technik wird im Kern durch Windows Management Instrumentation (WMI; deutsch: WindowsVerwaltungsinstrumente) realisiert.
10.1 Grundlagen Für die effektive Administration großer Netzwerke ist der Fernzugriff auf Server und Arbeitsstation von großer Bedeutung. Dabei geht es nicht um die Einsparung von Wegezeiten, sondern um eine zentrale Sicherung spezifischer Systemdaten und deren Dokumentation.
Begriffe Schon seit einiger Zeit gibt es die Initiative Web-Based Enterprise Mana- WBEM und WMI gement (WBEM), ein Standard für die Verwaltung von Computern über das Internet. Die Implementierung in Windows 2000 wird von Microsoft als Windows Management Instrumentation (WMI) bezeichnet. Dies sind also zwei Dinge, von denen eines praktisch zum Einsatz gelangt.
10.1.1
Web-Based Enterprise Management
Das Web-Based Enterprise Management (WBEM) ist eine Initiative der Industrie, um die Verwaltung verschiedener Hard- und Software über das Internet zu ermöglichen. Die Architektur basiert auf einer einheitlichen Schnittstelle und entsprechenden Protokollen zur Abfrage der Konfiguration und Steuerung von Einheiten. WBEM basiert auf dem Common Information Model (CIM). Die Standardisierung wird von der Distributed Management Task Force (DMTF) vorangetrieben.
Übersicht WBEM wurde entwickelt, um die verschiedenen Verwaltungsprotokolle zusammenzuführen und eine zentrale Verwaltung verteilter Systeme zu ermöglichen. Typische Protokolle, die bislang dafür eingesetzt wurden, sind SNMP (Simple Network Management Protocol) oder DMI (Desktop Management Interface). Problematisch daran ist die Trennung von Desktop und Netzwerk, die in modernen heterogenen Umgebun-
458
10 Windows-Verwaltungsinstrumente gen nicht mehr gegeben ist. WBEM führt diese und weitere Systeme zusammen und stellt Verwaltungslösungen eine einheitliche Schnittstelle zur Verfügung.
Abbildung 10.1: Einordnung von WBEM in die Verwaltungswelt
WBEM selbst ist schwer zu fassen, denn es ist weder ein Protokoll noch eine für den Benutzer (in der Regel der Administrator) sichtbare Oberfläche. WBEM ist nicht browserbasiert. Es gibt keine Komponenten, die man herunterladen und installieren kann oder einen Eintrag in der Registrierung vornehmen. Es ist eine Initiative, die zur Definition von Standards führen soll und die sichert, dass mit diesen Standards kompatible Systeme über entsprechende Schnittstellen verfügen. Aufgaben des Standards
Die Aufgaben dieses Standards sind: • Definition von Strukturen und Konventionen, die nötig sind, um auf verwaltbare Objekte zuzugreifen. • Unterstützung für die Zentralisierung von Informationen über verschiedene Clients einschließlich der Möglichkeit, Daten zu sammeln und zu analysieren. • Kontrolle der Autorisierung des Zugriffs aus dem gesamten Netzwerk, sodass nur Personen mit ausreichenden Rechten Objekte manipulieren können.
Geschichte Diese Darstellung soll nur ein paar Stichworte liefern, damit Ihnen weitere Recherchen im Internet leichter fallen, und erhebt keinen Anspruch auf Vollständigkeit. Gründung
WBEM wurde 1996 von einer Gruppe von Firmen gegründet, zu deren führenden Unternehmen Microsoft, Compaq, BMC Software, Cisco und Intel gehören. Die Gründungsunternehmen arbeiteten mit der
10.1 Grundlagen Distributed Management Task Force (DMTF) zusammen. Von dieser Gruppe wurde der erste Entwurf einer umgebungsunabhängigen Spezifikation für die Verwaltung vorgelegt, die auch bekannte Standards wie SNMP und DMI mit einbezieht. Die Kernkomponente wird als CIM (Common Information Model) bezeichnet. Sie teilt sich in eine Spezifikation und ein gleichnamiges Schema. 1998 übernahm die DMTF die Spezifikationen der WBEM. Zu diesem Zeitpunkt hatte Microsoft bereits verschiedene CIM-Komponenten für das eigene WBEM-Projekt entwickelt. Mit der Übernahme durch die DMTF flossen die Entwicklungslinien zusammen. Praktisch führte das dazu, dass der Standard wesentlich durch Microsoft beeinflusst wurde und sehr direkt in die entsprechenden Verwaltungswerkzeuge – heute unter dem Namen WMI bekannt – einfloss.
Die Standardkomponenten Die CIM-Komponente besteht, wie bereits erwähnt, aus zwei Teilen: • CIM-Spezifikation Hier werden die Anforderungen an eine WBEM-Implementierung beschrieben. • CIM-Schema Daten der Verwaltungsprogramme werden in einem zentralen Repository gespeichert. Wie dies strukturiert sein soll, beschreibt das CIM-Schema.
10.1.2
Aufbau der WMI
Mit der Windows Management Instrumentation (WMI) hat Microsoft die Kernkomponente der Windows Verwaltungswerkzeuge direkt auf den WBEM-Empfehlungen basierend entwickelt.
Bestandteile der Verwaltungswerkzeuge Die Verwaltungswerkzeuge umfassen unter Windows 2000 folgende Komponenten: • Verwaltungsrichtlinien im Active Directory • Microsoft Managementkonsole • Windows Scripting Host (WSH) und Active Server Pages (ASP) • Windows Management Instrumentation (WMI)
459
460
10 Windows-Verwaltungsinstrumente Windows Management Instrumentation ist dabei die Schlüsselkomponente. Zur Verfügung stehen folgende Funktionen: • Windows Management Instrumentation ist für alle WindowsPlattformen verfügbar: Windows 2000, Windows 9x/ME, Windows NT 4. • Es steht eine Programmierschnittstelle (COM-API) zur Verfügung. • Integration ins Windows 2000-Management, sodass Dritthersteller für ihre Programme Verwaltungswerkzeuge erstellen können, die sich nahtlos in die Verwaltung einfügen. • Der Zugriff ist per Scripting möglich, sowohl über WSH also auch ASP.
WMI-Architektur Architektur
Die WMI-Architektur besteht aus folgenden Teilen: • CIM-Objektmanager Dies ist die Schlüsselkomponente der WBEM-Implementierung. Damit besteht eine objektorientierte Sicht auf das Repository. • WMI-Provider Die WMI-Provider stehen zwischen CIM und den verwalteten Objekten. Praktisch handelt es sich um eine Art Treiber, ähnlich den für Datenbankzugriffe verwendeten OLEDB-Providern. Die Provider müssen deshalb für bestimmte Objekte zur Verfügung stehen. Konkret betrifft dies: -
Win32-Provider; Windows-Umgebung
-
WDM-Provider
-
Event Log Provider; Zugriff auf die Ereignisprotokolle
-
Registry Provider; Zugriff auf die Registrierung
-
Performance Counter; Leistungsmessung
-
Active Directory
-
Windows Installer
-
SNMP
-
View
• WMI-Sicherheit WMI basiert auf den Windows 2000-Sicherheitsfeatures. Benutzer müssen sich mit Benutzernamen und Kennwort anmelden, um
10.2 Die Managementkonsole (MMC) Zugriff auf Verwaltungswerkzeuge zu erlangen. Für spezielle Zwecke existiert ein eigener Namensraum (cimv2). Ein begrenzter Zugriff, beispielsweise nur zum Lesen, ist möglich. • Ereignisbehandlung WMI reagiert auf Ereignisse und löst spezifische Aktionen aus. Dies wirkt sich beispielsweise aus, wenn Hardware geändert oder hinzugefügt wird – in diesem Fall läuft der Installationsprozess des Treibers an. Die Steuerung übernimmt CIM. Dazu gibt es CIMObjekte, die Ereignisse annehmen, und im CIM registrierte Objekte, die als Ereignisempfänger agieren. • WMI-Abfragesprache Die WMI-Abfragesprache (WMI Query Language – WQL) ähnelt der Abfragesprache SQL. Skripte und Programme können damit Verwaltungsinformationen abfragen. • WBEM-kompatibles Scripting WMI bietet eine Schnittstelle für Skriptumgebungen. Damit können Sie in folgenden Skriptsprachen Verwaltungswerkzeuge programmieren: -
Visual Basic für Applications (VBA)
-
Visual Basic Scripting Edition (VBScript)
-
Active Server Pages
-
Microsoft JScript
-
Perl
10.2 Die Managementkonsole (MMC) Die Administration von Windows 2000 hat sich gegenüber dem Vorgänger NT grundlegend geändert. Die vielen verschiedenen Verwaltungsprogramme wurden fast vollständig überarbeitet und mit einem weitgehend einheitlichen Bedienkonzept versehen. Von wenigen Ausnahmen abgesehen, existieren diese Tools jetzt nicht mehr als eigenständige ausführbare Programme, sondern sind als so genannte Snap-Ins für die neue Microsoft Managementkonsole (MMC) entwickelt worden. Diese Snap-Ins können Sie in einer MMC nach Belieben arrangieren Snap-Ins und von dieser aus aufrufen. Für die wichtigsten Verwaltungsarbeiten sind in Windows 2000 bereits eine Reihe von Managementkonsolen vorkonfiguriert, so zum Beispiel für wesentliche Teile der Computerverwaltung und das Benutzermanagement. Es gibt aber noch Raum
461
462
10 Windows-Verwaltungsinstrumente für Anpassungen und Erweiterungen. Sie können dabei frei bestimmen, welche Managementwerkzeuge Sie wem mit welchen Zugriffrechten zuordnen. Für die Administration eines Windows 2000 Serversystems steht eine Reihe von speziellen Verwaltungsprogrammen (als Snap-Ins, in vorgerfertigten Managementkonsolen) zur Verfügung, die Sie erst nach manueller Installation von der Installations-CD beziehungsweise dem Installationsverzeichnis nutzen können. Sie finden weiterführende Informationen in Abschnitt 9.4 Installation der Verwaltungsprogramme ab Seite 453. In den folgenden Abschnitten wird vom grundlegenden Aufbau bis hin zur individuellen Konfiguration die Technologie der Managementkonsolen näher betrachtet.
10.2.1
Das Prinzip der Managementkonsole
Die Managementkonsole ist eine Windows-Anwendung, die einen einheitlichen Rahmen für verschiedene Verwaltungstools bildet. Die einzelnen Verwaltungstools von Windows 2000 sind als Snap-Ins aufgebaut, die nicht selbstständig aufgerufen werden können. Die SnapIns können dabei selbst wieder aus mehreren Objekten, eigenständigen Snap-Ins oder von Snap-Ins abhängigen Erweiterungen bestehen. Die Schnittstellen der Snap-Ins und ihrer Erweiterungen sind von Microsoft offen gelegt und erlauben es auch Drittherstellern, Administrationstools für ihre Hard- bzw. Software zu entwickeln, die sich so nahtlos in das Konzept der Managementkonsole einfügen. Die Bedienung und Konfiguration von Hard- und Software können dadurch unter Windows 2000 vereinheitlicht werden. In einer Managementkonsole werden übrigens nicht die Snap-Ins selbst abgespeichert, sondern nur Verweise auf diese. Dadurch sind die Managementkonsolen an sich nur sehr kleine Konfigurationsdateien (mit der Endung MSC), die Sie beispielsweise leicht über E-Mail austauschen oder verteilen können.
Das Programm MMC.EXE MMC.EXE
Wenn Sie über START | AUSFÜHREN das Programm MMC starten, erhalten Sie eine leere Managementkonsole.
10.2 Die Managementkonsole (MMC)
463 Abbildung 10.2: Eine leere Managementkonsole
Eine leere Managementkonsole besteht zunächst nur aus dem Konsolenrahmen. Über das Menü KONSOLE können Snap-Ins hinzugefügt oder gelöscht, Konsolen geladen oder gespeichert und grundlegende Optionen festgelegt werden. Das Fenster Konsolenstamm stellt den eigentlichen Ausführungsrahmen Ihrer Managementkonsole dar. Unter dem Konsolenstamm werden wie in einem hierarchischen Verzeichnis die Snap-Ins verwaltet, die Sie in dieser Managementkonsole anordnen. Im linken Teil des Fensters einer Managementkonsole befinden sich Baumstruktur die in einer hierarchischen Baumstruktur organisierten Snap-Ins bzw. Ordner, im rechten Teil dann die Einstellungen bzw. Ausgaben (beispielsweise bei Protokollen) der einzelnen Komponenten. Über das Kontextmenü (erreichbar über die linke Maustaste oder das Menü VORGANG) können die jeweiligen Aktionen für die betreffende Komponente ausgelöst werden. Abbildung 10.3: MMC Active Directory Benutzer und Computer
464
10 Windows-Verwaltungsinstrumente Die Komponente BENUTZER des Snap-Ins ACTIVE DIRECTORY BENUTZER COMPUTER bietet mit seinem Kontextmenü folgerichtig den Eintrag NEUER BENUTZER. Im rechten Teil des Fensters können Sie die einzelnen Benutzer wiederum über das entsprechende Kontextmenü umbenennen, Kennwörter festlegen oder auch löschen. UND
Taskpad-Ansichten Wie Sie das für Ihre Managementkonsolen konfigurieren können, ist in Band I Inhalt des Abschnitts 10.2.2 Benutzerspezifische Managementkonsolen ab
Seite 465. Die Möglichkeiten der optischen Anpassung der Oberfläche einer MMC mit Taskpad-Ansichten wird in Band I Windows 2000 im professionellen Einsatz erläutert.
Modi der Benutzung einer Managementkonsole Über die Optionen zu einer Managementkonsole lassen sich verschiedene Modi für eine Managementkonsole festlegen: Autorenmodus
• Im AUTORENMODUS können alle Änderungen an einer Managementkonsole vorgenommen werden einschließlich der Möglichkeit, Snap-Ins hinzuzufügen oder zu entfernen.
Benutzermodus
• In den drei verschiedenen Stufen des BENUTZERMODUS können die Rechte für die Anwendung der Managementkonsole so weit eingeschränkt werden, dass keine inhaltlichen Änderungen vorgenommen werden können bzw. der Benutzer nur Zugriff auf für ihn vorgesehene Snap-Ins mit speziellen Einstellungen hat. Durch diese Modi können Sie sicherstellen, wie Managementkonsolen durch den Anwender beeinflusst werden können und welche Sicht er auf die Werkzeuge erhält.
Weiterführende Informationen zur Managementkonsole Im Internet finden Sie bei Microsoft ein umfassendes Informationsangebot zur Managementkonsolen-Technologie: www.microsoft.com/management/MMC/
Hier finden sich umfassende Informationen sowohl für Anwender und Entwickler als auch für Administratoren. In der SNAP-IN GALLERY stehen für Sie Infos und Downloads von Snap-Ins für die Managementkonsole zur Auswahl bereit. Microsoft ist bestrebt, hier auch externen Softwareentwicklern für die Windows 2000/NT-Plattform ein Forum zu geben und die eigenen Verwaltungs-Snap-Ins zum Download anzubieten. Damit soll sich die Managementkonsole als Standard-Konfigurationswerkzeug in der gesamten Windows-Welt etablieren.
10.2 Die Managementkonsole (MMC)
10.2.2
465
Benutzerspezifische Managementkonsolen
Die vorkonfigurierten Managementkonsolen der Windows 2000 Server-Standardinstallation sowie die optional installierbaren weiteren MMCs (siehe auch Abschnitt 9.4 Installation der Verwaltungsprogramme ab Seite 453) decken zwar so gut wie alle Administrationsaufgaben ab, aber je nach Bedarf möchten Sie sich vielleicht die von Ihnen am häufigsten benutzten Werkzeuge selbst anders arrangieren. Windows 2000 bietet dafür die Möglichkeit, eigene Konsolen anzulegen und mit den Funktionen zu versehen, die auch wirklich benötigt werden.
Eine eigene Managementkonsole anlegen Um eigene Managementkonsolen zusammenzustellen, können Sie folgendermaßen vorgehen: Starten Sie eine leere Managementkonsole, indem Sie über START |AUSFÜHREN das Programm MMC ausführen. Über SNAP-IN HINZUFÜGEN/ENTFERNEN des Hauptmenüpunkts KONSOLE können Sie aus den verfügbaren Snap-Ins das gewünschte aussuchen. Im dann folgenden Dialogfenster erreichen Sie über HINZUFÜGEN die Liste der verfügbaren Snap-Ins. Für das folgende Beispiel wird eine Managementkonsole mit dem Snap-In COMPUTERVERWALTUNG angelegt und individuell eingerichtet. Abbildung 10.4: Leere Managementkonsole
Wählen Sie aus der Liste das gewünschte Snap-In, beispielsweise COMPUTERVERWALTUNG, aus. Viele Snap-Ins für die Administration bieten die Funktionalität, auch entfernte Server oder Arbeitsstationen zu verwalten. Sie haben dazu nach Auswahl des entsprechenden Snap-Ins die Möglichkeit, den zu verwaltenden Computer anzugeben.
466
10 Windows-Verwaltungsinstrumente
Abbildung 10.5: Auswahl zur Verwaltung eines lokalen oder entfernten Computers
Remote Administration möglich
Für eine Reihe von Snap-Ins können Sie diese Zuordnung zum lokalen oder zu einem entfernten Computer auch innerhalb der Managementkonsole jederzeit ändern, allerdings nicht bei allen. Der große Vorteil dieser Technologie besteht darin, dass Sie ein derartiges Netzwerk von Windows 2000-Systemen remote administrieren können. Im Fenster für die Konfiguration der zu dieser Managementkonsole gehörenden Snap-Ins können Sie für bestimmte Snap-Ins noch weitere Konfigurationen vornehmen. Snap-Ins können aus mehr als einer Komponente bestehen. Diese werden dann im Fenster unter ERWEITERUNGEN aufgeführt.
Erweiterungen von Snap-Ins
Erweiterungen benötigen zum Funktionieren ein zugehöriges BasisSnap-In oder stellen selbst ein eigenständiges Snap-In dar. In unserem Beispiel enthält die COMPUTERVERWALTUNG mehrere eigenständige Snap-Ins wie das DEFRAGMENTIERUNGSPROGRAMM oder LOKALE BENUTZER UND GRUPPEN.
Erweiterbarkeit durch Dritthersteller
Durch das Konzept der Erweiterbarkeit können auch Dritthersteller von Hard- bzw. Software für Windows 2000 ihre Erweiterungen für existierende Snap-Ins liefern und diese so mit den benötigten Funktionen versehen.
10.2 Die Managementkonsole (MMC)
467 Abbildung 10.6: Erweiterungen des Snap-Ins Computerverwaltung
In diesem Beispiel wird das Defragmentierungsprogramm deaktiviert, um vielleicht dem Programm eines anderen Herstellers den Vorzug zu geben. Die so konfigurierte Managementkonsole präsentiert sich zunächst wie in Abbildung 10.7 dargestellt. Im linken Bereich sehen Sie die Baumstruktur der eingebundenen Snap-Ins, ausgehend vom Konsolenstamm, in unserem Fall die COMPUTERVERWALTUNG mit all ihren Komponenten (allerdings jetzt ohne das Defragmentierungsprogramm). Im rechten Teil werden die Objekte der gerade aktivierten Komponente eingeblendet. Abbildung 10.7: Die erstellte Managementkonsole
468
10 Windows-Verwaltungsinstrumente Es ist ratsam, Managementkonsolen mit nicht zu vielen Snap-Ins zu versehen, da sonst die Übersichtlichkeit stark leiden kann. Vereinfachen können Sie den Zugriff für komplexere Managementkonsolen dennoch mit zwei Mitteln:
Favoriten
• Favoriten Häufig benutzte Komponenten fügen Sie einfach über das Kontextmenü zu den Favoriten hinzu. So haben Sie diese ähnlich wie mit den Favoriten im Internet-Explorer immer im schnellen Zugriff.
Taskpad-Ansichten
• Taskpad-Ansichten Mit den Taskpad-Ansichten können Sie wichtige Komponenten oder andere Tasks über einfache grafische Symbole verfügbar machen. Wie Sie das Aussehen einer Managementkonsole noch weiter beeinflussen können, welche Menüeinträge sichtbar sein sollen oder ob die Konsolenstruktur überhaupt angezeigt wird, ist Inhalt des nächsten Abschnitts. Die Erstellung von Taskpad-Ansichten wird in Band I Windows 2000 im professionellen Einsatz ausführlich erläutert.
Anpassen von Managementkonsolen-Ansichten Das Aussehen der Managementkonsole können Sie weiter beeinflussen, indem Sie im Hauptmenü ANSICHT | ANPASSEN auswählen. Sie erhalten ein Fenster mit einer Auflistung der Ansichts-Optionen für das Erscheinungsbild der Managementkonsole. Abbildung 10.8: Ansicht einer MMC anpassen
Das Verhalten der einzelnen Optionen können Sie sehr gut erkennen, da die im Hintergrund geöffnete Managementkonsole gleich auf die
10.2 Die Managementkonsole (MMC)
469
Änderungen reagiert. In der folgenden Abbildung sehen Sie die einzelnen Bestandteile der Bedienoberfläche einer Konsole im Überblick. Abbildung 10.9: Die Ansichtsobjekte einer MMC
Im Bereich MMC des Optionsfensters ANSICHT ANPASSEN bestimmen Sie das Aussehen der Managementkonsole selbst, das heißt des äußeren Rahmens, in den die Snap-Ins eingebettet sind (siehe Abbildung 10.9): • Konsolenstruktur
Konsolenstruktur
Diese Option bestimmt, ob im linken Teil des Konsolenfensters die Konsolenstruktur angezeigt wird. Ist diese Option deaktiviert, bleiben hier nur die Favoriten, wenn angelegt, sichtbar. • Standardmenüs (Vorgang und Ansicht)
Standardmenüs
Mit dieser Option lassen sich die beiden Standardmenüeinträge VORGANG und ANSICHT ausblenden. • Standardsymbolleiste Die Standardsymbolleiste dient zum Navigieren und schnellen Aufruf von Funktionen zur aktivierten Komponente der Managementkonsole. Diese Funktionen lassen sich über die folgenden Symbole aufrufen:
Standardsymbolleiste
470
10 Windows-Verwaltungsinstrumente Orientierungspfeile – dienen zum Vorwärts- und Rückwärtsblättern zwischen schon einmal aufgerufenen Seiten beziehungsweise Ansichten. Geht in der Verzeichnis- bzw. Baumstruktur der Komponenten eine Ebene höher. Blendet in der Fensteransicht die Strukturansicht (mit Favoritenliste) ein oder aus. Öffnet die Eigenschaften der ausgewählten Komponente. Druckt die Ausgabe der betreffenden Komponente aus. Aktualisiert die Ansicht – beispielsweise wichtig, um die Ausgaben des Ereignisprotokolls aufzufrischen. Exportiert die Liste der Komponenten, die in der aktuellen Ansicht sichtbar sind. Ruft die Hilfefunktion auf; gegebenenfalls mit Auswahl des entsprechenden Hilfetextes zur ausgewählten Komponente.
Statusleiste
• Statusleiste In dieser Leiste erscheinen Meldungen der Konsole zum Programmablauf, beispielsweise wenn Komponenten längere Auswertungen ausführen.
Beschreibungsleiste
• Beschreibungsleiste
TaskpadNavigationsregisterkarten
• Taskpad-Navigationsregisterkarten
Es werden hier Hinweise gegeben, welche Komponente gerade aktiv ist; insbesondere dann wichtig, wenn die Struktur der Komponenten rechts ausgeblendet ist.
Diese Register dienen der Umschaltung der Ansichten im rechten Fensterbereich, wenn mehrere definiert worden sind, beispielsweise mit Hilfe der Taskpad-Ansichten. Im SNAP-IN-Bereich des Optionsfensters ANSICHT ANPASSEN definieren Sie zwei Ansichtsoptionen für das Verhalten der Snap-Ins in der Managementkonsole:
Menüs
• Menüs Snap-Ins können eigene Menüerweiterungen mitbringen, die dann neben den Standardmenüs VORGANG und ANSICHT erscheinen. Wird diese Option deaktiviert, werden diese Menüs nicht eingeblendet.
10.2 Die Managementkonsole (MMC) • Symbolleisten
471 Symbolleisten
Wie schon bei den Erweiterungen für Menüs können Snap-Ins auch ihre eigenen Symbole mitbringen, die dann neben oder unter der Standardsymbolleiste sichtbar werden. Deaktivieren Sie diese Option, wenn sich diese nicht zeigen sollen. Umfangreiche Detailansichten von Strukturelementen als Liste im rechten Teil der Managementkonsole können Sie ebenfalls in ihrem Darstellungsumfang beeinflussen. So gewinnen Detailansichten an Übersichtlichkeit, wenn nur die Spalten angezeigt werden, die Sie für den konkreten Zusammenhang als wichtig erachten. Über ANSICHT | SPALTEN WÄHLEN erhalten Sie ein Auswahlfenster, mit dem Sie die gewünschten Spalten der Anzeige beeinflussen können. Abbildung 10.10 Spaltenanzeige beeinflussen
ENTFERNEN Sie einfach alle in dieser Ansicht nicht benötigten Spalten. Diese erscheinen dann im linken Bereich unter AUSGEBLENDETE SPALTEN. Die Reihenfolge der Spalten können Sie im Übrigen auch leicht ändern, indem Sie im rechten Teil eine Spalte markieren und mit NACH OBEN und NACH UNTEN neu positionieren. Bestimmte Spalten lassen sich nicht verschieben oder entfernen. Das hängt von der Programmierung des jeweiligen Snap-Ins ab.
Benutzermodi für Managementkonsolen Managementkonsolen, die Sie für den Zugriff durch normale Benutzer erstellen, möchten Sie natürlich auch absichern. Benutzer sollen schließlich nur die Werkzeuge in die Hand bekommen, die sie auch benötigen und beherrschen. Damit das gewährleistet werden kann, gibt es Zugriffsoptionen, die Sie für jede Konsole individuell einstellen können. Über das Hauptmenü KONSOLE | OPTIONEN erhalten Sie ein Auswahlfenster, mit dem Sie den beabsichtigten Benutzermodus für die Konsole einstellen können.
472
10 Windows-Verwaltungsinstrumente
Abbildung 10.11: Auswahl des Konsolenmodus für eine MMC
Sie können für Ihre Managementkonsole einen der vier Modi für die Benutzung auswählen: Autorenmodus
• Autorenmodus Dieser Modus ist der Standard für eine neue Konsole. Sie können, auch als Benutzer, beliebig Änderungen an der Konsole vornehmen, Snap-Ins hinzufügen oder löschen bzw. die Erweiterungen für Snap-Ins anpassen. Möchten Sie angepasste Managementkonsolen Ihren Benutzern zur Verfügung stellen, sollten Sie diese auf keinen Fall im Autorenmodus belassen.
Benutzermodus – Vollzugriff
• Benutzermodus – Vollzugriff
Benutzermodus – beschränkter Zugriff, mehrere Fenster
• Benutzermodus – beschränkter Zugriff, mehrere Fenster
In diesem Modus ist die Managementkonsole an sich geschützt. Benutzer können keine weiteren Snap-Ins aufnehmen oder vorhandene modifizieren bzw. löschen. Es ist aber erlaubt, für Komponenten andere Fensteransichten zu starten oder sich frei in allen installierten Komponenten zu bewegen. Dieser Modus eignet sich für erfahrene Benutzer, denen Sie bestimmte Administrationsaufgaben vollständig übertragen haben.
Sie können für eine Komponente einer Managementkonsole ein weiteres Sichtfenster öffnen (über das Kontextmenü). Schließen Sie jetzt alle weiteren Fenster außer das soeben erzeugte, stellen Sie mit diesem Benutzermodus sicher, dass der Anwender beim nächsten Öffnen der Konsole nur das zuletzt geöffnete sehen kann. Die anderen, übergeordneten Komponenten bleiben ihm verborgen. So
10.2 Die Managementkonsole (MMC)
473
können Sie gezielt Verwaltungsaufgaben für einen beschränkten Bereich, beispielsweise eines komplexen Snap-Ins wie die »Computerverwaltung«, an Benutzer übertragen bzw. diesen zugänglich machen. Der Benutzer kann jedoch noch weitere Fenster für die Komponenten öffnen, die Sie ihm zugeteilt haben. • Benutzermodus – beschränkter Zugriff, Einzelfenster
Benutzermodus – beschränkter Dieser Modus einer Managementkonsole bietet die meiste Absi- Zugriff, cherung vor Veränderungen durch den Benutzer. Es bleibt nur ge- Einzelfenster
nau das Fenster sichtbar, welches beim Abspeichern sichtbar bzw. bei mehreren Fenstern der Konsole aktiv war. Weitere Fenster für eine Komponente können benutzerseitig nicht erzeugt werden. Für die drei Benutzermodi können Sie noch weitere Einstellungen vornehmen: • Kontextmenüs auf Taskpads dieser Konsole aktivieren Kontextmenüs für Komponenten erhalten Sie mit Druck auf die rechte Maustaste. Wenn Sie nicht wünschen, dass diese in der Taskpadansicht aufgerufen werden können, deaktivieren Sie diese Option. • Änderungen für diese Konsole nicht speichern Falls die betreffende Managementkonsole immer im gleichen Erscheinungsbild sichtbar sein soll, aktivieren Sie diese Option. Damit werden Änderungen, die ein Benutzer der Konsole vornimmt, beim Schließen der Konsole nicht gespeichert. • Anpassen von Ansichten durch Benutzer zulassen Deaktivieren Sie diese Option, wenn es dem Benutzer nicht erlaubt werden soll, das Aussehen der Managementkonsole zu beeinflussen. Wenn Sie die Konsole abspeichern und das nächste Mal aufrufen, dann sehen Sie diese nur noch im eingestellten Modus, auch wenn Sie als Administrator angemeldet sind. Möchten Sie nachträglich Änderungen an der Konsole vornehmen, öffnen Sie diese einfach wieder mit dem folgenden Aufruf von der Eingabeaufforderung: mmc /a
Sie können auch zuerst nur MMC / A starten und über das Hauptmenü KONSOLE | ÖFFNEN die gewünschte Konfigurationsdatei laden.
474
10 Windows-Verwaltungsinstrumente
10.3 Terminaldienste Ein weiteres Verwaltungswerkzeug sind die Terminaldienste. Auch wenn der Einsatz prinzipiell die Realisierung von Thin-Clients anbietet, eignen sich die Terminaldienste im Wesentlichen für administrative Zwecke.
10.3.1 Modi der Terminaldienste
Einführung
Terminaldienste stehen für alle Server-Produkte von Windows 2000 zur Verfügung. Sie können in zwei Modi betrieben werden: • Applikationsdienste Dies ist die traditionelle Einsatzweise. Dabei führen mehrere Benutzer auf einem als Terminalserver konfigurierten Windows 2000Server Applikationen aus. • Fernadministration Dies ist eine in Windows 2000 neue Funktion. Damit erhalten Administratoren die Möglichkeit, über das Netzwerk Server aus der Ferne komplett und mit Hilfe der grafischen Oberfläche zu administrieren. Der Zugriff kann von jedem Win32-Client erfolgen.
Basisfunktionen Die Basisfunktionen der Terminaldienste umfassen folgende Leistungen, die aus der Ferne ausgeführt werden können: • Grafische Administration von jedem Windows-Computer (Windows 9x/ME, Windows NT 4, Windows CE 2.11, Windows 2000) • Aktualisieren von Software, Server-Neustart durchführen, aufsetzen und herabstufen von Domänencontrollern • Zugriff über langsame Netzwerkverbindungen • Verschlüsselte Übertragung (128 Bit mit dem High Encryption Pack) • Ferninstallation und -ausführung von Anwendungsprogrammen einschließlich des Zugriffs auf lokale Festplatten- und Diskettenlaufwerke • Erweiterte Sicherheitsfunktionen • Keine zusätzlichen Lizenzen für den Terminalzugriff
10.3 Terminaldienste
475
• Komplexes Protokoll für den Zugriff (RDP, Remote Desktop Protocol) ermöglicht den Zugriff auf lokale Drucker, Zugriff auf die Zwischenablage und lokale Laufwerkszuweisungen.
Die Terminalmodi Von den beiden Terminalmodi ist der Applikationsdienst bereits von Applikationsdienst Windows NT 4 bekannt. Dies ist der Standardmodus. Damit können Benutzer Applikationen auf dem Server ausführen. Die dafür benötigten Funktionen umfassen: • Hohe Inanspruchnahme der Rechenleistung des Servers anstatt des Clients • Optimierung für viele parallel ablaufende Prozesse • Unterstützung für Programme, die nicht für den Einsatz mit Terminaldiensten optimiert wurden • Bestimmung der benötigten Lizenzen Diese Leistungen werden nicht benötigt, wenn mit Hilfe der Termi- Remote´naldienste nur administrative Aufgaben erfüllt werden. Mit Windows Administration 2000 wurde deshalb ein zweiter Modus eingeführt, der auf einige Funktionen verzichtet und dafür signifikante Vorteile bietet: • Geringe Inanspruchnahme der CPU • Terminaldienste beeinflussen den Server nur sehr wenig. • Der aufwändige Kompatibilitätsmodus ist abgeschaltet. • Zwei konkurrierende Sitzungen von Administratoren sind möglich, ohne dass dafür Clientlizenzen erworben werden müssen. Die Installation und Einrichtung der Terminaldienste für die Remoteadministration werden im folgenden Abschnitt beschrieben.
10.3.2
Terminalserver installieren
Den Terminalserver können Sie während der Installation von Windows 2000 als Komponente auswählen oder nachträglich installieren. Wenn keine Eingriffe in den Installationsprozess erfolgen, wird er nicht installiert.
Nachträgliche Installation Um den Terminalserver nachträglich zu installieren, gehen Sie folgen- Nachträglich installieren dermaßen vor:
476
10 Windows-Verwaltungsinstrumente 1. 2.
Öffnen Sie in der Systemsteuerung das Programm Software Klicken Sie auf WINDOWS-KOMPONENTEN
HINZUFÜGEN ODER
ENTFERNEN.
3.
Es startet der Assistent für Windows-Komponenten. Aktivieren Sie in der Liste der Komponenten TERMINALDIENSTE.
4.
Klicken Sie auf WEITER. Im nächsten Schritt stellen Sie den Modus ein: REMOTEADMINISTRATIONSMODUS.
5.
Bestätigen Sie die Liste von Applikationen, die eventuell nicht funktionieren werden. Sie können hier keine Einstellungen vornehmen.
Abbildung 10.12: Auswahl der Komponente TERMINALDIENSTE
Abbildung 10.13: Auswahl des Modus
10.3 Terminaldienste
477 Abbildung 10.14: Liste problematischer Applikationen
Die Installation läuft jetzt ab. Die Terminaldienste benötigen auch eine Speicherort der Unterstützung auf dem Client. Die entsprechende Software wird wäh- Client-Software rend des Installationsprozesses in folgendem Pfad auf dem Server abgelegt: %systemroot%\system32\clients\tsclient
Um die Installation abzuschließen und den Dienst zu starten, muss Server-Neustart erforderlich! der Server neu gestartet werden.
Installation mit dem unbeaufsichtigten Setup Beim unbeaufsichtigten Setup des Servers kann der Terminalserver ebenfalls sofort aktiviert werden. Die Datei UNATTEND.TXT sollte dafür mit folgenden Zeilen ergänzt werden: • Im Abschnitt [Components]: TSEnable = On TSClients = On TSEnable = Off deaktiviert den Terminalserver, TSClients = Off verhindert die Installation der Clientdateien.
• Im Abschnitt [TerminalServices]: ApplicationServer = 0
Der Wert 1 schaltet den Applikationsmodus ein.
Einstellen der Verschlüsselung Der Terminalserver bietet verschiedene Verschlüsselungsstufen. Damit kann der Dienst an die Netzwerkumgebung angepasst werden. Im
Ergänzung von UNATTEND.TXT
478
10 Windows-Verwaltungsinstrumente lokalen Netzwerk genügt meist die schwache 56-Bit-Verschlüsselung. Wenn Sie über das Internet administrieren müssen, sollten Sie das High Encryption Pack installieren (über die Microsoft-Website zu bekommen) und mit 128-Bit arbeiten. Die Einstellungen erreichen Sie über das Konfigurationswerkzeug der Terminaldienste: START| PROGRAMME | VERWALTUNG | TERMINALDIENSTE | TERMINALDIENSTEKONFIGURATION. Gehen Sie dann folgendermaßen vor: 1. Klicken Sie auf den Zweig VERBINDUNGEN. Dann öffnen Sie im Kontextmenü den Dialog EIGENSCHAFTEN für die erste Verbindung RDP-TCP. RDP ist das Remote Desktop Protocol.
Abbildung 10.15: Konfigurationswerkzeug der Terminaldienste
2. Öffnen Sie die Registerkarte ALLGEMEIN. 3. Wählen Sie aus der Liste VERSCHLÜSSELUNGSGRAD den Eintrag HOCH. Abbildung 10.16: Hochsetzen des Sicherheitsniveaus
10.3 Terminaldienste
479
Sie können auch über die Registerkarte NETZWERKADAPTER den Zugriff über beZugriff auf nur eine bestimmte Netzwerkkarte einschränken, wenn Ihr stimmte NetzwerkServer über mehrere dieser Karten verfügt (beispielsweise in einer karte Funktion als Netzwerkrouter). Zusätzlich lässt sich die Anzahl der maximal gleichzeitig aktiven Verbindungen einstellen.
Einrichten der Zugriffsberechtigungen Anschließend stellen Sie noch die Zugriffsberechtigungen ein. Dies erfolgt auf der Registerkarte BERECHTIGUNGEN. Sie können folgende Zugriffsrechte individuell an Benutzer und Gruppen vergeben: • VOLLZUGRIFF. Der angemeldete Benutzer hat alle Rechte. • BENUTZERZUGRIFF. Der angemeldete Benutzer hat die Rechte, sich anzumelden, Informationen zu lesen (aber nicht zu schreiben) und Nachrichten an andere Benutzer zu senden. • GASTZUGRIFF. Der angemeldete Benutzer hat nur das Recht, sich anzumelden. Diese Rechte bestimmen die prinzipielle Arbeitsweise des Benutzers einer Terminalsitzung. Für den Zugriff auf Ressourcen des Servers gelten die Rechte des Benutzerkontos, das angemeldet wird. Abbildung 10.17: Erweiterte Rechte für Terminalsitzungen
480
10 Windows-Verwaltungsinstrumente Über die Schaltfläche ERWEITERT erreichen Sie weitere Einstellungen für spezifische Rechte: • INFORMATIONEN ABFRAGEN und INFORMATIONEN FESTLEGEN Erlaubt das Abfragen oder Festlegen von Einstellungen auf dem Server. • ZURÜCKSETZEN Erlaubt dem Benutzer das Abbrechen der Sitzung ohne Abmelden. • REMOTEÜBERWACHUNG Gestattet das Überwachen und Beenden von fremden Benutzersitzungen. • ANMELDEN und ABMELDEN Das Recht, sich per Terminalclient an- oder abzumelden. • NACHRICHT Die Möglichkeit, eine Nachricht an einen anderen Terminalbenutzer zu senden. • VERBINDEN und VERBINDUNG TRENNEN Das Recht, sich mit dem Terminalserver zu verbinden oder die Verbindung wieder zu trennen. • VIRTUELLE KANÄLE Gestattet die Nutzung virtueller Kanäle. Dies sind Softwareerweiterungen (in Form von zwei DLLs, eine für den Server und eine für den Client), die die Funktionalität des Terminaldienstes erweitern.
Anmeldung automatisieren Sie können sich selbst die Arbeit erleichtern, wenn Sie die Anmeldung auf ein festes Benutzerkonto einstellen. Allerdings sollten Sie dann sicherstellen, dass Ihr Arbeitsplatz nur exklusiv genutzt wird. Wenn Sie Sitzungen für Benutzer einrichten, können Sie auch diesen zwangsweise Anmeldekonten zuordnen. So lässt sich die Administration eines Servers gut delegieren, ohne die Kontrolle völlig aus der Hand zu geben.
10.3 Terminaldienste
481 Abbildung 10.18: Vorgabe des Anmeldekontos
Wenn Sie das Kontrollkästchen KENNWORT IMMER ANFORDERN deaktivieren, wird das Anmeldefenster von Windows 2000 übersprungen und die Anmeldung erfolgt unabhängig von der Konfiguration des Clients automatisch mit dem angegebenen Konto. Wenn Sie die Gruppenrichtlinie ABMELDEN IM STARTMENÜ zulassen, wird diese zwar angezeigt, die Abmeldung trennt jedoch die Verbindung. Hier entsteht also kein Sicherheitsloch. Allerdings sollten Sie diese Richtlinie deaktivieren, damit Benutzer davon nicht irritiert werden.
Sitzungseinstellungen Der letzte Schritt der Konfiguration besteht im Einrichten der Sitzungseinstellungen. Normalerweise kann der Client konfigurieren, wie er das Sitzungsende behandelt. Sie können aber auch vom Server aus ein bestimmtes Verhalten erzwingen. Die Optionen sind vor allem sinnvoll, wenn der Terminaldienst über Wählverbindungen genutzt wird.
482
10 Windows-Verwaltungsinstrumente
Abbildung 10.19: Einrichten der Sitzungseinstellungen
Folgende Optionen sind einstellbar: • GETRENNTE SITZUNG BEENDEN Mit dieser Option legen Sie fest, nach welcher Zeit eine vom Benutzer getrennte Sitzung endgültig beendet wird. Normalerweise bleibt eine getrennt Sitzung offen und der Benutzer kann durch eine spätere Anmeldung seine Arbeit wieder fortsetzen.
• MAXIMALE SITZUNGSDAUER Mit dieser Option begrenzen Sie die Sitzungsdauer. • MAXIMALE LEERLAUFDAUER Wenn keine Ein- oder Ausgaben erfolgen, wird dies als Leerlauf betrachtet. Nimmt der Benutzer der Sitzung längere Zeit keine Zugriffe in Anspruch, wird die Verbindung getrennt. • Mit WENN
DAS
SITZUNGSLIMIT ERREICHT ODER DIE VERBINDUNG kann das Verhalten am Ende gesteuert werden. Normalerweise beendet eine Trennung die Sitzung nicht. Mit den Optionen SITZUNG TRENNEN und SITZUNG BEENDEN können Sie das Verhalten entsprechend steuern. Dieses Verhalten ist unabhängig davon, ob die Trennung durch Zeitüberschreitung oder eine Benutzeraktion ausgelöst wurde. GETRENNT WURDE,
10.3 Terminaldienste
483
Clienteinstellungen Mit den Clienteinstellungen werden Laufwerks- und Druckerzuordnungen gesteuert. Einige Optionen sind nicht verfügbar – diese können Sie nur aktivieren, wenn Citrix ICA-Clients eingesetzt werden. Abbildung 10.20: Clienteinstellungen
10.3.3
Terminaldiensteclients installieren
Zur Installation der Clients gibt es zwei Wege. Der einfache Weg geht über die Freigabe des folgenden Ordners auf dem Server: %systemroot%\system32\clients\tsclient\net\win32
Starten Sie in diesem Ordner das Programm SETUP.EXE. Die Installation wird von einem Assistenten ausgeführt, der folgende Angaben erwartet: 1. Name und Organisation des Clients 2. Installationsordner. Als Standardziel gilt: c:\Programme\Terminaldienste Client
3. Anfangseinstellungen für Benutzer: -
JA. Installiert den Client für alle Benutzer.
-
NEIN. Installiert den Client nur für den aktuellen Benutzer.
484
10 Windows-Verwaltungsinstrumente 4. Der Client wird nun installiert.
Verbindungstest mit dem Terminaldiensteclient Den Terminaldiensteclient finden Sie unter START | PROGRAMME | TERMINALDIENSTECLIENT | TERMINALDIENSTECLIENT. Das Programm verlangt nur wenige Angaben für einen ersten Test: • SERVER. Eine Liste verfügbarer Terminalserver wird angezeigt. • AUFLÖSUNG. Sie können nur eine Auflösung auswählen, die kleiner oder gleich der Ihrer Arbeitsstation ist. In einem Fenster der gewählten Größe wird der Desktop des Servers angezeigt. • DATENKOMPRIMIERUNG AKTIVIEREN. Diese Option aktiviert die Datenkomprimierung. Dies belastet den Server etwas mehr, vermindert aber das übertragene Datenvolumen. Die Aktivierung ist dringend zu empfehlen. • BITMAPS ZWISCHENSPEICHERN. Mit dieser Option werden große Bitmapflächen gespeichert und später nicht erneut übertragen. Dies lohnt sich, wenn der Inhalt des Desktops selten wechselt. Abbildung 10.21: Terminaldiensteclient
Klicken Sie nun auf VERBINDEN, um die Verbindung herzustellen. Sie sollten dann ein Fenster mit dem Desktop des Servers oder dem Logon-Dialog sehen, je nachdem wie der Server konfiguriert wurde.
10.3 Terminaldienste
485 Abbildung 10.22: Der Server-Desktop im Fenster auf einem Client
10.3.4
Client konfigurieren
Um den Client zu konfigurieren, reichen die Einstellungen des Terminaldiensteclients nicht aus. Gehen Sie deshalb in den Clientverbindungs-Manager. Über die Funktion DATEI | NEU können Sie nun Verbindungen hinzufügen und konfigurieren. Die Eingaben erfolgen mit Hilfe eines Assistenten, der folgende Angaben verlangt: • NAME DER VERBINDUNG (darf keine Sonderzeichen enthalten) • SERVER (IP-Nummer oder DNS-Name) • AUTOMATISCHES ANMELDEN. Wenn der Server dies erlaubt, können Sie hier Anmeldename und Kennwort angeben, damit die Anmeldung automatisch erfolgt. • FENSTERGRÖßE ODER VOLLBILD. Stellen Sie ein, wie groß das Fenster sein soll, in dem der Server-Desktop erscheint. Die größte Einheit entspricht der Auflösung des Clients. • DATENKOMPRIMIERUNG UND ZWISCHENSPEICHERN VON BITMAPS. Dies sind Optimierungsoptionen, die Sie immer aktivieren sollten. • PROGRAMME AUSFÜHREN. Sie können hier ein Programm mit seinem Pfad festlegen, das beim Start ausgeführt wird.
486
10 Windows-Verwaltungsinstrumente Für die Anzeige wird die Konfiguration als Verknüpfung abgelegt. Zum Schluss können Sie ein Symbol und den Ort für die Verknüpfung festlegen.
Abbildung 10.23: Der Clientverbindungs-Manager
Die Verbindung wird mit einem Doppelklick auf das Symbol im Clientverbindungs-Manager gestartet.
Im- und Exportieren von Einstellungen Wenn Sie viele identische Clients installieren, ist es sinnvoll, auf einem die Konfiguration zu exportieren und auf allen anderen zu importieren. Die entsprechenden Funktionen finden Sie im Menü DATEI des Clientverbindungs-Managers. Es werden nur die Verbindungen exportiert, die zuvor markiert wurden.
CSN-Datei
Es wird eine CSN-Datei erzeugt, die etwa folgenden Aufbau hat: [www] WinPosStr=0,1,0,0,640,480 Expand=1 Smooth Scrolling=0 Shadow Bitmap Enabled=1 Dedicated Terminal=0 Server Port=3389 Enable Mouse=1 Disable CTRL+ALT+DEL=1 DoubleClick Detect=0 Full Screen Hotkey=3 Icon Index=0 Desktop Size ID=1 Screen Mode ID=1 Compression=1 BitmapCachePersistEnable=1 Desktop=1 Auto Connect=1 Icon File=
10.3 Terminaldienste Progman Group=Terminaldiensteclient MRU0=www AutoLogon 50=0 UserName 50=00 MaximizeShell 50=1 Password 50= 556BF05B38D952F9ED387626868CA551F70BE2C922D43BFE AEE9CA3262DA4F3100 Salt 50=3ECC2CE464F97A3509FF7A52FE4E7826341D873600 Domain 50=00 Alternate Shell 50=00 Shell Working Directory 50=00 AutoLogon=0 UserName=00 MaximizeShell=1 Password=A2E2D4F2E53086058B1CB2353858663688FF9AAA6BA 84B5F666A8C4F6231B96C00 Domain=00 Alternate Shell=00 Shell Working Directory=00 [www\Hotkey] CtrlEsc=36 AltEsc=45 AltTab=33 AltShiftTab=34 AltSpace=46 CtrlAltDelete=35 [Private Reserved Section] www=
10.3.5
Funktionen des Clients
Der Client bietet folgende Basisfunktionen: • Verbindung mit Terminalservern herstellen. • Elemente durch Ausschneiden und Einfügen aus dem Fenster Terminaldiensteclient in eine beliebige, lokal ausgeführte Anwendung verschieben. • Aus Anwendungen heraus, die auf dem Terminalserver ausgeführt werden, auf dem lokalen Drucker drucken. • Elemente durch Ausschneiden und Einfügen aus dem Fenster Terminaldiensteclient in eine beliebige, lokal ausgeführte Anwendung verschieben. • Aus Anwendungen heraus, die auf dem Terminalserver ausgeführt werden, auf dem lokalen Drucker drucken. • Eine Verbindung trennen, ohne eine Sitzung zu beenden. • Eine Verbindung trennen und die Sitzung beenden.
487
488
10 Windows-Verwaltungsinstrumente Trennen und Beenden Prinzipiell kennen Terminalsitzungen zwei Endzustände: Trennen und Beenden. Wenn Sie die Verbindung trennen, bleibt die Sitzung erhalten und laufende Programme werden weiter ausgeführt. Wenn Sie sich später erneut anmelden, setzen Sie die Sitzung fort. Beim Beenden melden Sie sich ab und schließen damit alle benutzerspezifisch ausgeführten Programme.
Zwischenablage Die Zwischenablage ist transparent, wie bei einem normalen Anwendungsfenster. Sie können also Inhalte aus dem Terminalfenster kopieren und in einen Text oder einer anderen Anwendung auf dem Client einfügen und umgekehrt. Allerdings muss dazu der Fokus gewechselt werden, damit die Umschaltung erfolgt.
Tastenkombinationen Um das Terminalfenster mit der Tastatur bedienen zu können, stehen folgende Tastenkombinationen zur Verfügung: Tabelle 10.1: Tastenkombination für Terminaldiensteclients
Tastenkombination Bedeutung Alt+Bild hoch
Programme von links nach rechts wechseln
Alt+Bild runter
Programme von rechts nach links wechseln
Alt-Einfügen
Programme in der Taskleiste durchgehen
Alt+Pos1
Startmenü anzeigen
Strg+Alt+Untbr
Wechsel zwischen Fenster und Vollbild
Alt+Enf
Kontextmenü des aktiven Programms
Strg+Alt+Minus(Num)
Holt das Bild des Clientfensters in die Zwischenablage
Strg+Alt+Ende
Dialogfeld WINDOWS 2000 SICHERHEIT
Der Fokus muss, um die Tastenkombinationen nutzen zu können, auf dem Terminalfenster stehen.
10.3 Terminaldienste
489 Abbildung 10.24: Der Dialog Windows 2000 Sicherheit im Terminalfenster
Mehrfachverbindungen Wenn Sie mehrfache Verbindungen zulassen, werden diese parallel offengehalten. Abbildung 10.25: Auswahl aus mehreren Verbindungen eines Benutzers
Nach dem Trennen erhalten Sie möglicherweise ein entsprechendes Dialogfenster, mit dem Sie die Verbindung auswählen können, die Sie erneut öffnen möchten.
10.3.6
TSAC – Advanced Terminal Services
Der Terminal Services Advanced Client (TSAC) ist ein ActiveXSteuerelement (COM-Objekt), das verwendet wird, um eine Terminalsitzung im Internet Explorer ablaufen lassen zu können. Das Steuerelement kann auch in eigene Applikationen eingebunden werden, um die Dienste eines Servers über das Internet verfügbar zu machen. Sie können die Software von folgender Adresse kostenfrei herunter- TSAC Download laden: http://www.microsoft.com/windows2000/downloads/recommended/TSAC
490 TSAC auf CD
10 Windows-Verwaltungsinstrumente Das Paket ist 318 KByte groß. Es ist außerdem auf der CD zum Service Pack 1 für Windows 2000 zu finden. Sie finden es dort in folgendem Pfad: \Valueadd\TSAC
Installation Nach dem Laden des Paketes starten Sie die Installation durch Ausführen des Programms. Sie müssen nur den Pfad zu den Beispieldateien angeben, der sich sinnvollerweise im Pfad eines Webservers befinden sollte, unterhalb INETPUB\WWWROOT also. Abbildung 10.26: Zielpfad für die TSAC-Beispieldateien
Bevor Sie eigene Experimente mit Webseiten starten, sollten Sie die Beispiele ausprobieren.
Test mit Beispieldateien Nach dem Abschluss der Installation können Sie die Beispielseite aufrufen. Starten Sie den Browser und geben Sie folgende Adresse ein, wobei Sie für <server> den Namen des Webservers angeben, auf dem der Client installiert wurde (dies muss nicht der Name der lokalen Maschine oder des zu administrierenden Servers sein): http://<server>/TSWeb
Im Browser erscheint der Anmeldebildschirm. Beim ersten Aufruf müssen Sie die Echtheit des ActiveX-Controls aus Sicherheitsgründen bestätigen.
10.3 Terminaldienste
491 Abbildung 10.27: Anmeldung per TSAC
Füllen Sie das Formular aus und klicken Sie dann auf VERBINDEN. Es erscheint eine Webseite mit dem ActiveX-Objekt und der Terminalverbindung. Bedienung und Aussehen unterscheiden sich nicht vom normalen Terminaclient.
Integration in eigene Projekte In diesem Buch wurde an mehreren Stellen auf die Möglichkeit hin- Warum Webgewiesen, die Administration mit Scripting, insbesondere mit ASP, zu administration erweitern und zu erleichtern. TSAC fügt sich nahtlos in diese Strategie wichtig ist mit ein. Der Vorteil ist die Nutzung eines Webbrowsers als Oberfläche. Damit entfällt jede Installation auf irgendeinem Client. Letztlich müssen Sie sich keine Gedanken mehr darüber machen, welche Arbeitsplätze Ihnen als Administrator zur Verfügung stehen oder ob diese aufwändig konfiguriert werden müssen. Dies ist eine große Erleichterung bei der täglichen Arbeit, weil einige Maschinen aus der Betrachtung herausfallen. TSAC besteht aus einem einzigen ActiveX-Steuerelement. An der Stel- Einbetten des le im HTML-Code einer Webseite, wo es implementiert wurde, wird Steuerelements es angezeigt. Einige wenige Parameter steuern das Verhalten. Diese Parameter können Sie per Skript erzeugen oder fest programmieren. Das folgende Listing zeigt, wie das Steuerelement eingebunden wird. Verwendet wird dazu das HTML-Tag : Terminaldienste-Verbindung mit WWW <script language="VBScript"> sub connect()
Listing 10.1: Einbetten des TSAC-Steuerelements in HTML
492
10 Windows-Verwaltungsinstrumente MsTsc.Server = "www" MsTsc.Domain= "comzept-gmbh.de" MsTsc.UserName = "Administrator" MsTsc.SecuredSettings.FullScreen = "0" MsTsc.Connect() end sub sub window_onLoad() call connect() end sub
Falls Sie Ihre Webseiten nicht im selben Verzeichnis wie die Installation unterbringen, ergänzen Sie den Pfad vom aktuellen Skript zur Datei MSTSCAX.CAB im Attribut CODEBASE. Die Einstellung der Parameter erfolgt über ein kleines, clientseitiges Skript. Die Eigenschaften des Objekts sind weitestgehend selbst erklärend: • SERVER. Name oder IP-Nummer des Webservers • DOMAIN. Domäne • USERNAME. Anmeldename • SECUREDSETTINGS.FULLSCREEN. "0" schaltet den Vollbildmodus aus, "1" dagegen an. • SECUREDSETTINGS.STARTPROGRAM. Name des Programms, das beim Verbinden gestartet werden soll. • SECUREDSETTINGS.WORKDIR. Pfad zum Arbeitsverzeichnis des Programms • SECURESETTINGSENABLED. Eigenschaft, die TRUE zurückgibt, wenn die Einstellungen vom Client überschrieben werden können.
• CONNECT(). Methode zum Verbinden mit dem Terminalserver Weitere Eigenschaften stehen beispielsweise für virtuelle Kanäle zur Verfügung, mit denen zusätzliche Funktionen mittels so genannter Plug-Ins bereitgestellt werden können. Diese Programme erhalten Sie
10.4 Telnet-Server
493
von Drittherstellern oder können Sie mit dem Windows-SDK und Visual C++ selbst programmieren.
10.4 Telnet-Server Nicht für alle Aufgaben wird die grafische Oberfläche benötigt. Wenn Sie nur auf den Prompt zugreifen möchten, sind die Terminaldienste zu langsam und umständlich. Hier eignet sich der Telnet-Server. Analog zu der von Unix bekannten Implementierung erhalten Sie einen transparenten Zugriff auf den Kommando-Prompt eines entfernten Servers.
Lizenzbestimmungen Der mitgelieferte Telnet-Server unterstützt nur zwei gleichzeitige Ver- Standardmäßig nur bindungen. Wenn Sie mehr Verbindungen benötigen, sollten Sie Tel- zwei Verbindungen netserver aus dem Add-On-Paket Microsoft Windows Services for UNIX gleichzeitig! verwenden.
10.4.1
Einrichten des Telnet-Servers
Der Telnet-Server wird über die Systemsteuerung konfiguriert. Damit Sie gleich auf die Nutzeroberfläche eingestimmt werden, läuft auch die Konfiguration des Telnet-Servers im DOS-Fenster. Den Telnet-Server finden Sie in der Systemsteuerung unter TelnetserverVERWALTUNG | TELNETSERVERVERWALTUNG. Dies ist eine Verknüpfung verwaltung mit folgendem Programm: %SystemRoot%\system32\tlntadmn.exe
Es stehen hier folgende Optionen zur Auswahl: • Diese Anwendung beenden (Option-Nr. 0) • Aktuelle Benutzer auflisten (Option-Nr. 1) • Benutzersitzung beenden... (Option-Nr. 2) • Registrierungseinstellungen anzeigen oder ändern... (Option-Nr. 3) • Dienst starten (Option-Nr. 4) • Dienst beenden (Option-Nr. 5)
494
10 Windows-Verwaltungsinstrumente Starten des Dienstes
Starten mit TLNTADMN.EXE
Bevor sich Clients per Telnet mit dem Server verbinden können, muss der Dienst gestartet werden. Wählen Sie in TLNTADMN.EXE dazu Option 4. Nach folgender Ausgabe steht der Dienst bereit: Geben Sie eine Optionsnummer [0 - 5] ein, um die Option zu wählen: 4 Der Microsoft Telnetdienst wird gestartet... Der Microsoft Telnetdienst wurde einwandfrei gestartet.
Wenn Sie den Telnet-Dienst immer bereitstellen möchten, bietet sich eher der Weg über den Dienstmanager an. Suchen Sie den Dienst Telnet in der Diensteverwaltung und stellen Sie die Option STARTTYP auf AUTOMATISCH ein. Abbildung 10.28: Starten des TelnetDienstes
Der Dienst steht nun bereit. Auf dem Client können Sie den TelnetDienst durch die Eingabe von TELNET im Feld AUSFÜHREN starten.
Registrierungseinstellungen des Telnet-Servers Konfiguration mit TLNTADMN.EXE
Sie können einige Einstellungen am Server vornehmen, die nachfolgend beschrieben werden: • ALLOWTRUSTEDDOMAIN (Option-Nr. 1) 0: Verweigert Domänenbenutzern den Zugriff (Zugriff nur für lokale Benutzer gestattet). 1: Gestattet Domänenbenutzern in Domänen mit Vertrauensstellung den Zugriff.
10.4 Telnet-Server • ALTKEYMAPPING (Option-Nr. 2) Aktiviert die Funktionen der ALT-Taste (nur bei TerminalEmulation VT100). 0: Strg-A wird entsprechend als Strg-A interpretiert. 1: Strg-A wird als ALT interpretiert. • DEFAULTDOMAIN (Option-Nr. 3) DEFAULTDOMAIN kann jede Domäne sein, für die eine Vertrauensstellung zum Computer besteht. Wenn ALLOWTRUSTEDDOMAIN auf 1 gesetzt ist und Sie die lokale Domäne als Standard verwenden möchten, legen Sie den Wert "." fest. • DEFAULTSHELL (Option-Nr. 4) Gibt den Pfad für die Shellinstallation aus. Der Standardwert ist: %systemroot%\System32\Cmd.exe /q /k
• LOGINSCRIPT (Option-Nr. 5) Gibt den Pfad für das Telnetserver-Anmeldeskript aus. Mit Hilfe dieses serverspezifischen Anmeldeskripts kann der Administrator festlegen, dass bestimmte Funktionen für die einzelnen Benutzer ausgeführt werden sollen. Der Standardpfad lautet: %systemroot%\System32\login.cmd
• MAXFAILEDLOGINS (Option-Nr. 6) Gibt die höchstzulässige Anzahl an fehlgeschlagenen Anmeldeversuchen an, nach denen die Verbindung abgebrochen wird. Der Standardwert ist 3. • NTLM (Option-Nr. 7) 0: Kein Einsatz der NTLM-Authentifizierung. Für den Aufbau von Verbindungen zu und von anderen Betriebssystemen. 1: Versucht als Erstes die NTLM-Authentifizierung. Falls dies nicht zum gewünschten Ergebnis führt, verwenden Sie einen Benutzernamen und ein Kennwort. Für den Aufbau von Verbindungen zwischen Computern, auf denen Windows NT oder Windows 2000 ausgeführt wird, und Computern mit anderen Betriebssystemen. 2: Verwendet ausschließlich die NTLM-Authentifizierung. Für Verbindungen zwischen Computern mit Windows NT oder Windows 2000 am besten geeignet und zugleich der Standardwert. • TELNETPORT (Option-Nr. 8) Zeigt den Anschluss an, über den der Telnetserver die Telnetanforderungen empfangen soll. Der Standardport ist 23. Die Änderung kann aus Sicherheitsgründen erfolgen.
495
496
10 Windows-Verwaltungsinstrumente
10.4.2
Der Telnet-Client
Der Telnet-Client von Windows 2000 stellt folgende Befehle zur Verfügung: •
CLOSE.
•
DISPLAY.
•
OPEN <server>.
•
QUIT.
•
SET.
Trennt die aktuelle Verbindung. Zeigt die aktuellen Befehlsparameter an. Stellt Verbindung zu <server> her.
Beendet Telnet.
Legt die folgenden Optionen fest:
-
NTLM . Aktiviert die NTLM-Authentifizierung.
-
LOCAL_ECHO. Schaltet das lokale Echo ab.
-
TERM x. Legt die Terminalemulation fest, für x können Sie
ANSI, VT100, VT52 oder VTNT einsetzen. -
Arbeit mit dem Prompt
CRLF. Sendet bei Enter sowohl CR als auch LF.
•
STATUS.
•
UNSET.
Zeigt Statusinformationen an.
Hebt Optionsfestlegungen auf, die mit set gesetzt wurden bzw. kehrt deren Bedeutung um (außer TERM).
Um eine Verbindung herzustellen, starten Sie das Telnet-Programm. Anschließend sehen Sie den Telnet-Prompt, wo Sie die oben bereits gezeigten Kommandos verwenden können. Geben Sie am Prompt Folgendes ein: open <server>
Direkter Aufruf
Alternativ können Sie auch hinter dem Namen TELNET den Hostnamen und die Portnummer (wenn sie geändert wurde) angeben: c:>telnet <server> port
Abbildung 10.29 zeigt die Nutzung des Telnet-Prompts. Abbildung 10.29: Öffnen einer TelnetVerbindung
10.5 Einführung in Scripting Sie werden nun nach dem Login-Namen und dem Kennwort gefragt. Hier kann jeder unter Windows 2000 bzw. Active Directory zulässige Benutzername angegeben werden. Danach sind Sie mit der Serverkonsole verbunden. Sie können hier so arbeiten, als säßen Sie lokal am Server.
10.5 Einführung in Scripting An vielen Stellen in diesem Buch werden Sie mit Skripten konfrontiert – meist als Anregung zur Vereinfachung der Administration gedacht. Dabei stehen grundsätzlich zwei Welten und eine Vielzahl von Skriptsprachen zur Auswahl. Diese Einführung zeigt die Möglichkeiten und begründet, warum die Wahl einer bestimmten Skriptumgebung getroffen wurde.
10.5.1
Einführung in Script-Technologien
Scripting unter Windows war lange Zeit ein sehr unbeliebtes Thema. Außer der Verarbeitung von Stapelverarbeitungsdateien gab es nicht viel zu programmieren. Um diesen Missstand zu beheben, wurden mehrere Skriptumgebungen geschaffen, die in verschiedenen Bereichen zum Einsatz kommen. Diese nun existierende Vielfalt macht es nicht besonders einfach, sich mit dem Skripting anzufreunden. Dabei bieten sich viele Einsatzmöglichkeiten wie beispielsweise die Einrichtung hunderter Benutzer aus einer Excel-Tabelle heraus. An vielen Punkten bei der Benutzerverwaltung lassen sich Skripte verknüpfen. Aber welche Art von Skripten sind dies und wo kommen sie her?
Was eine Skriptsprache auszeichnet Skriptsprachen sind beliebt, weil sie einfacher als Programmierspra- Skript- versus chen gehandhabt werden können. Sie zeichnen sich durch bestimmte Programmiersprachen Eigenschaften aus: • Programmierung ohne weitere Vorbereitung: Editor öffnen, Skript eintippen, speichern, ausführen. Es sind keine Compiler, Linker, Entwicklungsumgebungen usw. notwendig. • Die Sprache wird generell interpretiert. Dies macht die Ausführung zwar langsam, aber auch sehr robust und einfacher programmierbar.
497
498
10 Windows-Verwaltungsinstrumente • Die Syntax ist einfach. Gegenüber richtigen Programmiersprachen fehlen viele Befehle oder sind vereinfacht. Anfänger kommen sehr schnell zu ersten Erfolgen. • Datentypen sind nicht oder schwach ausgebildet. Um Datentypen müssen Sie sich kaum Gedanken machen, Deklarationen fehlen oder sind optional. • Hohes Maß an Abstraktion. Viele komplexe Dinge wie Zeiger fehlen ganz, ebenso müssen Sie sich nicht um das Speichermanagement kümmern. • Erweiterbares Konzept. Skriptsprachen können fast immer durch Hinzufügen von Modulen an eine bestimmte Aufgabe sehr gut angepasst werden. Ein Beispiel ist die Makroprogrammierung von Word oder Excel, wo ein bestimmtes Anwendungsprogramm bedient werden kann. Zusammenfassend zeichnen Skriptsprachen also zwei grundlegende Eigenschaften aus: • Einfachheit • Anpassbarkeit
Umfangreiche Möglichkeiten
Es gibt fast nichts, was man mit Scripting unter Windows nicht automatisieren kann. In vielen Fällen ist dies auch ausgesprochen einfach. Dieser Komfort hat natürlich seinen Preis. Eine komfortable Fehlersuche, wie es richtige Debugger von Programmiersprachen erlauben, ist kaum möglich. Außerdem ist der Ressourcenbedarf sehr hoch und damit die Laufzeit komplizierter Skripte teilweise erheblich. Dafür können Sie mit wenigen Zeilen Code viel erreichen.
ScriptingKomponenten
Scripting unter Windows besteht aus mehreren Bausteinen:1: • ActiveX Scripting Hosts. Dies sind Ablaufumgebungen für Skripte, normalerweise EXE- oder DLL-Programme, die Skriptdateien aufnehmen und zur Abarbeitung einer Scripting Engine übergeben. Der Host selbst realisiert keine bestimmte Skriptsprache. • ActiveX Scripting Engine. Dieser Teil stellt einen spezifischen Sprachinterpreter bereit, eine solche Engine existiert also für VBScript, JScript usw. • COM-Komponenten. Diese Komponenten erweitern die Skriptumgebung um bestimmte Funktionen, die einem bestimmten Zweck dienen.
1
Diese Trennung weisen nicht alle Umgebungen für Scripting auf. Unter Unix wird dies oft zusammengefasst.
10.5 Einführung in Scripting
499
Skriptsprachen unter Windows können durch COM-Objekte erwei- COM tert werden. COM steht für Component Object Model und ist Microsofts Komponentenmodell. Oft kommt in diesem Zusammenhang auch der Begriff ActiveX vor. Dies ist nur ein Teil der COMArchitektur und eher als Marketingbegriff aufzufassen. COM-Komponenten erlauben beispielsweise den Zugriff auf die Windows 2000-Benutzerdatenbank, auf das Active Directory oder auch auf die Funktionen des Internet Information Servers.
10.5.2
Die Scripting-Hosts
Windows 2000 bietet verschiedene Skriptumgebungen, von denen die WSH ASP folgenden besonders wichtig sind: • WSH – Windows Scripting Host • ASP – Active Server Pages Einige andere treffen Sie bei bestimmten Produkten an: • Server-Agent im SQL Server • Event Scripting Agent im Exchange Server • DHTML Scripting im Internet Explorer • Installer Scripts im Windows Installer VBA – Visual Basic für Applications ist übrigens noch kein universeller Skripting Host. Word-Makros können deshalb nicht direkt auf Active Directory zugreifen, um eine mögliche Anwendung zu nennen. Mit der nächsten Version von MS Office dürfte das jedoch auch möglich sein. Außerdem könnten Sie dann in Word die Skriptsprache von VBScript auf JScript oder sogar auf Perl umstellen können – alle Scripting Hosts erlauben dies. Unter Windows 2000 steht Ihnen der neueste Windows Scripting Host Windows Scripting (WSH) zur Verfügung, der mit VBScript 5 und JScript 5 programmiert Host werden kann. WSH bietet zwei Interpreter, einen für die Ausführung auf der Windows-Oberfläche mit Interaktionsmöglichkeit und einen für die Ausführung an der Konsole, wo die Interaktionsmöglichkeit optional ist. ASP ist die Skriptumgebung für den Internet Information Server. Da- Active Server mit lassen sich dynamische Webseiten programmieren und es besteht Pages Zugriff auf die Skriptumgebung mit Hilfe eines Browsers. Die ausgegebenen Daten werden dabei als HTML-Code dargestellt und können auch auf anderen Betriebssystemen und über das Internet gelesen werden.
500
10 Windows-Verwaltungsinstrumente Active Server Pages Für die Programmierung von Windows eignet sich ASP am ehesten. Dies ist in mehreren Punkten begründet: • Darstellung der Oberfläche in HTML -
Einfach zu programmieren
-
Sehr universell erweiterbar
-
Praktisch mit jedem Browser zu lesen
• ASP ist bei Windows 2000 Server standardmäßig installiert • Umfangreiche Sicherheitsmaßnahmen sind integrierbar: -
Verschlüsselte Verbindungen mit SSL
-
Verwendung spezieller Portnummern
-
Sperrung von IP-Adressen, von denen der Zugriff erfolgt
-
Windows 2000-Authentifizierung möglich
-
Differenzierter Schutz bis auf Skriptebene
• Außer VBScript auch JScript und Perl nutzbar Insgesamt sprechen also einige Gründe dafür, ASP zu verwenden. Skripte können Sie mit jedem Editor, auch Notepad schreiben. Wird viel HTML programmiert, ist ein entsprechend spezialisiertes Werkzeug zu empfehlen, beispielsweise HomeSite oder FrontPage. ASP ist auch im Hinblick auf die Netzwerkfähigkeit und die Entwicklung eines Intranets klar zu favorisieren. Praktisch können Sie damit alle COM-Komponenten über das Netz zur Verfügung stellen. Dies geht mit WSH nicht.
Windows Scripting Host Anmeldeskripte und einfache Automatisierungsskripte, die Sie an der Konsole aufrufen, sind die Domäne des WSH. Solche Skripte laufen im Hintergrund ab und erledigen einfache Routineaufgaben. Oft werden damit Stapelverarbeitungsdateien abgelöst. Im Gegensatz zu der rudimentären Programmierung unter DOS stehen immerhin richtige Schleifenbefehle und eine simple Fehlerbehandlung zur Verfügung. Damit können Skripte für mehrere Umgebungen universeller zur Verfügung gestellt werden. Leider stellt WSH keine Möglichkeit zur Gestaltung von Formularen bereit. Lediglich einfache Antwortdialoge, auf die mit OK oder Abbre-
10.5 Einführung in Scripting
501
chen reagiert werden kann, sind hier möglich. Damit scheidet der Einsatz beim Scripting für Anwender praktisch aus. WSH-Skripte sind dort anzutreffen, wo es nicht auf Ausgaben an- Anwendungskommt. Das folgende Skript zeigt beispielhaft die Möglichkeiten. Es beispiel löscht – ohne weiteren Kommentar ohne Rückfrage – den Inhalt des Temp-Verzeichnisses. Weil dies auf jedem System woanders liegen kann, wird aus Umgebungvariablen ermittelt: on error resume next Set objWSH = CreateObject("WScript.Shell") ’ ** Temporäres Verzeichnis ermitteln for each strEnv in objWSH.Environment arrEnv = split(strEnv, "=") if arrEnv(0) = "TEMP" then strTempDir = objWSH.ExpandEnvironmentStrings(arrEnv(1)) exit for end if next ’ ** Alles in diesem Verzeichnis löschen Set objFO = CreateObject("Scripting.FileSystemObject") Set objF = objFO.GetFolder(strTempDir) for each strFile in objF.Files strFile.Delete(TRUE) next for each strFile in objF.SubFolders strFile.Delete(TRUE) next on error goto 0
Listing 10.2: Löschen des TempVerzeichnisses mit einem WSH-Skript
Das Skript nutzt zwei Bibliotheken: Mit der Runtime-Bibliothek Wie es funktioniert WScript erfolgt der Zugriff auf Systemkomponenten. Die ScriptingBibliothek bietet das FileSystemObject-Objekt, das Zugriffe auf Dateien und Ordner erlaubt. Die Methode objWSH.Environment gibt ein Objekt mit den Umgebungsvariablen zurück. Daraus wird die Umgebungsvariable mit dem Namen TEMP ermittelt. Mit ExpandEnvironmentStrings wird dann aus der Systemvariablen %windir% der physische Pfad ermittelt – dieses Skript würde also auf jedem Windows 2000 funktionieren, egal wie es konkret installiert wurde. Dann wird alles in diesem Verzeichnis gelöscht. Delete(TRUE) erzwingt das Löschen auch für schreibgeschützte Dateien ohne jede Rückfrage. Wenn Sie das nicht wünschen, setzen Sie Delete(FALSE) ein. Wie gelangt ein solches Skript zum Einsatz? Eine sinnvolle Anwen- Wie einsetzen? dung wäre der Einbau in Benutzerprofile. Im Active Directory steht dafür eine passende Gruppenrichtlinie zur Verfügung. Auf Gruppenrichtlinien und deren Verwendung geht Abschnitt 6.7 Gruppenrichtlinien ab Seite 355 detailliert ein. Speichern Sie dieses Skript unter dem Namen DELETMPDIR.VBS in einer Gruppenrichtlinie unter Logoff-Skripte. Die Dateierweiterung VBS sichert die Verknüpfung mit dem WSH und legt die Skriptsprache VBScript fest.
502
10 Windows-Verwaltungsinstrumente
Abbildung 10.30: Logoff-Skript in eine Gruppenrichtlinie einbinden
Wenn der Benutzer, für den diese Gruppenrichtlinie gilt, sich vom System abmeldet, wird das Skript ausgeführt und »räumt« das TempVerzeichnis auf. Wenn wie im Beispiel die Abarbeitung beim Abmelden erfolgt, zeigt Windows einen entsprechenden Dialog an. Manchmal werden die Skripte aber so schnell abgearbeitet, dass dies nicht zu erkennen ist. Fügen Sie dann eine Zeile ein, die eine Ausgabe erzwingt, beispielsweise: msgbox (“Skript erfolgreich abgearbeitet“)
Die folgende Abbildung zeigt dann, dass die Verarbeitung des Skripts korrekt erfolgt. Nach dem Test entfernen Sie die Zeile wieder. Abbildung 10.31: Abarbeitung eines WSH-Skripts beim Abmelden (Ausschnitt aus dem Abmeldebildschirm)
Die Ausgabe erfolgt natürlich auf der Workstation, für die die Skripte gelten bzw. wo der betroffene Benutzer arbeitet, nicht am Server.
10.5 Einführung in Scripting
503
Einsatz in diesem Buch In diesem Buch haben wir fast immer für ASP entschieden. Dabei wurde auf den umfangreichen Einsatz von HTML aber bewusst verzichtet. Die Skripte sind so einfach wie möglich gehalten, um leichter nachvollziehbar zu sein. Generell geht es auch nur um die Aussage »Ja, hier lohnt sich Scripting« und um eine Anregung, wie der Einsatz erfolgt. Eine ausführlichere Darstellung finden Sie auch im Band III Internet Information Server 5, wo es um die optimale Nutzung des IIS 5 geht. In den meisten Fällen ist eine Interaktion erwünscht. Dies ist mit ASP Stille Skripte und einfacher zu programmieren. Wenn Sie dagegen »stille« Skripte benö- die Dateiertigen, setzen Sie WSH ein. Im Prinzip wird dies nur mit Hilfe der Da- weiterungen teierweiterung gesteuert. Einige Beispiele finden Sie nachfolgend: • .VBS kennzeichnet ein VBScript-Skript für den WSH. • .JS ist die Erweiterung für ein JScript-Skript für den WSH. • .ASP erreicht den Active Server Pages-Host; die Steuerung der Skriptsprache erfolgt über den IIS oder Befehle im Skript. Standardmäßig wird VBScript eingesetzt. • .ASPX startet die ASP.NET-Umgebung; hier stehen als Sprachen Visual Basic.NET (vormals VB 7) und C# zur Verfügung. Dies ist standardmäßig nicht in Windows 2000 verfügbar. • .BAT startet die Kommandozeilenumgebung (Stapelverarbeitungsdateien).
10.5.3
Aufbau der Skripte
Dieser Abschnitt erklärt die Zusammenhänge zwischen VBScript und HTML und gibt eine Anleitung zum Erstellen einer ASP-Anwendung. Anhand einiger Beispiele soll ein Gefühl für Aussehen und Struktur des Quelltextes vermittelt werden.
ASP: VBScript und HTML ASP-Skripte sind normalerweise in HTML-Seiten eingebettete Befehls- Prinzip der ASPfolgen. Wenn diese Datei dann die Endung .ASP erhält, entsteht eine Skripte ASP-Datei. Innerhalb der HTML-Quelltexte kann die Skriptsprache sowohl innerhalb von HTML-Tags als auch als eigenständige Befehlssequenz angeordnet werden. Umgekehrt können auch die Strukturen der Skriptbefehle unterbrochen und mit HTML-Befehlen oder Text durchsetzt werden. Diese fast beliebige Vermischung führt zwar mitunter zu verwirrenden Codes, bietet aber eine hohe Leistungsfähigkeit
504
10 Windows-Verwaltungsinstrumente und direkte Programmierung. Die Verwendung von HTML ist kein Zwang. Sie können auch reine VBScript-Skripte schreiben. VBScript und andere Skriptsprachen bieten sowohl einfache Befehle als auch komplette Statements an, wie die Abfrage einer Bedingung IF...THEN...ELSE. Das komplette Konstrukt bildet eine Einheit. THEN kann nie ohne ein davor geschriebenes IF auftreten. Ein Beispiel: =#12:00:00# AND time
Je nach Inhalt der Variablen time wird der Variablen gruss der entsprechende Text zugeordnet. Die Ausgabe innerhalb der HTML-Seite kann nun durch Abruf der entsprechenden Variablen erfolgen:
Wenn der Nutzer die Datei mit seinem Browser morgens anfordert, wird er mit dem Satz „Guten Morgen“ begrüßt. Die ermittelten Werte müssen nicht in Variablen gespeichert und anderswo ausgegeben werden, denn ASP ist bei der Vermischung von Skript und HTML sehr flexibel. Denselben Effekt wie im ersten Beispiel kann man auch einfacher erreichen: =#12:00:00# AND time Guten Abend Guten Morgen
Ein Statement lässt sich also in seine Bestandteile zerlegen und mit dem HTML-Text mischen. Das führt zwar nicht zu einer übersichtlichen Struktur der Skripte, erhält aber die Struktur der HTML-Tags. Sie sollten sich für die eine oder andere Variante entscheiden, je nachdem ob der Schwerpunkt der Applikation das Skript oder das Layout der Seite ist. Komplexe Skripte sollten an den Anfang der Seite gestellt, die Steuerung von HTML-Tags dagegen in der gezeigten Form direkt im BODY der Seite untergebracht werden. Die Grundstruktur einer HTML-Seite
Die ASP-Engine bearbeitet die zugewiesenen Seiten von oben nach unten (mit einer Einschränkung, die gleich erläutert wird). HTMLSeiten haben normalerweise folgende Grundstruktur:
10.5 Einführung in Scripting <TITLE>Das ist der Titel Das ist der Text
ASP-Skripte können sowohl im HEAD- als auch im BODY-Teil stehen. Alle Befehle, die im HEAD-Teil stehen und ausgeführt werden, führen allerdings nicht zur Anzeige im Browser. Der Browser zeigt nur Daten an, die im BODY-Teil stehen. Manchmal ist es aber wichtig, dass Teile der Skripte vor dem Aufbau der Seite ausgeführt werden. Diese Skripte bringen Sie im HEAD-Teil unter, da dieser Teil zuerst ausgeführt wird.
Aufruf der Skripte Um die ASP-Skripte ausführen zu können, gehen Sie folgendermaßen vor: • Legen Sie unterhalb des Verzeichnisses \inetpub\wwwroot ein weiteres Verzeichnis an, das Sie zum Experimentieren nutzen; beispielsweise ist der vollständige Pfad dann: c:\inetpub\wwwroot\exper
• Rufen Sie dann im Browser folgende Adresse auf: http://<server>/exper/<skript.asp>
Dabei ersetzen Sie <SERVER> durch den Namen oder die IPAdresse des Servers. Anstatt <SKRIPT.ASP> schreiben Sie den Namen Ihrer Skriptdatei – nur die Erweiterung muss .ASP heißen. Das folgende Listing ist ein guter Test für ASP:
“ASP-Version: “ ScriptEngineMajorVersion "." ScriptEngineMinorVersion
Speichern Sie das Skript unter dem folgenden Pfad: %systemroot%\inetpub\wwwroot\test.asp
Abbildung 10.32 zeigt den Aufruf im Browser und die Ausgabe.
505
506
10 Windows-Verwaltungsinstrumente
Abbildung 10.32: ASP-Skript in Aktion
WSH: Aufbau und Aufruf eines Skripts Da hier der Host direkt angesprochen wird, ist der Aufbau an keine Konventionen gebunden. Eine Dialogbox wird mit einer einzigen Zeile erzeugt und diese steht allein in einer Datei: msgbbox(“Test“)
Speichern Sie diese Zeile unter TEST.VBS und starten Sie das Skript mit einem Doppelklick. Die Dialogbox erscheint und nach dem Klick auf OK endet das Skript. Abbildung 10.33: Das kleinste WSHSkript in Aktion
10.5 Einführung in Scripting
Kapitel 11 Administration der Massenspeicher
11.1
Die Verwaltungswerkzeuge im Überblick.... 509
11.2
Die Datenträgerverwaltung im Detail............ 511
11.3
Basisfestplatten einrichten ............................... 514
11.4
Dynamische Festplatten einrichten ................ 519
11.5
Fehlertolerante Datenspeicher einrichten ..... 526
11.6
Verwaltung von Wechselmedien .................... 531
11.7
Datenträger formatieren.................................... 546
11.8
Umwandeln von FAT/FAT32 in NTFS........... 551
11.9
Datenträgerzugriff ändern................................ 553
11.10 Erweiterte NTFS-Attribute ............................... 557 11.11 NTFS-Zugriffsrechte einstellen....................... 563 11.12 Weitere Eigenschaften von Datenträgern ...... 570 11.13 Indexdienst einrichten....................................... 577 11.14 DFS einrichten und verwalten......................... 597
507
508
10 Windows-Verwaltungsinstrumente
11.1 Die Verwaltungswerkzeuge im Überblick
11 Administration der Massenspeicher In diesem Kapitel wird detailliert die Einrichtung und Verwaltung von Massenspeichersystemen für Windows 2000 Server behandelt. Dabei werden die Administrationswerkzeuge vorgestellt und die einzelnen Schritte bei der Einrichtung praxisnah erläutert. Wichtig für das volle Verständnis der Administrationsfunktionen ins- Grundlagen in besondere von Festplatten sind genaue Kenntnisse über die neue Da- Kapitel 3 tenträger-Technologie von Windows 2000 bezüglich der Basisfestplatten und Dynamischen Festplatten. Es empfiehlt sich, vor einer Einrichtung der Festplatten die Grundlagen in Kapitel 3 Massenspeicher ab Seite 53 zu lesen. Das berifft auch die Einrichtung und Verwaltung von Wechselmedien, welche sich ebenfalls im Vergleich zum Vorgänger grundlegend verändert haben.
11.1 Die Verwaltungswerkzeuge im Überblick Für die Verwaltung der Massenspeichersysteme wie Festplatten oder Wechseldatenträger sowie für Einrichtung und Wartung der logischen Datenträger bringt Windows 2000 eine Reihe von Systemwerkzeugen mit. Dabei können Sie den größten Teil der Aufgaben mit komfortablen grafischen Werkzeugen erledigen. Einige Tools gibt es auch als Kommandozeilenprogramme, die sich insbesondere für den Einsatz in Stapelverarbeitungsdateien oder remote über Telnet (siehe auch Abschnitt 10.4 Telnet-Server ab Seite 493) eignen.
11.1.1
Grafische Verwaltungswerkzeuge
Unter Windows 2000 sind die grafischen Verwaltungswerkzeuge für die Speichersysteme Ihres Computers wie Festplatten und Wechseldatenträger in die vorgefertigte Managementkonsole COMPUTERVERWALTUNG integriert. Am einfachsten erreichen Sie diese, indem Sie im Kontextmenü von ARBEITSPLATZ (über die rechte Maustaste) den Punkt VERWALTEN wählen. Sie können aber auch über das Startmenü PROGRAMME | VERWALTUNG | COMPUTERVERWALTUNG gehen. In der COMPUTERVERWALTUNG finden Sie in der Strukturansicht unter DATENSPEICHER eine Reihe wichtiger Snap-Ins, die Sie für die Administration der Speichermedien nutzen können: • DATENTRÄGERVERWALTUNG Die Datenträgerverwaltung ist das zentrale Werkzeug für die Einrichtung und Wartung der physischen und logischen Datenträger.
509
510
11 Administration der Massenspeicher • DEFRAGMENTIERUNGSPROGRAMM Mit Hilfe dieses integrierten Programms des Herstellers Executive Software International Inc. können Sie Datenträger defragmentieren. Die Defragmentierung von Datenträgern wird in Abschnitt 4.3.4 Defragmentierungsverfahren und -strategien ab Seite 115 behandelt. • LOGISCHE LAUFWERKE Dieses Snap-In ermöglicht einen beschränkten Zugriff auf die definierten logischen Laufwerke. Sie können damit nur Datenträgerbezeichnungen und Sicherheitseinstellungen ändern. • WECHSELMEDIEN Unter Wechselmedien ist eine Reihe nützlicher Werkzeuge für die Verwaltung aller Arten von Wechselspeichermedien (wie Magnetbänder und optische Speichermedien) und der dazugehörigen Hardwarekomponenten vereinigt (siehe dazu auch Abschnitt 11.6 Verwaltung von Wechselmedien 531).
11.1.2
Kommandozeilen-Tools
Die folgende Tabelle enthält alle Kommandozeilen-Tools für die Verwaltung und Einrichtung von Datenträgern beziehungsweise für die Nutzung spezieller Funktionen des NTFS-Dateisystems. Nicht alle Tools sind nur für die Nutzung durch Administratoren bestimmt; allerdings werden sich die wenigsten normalen Benutzer mit Kommandozeilenoptionen herumschlagen wollen. Deshalb sind hier alle wichtigen Tools aufgeführt, die Sie unter Windows 2000 für Administrationsarbeiten auf Datenträgern nutzen können. Dazu gibt es für jedes Tool den Verweis auf die Seite, auf der dieses näher erläutert wird. Tabelle 11.1: KommandozeilenTools im Überblick und wo sie beschrieben werden
Name
Funktion
Seite
CACLS.EXE
Ändert Zugriffsberechtigungen von Dateien und Ordnern (NTFS)
568
CHKDSK.EXE
Dient der Fehlersuche und –behebung auf Datenträgern
572
CIPHER.EXE
Ermöglicht die Ver- und Entschlüsselung von Dateien und Ordnern (NTFS)
561
COMPACT.EXE
Ermöglicht die Komprimierung und Dekomprimierung von Dateien und Ordnern (NTFS)
558
11.2 Die Datenträgerverwaltung im Detail Name
Funktion
CONVERT.EXE
Konvertiert einen FAT-Datenträger zu NTFS
MOUNTVOL.EXE Ermöglicht die Erstellung und Löschung von Bereitstellungspunkten
511 Seite 552 555
11.2 Die Datenträgerverwaltung im Detail Das grafische Dienstprogramm DATENTRÄGERVERWALTUNG erlaubt Ihnen die Administration der Datenträger Ihres Computersystems oder eines Fremdsystems, welches über eine Netzwerk- oder DFÜVerbindung erreichbar ist. Die Anwendung ist als Managementkonsolen-Snap-In aufgebaut und ersetzt den alten Festplattenmanager von Windows NT.
11.2.1
Funktionsumfang der Datenträgerverwaltung
Die folgenden Administrationsaufgaben können Sie mit Hilfe der Datenträgerverwaltung auf einem Windows 2000-Serversystem durchführen: • Abruf von Informationen über alle physischen und logischen Datenträger • Neues Einlesen der Datenträgerkonfiguration nach Entfernen oder Hinzunahme externer Geräte ohne Neustart • Überprüfung und Reparatur von Datenträgern • Einrichtung und Änderung von Sicherheitseinstellungen für den Zugriff auf Datenträger • Einrichtung und Löschung von Partitionen und logischen Laufwerken auf Basisfestplatten • Umwandlung von Basisfestplatten in dynamische Festplatten und umgekehrt • Erstellung, Erweiterung und Löschung von Einfachen Datenträgern auf dynamischen Festplatten • Erstellung, Erweiterung und Löschung von Übergreifenden Datenträgern auf dynamischen Festplatten • Erstellung und Löschung von Stripesetdatenträgern auf dynamischen Festplatten
512
11 Administration der Massenspeicher • Löschung von unter Windows NT erstellten Datenträgersätzen, Stripe Sets und Mirror Sets • Erstellung und Löschung von Spiegelsätzen auf dynamischen Festplatten • Erstellung und Löschung von RAID 5-Datenträgern auf dynamischen Festplatten
11.2.2
Aufbau der Benutzeroberfläche
Die grafische Oberfläche der Datenträgerverwaltung erlaubt Ihnen eine sehr einfache Anwendung der vielfältigen Funktionen dieses Programms. Abbildung 11.1: Benutzeroberfläche der Datenträgerverwaltung
Ansichten einstellen
Im oberen Fensterteil werden standardmäßig die logischen Datenträger dargestellt, im unteren erscheint die grafische Ansicht der physischen Datenträger. Diese Anordnung können Sie aber frei nach Ihren Bedürfnissen verändern. Über ANSICHT | ANZEIGE OBEN und ANZEIGE UNTEN lassen sich die Fensterbereiche einrichten als: • Liste der Festplatten • Liste der Datenträger • Grafische Ansicht
11.2 Die Datenträgerverwaltung im Detail
513
Die Größe der Anzeigenbereiche lässt sich einfach mit Hilfe der Maus einstellen. Der untere Bereich kann auch ganz ausgeblendet werden. Über ANSICHT | ALLE LAUFWERKPFADE sehen Sie die eingerichteten Laufwerkpfade Bereitstellungspunkte, auch Laufwerkpfade genannt, über die logische anzeigen Datenträger in einem anderen NTFS-formatierten Datenträger eingebunden sind (siehe auch Abschnitt 11.9 Datenträgerzugriff ändern ab Seite 553). Abbildung 11.2: Anzeige der Laufwerkpfade
Die grafische Ansicht eignet sich hervorragend zur Einrichtung und Grafische Ansicht Verwaltung der physischen und logischen Datenträger. Sie sehen hier anpassen auf einem Blick, welchen Typ die Festplatte hat und welche Arten von Datenträgern eingerichtet oder wo freie Bereiche verfügbar sind. Die grafische Ansicht können Sie über das Hauptmenü ANSICHT | EINSTELLUNGEN hinsichtlich der verwendeten Farben und grafischen Skalierung frei anpassen. Die Funktionen für die Administration eines Objekts erreichen Sie ü- Objektfunktionen ber das entsprechende Kontextmenü (rechte Maustaste) oder über das Hauptmenü VORGANG | ALLE TASKS. Es werden nur die für den konkreten Kontext gültigen Funktionen angezeigt, nicht verfügbare Funktionen sind hellgrau dargestellt.
11.2.3
Datenträger aktualisieren und neu einlesen
Haben Sie in ein Wechselplattenlaufwerk einen neuen Datenträger Aktualisieren eingelegt oder nur über den Auswurfknopf des Laufwerks entfernt, wird dies nicht sofort automatisch in der Datenträgerverwaltung berücksichtigt. Über das Hauptmenü VORGANG | AKTUALISIEREN lösen Sie manuell den Aktualisierungsvorgang der Software aus und die Liste der Datenträger entspricht wieder dem momentanen Stand. Wird die Datenträgerkonfiguration während des Betriebes geändert, Festplatten neu kommen beispielsweise externe SCSI-Datenträger hinzu oder werden einlesen entfernt, können Sie ohne Neustart die Datenträgerliste aktualisieren. Gehen Sie dazu im Hauptmenü auf VORGANG | FESTPLATTEN NEU
514
11 Administration der Massenspeicher EINLESEN.
Dieser Vorgang führt neben der oben beschriebenen Aktualisierung auch ein Neueinlesen aller verfügbaren Bussysteme (SCSI, IDE etc.) durch und dauert dadurch etwas länger.
11.3 Basisfestplatten einrichten Basisfestplatten unter Windows 2000 entsprechen in ihrem Aufbau den Festplatten in anderen Betriebssystemen. Sie können diese Festplatten in Partitionen und logische Laufwerke einteilen. Ausführlich werden der grundlegende Aufbau von Basisfestplatten und ihre Unterschiede zu den dynamischen Festplatten in Abschnitt 3.1 Das Volume Management auf Seite 53 behandelt.
11.3.1 NT: Festplattenmanager
Partitionierungswerkzeuge
Unter Windows NT steht für die Partitionierung der Festplattenmanager zur Verfügung. Dieser umfasst neben der Partitionierung auch weitere Funktionen wie beispielsweise das Formatieren oder das Umbenennen der Laufwerksbuchstaben.
Abbildung 11.3: Festplattenmanager von NT 4.0
Mit Hilfe des Festplattenmanagers von NT können Sie Partitionen und logische Laufwerke in erweiterten Partitionen anlegen, ohne dass ein Neustart erforderlich wird. Möchten Sie allerdings Partitionsgruppen wie Datenträgersätze oder Stripe Sets einrichten, kommen Sie unter Windows NT um einen Neustart nicht herum.
11.3 Basisfestplatten einrichten
515 Abbildung 11.4: Die Windows 2000Datenträgerverwaltung
Das hat sich unter Windows 2000 geändert. Sie können mit der Daten- Kein Neustart mehr trägerverwaltung Partitionen anlegen sowie Datenträgersätze auf dy- unter Windows namischen Festplatten einrichten, ohne dass dazu ein Neustart not- 2000! wendig wäre. Partitionen oder logische Laufwerke können unter Windows 2000 nur auf Basisfestplatten eingerichtet werden. Sie können maximal 4 primäre Partitionen pro Festplatte anlegen. Wenn Sie noch mehr Teilbereiche benötigen, müssen Sie statt einer primären eine erweiterte Partition (statt 4 primärer dann 3 primäre und eine erweiterte) anlegen, in der Sie logische Laufwerke definieren können. Für eine maximale Ausnutzung der neuen Möglichkeiten von Windows 2000 empfiehlt sich statt der Einteilung von Basisfestplatten in mehrere Partitionen die Anlage von dynamischen Datenträgern auf dynamischen Festplatten (siehe auch Abschnitt 11.4 Dynamische Festplatten einrichten ab Seite 519).
11.3.2
Anlegen von primären und erweiterten Partitionen
Zum Anlegen einer Partition auf einem leeren Datenträger oder in einem freien Bereich wählen Sie im Kontextmenü dieses Datenträgers PARTITION ERSTELLEN.
516
11 Administration der Massenspeicher
Abbildung 11.5: Kontextmenü einer leeren Basisfestplatte Es wird der Assistent zum Erstellen von Partitionen gestartet, der Sie durch die Einrichtung führt. Abbildung 11.6: Assistent zum Erstellen von Partitionen
Partitionstyp
Wählen Sie hier aus, ob Sie eine primäre oder eine erweiterte Partition erstellen wollen.
Tabelle 11.2: Partitionstypen
Partitionstyp
Beschreibung / Einsatzzweck
Primäre Partition
Nicht weiter teilbare Einheit, in die Sie eine Festplatte gliedern können. Wollen Sie den gesamten Speicherplatz einer Festplatte am Stück nutzen, richten Sie eine primäre Partition ein. Nur eine primäre Partition kann im Übrigen als Systempartition eingerichtet werden, von der ein Betriebssystem starten kann (siehe auch Seite 57).
Erweiterte Partition
In weitere logische Laufwerke teilbare Einheit auf einer Festplatte. Sie können theoretisch beliebig viele logische Laufwerke einrichten.
Nach Auswahl des Partitionstyps können Sie im nächsten Fenster bestimmen, wie viel Speicherplatz der Partition oder dem logischen Laufwerk zugeordnet werden soll. Danach können Sie den Zugriff auf den neuen Datenträger festlegen.
11.3 Basisfestplatten einrichten
517 Abbildung 11.7: Laufwerkszugriff einstellen
Für den Zugriff auf einen Datenträger haben Sie unter Windows 2000 die folgenden beiden Möglichkeiten: • Laufwerkbuchstaben
Zugriff über LaufwerkbuchDie traditionelle Art, auf einen Datenträger zuzugreifen, stellen staben
Laufwerkbuchstaben dar. Es sind alle 26 Buchstaben des englischen Alphabets erlaubt. Zwischen Groß- und Kleinschreibung wird nicht unterschieden. • Laufwerkpfade In anderen Betriebssystemen wie beispielsweise UNIX sind so genannte Verzeichnis-Links schon lange verbreitet; in Windows 2000 werden sie Laufwerkpfade genannt. Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundenen Datenträgers kann allerdings auch FAT oder FAT32 sein.
Zugriff über Laufwerkpfade
Beachten Sie, dass bei Einbindung eines FAT- oder FAT32formatierten Datenträgers in einen NTFS-Datenträger die erweiterten Benutzerrechte und Eigenschaften wie Verschlüsselung oder Komprimierung für diesen nicht gelten. Die Einstellung der Zugriffsmöglichkeiten auf das Laufwerk können Nachträgliches ÄnSie über die Datenträgerverwaltung nachträglich wieder ändern. Au- dern der Zugriffsßer für den Boot- und den Systemdatenträger, wo ein unveränderba- möglichkeiten rer Laufwerkbuchstabe erforderlich ist, können Sie für jeden anderen Datenträger die Buchstaben jederzeit ändern, ganz entfernen und beliebig viele Laufwerkpfade einrichten.
518
11 Administration der Massenspeicher Nach Festlegung der Zugriffsart führt Sie der Assistent zum Formatieren des neuen Datenträgers.
Abbildung 11.8: Partition formatieren
Möchten Sie die Formatierung zu einem späteren Zeitpunkt durchführen, wählen Sie DIESE PARTITION NICHT FORMATIEREN im Dialogfenster. Einen einmal erstellten Datenträger können Sie jederzeit über den Windows-Arbeitsplatz oder die Datenträgerverwaltung formatieren. Das genaue Vorgehen beim Formatierprozess mit der Auswahl des richtigen Dateisystems und den weiteren Format-Einstellungen ist Inhalt des Abschnitts 11.7 Datenträger formatieren ab Seite 546. Letzte Kontrollmöglichkeit!
Abschließend fasst der Assistent alle eingestellten Werte für das Erstellen der Partition noch einmal zusammen, bevor irgendeine Änderung an der Festplatte vorgenommen wird. Hier können Sie die getroffenen Einstellungen überprüfen. Haben Sie einen Fehler festgestellt, lässt sich der Prozess noch stoppen und die Festplatte bleibt unverändert.
11.3.3
Logische Laufwerke erstellen
Für die weitere Unterteilung eines Datenträgers können Sie auf einer Basisfestplatte eine erweiterte Partition erstellen und in dieser logische Laufwerke definieren. Über das Kontextmenü zu einer erweiterten Partition oder das Hauptmenü VORGANG | ALLE TASKS | LOGISCHES LAUFWERK ERSTELLEN starten Sie den entsprechenden Assistenten.
11.4 Dynamische Festplatten einrichten
519 Abbildung 11.9: Kontextmenü einer erweiterten Partition
Solange noch freier Platz in der erweiterten Partition existiert, können Sie logische Laufwerke definieren. Theoretisch ist die Zahl der logischen Laufwerke unbegrenzt (siehe dazu auch Abschnitt 3.2.1 Partitionen und Partitionstypen auf Seite 57). Der Assistent ist derselbe, den Sie auch für das Erstellen von primären und erweiterten Partitionen benutzen. Innerhalb einer erweiterten Partition sind nur logische Laufwerke definierbar, sodass die Menüpunkte für die Partitionen deaktiviert sind (siehe Abbildung 11.10). Abbildung 11.10: Assistent zur Erstellung von Partitionen und logischen Laufwerken
Der nächste Schritt ist die Definition der Größe des neuen logischen Laufwerks. Sie können den gesamten zur Verfügung stehenden freien Speicherplatz in der erweiterten Partition benutzen oder nur einen Teil davon. Danach können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 517 beschrieben.
11.4 Dynamische Festplatten einrichten Um die neuen Funktionen und Vorteile dynamischer Datenträger unter Windows 2000 nutzen zu können, müssen Sie die Festplatten entsprechend einrichten. Standardmäßig werden Festplatten zunächst als
520
11 Administration der Massenspeicher Basisfestplatten eingerichtet. Über die Datenträgerverwaltung können Sie eine Basisfestplatte in eine dynamische Festplatte umwandeln. Vor der Umwandlung sollten Sie berücksichtigen: Dynamische Festplatten können von anderen Betriebssystemen wie beispielsweise MS-DOS, Windows 9x und Windows NT nicht erkannt und genutzt werden. Das Umwandeln einer Basisfestplatte in eine dynamische Festplatte lässt sich praktisch nicht mehr rückgängig machen. Während sich eine Basisfestplatte mit vorhandenen Daten in eine dynamische umwandeln lässt, ist die Rückumwandlung in eine Basisfestplatte nur für eine leere dynamische Festplatte möglich. Mehr zu den Grundlagen zu Basisfestplatten und dynamischen Festplatten finden Sie in Kapitel 3 Massenspeicher ab Seite 53. Die Umwandlung starten Sie in der Datenträgerverwaltung über das Kontextmenü zur Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | IN DYNAMISCHE FESTPLATTE UMWANDELN.
Abbildung 11.11: Dynamische Festplatte erstellen
Befinden sich Daten auf der Basisfestplatte wie Partitionen und logiUmwandlung bei vorhandenen Daten sche Laufwerke, werden diese bei der Umwandlung in Datenträger auf der dynamischen Festplatte konvertiert. Konvertierte Datenträger auf einer dynamischen Festplatte verfügen gegenüber neu erstellten dynamischen Datenträgern über wesentliche Einschränkungen. Beachten Sie dazu bitte unbedingt die Hinweise in Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84. Die folgenden Abschnitte befassen sich mit den dynamischen Datenträgern, die Sie neu auf dynamischen Festplatten unter Windows 2000 einrichten können.
11.4.1
Einfache Datenträger und ihre Erweiterung
Ein einfacher Datenträger auf einer physischen dynamischen Festplatte ist zunächst mit einer primären Partition oder einem logischen Laufwerk auf einer Basisfestplatte vergleichbar. Gegenüber diesen kann er allerdings während des laufenden Betriebs erweitert werden, ohne dass die bestehenden Daten verloren gehen oder ein Neustart notwendig wird.
11.4 Dynamische Festplatten einrichten
521
Lesen Sie zu den Grundlagen auch den Abschnitt 3.3.3 Einfache Datenträger und ihre Erweiterung ab Seite 72.
Erstellen eines einfachen Datenträgers Einen einfachen Datenträger auf einer dynamischen Festplatte erstellen Sie mit Hilfe eines Assistenten. Diesen starten Sie über das Kontextmenü der dynamischen Festplatte oder über das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.12: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps. Wählen Sie hier EINFACHER DATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physische dynamische Festplatte, auf welcher der einfache Datenträger erstellt werden soll. Abbildung 11.13: Festplatte für einfachen Datenträger auswählen
Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatte, die ausgewählt worden ist. Es kann hier nur genau eine Festplatte erscheinen. Möchten Sie Ihre Auswahl ändern und die angezeigte Festplatte aus der Liste löschen, markieren Sie diese und klicken auf ENTFERNEN. Eine andere Festplatte können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über HINZUFÜGEN gehen.
522
11 Administration der Massenspeicher Für die Erstellung eines einfachen Datenträgers können Sie im Assistenten nur genau eine Festplatte angeben. Solange im rechten Fensterbereich ein Eintrag steht, bleibt die Schaltfläche HINZUFÜGEN ohne Funktion.
Größe bestimmen
Im Dialogfenster des Assistenten bestimmen Sie neben der Zielfestplatte auch die Größe, die der einfache Datenträger einnehmen soll. Wählen Sie die maximal verfügbare Größe, können Sie den Datenträger auf dieser Festplatte nachträglich erweitern, indem Sie freien Speicherplatz auf einer anderen dynamischen Festplatte hinzufügen und so einen Übergreifenden Datenträger erstellen. Es bleibt dann aber noch der Weg, den einfachen Datenträger über Hinzufügen von freiem Speicherplatz auf einer anderen Festplatte zu einem Übergreifenden Datenträger zu erweitern (siehe nächster Abschnitt).
Zugriffsmöglichkeiten und Dateisystem
Nach der Einstellung der gewünschten Größe können Sie die Zugriffsmöglichkeiten auf den Datenträger einstellen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 517 beschrieben.
Erweitern eines einfachen Datenträgers Einen einfachen dynamischen Datenträger können Sie jederzeit mit freiem Speicherplatz auf derselben oder einer anderen dynamischen Festplatte erweitern. Dieser Vorgang erfordert keinen Neustart des Computers. Die folgenden Voraussetzungen müssen dazu gegeben sein: Keine konvertierten Datenträger!
• Der einfache Datenträger wurde ursprünglich auf einer dynamischen Festplatte erstellt und ist nicht Ergebnis einer Konvertierung einer Basisfestplatte mit Partitionen beziehungsweise logischen Laufwerken in eine dynamische Festplatte (siehe auch Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84).
Dateisystem NTFS
• Das Dateisystem des einfachen Datenträgers ist NTFS. Datenträger, die mit den Dateisystemen FAT oder FAT32 formatiert worden sind, lassen sich nicht erweitern. • Es steht freier Speicherplatz auf der gleichen oder einer anderen dynamischen Festplatte zur Verfügung. Dynamische Datenträger können nicht mit freiem Speicherplatz auf Basisfestplatten erweitert werden. Den Assistenten für die Erweiterung eines einfachen Datenträgers starten Sie über das entsprechende Kontextmenü des Datenträgers oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERWEITERN.
11.4 Dynamische Festplatten einrichten
523 Abbildung 11.14: Kontextmenü eines einfachen Datenträgers
Nach dem Einführungsfenster des Assistenten gelangen Sie in das Dialogfenster zur Auswahl der physischen Festplatten, durch die der Datenträger erweitert werden soll. Abbildung 11.15: Festplatte für die Erweiterung auswählen
Im linken Fensterbereich werden nur die dynamischen Festplatten angezeigt, die freien Speicherplatz zur Verfügung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Wollen Sie den einfachen Datenträger nur mit freiem Speicherplatz auf der gleichen physischen Festplatte erweitern, wählen Sie nur eine entsprechende Festplatte aus. Wenn Sie eine oder mehrere andere physische Festplatten in die rechte Liste über HINZUFÜGEN eintragen, erzeugen Sie einen Übergreifenden Datenträger. Möchten Sie Ihre Auswahl ändern und bestimmte Festplatten aus der rechten Auswahlliste löschen, markieren Sie diese und klicken auf ENTFERNEN. Im Feld GRÖSSE des Assistenten-Dialogfensters können Sie für jede Größe der ausgewählte Festplatte in der rechten Liste die Größe in MB angeben, Erweiterung die vom jeweils verfügbaren Speicherplatz für die Erweiterung ge-
524
11 Administration der Massenspeicher nommen werden soll. Standardmäßig wird für jede Festplatte der maximal verfügbare Platz angenommen. Unter GESAMTGRÖSSE DES DATENTRÄGERS können Sie die endgültige Größe nach der Erweiterung ablesen.
Um einen einfachen Datenträger zu erweitern, können Sie also belieErweiterbarbeit mit Teilen auf bis zu 31 big viele freie Bereiche auf der gleichen oder auf bis zu 31 anderen weiteren Festplatten physischen Festplatten zusammenfassen. Alle diese Erweiterungsvorgänge erfordern keinen Neustart des Computers. Nach erfolgter Auswahl der physischen Festplatten für die Erweiterung zeigt der Assistent abschließend die getroffenen Einstellungen an. Sie können die getroffenen Einstellungen überprüfen und, falls notwendig, den gesamten Prozess mit ABBRECHEN noch stoppen. An den Festplatten werden dann keine Änderungen vorgenommen. Einen einmal erweiterten Datenträger können Sie mit dem geschilderten Verfahren immer weiter vergrößern. In der Datenträgerverwaltung wird die Erweiterung in der grafischen Anzeige durch die Unterteilung in die einzelnen physischen Teile deutlich. Abbildung 11.16: Erweiterter Datenträger Der erweiterte Datenträger verhält sich für den Benutzer wie eine einzige große Festplatte. Die einzelnen Teile sind dabei nicht sichtbar. Der logische Diskmanager von Windows 2000 stellt sicher, dass intern die Speicherung der Daten auf die einzelnen neuen Teile ausgedehnt wird. Unmöglich: Erweiterungen entfernen
So einfach und flexibel Sie einen dynamischen Datenträger auch erweitern können, so unmöglich ist es leider, Erweiterungen wieder zu entfernen. Wenn Sie die physische Struktur eines dynamischen Datenträgers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers.
11.4.2
Stripesetdatenträger einrichten
Einen Stripesetdatenträger in Windows 2000 kennzeichnet die Zusammenfassung von gleich großen Speicherbereichen auf mindestens zwei physischen dynamischen Festplatten. Durch die Aufteilung des Datenstroms in kleine Einheiten gleicher Größe und die parallele Speicherung wird ein teilweise sehr hoher Performancegewinn bewirkt. Mehr zu den Grundlagen können Sie in Abschnitt 3.3.4 Stripesetdatenträger ab Seite 73 nachlesen. Ein Stripesetdatenträger kann sich auf bis zu 32 physische Festplatten erstrecken. Als Dateisystem können Sie FAT32 oder NTFS verwenden,
11.4 Dynamische Festplatten einrichten
525
nicht jedoch FAT. Erweitert werden kann ein Stripesetdatenträger generell nicht. Unter Windows NT können Sie Stripe Sets erstellen, die sich als Partitionsgruppe über mehrere Basisfestplatten erstrecken. Diese Stripe Sets können Sie auch in Windows 2000 übernehmen und nutzen. Es ist allerdings nicht möglich, solche Stripe Sets neu zu erstellen. Den Assistenten für die Erstellung eines neuen Stripesetdatenträgers Stripesetdatenstarten Sie über das entsprechende Kontextmenü eines freien Bereichs träger erstellen einer dynamischen Festplatte oder das Hauptmenü VORGANG | ALLE TASKS | DATENTRÄGER ERSTELLEN. Abbildung 11.17: Kontextmenü einer dynamischen Festplatte Nach dem Begrüßungsfenster des Assistenten gelangen Sie in die Auswahl des Datenträgertyps. Wählen Sie hier STRIPESETDATENTRÄGER. Im nächsten Dialogfenster des Assistenten bestimmen Sie die physischen dynamischen Festplatten, über die sich dieser Datenträger erstrecken soll. Im linken Fensterbereich (siehe Abbildung 11.18) werden nur die dy- Festplatte namischen Festplatten angezeigt, die freien Speicherplatz zur Verfü- auswählen gung haben. Basisfestplatten erscheinen in der Auswahlliste nicht. Im rechten Fensterbereich sehen Sie die Festplatten, die ausgewählt worden sind. Für einen Stripesetdatenträger müssen Sie mindestens zwei Festplatten bestimmen. Abbildung 11.18: Festplatten für übergreifenden Datenträger auswählen
526
11 Administration der Massenspeicher Möchten Sie Ihre Auswahl ändern und eine gewählte Festplatte aus der rechten Liste löschen, markieren Sie diese und drücken auf den Knopf Entfernen. Eine Festplatte aus der linken Liste können Sie in die Auswahl aufnehmen, indem Sie diese markieren und über den Knopf Hinzufügen gehen.
Größe bestimmen
Ein Stripesetdatenträger besteht aus exakt gleich großen physischen Teilen auf verschiedenen Festplatten. Im Feld GRÖSSE des AssistentenDialogfensters wird die kleinste gemeinsame Größe der freien Speicherbereiche angezeigt. Sie können diese Größe der Anteile auf einen gewünschten Wert reduzieren. Auf einzelnen Festplatten des Stripesetdatenträgers, die mehr freien Speicherplatz zur Verfügung haben, verbleibt jeweils ein Rest. Diese Reste können Sie jedoch nutzen, indem Sie diese beispielsweise zu einem übergreifenden Datenträger zusammenfassen (siehe dazu Abschnitt Erweitern eines einfachen Datenträgers ab Seite 522).
Zugriffsmöglichkeiten und Dateisystem
Nach der Auswahl der Festplatten und der Einstellung der gewünschten Größe des Datenträgers können Sie die Zugriffsmöglichkeiten bestimmen sowie das Dateisystem festlegen. Das Vorgehen entspricht genau dem für Basisfestplatten und ist detailliert ab Seite 517 beschrieben.
Keine Erweiterungsmöglichkeiten
Stripesetdatenträger können nicht erweitert werden. Wenn Sie die physische Struktur eines Stripesetdatenträgers nachträglich ändern wollen, bleibt Ihnen nur die Sicherung aller Daten sowie die Löschung und Neuanlage des Datenträgers.
11.5 Fehlertolerante Datenspeicher einrichten Grundlagen ab Seite 76
Die Windows 2000 Serversysteme unterstützen die Einrichtung von fehlertoleranten Speichersystemen. Die Grundlagen dazu finden Sie in Abschnitt 3.4 Fehlertolerante Datenspeicherung ab Seite 76.
11.5.1
Gespiegelte Datenträger einrichten
Ein wirksamer Schutz vor Datenverlust und Serverausfall im Falle eines physischen Festplattenfehlers stellt die Spiegelung der Datenträger dar. Eine Spiegelung lässt sich nur für einfache Datenträger einer dynamischen Festplatte einrichten. Dazu wird ausreichend freier Speicherplatz, der noch nicht durch andere Datenträger belegt sein darf, auf einer weiteren dynamischen Festplatte benötigt.
11.5 Fehlertolerante Datenspeicher einrichten
527
Eine Spiegelung von Basisfestplatten wird generell nicht unterstützt. Allerdings können Sie gespiegelte Datenträger auf Basisfestplatten, die unter Windows NT Server eingerichtet worden sind, weiterhin nutzen, reparieren und löschen.
Spiegelung von System- und Bootdatenträgern Sie können eine Spiegelung auch für konvertierte dynamische Datenträger einrichten (siehe auch Abschnitt 3.5 Konvertieren von Basisfestplatten ab Seite 84). Somit lassen sich diese auch für System- und Bootdatenträger einrichten. Für die Sicherung einer hohen Performance sollte sich die Auslagerungsdatei nicht auf einem gespiegelten Datenträger befinden. Für die Auslagerungsdatei wird keine Fehlertoleranz benötigt. Stattdessen werden die Schreibvorgänge in die Datei etwas verlangsamt, da die Daten auf beide Festplatten geschrieben werden müssen (siehe auch Abschnitt 3.4.2 Gespiegelte Datenträger ab Seite 80). Nach dem Einrichten der Spiegelung eines Systemdatenträgers sollten Starteintrag in der Sie die BOOT.INI um einen entsprechenden Eintrag erweitern, damit BOOT.INI der Startvorgang im Notfall auch von der zweiten Festplatte (dem »Spiegel«) erfolgen kann. Weitere Hinweise zur BOOT.INI und zu den darin benutzten Einträgen finden Sie in Abschnitt 3.2.5 Die Datei BOOT.INI ab Seite 63.
Spiegelung einrichten Die Spiegelung lässt sich über die Managementkonsole DATENTRÄGERVERWALTUNG sehr einfach einrichten, indem Sie im Kontextmenü des betreffenden Datenträgers SPIEGELUNG HINZUFÜGEN auswählen. Sie können nur dann eine Spiegelung zu dem Datenträger hinzufügen, und damit ist auch erst der entsprechende Menüpunkt aktivierbar, wenn auf einer weiteren dynamischen Festplatte ausreichend freier Speicherplatz vorhanden ist. Wandeln Sie gegebenenfalls eine neue Festplatte, die ja standardmäßig immer als Basisfestplatte eingebunden wird, zuvor in eine dynamische Festplatte um. Es erscheint ein Dialogfenster, in welchem die dynamischen Festplatten zur Auswahl angeboten werden, die ausreichend freien Platz für die Einrichtung der Spiegelung bieten.
528
11 Administration der Massenspeicher
Abbildung 11.19: Festplatte für Spiegelung auswählen
Kein Neustart
Wählen Sie die entsprechende Festplatte aus. Mit der Bestätigung der Einstellungen des Assistenten wird die Spiegelung eingerichtet. Dabei ist kein Neustart erforderlich. Sie sollten nur bedenken, dass für die Dauer dieser Einrichtung die Performance des Serversystems deutlich verringert sein kann.
Spiegelung entfernen Das Entfernen einer Spiegelung gestaltet sich genauso einfach wie das Hinzufügen. Ein Neustart ist dabei ebenfalls nicht erforderlich. Gehen Sie über das Kontextmenü des gespiegelten Datenträgers in der Managementkonsole DATENTRÄGERVERWALTUNG und wählen Sie hier den Punkt SPIEGELUNG ENTFERNEN. Geben Sie im dann folgenden Dialogfenster die Festplatte an, von welcher die gespiegelten Daten entfernt werden sollen. Abbildung 11.20: Angabe der zu entfernenden Festplatte
Nach der Bestätigung der Sicherheitsrückfrage werden alle Daten auf dieser dynamischen Festplatte wieder freigegeben.
11.5 Fehlertolerante Datenspeicher einrichten Entfernen Sie die Spiegelung eines Systemdatenträgers (welcher NTLDR enthält), sollten Sie sicherstellen, dass für die verbleibende Festplatte ein korrekter Eintrag in der BOOT.INI besteht. Anderenfalls kann es passieren, dass der nächste Neustart des Systems fehlschlägt.
Spiegelung aufteilen Anstelle des Entfernens einer Spiegelung können Sie einen gespiegelten Datenträger auch aufteilen. Danach liegen zwei identische alleinstehende einfache Datenträger vor.
11.5.2
RAID 5-Datenträger einrichten
Die zweite standardmäßig mit Windows 2000 Server gebotene Möglichkeit, ein fehlertolerantes Speichersystem aufzubauen, stellt ein RAID 5-Datenträger dar. Weitere Informationen zu den Grundlagen zu diesem Thema sowie zu den Einwänden, die es gegen diese reine Softwarelösung gibt, können Sie in Abschnitt 3.4.3 RAID 5Datenträger ab Seite 82 nachlesen. Zum Einrichten eines RAID 5-Datenträgers benötigen Sie freien Spei- Einrichten cherplatz auf mindestens drei dynamischen Festplatten. Die Gesamtkapazität berechnet sich dann, indem die Kapazität des kleinsten beteiligten Speicherbereichs mit Anzahl-1 der beteiligten Festplatten multipliziert wird. Sind beispielsweise drei Festplatten mit freien Bereichen von 30, 36 und 42 GByte beteiligt, ergibt sich eine Gesamtkapazität von 60 GByte. Käme hier bei der Einrichtung noch eine vierte Festplatte mit 22 GByte hinzu, wären insgesamt nur 66 GByte auf diesem RAID 5-Datenträger verfügbar. Das Einrichten wird mit Hilfe eines Assistenten ermöglicht, den Sie über DATENTRÄGER ERSTELLEN des Kontextmenüs eines entsprechenden freien Bereichs auf einer dynamischen Festplatte starten. Im folgenden Auswahlfenster (siehe Abbildung 11.21) bestimmen Sie den Typ des Datenträgers (mit RAID 5-Datenträger) und kommen dann zur Zuordnung der beteiligten Festplatten. Nach dem Zuweisen der Festplatten können Sie den neuen Datenträger mit einer Zugriffsmöglichkeit (Laufwerkbuchstabe beziehungsweise Laufwerkpfad) versehen und mit einem Dateisystem formatieren.
529
530
11 Administration der Massenspeicher
Abbildung 11.21: Einrichten eines RAID 5-Datenträgers
Ändern
Es besteht leider keine Möglichkeit, einen einmal eingerichteten RAID 5-Datenträger unter Windows 2000 nachträglich zu verändern. So können Sie nicht eine weitere Festplatte hinzunehmen oder wieder eine entfernen. Wollen Sie eine andere Konfiguration erreichen, können Sie nur alle Daten sichern und nach dem Entfernen des Datenträgers diesen entsprechend neu einrichten.
11.5.3
Reparieren von fehlertoleranten Datenträgern
Im Fall des Ausfalls einer Festplatte eines fehlertoleranten Datenträgers wird eine Meldung auf den Bildschirm ausgegeben beziehungsweise, da bei einem Serversystem der Administrator selten davor sitzt, eine Meldung im Ereignisprotokoll generiert. Abbildung 11.22: Fehlermeldung im System-Ereignisprotokoll
Zur
Wiederherstellung wählen Sie den Punkt DATENTRÄGER im Kontextmenü des entsprechenden Datenträgers in der
REPARIEREN
11.6 Verwaltung von Wechselmedien
531
Datenträgerverwaltung. Sie können dann einen anderen freien Bereich auf einer dynamischen Festplatte als Ersatz für die ausgefallene Festplatte bestimmen.
11.6 Verwaltung von Wechselmedien Den Umgang mit Wechselmedien können Sie in Windows 2000 über Grundlagen ab das Managementkonsolen–Snap-In WECHSELMEDIENVERWALTUNG ad- Seite 87 ministrieren. Die dazu notwendigen Grundlagen werden in Abschnitt 3.6 Der Wechselmediendienst ab Seite 87 vermittelt.
11.6.1
Einrichten von Medienpools
Über Medienpools können Sie Wechselmedien komfortabel und übersichtlich verwalten. Im Snap-In WECHSELMEDIENVERWALTUNG finden Sie dafür schon einige vordefinierte Medienpools vor (siehe auch Abschnitt 3.6.2 Medienpools ab Seite 89). Wenn Sie lediglich über die in Windows 2000 standardmäßig verfügbare Datensicherungslösung NTBACKUP und ein durch den Wechselmediendienst unterstütztes Bandlaufwerk die Sicherungsaufgaben lösen wollen, brauchen Sie im Normalfall keine eigenen Medienpools anzulegen. Weitere Informationen dazu finden Sie in Abschnitt 11.6.2 Datensicherung einrichten und verwenden ab Seite 535. NTBACKUP und andere Applikationen, die direkt die API des Wechselmediendienstes ansprechen, legen eigene AnwendungsMedienpools an und bedienen sich selbstständig aus diesen. Sie können zwei Typen von Medienpools erstellen: 1. Übergeordnete Medienpools Diese Medienpools enthalten selbst keine Medien, sondern nur weitere Medienpools. Damit können Sie, ähnlich wie in einem Dateisystem, eine hierarchische Struktur abbilden. 2. Medienpools, welche Medien enthalten Diese enthalten die eigentlichen Medien. Pro Medienpool können Sie genau eine Medienart definieren, die hier verwaltet werden soll (beispielsweise DAT, DDS, QIC etc.). Dazu lassen sich Richtlinien für die Zuordnungen dieser Medien festlegen. Die Einrichtung eines Medienpools nehmen Sie über das Managementkonsolen-Snap-In WECHSELMEDIENVERWALTUNG vor. Dieses finden Sie als Teil der MMC COMPUTERVERWALTUNG oder Sie richten es
Zwei Typen von Medienpools
532
11 Administration der Massenspeicher sich als eigenständige Managementkonsole ein (siehe auch Abschnitt 10.2 Die Managementkonsole (MMC) ab Seite 461).
Abbildung 11.23: Medienpool erstellen
Über das Kontextmenü zu MEDIENPOOLS (siehe Abbildung 11.23) können Sie einen neuen Medienpool erstellen.
Übergeordneten Medienpool anlegen Geben Sie dem Pool einen Namen und , wenn gewünscht, eine Beschreibung. Abbildung 11.24: Medienpool erstellen, der andere Medienpools enthalten soll
11.6 Verwaltung von Wechselmedien
533
Außer den Sicherheitseinstellungen (siehe auch Seite 534) können Sie bei diesem Typ keine weiteren Einstellungen vornehmen, da dieser nur für die Aufnahme weiterer Medienpools vorgesehen ist.
Medienpool für die Verwaltung von Medien anlegen Vergeben Sie den Namen des Pools (und ggf. eine Bezeichnung) und aktivieren Sie den Punkt ENTHÄLT MEDIEN DES TYPS (siehe Abbildung 11.25). Sie können dann aus der Liste der unterstützten Medien den gewünschten Typ auswählen. Beachten Sie, dass Sie pro Medienpool nur genau einen Medientyp verwenden können. Neben dem Typ können Sie auch die RICHTLINIEN NUNGEN zum Pool freier Medien festlegen:
FÜR DIE
ZUORD- Richtlinien für Zuordnungen
• MEDIEN AUS DEM POOL FREIER MEDIEN NEHMEN Medien für diesen Pool werden automatisch aus dem Pool freier Medien entnommen, wenn dort welche verfügbar sind. • MEDIEN IN DEN POOL FREIER MEDIEN ZURÜCKGEBEN Werden Medien durch eine Anwendung nicht länger benötigt, erfolgt automatisch ein Zurückgeben in den Pool freier Medien. Anderenfalls müssen Sie dies per Hand vornehmen, da sonst diese Medien nicht weiter verwendet werden können. Abbildung 11.25: Medienpool erstellen, der Medien enthält
534
11 Administration der Massenspeicher • LIMIT FÜR NEUZUORDNUNGEN Sie können hier einschränken, wie oft ein Medium zwischen diesem Pool und dem Pool freier Medien verschoben werden darf. Die Standardeinstellung beträgt 100. Diese Option können Sie aus Sicherheitsgründen einstellen, wenn Sie sicherstellen wollen, dass beispielsweise Bänder nicht über Gebühr strapaziert werden und damit die sichere Speicherung der Daten eventuell nicht mehr gewährleistet ist. Für einen Medienpool können Sie auch noch explizit Sicherheitseinstellungen festlegen.
Sicherheitseinstellungen für Medienpools festlegen Für den Zugriff auf einen Medienpool lassen sich Sicherheitseinstellungen anpassen. Anders als bei den Zugriffsrechten im NTFS-Dateisystem (siehe auch Abschnitt 11.11 NTFS-Zugriffsrechte einstellen ab Seite 563) werden die Sicherheitseinstellungen von den übergeordneten Medienpools nicht an die untergeordneten vererbt. Damit müssen Sie die Sicherheitseinstellungen für jeden Medienpool separat definieren. Abbildung 11.26: Sicherheitseinstellungen für einen Medienpool
11.6 Verwaltung von Wechselmedien Geben Sie hier die Benutzer und Gruppen an, die Zugriff auf den Medienpool erhalten sollen. Beachten Sie, dass Verweigerungen immer Vorrang gegenüber den Berechtigungen erhalten. Da normalerweise aber Medienpools durch Anwendungen (wie beispielsweise NTBACKUP) selbstständig verwaltet werden, kommen Benutzer mit diesen nicht direkt in Berührung. Somit müssen diese Sicherheitseinstellungen selten direkt bearbeitet werden. Ein anderer Fall liegt vor, wenn Sie bestimmten Administratoren nur einen eingeschränkten Zugriff gestatten wollen.
11.6.2
Datensicherung einrichten und verwenden
Für die Datensicherung steht unter Windows 2000 ein recht leistungs- Grundlagen ab fähiges Programm zur Verfügung. Dieses heißt wie beim Vorgänger Seite 92 NTBACKUP, verfügt aber über deutlich mehr Funktionen als dieses. Weitere Informationen zu wichtigen Datensicherungsgrundlagen finden Sie in Abschnitt 3.6.3 Datensicherung ab Seite 92. In diesem Abschnitt werden die wichtigsten Administrationsschritte gezeigt, damit Sie dieses standardmäßig mitgelieferte Programm für einfache Datensicherungsaufgaben effektiv einsetzen können. Dabei wird im folgenden Text von einem Serversystem mit einem alleinstehenden Bandlaufwerk ausgegangen. Dieses sollte korrekt von Windows 2000 erkannt und installiert worden sein, was Sie im Gerätemanager unter BANDLAUFWERKE überprüfen können. Verfügen Sie hingegen über ein automatisches Bandwechslersystem, gehen Sie nach den konkreten Hinweisen des betreffenden Herstellers vor, um dieses unter Windows 2000 in Betrieb zu nehmen und einzurichten.
Einrichtung über den Sicherungsassistenten Die erste Einrichtung des Programms für die Sicherung können Sie komfortabel unter Zuhilfenahme eines Assistenten vornehmen. Starten Sie dazu zuerst NTBACKUP über START | AUSFÜHREN.
535
536
11 Administration der Massenspeicher
Abbildung 11.27: Datensicherungsanwendung NTBACKUP
Haben Sie beim ersten Start dieses Programms einen Datenträger in ein neu installiertes Bandlaufwerk eingelegt, wird dies vom Wechselmediendienst erkannt und ein entsprechendes Dialogfenster für das weitere Vorgehen angezeigt. Abbildung 11.28: Erkennen neuer Medien
Automatische Verwendung konfigurieren
Sie können hier entscheiden, ob alle Medien für Ihr Bandlaufwerk ab jetzt automatisch durch das Datensicherungsprogramm erkannt und benutzt werden sollen. Ist dies beabsichtigt, aktivieren Sie die Optionen DIESES MEDIUM JETZT BACKUP ZUWEISEN sowie die beiden letzten Checkboxen DIESES MEDIUM IMMER BACKUP ZUWEISEN sowie DIESE MELDUNG NICHT MEHR ANZEIGEN. Damit reduzieren Sie den weiteren Verwaltungsaufwand auf ein Minimum und brauchen sich um die Einrichtung von Medienpools (siehe auch vorhergehenden Abschnitt) nicht weiter zu kümmern.
11.6 Verwaltung von Wechselmedien
537
Über den Schaltknopf SICHERUNGS-ASSISTENT im Startfenster von Sicherungs-AssisNTBACKUP können Sie den Assistenten starten, mit dessen Hilfe Sie tent starten alle wichtigen Parameter für die Datensicherung einstellen können. Geben Sie dazu im ersten Dialogfenster nach der obligatorischen Begrüßung durch den Assistenten zunächst den Sicherungsumfang an. Abbildung 11.29: Umfang der Sicherung eingrenzen
Wollen Sie nicht unbedingt alle Dateien auf dem Computer komplett Bestimmen der zu sichern, können Sie mit den beiden weiteren Optionen genauer ange- sichernden Daten ben, was eigentlich gesichert werden soll. Für die meisten Einsatzfälle werden Sie über AUSGEWÄHLTE DATEIEN... die Eingrenzung vornehmen. Dabei können Sie hier auch explizit die Systemstatusdateien (siehe Seite 93) sichern lassen. Abbildung 11.30: Auswahl der Sicherungsdaten (mit Aktivierung der Systemstatusdateien)
538 Speicherort
11 Administration der Massenspeicher Danach bestimmen Sie den Speicherort für die zu sichernden Daten. Sie haben dabei die Auswahl zwischen diesen beiden grundsätzlichen Sicherungsmedientypen: • Datei Sie können eine Sicherungsdatei anlegen lassen, welche Sie beispielsweise auf einem bestimmten lokalen oder Netzwerkspeicherort ablegen. Diese Datei können Sie im Notfall wieder mit NTBACKUP für die Wiederherstellung verwenden. • Sicherungsgerät Es werden alternativ die Geräte angezeigt, die durch NTBACKUP verwendet werden können (QIC, DAT usw.). Damit sind die grundlegenden Einrichtungsschritte mit dem Assistenten abgeschlossen. Allerdings empfiehlt es sich, in die erweiterten Einstellungen zu gehen, um noch genauer die Parameter für die Sicherung anzugeben.
Abbildung 11.31: Speicherort angeben
Erweiterte Einstellungen
Sie gelangen zu den erweiterten Einstellungen über den Assistenten, wenn Sie auf dem FERTIGSTELLEN-Dialogfenster die entsprechende Schaltfläche aktivieren.
11.6 Verwaltung von Wechselmedien
539 Abbildung 11.32: Fertigstellen-Dialogfenster mit Zugang zu den erweiterten Optionen
Die erweiterten Optionen beginnen im Assistenten mit der Angabe Sicherungstyp des Sicherungstyps. Für die meisten Praxisfälle wird die Einstellung NORMAL ausreichend sein. Wollen Sie hingegen nicht täglich eine komplette Sicherung fahren, empfiehlt sich ein tägliches INKREMENTELLES Backup sowie einmal wöchentlich eine komplette Datensicherung. Weitere Informationen dazu finden Sie im Abschnitt Sicherungstypen ab Seite 94 im Grundlagenteil. Abbildung 11.33: Sicherungstyp festlegen
Haben Sie die Anwendung Remotespeicher im Einsatz (siehe auch Abschnitt 3.6.4 Remotespeicher ab Seite 96), können Sie über das entsprechende Kontrollkästchen (siehe Abbildung 11.33) die ausgelagerten
540
11 Administration der Massenspeicher Dateien mit sichern lassen. Sie müssen nur daran denken, dass die Kapazität des Datensicherungssystems ausreichend bemessen ist.
Sicherungsoptionen
Im nächsten Dialogfenster können Sie weitere Sicherungsoptionen festlegen. So kann NTBACKUP alle gesicherten Dateien nach der Speicherung auf dem Medium noch einmal überprüfen. Dadurch verlängert sich allerdings die gesamte Dauer der Sicherung.
Abbildung 11.34: Weitere Sicherungsoptionen festlegen
Zusätzlich lässt sich die Hardware-Komprimierung aktivieren. Das ist allerdings abhängig vom verwendeten Sicherungsgerät, welches diese explizit unterstützen muss. Medienoptionen
Bei den Optionen zu den Medien legen Sie fest, ob eine Sicherung alle bisher bestehenden Daten auf dem Medium überschreiben soll oder ob sie angehangen wird. Das Vorgehen wird hierbei nicht zuletzt durch die zur Verfügung stehende Kapazität des Sicherungsmediums bestimmt.
11.6 Verwaltung von Wechselmedien
541 Abbildung 11.35: Sicherung anhängen oder Medium überschreiben
Haben Sie bei der Bestimmung des Sicherungsmediums (siehe Abbildung 11.31) NEUER DATENTRÄGER angegeben, können Sie nur das Überschreiben einstellen (DATEN AUF DEM MEDIUM ... ERSETZEN). Zusätzlich lässt sich eine einfache Sicherheitseinstellung aktivieren, Zugriffsbeschränmit welcher die Medien vor einem unbefugten Zugriff geschützt wer- kung auf die Datenden können. Damit ist eine Wiederherstellung des betreffenden Da- sicherung tensicherungssatzes nur durch den Besitzer oder den Administrator möglich. Danach können Sie für den definierten Sicherungssatz sowie die dabei Bezeichnungen verwendeten Medien jeweils eine Bezeichnung vergeben. Im Anschluss daran erlaubt der Sicherungsassistent die Bestimmung Zeitplanung des Zeitpunktes der Sicherung sowie die Anlage eines Zeitplanes. Im Regelfall wollen Sie ja die Sicherung nicht sofort starten, sondern dann durchführen, wenn möglichst keine Dateien in Benutzung sind und der Server sowieso kaum etwas zu tun hat. Im Unterschied zur alten Sicherungslösung unter Windows NT können Sie hier auf eine komfortable Zeitplanungsfunktion zurückgreifen. Stellen Sie diese Funktion direkt über den Assistenten ein, müssen Sie zunächst das Konto angeben, unter dem dann die Sicherung automatisch gestartet werden soll.
542
11 Administration der Massenspeicher
Abbildung 11.36: Sicherungskonto festlegen
Das hier angegebene Konto muss Mitglied in der Gruppe der Administratoren oder der Sicherungs-Operatoren sein. Abbildung 11.37: Zeitplan des Auftrags erstellen
So lassen sich sehr einfach und schnell auch komplexe Zeitpläne erstellen.
Protokollierung der Sicherungen Einstellen des Protokollumfangs
Jeder Sicherungsvorgang wird protokolliert. Dabei können Sie unter NTBACKUP über das Hauptmenü EXTRAS | OPTIONEN | SICHERUNGSPROTOKOLL einstellen, wie detailliert diese Protokollierung sein soll oder ob sie ganz deaktiviert wird. Eine Deaktivierung ist allerdings nicht zu empfehlen. Über den Menüpunkt EXTRAS | BERICHT können Sie die einzelnen Protokolle einsehen.
11.6 Verwaltung von Wechselmedien
543 Abbildung 11.38: Sicherungsberichte einsehen
Die Sicherungsprotokolle werden als einfache Textdateien in folgen- Ort der Protokolle dem Verzeichnis abgelegt: %SystemDrive%\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows NT\NTBackup\Data
Für jede Sicherung wird eine neue Protokolldatei angelegt. Der Name der Datei ist dabei BACKUPXX, wobei XX für eine fortlaufende Zählung steht.
Wiederherstellung von Sicherungen Wie die Sicherung lässt sich auch die Wiederherstellung von gesicherten Daten über einen Assistenten vornehmen. Sie starten diesen über das Willkommen-Fenster von NTBACKUP. Wählen Sie im ersten Dialogfenster nach der Begrüßung durch den Auswahl Medium Assistenten das Medium aus, welches die betreffenden Daten enthält. und Dateien Sehen Sie im rechten Detailfenster nur den Hinweis KEINE EINTRÄGE GEFUNDEN, wurde die Satzliste vom Medium noch nicht geladen. Durch Doppelklick auf den Eintrag versucht dann der Wechselmediendienst, dies zu tun. Ist das richtige Medium noch nicht eingelegt, wird eine entsprechende Administrator-Anforderung generiert.
544
11 Administration der Massenspeicher
Abbildung 11.39: Auswahl der wiederherzustellenden Daten
Nach dem Laden der Satzliste vom Band können Sie die entsprechenden Daten zur Wiederherstellung auswählen. Danach kann die Wiederherstellung sofort beginnen. Allerdings kann es sinnvoll sein, nicht einfach die Fertigstellungsmeldung des Assistenten zu bestätigen, sondern die erweiterten Optionen zu ändern. Abbildung 11.40: Zugang zu den erweiterten Optionen
In den Grundeinstellungen des Wiederherstellungsassistenten werden sonst beispielsweise Dateien generell nicht ersetzt. Wollen Sie aber einen bestimmten Datenbereich komplett zurückschreiben, weil vielleicht alle vorhandenen Dateien ungültig oder beschädigt sind, müssen Sie dies über die erweiterten Optionen explizit einstellen.
11.6 Verwaltung von Wechselmedien
545
In den erweiterten Optionen bestimmen Sie zunächst den Zielort für die wiederherzustellenden Dateien. Sie können dabei wählen, ob der ursprüngliche Speicherort (Standardeinstellung) oder alternative Bereiche in Frage kommen. Abbildung 11.41: Zielort bestimmen
Danach bestimmen Sie, ob wiederherzustellende Dateien bereits bestehende ersetzen sollen oder nicht. Abbildung 11.42: Überschreiben von Dateien einstellen
In der Standardeinstellung werden gleichnamige Dateien generell nicht ersetzt. Dann können Sie noch weitere Festlegungen für die Wiederherstellung treffen. Abbildung 11.43: Weitere Wiederherstellungsoptionen
546 NTFS-Sicherheitsattribute
11 Administration der Massenspeicher Stellen Sie Dateien auf NTFS-Datenträgern wieder her, können Sie die ursprünglich gesetzten Sicherheitsattribute verwenden, wenn Sie die erste Option (siehe Abbildung 11.43) setzen. Deaktivieren Sie diese Option, wenn Sie Dateien vom Medium holen wollen, welche in einer anderen Windows 2000-Umgebung gesichert worden sind.
Wechselmediendatenbank wiederherstellen
Mit Aktivierung der zweiten Option können Sie die Wechselmediendatenbank wiederherstellen lassen. Voraussetzung ist dabei natürlich, dass diese mit gesichert worden ist.
Bereitstellungspunkte
Die dritte Option dient der vollständigen Wiederherstellung von Daten, die über Bereitstellungspunkte (hier Abzweigungspunkte genannt) auf einem NTFS-Datenträger eingebunden sind. Ist diese Option aktiv, werden auch die Dateien und Ordner auf den bereitgestellten Datenträgern wiederhergestellt. Sind Sie sicher, dass die Daten dort nicht einer Wiederherstellung bedürfen, deaktivieren Sie diese Option. Dann werden nur die ursprünglichen Bereitstellungspunkte (die speziellen NTFS-Ordner) erstellt, welche dann auf die unverändert gelassenen bereitgestellten Datenträger zeigen. Mehr Informationen zu NTFS-Bereitstellungspunkten finden Sie auch in Abschnitt 4.4.3 Analysepunkte und Bereitstellungen ab Seite 130.
Wiederherstellen der Systemstatusdateien bei DCs Neustart leider unvermeidlich
Wollen Sie die Systemstatusdateien (siehe auch Abschnitt Sicherung der Systemstatusdateien ab Seite 93) eines Domänencontrollers wiederherstellen, lässt sich ein Neustart des Servers leider nicht vermeiden. Sie können die Systemstatusdateien nämlich nur zurückspielen, wenn der Active Directory-Dienst nicht ausgeführt wird. Gehen Sie deshalb folgendermaßen vor: 1. Starten Sie den Server im Modus VERZEICHNISDIENSTWIEDERHERSTELLUNG neu. Das lässt sich über Druck auf die Funktionstaste F8 im Startmenü erreichen. 2. Wählen Sie in NTBACKUP über den Wiederherstellungsassistenten im entsprechenden Sicherungssatz SYSTEMSTATUS aus. Weitergehende Informationen finden Sie auch in Abschnitt 17.3.8 Totalausfall eines Domänencontrollers ab Seite 1002.
11.7 Datenträger formatieren Um Datenträger, dazu zählen u.a. Partitionen und logische Laufwerke auf Basisfestplatten, dynamische Datenträger und Wechselspeichermedien, nutzen zu können, müssen diese zuerst mit einem Dateisys-
11.7 Datenträger formatieren
547
tem formatiert werden. In diesem Abschnitt geht es darum, die konkreten Administrationsschritte dazu zu zeigen. Datenträger können Sie mit einem Dateisystem formatieren, wenn Sie Administratorals Administrator angemeldet sind beziehungsweise die erforderli- Rechte chen Rechte besitzen. Eine Ausnahme bildet das Formatieren von Disketten, wofür keine gesonderten Rechte benötigt werden. Generell ist es nicht möglich, System- oder Bootdatenträger zu formatieren. Wollen Sie das Dateisystem von FAT oder FAT32 auf NTFS ändern, ohne Windows 2000 neu zu installieren, gibt es den Weg über das Dienstprogramm CONVERT (siehe Seite 552).
11.7.1
Wahl des Format-Werkzeuges
Unter Windows 2000 können Sie Datenträger auf drei verschiedene Arten formatieren: • im Windows-Explorer • in der Datenträgerverwaltung • mit dem Kommandozeilen-Programm FORMAT Bei den beiden ersten Varianten wird jeweils ein grafisches FormatDienstprogramm von Windows 2000 gestartet. Diese erlauben durch ihre einfache Bedienoberfläche eine problemlose Einstellung aller notwendigen Parameter. Die Datenträgerverwaltung unterstützt nicht das Formatieren von Disketten nicht in Disketten. Das können Sie nur im Windows-Explorer oder mit dem der DatenträgerKommandozeilen-Programm FORMAT erledigen. Andere Wechsel- verwaltung datenträger werden allerdings auch in der Datenträgerverwaltung direkt unterstützt. Das Kommandozeilen-Programm FORMAT.COM ist ohne grafische O- FORMAT.COM berfläche zur Bedienung ausgestattet und eignet sich auch für die Einbindung in Stapelverarbeitungsdateien. Die Bedienung dieses Programms und die Parameter dazu werden auf Seite 550 ausführlich erklärt.
11.7.2
Formatieren mit einem grafischen Dienstprogramm
Ein grafisches Dienstprogramm zum Formatieren starten Sie über das Kontextmenü eines Datenträgers unter Arbeitsplatz oder in der Datenträgerverwaltung.
548
11 Administration der Massenspeicher
Abbildung 11.44: Formatsoftware im Windows-Explorer
Das Formatprogramm aus der Datenträgerverwaltung unterscheidet sich ein wenig von jenem des Windows Explorers. Abbildung 11.45: Formatsoftware in der Datenträgerverwaltung
Option SPEICHERKAPAZITÄT nur für Disketten
Nur über den Windows Explorer verfügen Sie über die Option SPEICHERKAPAZITÄT. Diese dient ausschließlich dem Formatieren von Disketten, um beispielsweise neben den normalen 1.44 MB Disketten auch 2.88 MB oder 720 KB-Datenträger erstellen zu können. Für andere Datenträger hat diese Option keine Bedeutung. Teilweise können Sie hier die Kapazität des Datenträgers sehen, manchmal wird auch nur Unbekannte Kapazität angezeigt.
Dateisystem auswählen
Für die Formatierung wählen Sie dann das gewünschte Dateisystem aus. Windows 2000 unterstützt die drei Dateisysteme FAT, FAT32 und NTFS. Weitere Informationen zu den entsprechenden Grundlagen finden Sie in Kapitel 4 Dateisysteme ab Seite 107. Für das Formatieren können Sie neben der Auswahl des Dateisystems eine Reihe von weiteren Optionen festlegen:
11.7 Datenträger formatieren • Größe der Zuordnungseinheit
549 Zuordnungseinheit
Die Verwendung des Standardwertes wird empfohlen. Sie können bei Bedarf aber den Wert selbst festlegen. Die Zuordnungseinheit, auch Cluster genannt, ist die kleinste Einheit, die für die Speicherung von Daten verwendet wird. Je kleiner der Wert ist, desto effizienter kann der Speicherplatz für eine Datei ausgenutzt werden, es sinkt aber auch die Performance und die Fragmentierung des Speicherplatzes wird gefördert. Große Cluster erlauben eine hohe Performance, da die Daten in großen Blöcken gelesen und geschrieben werden können. In Tabelle 4.2 auf Seite 109 sind die Standard-Clustergrößen für die Dateisysteme FAT32 und NTFS zusammengefasst. Die Komprimierungsfunktionalität von NTFS wird nur für Clustergrößen bis 4 KB unterstützt. Für NTFS-Datenträger mit größeren Clustern steht die Komprimierung nicht zur Verfügung. • Formatieren mit Quickformat
Quickformat
Die Quickformatierung war schon unter MS-DOS ab Version 6 eingeführt worden und beschleunigte den Formatiervorgang deutlich. Voraussetzung war hier jedoch, dass der Datenträger bereits mit dem gleichen Dateisystem einmal formatiert worden war. Unter Windows 2000 ist das jetzt komfortabler geworden. Egal ob Risiko beachten der Datenträger nagelneu oder bereits mit irgendeinem anderen Dateisystem formatiert ist, können Sie die Quickformatierung einsetzen. Bei der Quickformatierung wird auf eine Überprüfung der Sektoren auf physische Fehler verzichtet. Das bedeutet aber auch ein erhöhtes Risiko, da eventuelle Defekte nicht erkannt werden und später zur Beeinträchtigung oder zum Verlust von Daten führen können. Serverfestplatten sollten Sie generell bei der ersten Formatierung nicht über Quickformat formatieren. • Datenträgerbezeichnung festlegen Die Datenträgerbezeichnung dient der übersichtlicheren Darstellung. Für den Zugriff auf einen Datenträger werden nur die vergebenen Laufwerkbuchstaben oder Laufwerkpfade genutzt (siehe Abschnitt 11.9 Datenträgerzugriff ändern ab Seite 553). Die Bezeichnung kann für NTFS-Datenträger 32 Zeichen lang sein. Erlaubt sind alle Buchstaben des Alphabets, einschließlich Sonderzeichen. • Komprimierung für Dateien und Ordner Nur dem Dateisystem NTFS vorbehalten ist eine integrierte Komprimierungsfunktion für die gespeicherten Daten. Aktivieren Sie diese schon beim Formatieren für einen Datenträger, werden standardmäßig alle Dateien und Ordner, die Sie auf diesem anlegen oder kopieren, komprimiert.
Datenträgerbezeichnung
Komprimierung
550
11 Administration der Massenspeicher Komprimierte Dateien können nicht für einen abgesicherten Zugriff verschlüsselt werden. Ebenso lassen sich verschlüsselte Daten nicht nachträglich komprimieren. Die Komprimierung auf Ebene des Dateisystems macht nur für Dateien Sinn, die eine hohe Kompressionsrate erlauben. Weitergehende Hinweise finden Sie dazu auch in Abschnitt 4.4.6 Komprimierung ab Seite 137. Da die Komprimierung neben der Nichtverschlüsselbarkeit auch einen kleinen Performanceverlust bedeutet, empfiehlt sich die Einstellung nur auf Ordnerebene oder für ausgewählte einzelne Dateien und nicht für ganze Datenträger.
Zurücksetzen der Bereitstellungen
Durch das Formatieren werden alle gesetzten Bereitstellungen für den Datenträger über Laufwerkpfade zurückgesetzt. Nach Ende des Formatiervorgangs werden die Bereitstellungen automatisch wiederhergestellt.
Parallel mehrere Datenträger formatieren
Haben Sie den Formatprozess über die Datenträgerverwaltung gestartet, können Sie in dieser keinen weiteren Datenträger formatieren, solange der letzte nicht abgeschlossen ist. Wenn Sie parallel mehrere Datenträger formatieren, beispielsweise bei der Einrichtung eines Servers, benutzen Sie dazu besser den Windows Explorer oder das Kommandozeilentool FORMAT.COM.
11.7.3
Das Kommandozeilen-Programm FORMAT
Das Kommandozeilen-Programm FORMAT.COM starten Sie über die Eingabeaufforderung, erreichbar über START | PROGRAMME | ZUBEHÖR. Die Syntax für den Aufruf des Programms lautet: format /FS:<sys> [/V:] [/Q] [/A:Größe] [/C] [/X]
Für das Formatieren von Disketten gibt es spezielle Optionen, die Sie in diesen Zusammenstellungen benutzen können: Formatieren von Disketten
format format format format
[/V: [/V: [/V: [/Q]
] [/Q] [/F:] ] [/Q] [/T:<spuren> /N:<sektoren>] ] [/Q] [/1] [/4] [/1] [/4] [/8]
Unter geben Sie den Laufwerkbuchstaben, den Laufwerkpfad oder die Datenträgerbezeichnung an. Sie müssen, außer beim Formatieren von Disketten, immer die /FS-Option mit dem gewünschten Dateisystem angeben. Alle Optionen für FORMAT.COM sind in der folgenden Tabelle aufgeführt:
11.8 Umwandeln von FAT/FAT32 in NTFS
Option /FS:<sys>
551
Tabelle 11.3: Optionen von Für <sys> geben Sie das Dateisystem an: FAT, FAT32 oder FORMAT.COM
Bedeutung NTFS.
/V:
Datenträgerbezeichnung, die zugewiesen werden soll. Für einen FAT-Datenträger kann diese 11 Zeichen, bei NTFS 32 Zeichen lang sein.
/Q
Führt die Formatierung mit Quickformat durch. Dies geschieht sehr viel schneller als die Standardformatierung, da auf eine sektorweise Überprüfung verzichtet wird.
/C
Schaltet die standardmäßige Komprimierung für den Datenträger ein.
/X
Führt die zeitweise Aufhebung der Laufwerkpfade ohne Rückfrage für den zu formatierenden Datenträger durch.
/A:
Ändert die Standardgröße für die Zuordnungseinheiten (siehe auch Tabelle 4.2 auf Seite 109).
/F:
Diskettenkapazität: 160, 180, 320, 360, 640, 720, 1.2, 1.23, 1.44, 2.88 oder 20.8.
/T:<spuren> Anzahl der Spuren (Tracks) je Seite der Diskette /N:Sektoren Anzahl der Sektoren pro Spur /1
Nur die erste Seite der Diskette wird formatiert.
/4
Dient der Formatierung von 360 KB-Diskette in einem 1.2 MB-Laufwerk.
/8
Jede Spur wird mit 8 Sektoren formatiert.
Eine genauere Beschreibung der einzelnen Formatoptionen wie Dateisystem, Quickformat oder Komprimierung finden Sie in Abschnitt Formatieren mit einem grafischen Dienstprogramm ab Seite 547.
11.8 Umwandeln von FAT/FAT32 in NTFS FAT- und FAT32-Datenträger können Sie in das NTFS-Dateisystem Komfortabler Überüberführen. Dabei bleiben alle bisher gespeicherten Dateien und Ord- gang möglich ner erhalten. Die dazu notwendigen Schritte sowie wichtige Hinweise, die Sie vor der Konvertierung beachten sollten, sind Inhalt dieses Abschnitts. Das NTFS-Dateisystem wird eingehend in Abschnitt 4.4 NTFS im Detail ab Seite 121 behandelt. Die Konvertierung eines bestehenden FAT- oder FAT32-Datenträgers Kein Weg zurück können Sie mittels des Kommandozeilen-Tools CONVERT durchführen. Die bisher auf dem Datenträger gespeicherten Daten bleiben dabei zwar unberührt, allerdings sollten Sie beachten, dass eine Rückum-
552
11 Administration der Massenspeicher wandlung ohne Neuformatierung und damit Datenverlust nicht möglich ist.
11.8.1
Das Tool CONVERT.EXE
Exklusiver Zugriff erforderlich
Die Konvertierung in das NTFS-Dateisystem ist unter Windows 2000 mittels des Kommandozeilen-Tools CONVERT möglich. Das Programm benötigt für die Konvertierung exklusiven Zugriff auf den Datenträger. Das bedeutet, dass während der Konvertierung keine weiteren Programme oder Betriebssystembestandteile auf den Datenträger zugreifen können. Beachten sollten Sie das insbesondere bei Partitionen, auf denen im Netzwerk freigegebene Verzeichnisse eingerichtet sind.
Besonderheit: System- bzw. Bootdatenträger
Datenträger, auf die durch CONVERT nicht exklusiv zugegriffen werden kann, werden nicht sofort konvertiert. Stattdessen wird ein Vermerk gesetzt, der CONVERT automatisch beim nächsten Systemstart ausführt. Insbesondere System- beziehungsweise Bootdatenträger, auf die das Betriebssystem den ständigen Zugriff braucht, können nur auf diese Weise konvertiert werden.
Freier Speicherplatz
CONVERT benötigt für die Konvertierung ausreichend freien Speicherplatz auf dem Datenträger. Sie sollten sicherheitshalber noch ca. 2025 % der Kapazität zur Verfügung haben. Microsoft gibt an, dass konvertierte NTFS-Datenträger über eine geringere Leistungsfähigkeit als direkt mit NTFS erstellte Datenträger verfügen. Somit empfiehlt es sich, gleich bei der Installation eines Windows 2000 Serversystems den System- beziehungsweise Bootdatenträger mit NTFS formatieren zu lassen.
Aufruf von CONVERT.EXE
Das Tool CONVERT starten Sie direkt von der Kommandozeile. Dabei ist die folgende Aufrufsyntax zu beachten: convert /FS:NTFS [/V]
Die Optionen für CONVERT sind in der folgenden Tabelle aufgeführt: Tabelle 11.4: Optionen von CONVERT.EXE
Option
Bedeutung
Der zu konvertierende FAT- oder FAT32-Datenträger; gültig sind die Angabe von: • Laufwerksbuchstaben, gefolgt von Doppelpunkt • Bereitstellungspunkt • Datenträgername /FS:NTFS
Gibt lediglich nochmals zusätzlich an, dass der Datenträger auf NTFS konvertiert werden soll.
11.9 Datenträgerzugriff ändern Option
553
Bedeutung
/V
Es werden ausführliche Meldungen während der Konvertierung angezeigt.
/NAMETABLE
Wichtige Option für eine Umwandlung, falls diese zuvor wegen unzulässiger Dateinamen fehlgeschlagen ist (siehe weiter unten im Text).
Schlägt die automatische Konvertierung beim Systemstart durch Fehlschlag der CONVERT fehl, wird dies mit einem Eintrag in der Ereignisanzeige bei Konvertierung ANWENDUNG unter WINLOGON festgehalten. Falls die Ursache des Ab- beim Systemstart bruchs auf unzulässige oder ungewöhnliche Dateinamen zurückzuführen ist, kann ein Neustart von CONVERT mit der Option /NAMETABLE veranlasst werden. Das Programm benutzt dann beim nächsten Systemstart die beim ersten Mal angelegte Namentabelle und wird damit die Konvertierung meist erfolgreich zu Ende bringen können.
11.9 Datenträgerzugriff ändern Für den Zugriff auf Datenträger haben Sie unter Windows 2000 verschiedene Möglichkeiten: • Laufwerkbuchstaben Die traditionelle Art, auf einen Datenträger zuzugreifen, stellen Laufwerkbuchstaben dar. Dies war schon seit den ersten Versionen von MS-DOS möglich und wurde bis in die heutigen WindowsVersionen hinübergerettet.
Laufwerkbuchstaben
Es sind alle 26 Buchstaben des englischen Alphabets erlaubt, wobei A und B für Diskettenlaufwerke vorgesehen sind. Zwischen Großund Kleinschreibung wird nicht unterschieden. Für einen Datenträger kann jeweils nur ein Laufwerkbuchstabe definiert werden. • Laufwerkpfade Mit einem Laufwerkpfad können Sie einen Datenträger innerhalb einer Ordnerstruktur eines anderen Datenträgers einbinden. Voraussetzung dazu ist, dass der andere Datenträger mit dem Dateisystem NTFS formatiert ist. Das Dateisystem des so eingebundenen Datenträgers kann allerdings auch FAT oder FAT32 sein.
11.9.1
Vorgehen in der Datenträgerverwaltung
Den Zugriff auf einen Datenträger können Sie über dessen Kontextmenü im Snap-In DATENTRÄGERVERWALTUNG ändern.
Laufwerkpfade
554
11 Administration der Massenspeicher
Abbildung 11.46: Zugriffsmöglichkeiten zu einem Datenträger
Das Ändern von Laufwerkbuchstaben kann einen weitreichenden Einfluss auf installierte Anwendungen haben. Führen Sie Änderungen an Datenträgern, die installierte Programme enthalten, deshalb nur mit Bedacht durch. Anderenfalls kann es zu Störungen in Programmfunktionen von Anwendersoftware oder zur generellen Nichtausführbarkeit von Programmen kommen. Windows 2000 selbst schützt sich übrigens wirkungsvoll gegen ungewollte Eingriffe. Für System- und Bootdatenträger lassen sich Laufwerkbuchstaben nachträglich nicht mehr ändern. Kein Neustart
Wird der Laufwerkbuchstabe des Datenträgers geändert, wird dies gleich durch die Datenträgerverwaltung aktiviert. Ein Neustart des Betriebssystems ist nicht erforderlich. Das betrifft ebenso das Anlegen und Ändern von Laufwerkpfaden.
Laufwerkpfad anlegen und ändern
Einen Laufwerkpfad können Sie für beliebige FAT-, FAT32- oder NTFS-formatierte Datenträger einrichten. Nur der Bereitstellungsordner muss sich auf einem NTFS-Datenträger befinden. Ein Laufwerkpfad kann also nur in eine NTFS-Struktur eingebunden werden.
Neuen Laufwerkpfad einrichten Einen neuen Laufwerkpfad erzeugen Sie über die Schaltfläche HINZUFÜGEN (siehe Abbildung 11.46). Im folgenden Dialogfenster können Sie den Laufwerkpfad zu einem NTFS-Datenträger eingeben. Abbildung 11.47: Laufwerkpfad hinzufügen
11.9 Datenträgerzugriff ändern Zu beachten ist, dass Sie hier einen leeren Ordner innerhalb eines anderen, NTFS-formatierten Datenträgers angeben müssen. Eine kleine Falle hat Microsoft bei den Laufwerkpfaden gelegt. Sie können einen Laufwerkpfad für einen NTFS-Datenträger innerhalb desselben physischen Datenträgers erstellen. Verzweigen Sie dann rekursiv innerhalb der (sinnlos) verknüpften Datenstrukturen und ändern Dateien, so kann es zu unerwünschten Effekten kommen. Eben geänderte Dateien werden beispielsweise plötzlich nicht mehr wiedergefunden. Im Dateisystem NTFS-formatierter Wechseldatenträger können keine WechseldatenLaufwerkpfade anderer Datenträger eingebunden werden. Allerdings träger können Sie für Wechseldatenträger Laufwerkpfade innerhalb anderer NTFS-Datenträger definieren. Nach Abschluss der Definition steht der Laufwerkpfad sofort zur Verfügung. Für den Benutzer oder die Applikationen geschieht dies völlig transparent. Es ist praktisch nur ein Ordner hinzugekommen, hinter dem sich real ein weiterer Datenträger mit seiner gesamten Dateistruktur verbirgt. Beachten Sie, dass die Sicherheitseinstellungen, die Sie für NTFSDatenträger definieren können, sich nicht auf durch Laufwerkpfade eingebundene Datenträger ausdehnen, die mit dem FAT- oder FAT32Dateisystem formatiert sind.
Laufwerkpfad löschen Einen gesetzten Laufwerkpfad löschen Sie über ENTFERNEN im Dialogfenster für die Änderung der Zugriffsmöglichkeiten. Die Löschung des Laufwerkpfades wird sofort – ohne einen Neustart zu benötigen – wirksam. Dabei wird der Bereitstellungsordner nicht physisch gelöscht, sondern steht weiterhin als jetzt normaler leerer Ordner zur Verfügung.
Laufwerkpfad ändern Einmal gesetzte Laufwerkpfade können nachträglich leider nicht geändert werden. Es bleibt Ihnen nur der Weg, den Laufwerkpfad zu löschen und einen neuen zu definieren.
11.9.2
Das Kommandozeilen-Tool MOUNTVOL.EXE
Alternativ zu den grafischen Tools über die Datenträgerverwaltung können Sie Bereitstellungspunkte auch mit dem Programm MOUNTVOL ändern.
555
556
11 Administration der Massenspeicher mountvol [] mountvol [] /D mountvol [] /L
Der Aufruf von MOUNTVOL ohne weitere Angaben bringt eine kurze Erklärung der Syntax sowie eine Liste aller eingerichteten Bereitstellungspunkte auf den Bildschirm. Die folgende Tabelle enthält die Erklärung aller Optionen: Tabelle 11.5: Optionen von Mountvol.exe
Option
Erklärung Gibt den Laufwerksbuchstaben an, unter dem der Datenträger verfügbar sein soll (siehe Hinweis unten) oder Gibt den Laufwerksbuchstaben des Datenträgers an, auf dem die Bereitstellung in dem unter abgegebenen Ordner eingerichtet werden soll.
Angabe des Laufwerkspfades, der als Bereitstellungsort eingerichtet werden soll. Dieser muss bereits als leerer Ordner auf dem NTFS-Datenträger bereitstehen.
Ist die eindeutige Bezeichnung des Datenträgers, für den die Bereitstellung erzeugt werden soll.
Beispiele
/D
Löscht den angegebenen Bereitstellungspunkt. Zurück bleibt ein normaler leerer Ordner.
/L
Zeigt den Namen des bereitgestellten Datenträgers an.
Die folgenden Beispiele zeigen die praktische Nutzung des Programms MOUNTVOL: mountvol d:\laufwerkc\ \\?\Volume{0e856d12-bd ... 07-2696f}\
Hier wird auf dem NTFS-Datenträger D: im Verzeichnis \laufwerkc der Datenträger C: eingebunden. Die genaue Datenträgerbezeichnung entnehmen Sie einfach der Ausgabe, die Sie mit dem Aufruf von MOUNTVOL ohne Optionen erhalten. Der folgende Aufruf löscht den eingerichteten Bereitstellungspunkt wieder: mountvol d:\laufwerkc /D
Das nächste Beispiel richtet für den angegebenen Datenträger den Laufwerkbuchstaben H: ein: mountvol h: \\?\Volume{70b58f1b- … -404e57434431}\
Für jeden Datenträger lässt sich nur genau ein Laufwerkbuchstabe einrichten. Wollen Sie den Zugriff für einen Datenträger über einen anderen Laufwerkbuchstaben ermöglichen, müssen Sie zuvor den vorhandenen Laufwerkbuchstaben entfernen. mountvol H: /D
11.10 Erweiterte NTFS-Attribute
557
Dieser Aufruf entfernt den Zugriff über den Laufwerkbuchstaben für den entsprechenden Datenträger.
11.10 Erweiterte NTFS-Attribute Die folgenden erweiterten NTFS-Attribute können Sie für Dateien und Ordner und teilweise auch für ganze Datenträger setzen:
Attribut
Beschreibung
zu setzen für Tabelle 11.6:
Komprimierung
Komprimiert Dateien mit dem NTFS- Datenträger, Kompressionsalgorithmus (siehe auch Dateien und Abschnitt 4.4.6 Komprimierung ab Seite Ordner 137).
Indizierung
Bezieht gekennzeichnete Dateien und Datenträger, Ordner mit in den Indexdienst ein Dateien und (siehe auch Abschnitt 3.7 Der Index- Ordner dienst ab Seite 98).
Verschlüsselung
Verschlüsselt gekennzeichnete Datei- Dateien und en über das verschlüsselnde Dateisys- Ordner tem (siehe auch Abschnitt 4.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 133).
Erweiterte NTFSAttribute
In den folgenden Abschnitten wird erläutert, wie Sie diese Attribute setzen und entfernen können und was es dabei zu beachten gilt.
11.10.1 Aktivieren der Komprimierung Für Datenträger, die mit dem Dateisystem NTFS formatiert sind, können Sie eine integrierte Komprimierungsfunktion für Dateien nutzen. Diese Komprimierung ist als Dateiattribut transparent für Anwendungen implementiert. Dabei können Sie entscheiden, ob nur für bestimmte Dateien beziehungsweise Ordner oder den gesamten Datenträger die Komprimierungsfunktion des Dateisystems eingesetzt werden soll. Die Komprimierung können Sie, immer ausreichend Speicherplatz vorausgesetzt, auch jederzeit teilweise oder ganz rückgängig machen. Die Komprimierung von Dateien beziehungsweise das Setzen des Att- Grafisch oder mit ributs für ganze Ordner wird über die entsprechenden Eigenschaften- COMPACT.EXE Fenster der Datenträger, Dateien und Ordner oder mit dem Kommandozeilen-Tool COMPACT.EXE ermöglicht. Ausführlich werden die Einstellungen über die grafischen Werkzeuge in Band I Windows 2000 im professionellen Einsatz behandelt.
558 Optionen von COMPACT.EXE
11 Administration der Massenspeicher Der Aufruf von COMPACT ohne weitere Angaben listet den Status der Komprimierung der Dateien und Ordner im aktuellen Verzeichnis auf. Weitere mögliche Varianten des Aufrufs sind die folgenden: compact [/C | /U] compact [/C | /U] compact [/C | /U] [/S[:]]
Die erste Variante des Aufrufs setzt das Komprimierungsattribut für die spezifizierten Dateien. Dabei werden diese entsprechend gleich komprimiert beziehungsweise dekomprimiert. Die zweite Variante setzt oder löscht das Komprimierungsattribut für ein Verzeichnis. Eventuell in diesem Verzeichnis enthaltene Dateien werden so aber nicht berührt. Wird das Komprimierungsattribut aktiviert, so werden alle Dateien, die in das Verzeichnis neu aufgenommen werden, automatisch komprimiert. Die dritte Variante setzt das Komprimierungsattribut für das spezifizierte Verzeichnis und bearbeitet dabei alle darin enthaltenen Dateien mit. Dateien, bei denen die Attribute Versteckt, System oder Schreibgeschützt gesetzt sind, werden beim Abarbeiten von COMPACT trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /A erreichen. In der folgenden Tabelle finden Sie alle Optionen des Programms COMPACT in einer Übersicht: Tabelle 11.7: Optionen von COMPACT.EXE
Option
Erklärung
/C
Setzt das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.
/U
Löscht das Komprimierungsattribut für die angegebenen Dateien oder Verzeichnisse.
/S
Führt die Komprimierungs- beziehungsweise Dekomprimierungsvorgänge für alle Dateien des aktuellen Verzeichnisses (ohne Angabe) oder des spezifizierten Verzeichnisses (bei Angabe hinter /S) durch.
Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.
Name des entsprechenden Verzeichnisses oder Pfades. /A
Anzeige auch der Dateien, die über die Attribute Versteckt oder System verfügen.
11.10 Erweiterte NTFS-Attribute Option
559
Erklärung
/I
Ignoriert auftretende Fehler und setzt Komprimierungen oder Dekomprimierungen trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.
/F
Es werden bei einem Komprimierungsvorgang auch jene Dateien neu komprimiert, die schon komprimiert vorliegen. Standardmäßig würden diese übersprungen werden.
/Q
Die Anzeige des Programms Compact.exe wird auf wenige Details beschränkt.
Das Komprimierungsattribut lässt sich mit COMPACT nur für die Da- Rechte beachten tenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer die entsprechenden Zugriffsrechte besitzen.
11.10.2 Setzen des Index-Attributs Im NTFS-Dateisystem haben Sie die Möglichkeit, mit einem speziellen Attribut eine Datei, ein Verzeichnis oder einen ganzen Datenträger als indizierbar oder nicht indizierbar zu markieren. Dieses NTFS-Attribut bestimmt allerdings lediglich, dass die betreffenden Dateien und Verzeichnisse explizit durch den Indexdienst erfasst werden dürfen oder nicht. Um diese Dateien in den Index aufnehmen zu können, müssen Sie zuerst natürlich die entsprechenden Kataloge mit dem Indexdienst einrichten. Die Konfiguration des Indexdienstes ist Inhalt des Abschnitts 11.13 Indexdienst einrichten ab Seite 577. Dateien und Ordner auf anderen Datenträgern, die nicht mit NTFS Index-Attribut nur formatiert sind, können natürlich trotzdem durch den Indexdienst bei NTFS bearbeitet werden. Es steht dort allerdings kein derartiges IndexAttribut zur Verfügung, mit dem Sie den Indexdienst gezielt steuern können. Die Einbeziehung eines Datenträgers, eines Verzeichnisses oder einer Datei durch den Indexdienst können Sie über das entsprechende Eigenschaften-Fenster aktivieren.
560
11 Administration der Massenspeicher
Abbildung 11.48: Indizierung aktivieren
Setzen Sie das Attribut für einen Datenträger oder ein Verzeichnis, können Sie bestimmen, ob bisher darin untergeordnet gespeicherte Daten mit einbezogen werden sollen. • Übernehmen der Änderung für das (Stamm-)verzeichnis Es werden keine bisher gespeicherten Dateien oder Ordner in den Vorgang einbezogen. Neue Dateien oder Ordner, die Sie auf den Datenträger oder in das betreffende Verzeichnis speichern beziehungsweise kopieren, werden hingegen standardmäßig indiziert (bei Setzen des Attributs) oder nicht mehr im Index berücksichtigt (beim Löschen). • Übernehmen der Änderung für alle Dateien und Verzeichnisse Für alle bisher bestehenden Dateien und Unterverzeichnisse wird das Indexattribut gesetzt beziehungsweise entfernt. Dieser Vorgang kann insbesondere bei großen Datenbeständen etwas Zeit in Anspruch nehmen. Der Indexdienst und seine Einrichtung sind Inhalt des Abschnitts 11.13 Indexdienst einrichten ab Seite 577.
11.10.3 Aktivieren der Verschlüsselung Jeder Benutzer kann seine Dateien und Ordner auf einem NTFSDatenträger über das verschlüsselnde Dateisystem (EFS) vor uner-
11.10 Erweiterte NTFS-Attribute
561
laubtem Einblick durch Verschlüsselung schützen. Diese Funktion ist als Dateiattribut transparent für Anwendungen implementiert und kann nicht zusammen mit der Komprimierung eingesetzt werden (siehe vorhergehender Abschnitt). Sie können entscheiden, ob das Attribut nur für bestimmte Dateien oder ganze Ordner beziehungsweise Datenträger gesetzt werden soll. Bedenken Sie, dass die Verschlüsselung letztendlich auch Performance kostet und nur für Dokumente Sinn macht, die auch wirklich geschützt werden müssen. Mehr zu den Grundlagen erfahren Sie in Abschnitt 4.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 133. Allein das Setzen des EFS-Verschlüsselungsattributs reicht für eine EFS anwenden wirklich sichere Ablage von Dateien noch nicht aus. Weiterführende reicht nicht! Informationen zur maximalen Absicherung lokaler Daten finden Sie in Band I Windows 2000 im professionellen Einsatz. Die Verschlüsselung von Dateien beziehungsweise das Setzen des Att- Grafisch oder mit ributs für ganze Ordner wird über die entsprechenden Eigenschaften- CIPHER.EXE Fenster oder über das Kommandozeilen-Tool CIPHER.EXE ermöglicht. Im vorliegenden Band werden nur die Optionen von CIPHER näher betrachtet. Das Vorgehen über das Eigenschaften-Fenster wird ausführlich in Band I Windows 2000 im professionellen Einsatz erläutert. Der Aufruf von CIPHER ohne weitere Angaben listet den Status der Optionen von Verschlüsselung der Dateien und Ordner im aktuellen Verzeichnis CIPHER.EXE auf. Hier sind die möglichen Varianten des Aufrufs: cipher cipher cipher cipher cipher
[/E | /D] /S: [] [/E | /D] [] [/E | /D] /A [] /K
Die zweite Variante setzt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Dateien und Unterordner. Die dritte Variante setzt die Verschlüsselung nur für das angegebene Verzeichnis. Die vierte Variante setzt die Verschlüsselung für die angegebene Datei; Sie können auch mehrere Dateien oder Platzhalter wie *.* angeben. Beachten Sie, dass Sie die Option /A angeben, damit der Vorgang für Dateien überhaupt durchgeführt wird. Dateien, bei denen die Attribute VERSTECKT, SYSTEM oder SCHREIBGESCHÜTZT gesetzt sind, werden beim Abarbeiten von CIPHER trotzdem mit einbezogen. Sollen versteckte Dateien dabei angezeigt werden, können Sie dies mit Angabe der Option /H erreichen. Die Option /K in der fünften Variante erzeugt einen neuen Schlüssel Neuen Schlüssel für den Benutzer, der aktuell angemeldet ist und CIPHER aufruft. Dies erzeugen
562
11 Administration der Massenspeicher macht eigentlich nur dann Sinn, wenn Sie den alten Schlüssel mit dem bisherigen Zertifikat aus Sicherheitsgründen entfernen möchten. Beachten Sie, dass Sie zuvor alle mit dem alten Schlüssel verschlüsselten Dateien entschlüsseln, da Sie sonst nicht mehr in der Lage sein werden, diese Dateien zu dechiffrieren. In der folgenden Tabelle finden Sie alle Optionen des Programms CIPHER in einer Übersicht:
Tabelle 11.8: Optionen von CIPHER.EXE
Option
Erklärung
/E
Setzt das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.
/D
Löscht das Verschlüsselungsattribut für die angegebenen Dateien oder Verzeichnisse.
/S: Setzt oder entfernt das Verschlüsselungsattribut für das angegebene Verzeichnis und alle darin enthaltenen Objekte.
Name der Datei oder Dateien (mit * oder ?), für die Aktionen durchgeführt werden sollen.
Name des entsprechenden Verzeichnisses oder Pfades.
Rechte beachten
/A
Setzt oder entfernt das Verschlüsselungsattribut sowohl bei Verzeichnissen als auch bei Dateien.
/I
Ignoriert auftretende Fehler und setzt den Vorgang trotzdem fort. Das kann bei der Verwendung in Stapelverarbeitungsdateien wichtig sein.
/F
Es werden bei einem Verschlüsselungsvorgang auch die Dateien neu verschlüsselt, die schon verschlüsselt vorliegen. Standardmäßig würden diese übersprungen werden.
/Q
Die Anzeige des Programms cipher wird auf wenige Details beschränkt.
/H
Zeigt während der Abarbeitung auch versteckte oder Dateien an, für die das Systemattribut gesetzt ist.
/K
Es wird ein neuer EFS-Schlüssel für den aktuellen Benutzer erstellt.
Das Verschlüsselungsattribut lässt sich mit CIPHER nur für die Datenträger, Dateien und Ordner setzen, für die Sie oder der entsprechende Benutzer über die Besitzrechte verfügen.
11.11 NTFS-Zugriffsrechte einstellen
563
11.11 NTFS-Zugriffsrechte einstellen Unter Windows 2000 können Sie für Dateien und Ordner die entsprechenden NTFS-Sicherheitsattribute setzen und Überwachungen von Dateien und Ordnern aktivieren.
11.11.1 Setzen von Benutzerrechten Nur mit dem NTFS-Dateisystem können Sie gezielt Benutzerrechte für Dateien und Ordner vergeben. Im Attribut SICHERHEITSBESCHREIBUNG einer Datei oder eines Ordners sind die Zugriffsrechte hinterlegt. Diese so genannte Access Control List (ACL) legt genau fest, wer in welchem Umfang welche Rechte besitzt. Mehr zu den Grundlagen zur NTFS-Zugriffsrechten erfahren Sie in Abschnitt 4.4.4 NTFSZugriffsrechte für Dateien und Ordner ab Seite 132. Sie können diese Sicherheitseinstellungen über das EigenschaftenFenster einer Datei oder eines Ordners oder über das Kommandozeilen-Tool CACLS.EXE (siehe Seite 568) setzen. Standardmäßig werden im NTFSv5-Dateisystem die Berechtigungen Vererbte Berechtivom übergeordneten Verzeichnis geerbt. Damit können Sie Änderun- gungen gen an Berechtigungen deutlich einfacher und schneller durchführen. Sie müssen lediglich die oberste Organisationseinheit ändern. Alle enthaltenen Verzeichnisse und Dateien erben dann diese Einstellungen und brauchen nicht separat geändert zu werden. Abbildung 11.49: Ändern der Sicherheitseinstellungen
564 Vererbte Berechtigungen ändern
11 Administration der Massenspeicher Das bedeutet aber auch, dass Sie dies bei der spezifischen Änderung von Zugriffsrechten an bestimmten Dateien und Ordnern beachten müssen. Werden die Kontrollkästchen grau schattiert dargestellt (siehe Abbildung 11.49), sind diese Berechtigungen vom übergeordneten Objekt geerbt worden. Möchten Sie diese ändern, aktivieren Sie das entsprechende Kontrollkästchen für die Verweigerung der bestimmten Rechte. Verweigerungen haben immer Vorrang vor der Zulassung eines Rechts. Entziehen Sie beispielsweise der Gruppe Jeder alle Zugriffsrechte, kann niemand mehr, auch nicht der Administrator, auf die betreffende Datei zugreifen. Lediglich der Besitzer kann dann die Zugriffsrechte wieder ändern. Möchten Sie generell ein geerbtes Zugriffsrecht entfernen, beispielsweise den Eintrag JEDER, um einer bestimmten Gruppe den Zugriff zu erteilen, so müssen Sie die Vererbung vom übergeordneten Objekt deaktivieren.
Vererbung deaktivieren
Beim Deaktivieren der Vererbung stellt sich die folgende Frage: Sollen alle bisher geerbten Sicherheitseinstellungen entfernt, das Objekt also »enterbt« werden? Oder ist es besser, die geerbten Sicherheitseinstellungen zu behalten, um sie dann entsprechend zu modifizieren? Ein Dialogfenster, welches sich beim Deaktivieren des Kontrollkästchens für die Vererbung öffnet, weist Sie auf diese Problematik hin. Meist ist es besser, die bisher geerbten Sicherheitseinstellungen auf das Objekt zu kopieren, um sie dann entsprechend anzupassen. So können Sie beispielsweise aus dem übernommenen Vollzugriff für Jeder eine Leseberechtigung und einen Vollzugriff für die Benutzer der Gruppe Management machen.
Abbildung 11.50: Entfernen übergeordneter Berechtigungen
Verweigerungen haben Vorrang
Sie sollten dabei aber vorrangig mit Zulassungen arbeiten, da Verweigerungen immer Vorrang haben. Verweigern Sie beispielsweise explizit das Schreibrecht für Jeder, so kann niemand mehr, auch nicht der Administrator, die Datei ändern.
11.11 NTFS-Zugriffsrechte einstellen
565
11.11.2 Erweiterte Einstellungen und Überwachung Über die Schaltfläche ERWEITERT der Sicherheitseinstellungen können Sie die erweiterten Zugriffseinstellungen und die Überwachung festlegen sowie die Besitzrechte für Dateien und Ordner ändern. Eine vollständige Beschreibung der einzelnen Administrationsschritte dazu finden Sie in Abschnitt 16.2.3 Berechtigungen und der ACL-Editor ab Seite 919.
Überwachung von Dateien und Ordnern definieren Für NTFS-Dateien und Ordner können Sie Überwachungen einrichten. ÜberwachungsDabei wird der Zugriff auf die spezifizierten Objekte im einträge im EreigEREIGNISPROTOKOLL unter SICHERHEIT protokolliert (siehe auch Ab- nisprotokoll schnitt 16.5 Ereignisanzeige ab Seite 949). Da dies auch Performance kostet, sollten Sie gut überlegen, welche Dateien und Ordner wirklich überwacht werden müssen. Damit die Überwachung überhaupt stattfinden kann, muss die Überwachungsrichtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN entsprechend aktiviert werden. Abbildung 11.51: Überwachungsrichtlinie aktivieren
Diese Überwachungsrichtlinie lässt sich lokal, auf Domänenebene oder für alle Domänencontroller definieren: • MMC LOKALE SICHERHEITSRICHTLINIE • MMC SICHERHEITSRICHTLINIE FÜR DOMÄNENCONTROLLER • MMC SICHERHEITSRICHTLINIE FÜR DOMÄNEN Für die Überwachung lässt sich definieren, ob diese bei erfolgreicher oder fehlgeschlagener Aktion (oder beides) auf die zu überwachenden Objekte eine entsprechende Ereignismeldung generieren soll. Für die Überwachung von hochsensiblen Dateien und Ordnern kann beides wichtig sein.
566
11 Administration der Massenspeicher Für die Einrichtung einer Überwachung fügen Sie einfach einen neuen Eintrag zu der Liste der Überwachungen hinzu. Diese finden Sie in den erweiterten Sicherheitseinstellungen zu dem betreffenden Ordner oder der Datei.
Abbildung 11.52: Überwachung einrichten
Geben Sie zunächst das Konto des Benutzers, der Gruppe oder ein Systemkonto an, für welches die Überwachung gelten soll. Danach spezifizieren Sie die zu überwachenden Aktionen. Legen Sie bei der Aktion fest, ob eine erfolgreiche Durchführung oder ein fehlgeschlagener Versuch (oder beides) protokolliert werden soll. Weitere Einstellungen in diesem Dialogfenster sind: • ÜBERNEHMEN FÜR Legt fest, inwieweit die eingestellten Überwachungen für diesen Eintrag auch auf untergeordnete Objekte übertragen werden sollen. Wollen Sie beispielsweise einen Überwachungseintrag nur durch die untergeordneten Verzeichnisse erben lassen, so ändern Sie hier die Option auf DIESEN ORDNER, UNTERORDNER. Dateien bleiben dann von diesem Eintrag unberührt. • ÜBERWACHUNGEN Die Liste der Überwachungen ist dabei ausführlicher in die einzelnen Unter-Überwachungen zerlegt. Sicher ist es wenig sinnvoll, alle speziell für einzelne Dateien einzustellen. Aber für einen über-
11.11 NTFS-Zugriffsrechte einstellen
567
geordneten Ordner, der diese Überwachungen dann vererbt, können Sie so sehr genau festlegen, was erlaubt ist und was nicht. • ÜBERWACHUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER... Aktivieren Sie diese Option, wenn die gesetzten Überwachungseinstellungen nur auf die erste Ebene der direkt in diesem Verzeichnis befindlichen weiteren Verzeichnisse oder Dateien vererbt werden sollen. Wollen Sie hingegen, dass sich die Überwachungseinstellungen auf alle anderen untergeordneten Dateien und Verzeichnisse des ganzen Baumes vererben, was im Normalfall gewünscht wird, lassen Sie diese Option deaktiviert. Abbildung 11.53: Festlegen der Überwachungsaktion
Besitzrechte ändern Grundlage der Zugriffssteuerung im NTFS-Dateisystem über Benut- Besitz ist alles zerberechtigungen sind die Eigentumsverhältnisse an Dateien und Ordnern. Die Besitzrechte sowie die Vergabe des Rechtes auf Übernahme des Besitzes sind strikt geregelt. Haben Sie die Berechtigung zum Ändern der Besitzrechte, können Sie über das EigenschaftenFenster und die erweiterten Zugriffseinstellungen den Besitz an dem betreffenden Objekt übernehmen.
568
11 Administration der Massenspeicher
Abbildung 11.54: Übernahme des Besitzes
Sie können den Besitz nur jeweils auf sich selbst übertragen, das heißt, auf den aktuell angemeldeten Benutzer. Dieser muss dazu allerdings das Recht auf Besitzübernahme haben.
11.11.3 Das Kommandozeilen-Tool CACLS.EXE Mit dem Kommandozeilen-Tool CACLS.EXE können Sie die Zugriffsberechtigungen (Access Control List – ACL) von Dateien und Ordnern setzen oder ändern. Nicht beeinflussen können Sie damit allerdings Überwachungen oder Besitzverhältnisse (siehe vorhergehende Abschnitte). Die Syntax für den Aufruf von CACLS.EXE lautet: cacls cacls cacls cacls cacls
[] /G [] /P /E [] [] /D
<user>: <user>: /R <user> <user>
In der folgenden Tabelle finden Sie die Erläuterungen zu den Bestandteilen der Syntax: Tabelle 11.9: Optionen von CACLS.EXE
Option
Bedeutung
Die zu bearbeitenden Dateien oder Ordner; es sind auch Platzhalter wie *.* zulässig. Der Aufruf allein mit zeigt die gesetzten ACLs für die betreffenden Dateien und Ordner an.
Die folgenden Optionen beeinflussen CACLS: /T
Änderung der ACLs im aktuellen und in allen untergeordneten Verzeichnissen
11.11 NTFS-Zugriffsrechte einstellen
Option
569
Bedeutung /E
Bearbeitet die bestehende ACL der betreffenden Dateien und Ordner, ohne sie zu ersetzen
/C
Fährt mit der Abarbeitung von CACLS fort, auch wenn Fehler aufgetreten sind (beispielsweise Zugriffsverletzungen); eignet sich damit für den Einsatz in Stapelverarbeitungsdateien
/G <user>: Gewährt einem Benutzer oder einer Gruppe bestimmte in festgelegte Benutzerrechte; kann die folgenden Werte annehmen: R
Read-Only (Lesezugriff)
C
Change (Ändern; Schreiben); beinhaltet R
F
Full (Vollzugriff); beinhaltet R und C
/P <user>: Ersetzt die Zugriffsrechte eines Benutzers oder einer Gruppe; die folgenden Rechte können bei angegeben werden: N
None (keine Rechte)
R
Read-Only (Lesezugriff)
C
Change (Ändern; Schreiben); beinhaltet R
F
Full (Vollzugriff); beinhaltet R und C
/R <user>
Entfernt (Remove) komplett eine Zugriffsberechtigung für einen Benutzer oder eine Gruppe; muss immer zusammen mit /E angegeben werden
/D <user>
Verweigert explizit den Zugriff für einen bestimmten Benutzer oder eine Gruppe
Um CACLS in Stapelverarbeitungsdateien zum automatisierten Abar- Einsatz in Stapelbeiten von Aufgaben einsetzen zu können, benötigen Sie eine Mög- dateien lichkeit, auftretende Bestätigungsfragen mit J (Ja) beantworten zu können. CACLS bietet dazu leider keine entsprechende Option. Das Problem der automatisierten Ja-Sagerei lässt sich mit Hilfe des Echo-Befehls oder einer ja-Textdatei lösen: echo j|cacls … type ja.txt|cacls …
Die Datei ja.txt hat nur einen einzigen Buchstaben J als Inhalt sowie einen Zeilenvorschub. Beachten Sie, dass sich vor und nach dem PipeSymbol (|) keine Leerzeichen befinden.
570
11 Administration der Massenspeicher
11.12 Weitere Eigenschaften von Datenträgern Eigenschaften eines Datenträgers definieren oder ändern Sie in der Datenträgerverwaltung über das entsprechende Kontextmenü oder das Hauptmenü VORGANG | ALLE TASKS | EIGENSCHAFTEN. Sie können die Eigenschaften auch über das Kontextmenü im Windows Explorer aufrufen. Es sind neben allgemeinen Informationen zum Datenträger weitere Funktionen für das Datenträgermanagement erreichbar: • Umbenennen eines Datenträgers • Bereinigen des Datenträgers von temporären Dateien und Deinstallation von Software • Aktivieren der generellen Komprimierung für den Datenträger • Indizierung für schnellere Dateisuche aktivieren • Überprüfung des Datenträgers auf logische und physische Datenfehler • Start der Datensicherung • Start des Defragmentierungsprogramms • Änderung von Hardwareeinstellungen zu Datenträgern und Hilfe für die Problembehandlung • Einrichten der Netzwerkfreigaben und Offline-Verfügbarkeit von Daten • Einstellen von benutzerorientierten Sicherheitseinstellungen • Aktivieren und Konfigurieren von Datenträgerkontingenten • Freigeben von Ordnern über den Webserver Alle diese Funktionen verbergen sich hinter den sechs Registerkarten des Eigenschaften-Fensters. Die für den Serverbetrieb relevanten werden in den folgenden Abschnitten detailliert erklärt.
11.12.1 Überprüfung eines Datenträgers auf Fehler Unter Windows 2000 haben Sie Dienstprogramme, mit denen Sie die Datenträger auf Fehler untersuchen beziehungsweise Fehlerbehebung durchführen können. Einen Datenträgerfehler erkennen Sie dabei auch daran, dass gehäuft Fehler- oder Warnmeldungen im Ereignisprotokoll unter SYSTEM bei Datenträgerzugriffen erscheinen. Exklusiver Zugriff notwendig
Für die Behebung von Datenträgerfehlern haben Sie die Auswahl zwischen einem grafischen und einem textorientierten Programm, welche
11.12 Weitere Eigenschaften von Datenträgern
571
beide einen exklusiven Zugriff auf den betroffenen Datenträger brauchen, um erfolgreich die Diagnose und eine Fehlerbehebung durchführen zu können. Für ein laufendes Serversystem kann der Einsatz der Windows 2000 Reparaturtools für Datenträger nur die letzte Möglichkeit im Notfall sein. Bei sehr großen Speicherkonfigurationen kann es darüber hinaus zu einer Ausfallzeit des Servers beziehungsweise des betreffenden Datenträgers über mehrere Stunden bis Tage kommen. Für den Bootdatenträger von Windows 2000, auf dem sich ständig Überprüfung mit eine ganze Reihe von wichtigen Systemdateien im Zugriff durch das CHKDSK.EXE beim Betriebssystem befindet, kann generell keine direkte Fehlerbehebung Systemstart erfolgen. Datenträger, auf die nicht exklusiv zugegriffen werden kann, markiert das jeweils benutzte Dienstprogramm für die Fehlerbehebung. Beim nächsten Systemstart erfolgt dann automatisch die Überprüfung und Fehlerkorrektur mittels des Kommandozeilen-Tools CHKDSK.EXE. Zur Vermeidung von Datenverlusten durch physische Festplattenfeh- Fehlertolerante ler sollten Sie bei einem Serversystem immer fehlertolerante Speicher- Speichersysteme systeme einsetzen. Weitergehende Hinweise dazu finden Sie in Ab- und NTFS schnitt 3.4 Fehlertolerante Datenspeicherung ab Seite 76. Logische Fehler im Dateisystem können allein durch das Dateisystem NTFS und dessen transaktionsorientierte Arbeitsweise weitgehend ausgeschlossen werden. Lesen Sie dazu auch Abschnitt 4.4 NTFS im Detail ab Seite 121.
Grafisches Programm für die Fehlersuche und -behebung Über den Punkt EXTRAS des Eigenschaften-Fensters eines Datenträgers können Sie das grafische Dienstprogramm für die Überprüfung auf Fehler starten. Abbildung 11.55: Auswahl zur Art der Überprüfung
Für den Umfang und die Art der Überprüfung können Sie dabei aus zwei Voreinstellungen auswählen: • DATEISYSTEMFEHLER AUTOMATISCH KORRIGIEREN
572
11 Administration der Massenspeicher Es werden auftretende Fehler im Dateisystem automatisch korrigiert. Es erfolgt jedoch keine sektorenweise Überprüfung des Datenträgers. Diese Option spart Zeit und reicht für eine normale Prüfung aus, wenn Sie sicher sein können, dass das Speichermedium keine physischen Defekte aufweist. • NACH FEHLERHAFTEN SEKTOREN SUCHEN UND WIEDERHERSTELLUNG ... Diese Option können Sie alternativ zur ersten benutzen. Sie enthält bereits die Überprüfung auf Dateisystemfehler. Zusätzlich erfolgt aber auch eine sektorweise Überprüfung des Speichermediums. Das Auftreten von Sektorfehlern, die sich mit der Zeit eventuell häufen, deutet auf ein ernstes Problem mit dem Speichermedium hin. Es empfiehlt sich ein baldiger Austausch des Mediums.
Das Kommandozeilen-Programm CHKDSK.EXE Mit Hilfe des Kommandozeilen-Programms CHKDSK.EXE können Sie mit Einstellung verschiedener Parameter die Überprüfung eines Datenträgers mehr beeinflussen als mit dem grafischen Tool. NTFS-Datenträger
Die Syntax für den Aufruf der Überprüfung eines NTFS-Datenträgers lautet: chkdsk [] [/F] [/V] [/R] [/X] [/I] [/C] [/L[:]]
FAT-Datenträger
Die Verwendung des FAT- oder FAT32-Dateisystems auf Festplatten von Serversystemen sollte aus Sicherheitsgründen vermieden werden. Weitergehende Hinweise zur Fehlerbehebung bei diesen Dateisystemen finden Sie in Band I Windows 2000 im professionellen Einsatz. In der folgenden Tabelle finden Sie die Optionen von CHKDSK.EXE:
Tabelle 11.10: Optionen von CHKDSK.EXE
Option
Erklärung Der zu überprüfende NTFS-Datenträger; gültig sind die Angabe von: - Laufwerksbuchstaben, gefolgt von Doppelpunkt - Bereitstellungspunkt - Datenträgername
/F
Es wird die Fehlerbehebung mit durchgeführt. Das ist allerdings nur dann möglich, wenn der Datenträger für den exklusiven Zugriff durch CHKDSK.EXE gesperrt werden kann. Anderenfalls erfolgt eine Meldung mit der Rückfrage, ob beim nächsten Systemstart eine automatische Prüfung mit Fehlerbehebung veranlasst werden soll. Ohne diese Option wird der Datenträger lediglich überprüft.
11.12 Weitere Eigenschaften von Datenträgern Option
573
Erklärung
/V
Es werden ausführliche Meldungen während der Konvertierung angezeigt.
/R
Es wird auch eine Überprüfung auf fehlerhafte Sektoren vorgenommen und versucht, Daten wiederherzustellen. Diese Option bedingt den Schalter /F.
/L:
Verändert die Größe der NTFS-Protokolldatei. Ohne Größenangabe wird die aktuelle Größe angezeigt.
/X
Beendet selbstständig vorübergehend die Bereitstellung des Datenträgers in einem NTFS-Ordner; damit zum vollautomatischen Ablauf in Stapelverarbeitungsdateien geeignet.
/I
Überprüfung ohne Berücksichtigung von NTFSIndexeinträgen; damit schnellerer Durchlauf möglich.
/X
Überprüfung ohne Berücksichtigung von Zyklen innerhalb der NTFS-Ordnerstruktur; damit wie bei /I ein schnellerer Durchlauf möglich.
11.12.2 Datenträgerkontingente festlegen Die Einrichtung von Datenträgerkontingenten ist eine wichtige Funktion, um die Nutzung des Speicherplatzes von NTFS-Datenträgern kontrollieren zu können. Mehr Informationen zu den Grundlagen finden Sie in Abschnitt 4.4.7 Datenträgerkontingente ab Seite 140. Datenträgerkontingente sind Bestandteil der Eigenschaften eines logi- Allgemeine Kontinschen NTFS-Datenträgers (siehe Seite 570). Sie können im Eigen- genteinstellungen schafts-Dialogfenster unter KONTINGENT die allgemeinen Einstellungen zu den Datenträgerkontingenten bestimmen. Die folgenden Optionen stehen hier zur Verfügung: • KONTINGENTVERWALTUNG AKTIVIEREN Hier bestimmen Sie, ob die Datenträgerkontingente für diesen Datenträger überhaupt verwaltet werden sollen. Ist diese Option deaktiviert, stehen alle weiteren Optionen nicht zur Verfügung. • SPEICHER BEI KONTINGENTÜBERSCHREITUNG VERWEIGERN Legen Sie fest, was bei einer Kontingentüberschreitung durch einen Benutzer, für den ein Datenträgerkontingent eingerichtet wurde, passieren soll. Lassen Sie diese Option deaktiviert, kann der Benutzer weitere Daten speichern. Sie können aber die Überschreitung im Ereignisprotokoll registrieren lassen (siehe weiter in diesem Abschnitt).
Weiteren Speicher verweigern
574
11 Administration der Massenspeicher Ist diese Option aktiv, kann bei Kontingentüberschreitung der betreffende Benutzer keine weiteren Daten mehr auf diesem Datenträger abspeichern.
Abbildung 11.56: Allgemeine Einstellungen zu Kontingenten
• SPEICHERPLATZ BESCHRÄNKEN Standardbeschränkung
Geben Sie hier an, ob eine Standardbeschränkung für diesen Datenträger eingerichtet werden soll. Diese Standardbeschränkung gilt dann automatisch für alle neuen Benutzer des Datenträgers. Eine Standardbeschränkung muss nicht definiert werden, wenn Sie für jeden Benutzer individuell eine Beschränkung einrichten.
Warnstufe
Zusätzlich zur Standardbeschränkung können Sie auch eine Warnstufe festlegen, bei der Sie eine Speichergröße angeben, mit deren Erreichen ein Eintrag im Ereignisprotokoll vorgenommen werden soll. • ANMELDEOPTIONEN DES KONTINGENTS
Eintrag in das Ereignisprotokoll
Hier können Sie festlegen, dass ein Eintrag bei Überschreitung des Kontingents beziehungsweise der Warnstufe in das Ereignisprotokoll vorgenommen werden soll. Eine Meldung auf den Bildschirm erfolgt hingegen nicht, auch wenn dies die Option missverständlich suggeriert. Neben den allgemeinen Einstellungen können Sie auch die Kontingente für Benutzer individuell einrichten. Öffnen Sie dazu die Kontingentverwaltung über die Schaltfläche KONTINGENTEINTRÄGE.
11.12 Weitere Eigenschaften von Datenträgern
575 Abbildung 11.57: Kontingenteinträge verwalten
Es werden alle eingerichteten Kontingente angezeigt. Mit Hilfe der Pfeiltasten können Sie in der Liste der Einträge nach oben und nach unten scrollen.
Ein neues Kontingent einrichten Über das Hauptmenü oder einen Klick auf in der Symbolleiste fügen Sie einen neuen Kontingenteintrag hinzu. Es öffnet sich ein Dialogfenster für die Erstellung von Kontingenteinträgen. Abbildung 11.58: Neuen Kontingenteintrag definieren
Unter SUCHEN IN können Sie den lokalen Computer oder ein anderes Suchen in... Netzwerk-Containerobjekt bestimmen, für welches Kontingente eingerichtet werden sollen. Im oberen Bereich des Fensters sehen Sie die Benutzer, die für diese Hinzufügen von Domäne eingerichtet sind. Markieren Sie einen oder mehrere Benut- Benutzern
576
11 Administration der Massenspeicher zer, für die ein Kontingenteintrag für diesen Datenträger eingerichtet werden soll. Über HINZUFÜGEN erscheinen der oder die betreffenden Benutzer im unteren Teil des Fensters.
Namen überprüfen
Sie können einen Benutzernamen inklusive Netzwerk-Notation auch per Hand in den unteren Auswahlbereich eintragen. Mit NAMEN ÜBERPRÜFEN werden die Einträge dann durch Windows 2000 auf Richtigkeit kontrolliert. Dies macht vor allem für Netzwerkobjekte, die nur über langsame Fernverbindungen erreichbar sind, oder bei umfangreichen Benutzerlisten Sinn. Nach der Bestimmung der Benutzer können Sie die Größe des beschränkten Speicherplatzes festlegen.
Abbildung 11.59: Speicherplatzbeschränkung festlegen
Speicherplatz beschränken
Haben Sie mehrere Benutzer bestimmt, erscheint unter BENUTZER nur der Eintrag MULTIPLE. Bei nur einem Benutzer steht hier der Benutzername. Unter SPEICHERPLATZ BESCHRÄNKEN geben Sie die Limitierung des Speicherplatzes auf dem Datenträger in der gewünschten Einheit (siehe in diesem Abschnitt weiter oben) an. Dazu können Sie eine Warnstufe festlegen, ab der das System einen Eintrag in das Ereignisprotokoll vornehmen soll. Entsprechende Einträge in das Ereignisprotokoll werden nur dann vorgenommen, wenn in den allgemeinen Einstellungen dies auch eingestellt ist (siehe Seite 574).
Benutzer mit unbeschränktem Zugriff
Geben Sie in diesem Dialogfenster keine Beschränkung an, indem Sie die Option SPEICHERPLATZ NICHT BESCHRÄNKEN aktivieren, bekommen die betreffenden Benutzer einen hinsichtlich des Speicherplatzes unbeschränkten Zugriff auf den Datenträger. Das ist dann sinnvoll, wenn Sie beispielsweise aus einer Anzahl normaler Benutzer einige auswählen wollen, die Sie explizit keinen Beschränkungen aussetzen wollen.
Keine doppelte Kontingent-Vergabe!
Haben Sie in der Liste der Benutzer eines neuen Kontingenteintrages Benutzer aufgenommen, für die bereits ein Kontingent auf diesem Datenträger besteht, wird dies durch eine entsprechende Fehlermeldung angezeigt.
11.13 Indexdienst einrichten
577 Abbildung 11.60: Fehlermeldung: Benutzer hat schon ein Kontingent
Diese Fehlermeldung ist nicht weiter tragisch. Es wird nur das Kontingent desjenigen Benutzers nicht neu eingetragen, für den bereits eines existiert. Alle anderen Kontingente werden installiert.
Kontingente ändern Einen Kontingenteintrag ändern Sie durch Doppelklick der in der Symbolleiste. Sie können dann für den Eintrag die Speicherplatzbeschränkungen entsprechend modifizieren. Sie können die Kontingente auch gleichzeitig für mehrere Benutzer Kontingente für anpassen. Markieren Sie einfach die gewünschten Einträge (gedrückte mehrere Benutzer Maustaste + SHIFT- beziehungsweise STRG-Taste) und klicken Sie dann ändern auf das oben gezeigte Symbol. Geben Sie dann im folgenden Dialogfenster die gewünschten neuen Speicherbeschränkungen ein.
Kontingent löschen Wollen Sie ein Datenträgerkontingent für einen Benutzer entfernen, markieren Sie dieses und drücken einfach die ENTF-Taste. Sie können gleichzeitig auch mehrere Einträge markieren. Für ein generelles Deaktivieren der Kontingente reicht aber auch die Abschaltung des entsprechenden Punktes in den allgemeinen Optionen der Eigenschaften eines Datenträgers.
11.13 Indexdienst einrichten Der Indexdienst von Windows 2000 ermöglicht eine effiziente Suche nach Dateien über Angaben zu speziellen Eigenschaften und Inhalten. Insbesondere beim Einsatz eines Windows 2000 Serversystems kann die richtige Einrichtung des Indexdienstes die Geschwindigkeit der Suche von Benutzern nach Dokumenten stark beschleunigen und die Netzwerk- und Serverlast drastisch senken. Der vorliegende Abschnitt soll Ihnen helfen, den Indexdienst für eine effektive Nutzung einzurichten. Lesen Sie zum besseren Verständnis der Funktionen auch den Abschnitt 3.7 Der Indexdienst ab Seite 98.
578
11 Administration der Massenspeicher
11.13.1 Indexdienst aktivieren Standardmäßig wird der Indexdienst bei Windows 2000 mit installiert, ist jedoch nicht aktiv. Sie aktivieren den Indexdienst, indem Sie in der Managementkonsole COMPUTERVERWALTUNG unter DIENSTE UND ANWENDUNGEN für den INDEXDIENST das Kontextmenü aufrufen und den Befehl STARTEN auslösen. Abbildung 11.61: Starten des Indexdienstes
Voreingestellt ist ein Katalog System, der eine Konfiguration für die Indizierung von Dateien der angeschlossenen Festplatten-Datenträger beinhaltet, welche bei der Installation bestanden haben. Indexdienst und IIS
Ist der Internet Information Server (IIS) installiert, erstellt der Indexdienst auch automatisch einen Katalog Web, der die Indizierung für alle Dateien und Ordner des Webordners \INETPUB vorsieht. Bei der ersten ausgelieferten Version von Windows 2000 (alle Versionen) gibt es eine Sicherheitslücke im Zusammenhang mit dem Indexdienst. Bei installiertem Internet Information Server und aktivem Indexdienst kann es dazu kommen, dass Benutzer über die WebSuchmaschine des IIS auch an Daten kommen, die nicht für die Veröffentlichung freigegeben worden sind. Auf der folgenden Webseite können Sie den entsprechenden Patch laden, der die oben genannte Sicherheitslücke schließt:
Patch
www.microsoft.com/windows2000/downloads/critical/q253934/default.asp
Mit Installation des Service Packs 1 ist dieses Problem ebenfalls behoben.
11.13 Indexdienst einrichten
579
Es empfiehlt sich, voreingestellte Katalog-Konfigurationen an die tat- Anpassung sächlichen Erfordernisse anzupassen. Unnötig große Indizes verbrau- empfehlenswert chen nur unnötig Speicherplatz und Prozessorleistung. Die Anpassung beziehungsweise Neuanlage von Katalogen ist Inhalt des Abschnittes 11.13.3 Kataloge einrichten und konfigurieren ab Seite 582.
11.13.2 Indexdienst anpassen Für den Indexdienst selbst können Sie eine Reihe von Einstellungen festlegen, die sich stark auf die Performance und den Leistungsumfang auswirken.
Eigenschaften des Indexdienstes Über das Kontextmenü zum Snap-In INDEXDIENST erhalten Sie über EIGENSCHAFTEN dieses Dialogfenster: Abbildung 11.62: EigenschaftenFenster des Indexdienstes
Für alle durch den Indexdienst verwalteten Kataloge können Sie ver- Vererbbare erbbare Einstellungen definieren. Das erleichtert die Arbeit bei großen Einstellungen Organisationsstrukturen, die eine Vielzahl von Katalogen enthalten können, erheblich. Grundlegende Einstellungen brauchen Sie so nur einmal festzulegen. Alle weiteren Kataloge können dann darauf zugreifen. Alle globalen Einstellungen zum Indexdienst sind als vererbbare Einstellungen ausgelegt. Die folgende Aufstellung gibt Ihnen einen Überblick über diese Einstellungen: • DATEIEN MIT UNBEKANNTER ERWEITERUNG INDIZIEREN Bei der Indizierung von Dateien spielen Dokumentfilter eine wichtige Rolle (siehe auch Abschnitt 3.7.2 Der Indizierungsvorgang ab Seite 100). Die Liste der verfügbaren Dokumentfilter ist im Moment noch sehr übersichtlich. Dateitypen, für die kein spezieller Dokumentfilter verfügbar ist, können nur mit einem allgemeinen
Indizierung ohne Dokumentfilter
580
11 Administration der Massenspeicher Filter indiziert werden. Dabei werden nur bestimmte Standardeigenschaften und mit Einschränkungen Inhalte extrahiert. Wollen Sie verhindern, dass Dateien, für die keine Dokumentfilter installiert sind, indiziert werden, deaktivieren Sie diese Option. • ZUSAMMENFASSUNG ERZEUGEN Für die Ausgabe des Suchergebnisses können Sie bestimmen, ob eine Textzusammenfassung mit generiert werden soll. Die Größe dieser Zusammenfassung können Sie dabei in Zeichen angeben. Standardmäßig wird eine Größe von 320 Zeichen angenommen (4 Zeilen je 80 Zeichen). • ALIAS FÜR NETZWERKFREIGABEN AUTOMATISCH HINZUFÜGEN Werden Verzeichnisse, die für den Zugriff über das Netzwerk freigegeben sind, für die Indizierung konfiguriert, wird bei Aktivierung dieser Option der Alias der Freigabe automatisch an den Benutzer mit zurückgegeben. Diese Optionen können Sie für jeden Katalog individuell einstellen. Die Standardvorgabe für Kataloge ist die Übernahme der Eigenschaften (Vererbung), die Sie für den Indexdienst global festgelegt haben.
Leistung des Indexdienstes anpassen Schnellere Aktualisierung
Der Indexdienst läuft vorrangig im Hintergrund. Sie können aber bestimmen, wie stark dieser Dienst den Hauptprozessor in Anspruch nehmen darf. Möchten Sie eine hohe Leistungsfähigkeit des Indexdienstes, die sich darin ausdrückt, dass geänderte Dokumente schnellstmöglich aktualisiert im Index erscheinen und mehr Ressourcen für Abfragen vorgehalten werden, geben Sie dem Indexdienst mehr Priorität. Das geht aber zu Lasten der Performance anderer Applikationen.
Mehr Power für Applikationen
Geht es hingegen darum, anderen Anwendungsprogrammen maximale Rechenkapazität zur Verfügung zu stellen, geben Sie dem Indexdienst weniger Priorität. Änderungen an Dokumenten werden dann aber deutlich später im Index Berücksichtigung finden. Diese Einstellungen zur Leistung des Indexdienstes können Sie nur vornehmen, wenn dieser nicht aktiv ist. Beenden Sie über das entsprechende Kontextmenü in der Managementkonsole COMPUTERVERWALTUNG den Indexdienst. Über das Kontextmenü des Indexdienstes ALLE TASKS | LEISTUNG OPTIMIEREN oder über das Hauptmenü VORGANG | ALLE TASKS | LEISTUNG OPTIMIEREN öffnen Sie das Dialogfenster für die Leistungseinstellungen.
11.13 Indexdienst einrichten
581
Das Dialogfenster für die Leistungseinstellung bietet Ihnen vier vorgefertigte Leistungsprofile sowie die Möglichkeit der benutzerdefinierten Einstellung. Abbildung 11.63: Benutzerdefinierte Leistungseinstellung
Die vorgefertigten Einstellungen haben die folgende Bedeutung: • ABHÄNGIGER SERVER Der Indexdienst ist die Hauptanwendung auf diesem Server. Dementsprechend werden dem Indexdienst viel Rechenzeit eingeräumt sowie Ressourcen für häufige und parallele Abfragen vorgehalten. • HÄUFIG, ABER NICHT VON DIESEM DIENST ABHÄNGIG Der Indexdienst wird sehr oft in Anspruch genommen und benötigt dementsprechend viele Ressourcen. Neben laufenden anderen Prozessen werden aber noch ausreichend Kapazitäten zur Verfügung gestellt. Diese Option ist die Standardeinstellung für den Indexdienst. • NUR GELEGENTLICH Der Indexdienst wird seltener in Anspruch genommen. Aktualisierungen des Index werden nur dann vorgenommen, wenn gerade viel freie Rechenkapazität zur Verfügung steht. Änderungen an Dokumenten sind so erst nach einer Verzögerung im Index erfasst. • NOCH NIE
Noch nie = Deaktivierung
582
11 Administration der Massenspeicher Diese Option kann ein wenig in die Irre führen. Eine bessere Übersetzung hätte heißen können: Indexdienst deaktivieren. Die einzige Auswirkung dieser Option auf den Indexdienst ist nämlich dessen Abschaltung. • BENUTZERDEFINIERT Sie können die Leistungsoptionen INDIZIERUNG und ABFRAGEN nach eigenen Bedürfnissen einstellen.
Indexdienst neu starten
Nach der Einstellung des Leistungsverhaltens muss der Indexdienst wieder neu gestartet werden (über den Punkt STARTEN des Kontextmenüs).
11.13.3 Kataloge einrichten und konfigurieren Für die Nutzung des Indexdienstes können Sie so genannte Kataloge anlegen. Diese enthalten Einträge für die lokalen Verzeichnisse oder im Netzwerk freigegebenen Ordner, die in die Indizierung eingeschlossen oder explizit von dieser ausgeschlossen werden sollen. Dazu können Sie weitere Parameter zum Verhalten des Indexdienstes einstellen. Anpassung oder Neuanlage
Die Festlegungen, welche Dateien und Ordner wie zu indizieren sind, können Sie folgendermaßen treffen: 1. Sie passen den voreingestellten Katalog System Ihren Bedürfnissen an. 2. Sie erstellen alternativ zu System einen oder mehrere neue Kataloge. Den voreingestellten System-Katalog sollten Sie dann deaktivieren oder entfernen.
Einen neuen Katalog erstellen Einen neuen Katalog erstellen Sie über das Kontextmenü des Snap-Ins INDEXDIENST über NEU | KATALOG oder über das Hauptmenü VORGANG | NEU | KATALOG. Geben Sie im dann folgenden Dialogfenster einen Namen für den Katalog sowie seinen Speicherort an. Abbildung 11.64: Neuen Katalog anlegen
11.13 Indexdienst einrichten
583
Als Speicherort kann ein beliebiger Ort auf einem Datenträger dienen. Speicherort Aus Gründen der Sicherheit und der Performance empfiehlt es sich, hier ausschließlich NTFS-Datenträger zu benutzen. Der Katalog selbst kann allerdings auch Indizes für FAT-formatierte Datenträger aufnehmen.
Verzeichnisse für die Indizierung konfigurieren Der neue Katalog ist leer und enthält noch keine Konfigurationsinfor- Verzeichnisse mationen über zu indizierende Verzeichnisse. Fügen Sie über das ent- anlegen sprechende Kontextmenü nun die Verzeichnisse hinzu, für die eine Indizierung erfolgen soll. Geben Sie dazu den Pfad zu dem zu indizierenden Verzeichnis an. Dabei sind Sie nicht auf lokale Verzeichnisse beschränkt. Sie können über Durchsuchen auch ein freigegebenes Verzeichnis auf einem im Netzwerk befindlichen PC oder Server mit in den Katalog aufnehmen. Abbildung 11.65: Verzeichnis in Katalog aufnehmen
Für die Aufnahme eines Netzwerkverzeichnisses in den Index Ihres NetzwerkverzeichKataloges können Sie ein spezielles Konto mit zugehörigem Kennwort nisse indizieren angeben. Zu beachten ist allerdings, dass durch die Indizierung eines Netzwerkverzeichnisses Datenverkehr im Netz erzeugt wird. Wesentlich besser ist eine Indizierung auf dem bereitstellenden Win- Client-Serverdows 2000-Server. Die Abfragen werden dann mittels des Client- Prinzip Server-Prinzips über den Index des bereitstellenden Computers beantwortet. Die Netzwerklast wird dabei sowohl für die Erstellung und Aktualisierung des Index als auch für die Abfragen signifikant verringert. Für jeden Katalog können Sie auch die Verzeichnisse spezifizieren, die Ausschluss von Sie nicht indizieren lassen möchten. Priorität hat dabei immer der Verzeichnissen Ausschluss. Das bedeutet, dass ein Verzeichnis, welches explizit von der Indizierung ausgeschlossen worden ist, keine Unterverzeichnisse enthalten kann, die Sie indizieren möchten.
584 Ein Beispiel
11 Administration der Massenspeicher Haben Sie beispielsweise ein Verzeichnis D:\Daten\Texte zur Indizierung in Ihren Katalog aufgenommen, für D:\Daten allerdings einen Eintrag mit explizitem Ausschluss aus dem Indexdienst angelegt, wird auch D:\Daten\Texte nicht indiziert. Mit dem expliziten Ausschluss von Verzeichnissen sollten Sie deshalb sorgsam umgehen. Besser ist eine gezielte Auswahl nur der Verzeichnisse, die indiziert werden sollen.
Verzeichnisse auf Änderungen überprüfen Manuell eine Prüfung starten
Neben dem automatischen Prüfen des Indexdienstes können Sie auch manuell eine Überprüfung von Verzeichnissen auf Änderungen durchführen. Dies ist beispielsweise dann sinnvoll, wenn dem Indexdienst eine niedrige Priorität eingeräumt wurde und dieser deshalb regelmäßig bei Benutzeraktivitäten anhält (siehe auch Seite 580). Über das Kontextmenü zu einem Verzeichnis können Sie im Snap-In INDEXDIENST diese Überprüfung starten. Voraussetzung ist allerdings, dass der Indexdienst gestartet wurde und der Katalog ONLINE ist.
Art der Überprüfung
Sie haben die Möglichkeit, die Überprüfung inkrementell oder vollständig durchführen zu lassen:
Inkrementell
• ERNEUT ÜBERPRÜFEN (INKREMENTELL) Bei der inkrementellen Überprüfung werden nur die Dokumente erneut indiziert, die noch nicht im Katalog verzeichnet sind oder als verändert erkannt worden sind. Dabei haben Sie bei der Verwendung eines NTFS-Datenträgers einen entscheidenden Vorteil: Hier wird zur Erkennung der geänderten Dateien das NTFSÄnderungsjournal genutzt. Insbesondere bei großen Datenbeständen wird insofern diese Funktion drastisch beschleunigt, da nur noch das Änderungsjournal durchsucht werden muss und nicht das gesamte Verzeichnis.
Vollständig
• ERNEUT ÜBERPRÜFEN (VOLLSTÄNDIG) Bei der vollständigen Überprüfung werden alle im Verzeichnis befindlichen Dateien erneut indiziert. Dies kann je nach Datenmenge sehr viel Zeit in Anspruch nehmen und sollte nur unter bestimmten Voraussetzungen durchgeführt werden: -
Sie haben einen neuen Dokumentfilter installiert oder einen bestehenden entfernt, beziehungsweise ein Filter wurde geändert oder aktualisiert.
-
Sie haben Katalogeigenschaften geändert (siehe Seite 582).
-
Sie haben Einstellungen des Eigenschaften-Cache geändert.
-
Sie haben eine oder mehrere Ausnahmewortlisten geändert.
11.13 Indexdienst einrichten -
585
Sie haben eine oder mehrere weitere Sprachen installiert.
Weitere Informationen finden Sie auch in Abschnitt 3.7.2 Der Indizierungsvorgang ab Seite 100.
11.13.4 Dateien, die nicht indiziert werden Die folgenden Dateien werden nicht indiziert, auch wenn Sie sich in einem zu indizierenden Verzeichnis befinden: • Verschlüsselte Dateien Dateien, die Sie durch das verschlüsselnde Dateisystem chiffriert Sicherheit geht worden sind, können nicht indiziert werden (siehe auch Abschnitt vor! 4.4.5 Das verschlüsselnde Dateisystem (EFS) ab Seite 133). • Dateien ohne gesetztes Index-Attribut Benutzen Sie den Indexdienst für Dateien auf NTFS-Datenträgern, NTFS-Attribut beachten Sie, dass hier ein Indizierungsattribut existiert. Ist dieses beachten erweiterte NTFS-Attribut nicht gesetzt, wird diese Datei auch nicht indiziert. Für Dateien auf FAT-Datenträgern ist dieses Attribut nicht verfügbar. Hier werden damit immer alle Dateien eines in den Katalog aufgenommenen Verzeichnisses indiziert. • Dateien, die sich momentan in Benutzung befinden Dateien, die gerade bearbeitet werden und von Anwendungsprogrammen gesperrt sind, werden so lange nicht neu indiziert, solange diese Sperre besteht. Erst nach Beendigung der Bearbeitung erfolgt die Neuindizierung.
11.13.5 Meldungen des Indexdienstes Das Steuerungsfenster des Indexdienstes erreichen Sie über die Managementkonsole COMPUTERVERWALTUNG oder das SUCHEN-Fenster im Windows Explorer (über INDEXDIENST | ERWEITERT). Sie sehen dann das Detailfenster des Snap-Ins INDEXDIENST. Abbildung 11.66: Detailfenster des Indexdienstes
586
11 Administration der Massenspeicher Die Bedeutung der einzelnen Spalten in der Detaildarstellung sind in der folgenden Tabelle aufgeführt:
Tabelle 11.11: Spalten der Detaildarstellung
Spalte
Bedeutung
Katalog
Name des Kataloges
Pfad
Speicherort des Kataloges auf einem Datenträger
Größe (MB)
Aktuelle Größe des Kataloges in MB
Dokumente insgesamt
Aktuelle Anzahl der indizierten Dokumente im Katalog über alle enthaltenen Verzeichnisse
Zu indizierende Dokumente
Anzahl der Dokumente, die noch indiziert werden müssen
Zurückgestellt zwecks Indexerstellung
Anzahl der Dokumente, die noch indiziert werden müssen, aber wegen Benutzung gesperrt sind
Wortlisten
Anzahl der angelegten Wortlisten im Arbeitsspeicher
Gespeicherte Indizes
Anzahl der gespeicherten Indizes (temporäre und Masterindex)
Status
Aktueller Status des Katalogs
Zu den Bedeutungen von WORTLISTEN und TEMPORÄREN beziehungsweise MASTERINDIZES erfahren Sie mehr im Abschnitt 3.7.2 Der Indizierungsvorgang ab Seite 100. Aus der Anzeige des Status erhalten Sie Informationen zum Verhalten des Indexdienstes. In dieser Tabelle sind die wichtigsten Statusmeldungen zusammengefasst: Tabelle 11.12: Statusmeldungen des Indexdienstes
Statusmeldung
Bedeutung
Gestartet
Indexdienst ist aktiv und wurde gestartet.
Nur abfragen, Gestartet Indexdienst ist manuell angehalten worden; eine Aktualisierung des Index findet nicht mehr statt. Es können aber Abfragen über den Index durchgeführt werden. Untersuchen (NTFS), Gestartet
Ein NTFS-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt.
Untersuchen, Gestartet
Ein FAT/FAT32-Datenträger wird auf neue und geänderte Dateien untersucht; Indizierung wird durchgeführt.
Zusammenführen
Temporäre Indizes werden zu einem Masterindex zusammengefasst.
11.13 Indexdienst einrichten Statusmeldung
Bedeutung
Indexerstellung wurde angehalten (Benutzer aktiv)
Indexdienst wurde aufgrund von Benutzeraktivität angehalten; eine niedrige Priorität des Indexdienstes veranlasst diesen zu stoppen, um dem Benutzer maximale Rechenkapazität zukommen zu lassen.
Indexerstellung wurde angehalten
Das Anhalten des Indexdienstes kann neben Benutzeraktivität auch weitere Ursachen haben: - Hohe Nutzeraktivität - Unzureichender Arbeitsspeicher - Energieverwaltung Die ersten beiden Punkte deuten auf zu knappe Systemressourcen hin, letzterer wird vor allem auf Notebooks vorkommen können und ist damit bei einem Server eher selten.
Wiederherstellen
Nach einem unvorhergesehenen Ende des Indexdienstes, beispielsweise durch einen Systemabsturz, stellt dieser automatisch seine Indizes wieder her.
Überprüfung erforderlich
Inkonsistenz zwischen Index und den Dokumenten wurde erkannt; bleibt diese Meldung längere Zeit stehen, können Datenträgerprobleme verantwortlich sein.
11.13.6 Erweiterung des Indexdienstes mit ASP Im vorangegangenen Abschnitt wird die Einrichtung des Index Servers und der Kataloge beschrieben. Die mit Windows 2000 nutzbaren Abfragen mit der integrierten Suchfunktion eignen sich jedoch, insbesondere bei großen Datenbeständen, nur wenig für den Praxiseinsatz. Differenzierte Abfragen und eine optisch ansprechende, übersichtliche Darstellung der Suchergebnisse ist besonders für unerfahrene Nutzer wichtig. Der Indexdienst bietet für Anpassungen eine offene Programmierschnittstelle über die Technologie der Active Server Pages (ASP). Dieser Abschnitt zeigt, wie Sie als Administrator diese Funktionen nutzen können.
587
588
11 Administration der Massenspeicher
Zugriffsmöglichkeiten auf den Index Server Grundsätzlich gibt es mehrere Wege, den Index Server zu benutzen: • Integrierte Suchfunktionen Die Suchfunktionen des Windows Explorers nutzen automatisch den Index Server, wenn er aktiviert wurde und die Suche in Verzeichnissen erfolgt, die zur Indizierung aufgenommen worden sind. • Statische Suche Dabei werden die Suchanfragen statisch programmiert. Erstellt werden HTML-, IDQ- und HTX-Dateien, die zur Anzeige und Abfragesteuerung dienen. Änderungen sind aufwändig, die Nutzung kann aber ohne Programmierkenntnisse erfolgen. Diese Möglichkeit steht auch ohne ASP zur Verfügung. • Anpassung der Suchfunktion mit Active Server Pages (ASP) Der Index Server liefert einige Objekte und Werkzeuge mit, die Zugriff auf die Funktionen über VBScript und JScript bieten. • Suche über ActiveX-Daten-Objekte (ADO) Der Index Server tritt im System als Datenbankprovider auf und kann deshalb direkt über die Datenobjekte angesprochen werden. Mit SQL-Abfragen erreicht der Index Server ein Höchstmaß an Flexibilität und Leistungsfähigkeit.
Programmierung mit ASP Mit ASP können Sie den Indexdienst flexibel und einfach anpassen. Der Indexdienst unterstützt die Objekte Query und Utility, die sich in ASP-Skripten verwenden lassen und alle nötigen Parameter liefern. Für die Programmierung von ASP-Skripten benötigen Sie Kenntnisse in VBScript, HTML sowie über die Möglichkeiten von ASP selbst. Diese Kenntnisse können in diesem Rahmen natürlich nicht vermittelt werden. Auf dem Fachbuchmarkt gibt es dazu ausreichend Literatur. Sie können die Beispiele aber ohne Weiteres ablaufen lassen. Alle hier abgedruckten Skripte finden Sie auch auf der dem Buch beiliegenden CD. Einführung Skripting ab Seite 497
Eine kompakte Einführung in die Programmierung mit Microsoft Active Server Pages finden Sie in Abschnitt 10.5 Einführung in Scripting ab Seite 497.
11.13 Indexdienst einrichten
589
Voraussetzung zur Nutzung von ASP ist die Installation des Internet Voraussetzung: IIS Information Servers (IIS). Sie können diesen über SYSTEMSTEUERUNG | SOFTWARE | WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN installieren, falls er auf Ihrem Server noch nicht laufen sollte. Legen Sie die Skripte in einem neuen Unterverzeichnis unterhalb des Aufruf der Skripte Verzeichnisbaumes \INETPUB\WWWROOT ab. Nutzer im Netzwerk können dann mit dem Browser von jeder Arbeitsstation – auch von solchen, die nicht mit Windows arbeiten – auf den Server zugreifen: http://<server>//<skriptname>
Der Indexdienst verfügt über eine Datenbankschnittstelle, über welche Klassen und der direkte Zugriff mit speziellen SQL-Anweisungen realisiert werden Objekte kann. Außerdem wird serverseitig eine ActiveX-Komponente installiert, die zwei Klassen zur Verfügung stellt: • Query • Utility Aus diesen Klassen abgeleitete Objekte erlauben die Programmierung in ASP mit den dort typischen Methoden. Welche Variante Sie wählen, bleibt Ihnen überlassen – ASP-Programmierer werden sicher die zweite Variante wählen, Administratoren mit SQL-Kenntnissen werden die erste Variante möglicherweise angenehmer finden. Der komfortable Zugriff auf den Index Server ist praktisch nur mit Active Server Pages möglich. Wenn Sie damit noch keine Erfahrung haben, aber bereits mit VBA oder VBScript programmiert haben, dürfte der Einstieg nicht schwerfallen. Die wenigen, speziell auf den Index Server zugeschnittenen Objekte werden in den folgenden Abschnitten vorgestellt.
Das Objekt Query Sie erzeugen eine neue Instanz des Objekts Query auf dem bekannten Query-Objekt Weg: SET objQuery = Server.CreateObject("ixsso.Query")
Das Objekt kennt einige Methoden, mit denen gut gearbeitet werden Methoden kann: • CreateRecordSet. Führt die Abfrage aus, die in der Eigenschaft Query gespeichert wurde. Es wird ein Datensatzobjekt zurückgegeben. • DefineColumn. Gibt einer Spalte einen allgemeinen Namen. • QueryToURL. Gibt eine URL zurück, die auf die Abfrageergebnisse verweist. • Reset. Löscht alle Eigenschaften des Objekts.
590
11 Administration der Massenspeicher • SetQueryFromURL. Bildet eine neue Abfrage aus den Daten einer übergebenen URL.
Eigenschaften
Eine Reihe von Eigenschaften stehen ebenfalls zur Verfügung: • AllowEnumeration. Erlaubt der Abfrage die Nummerierung, wenn TRUE. • Catalog. Name des Katalogs, der durchsucht werden soll. • Columns. Durch Kommata getrennte Liste von Spalten, die an das Datensatzobjekt zurückgegeben werden sollen. • LocaleID. Landeskennzeichen • MaxRecords. Maximale Anzahl der Datensätze, die zurückgegeben werden. • OptimizeFor. Setzt bestimmte Merkmale, nach denen die Suche effizienter gestaltet werden kann. • Query. Enthält die Suchabfrage in Form einer Zeichenkette. • SortBy. Eine durch Kommata unterteilte Liste, die zu jedem Feld (Spaltennamen) die Sortierrichtung enthält. Mit dem ersten Listing FORM.ASP wird ein einfaches Formular zur Eingabe einer Suchanfrage realisiert.
Listing 11.1: FORM.ASP: Formular zur Abfrage des Indexdienstes mit ASP
Index Server Dokumente suchen Hier können Sie Dokumente auf dem Server suchen.
Neue Dokumente sind erst nach einiger Zeit auffindbar.
Ihre Abfrage: | |
Dokumententyp: | <select size="1" name="documenttype"> Alle Dokumente (*.*) MS Word (*.doc) MS Word Vorlagen (*.dot) HTML-Dateien (*.htm, *.html) Text-Dateien (*.txt) 11.13 Indexdienst einrichten 591 MS Excel (*.xls) PowerPoint Präsentationen (*.ppt) |
Anzahl Dokumente | <Select size="1" name="maxrecords"> Keine Einschränkung 10 20 50 100 |
| |
Das zweite notwendige Skript RESULT.ASP zur Auswertung mit dem Objekt Query unter Anwendung des Datensatzobjekts sieht folgendermaßen aus: 2^20 then show_size = round(bytes/2^20, 3) & " MB" exit function end if if bytes > 2^10 then show_size = round(bytes/2^10, 3) & " KB" exit function else show_size = bytes & " Byte"
Listing 11.2: RESULT.ASP: Auswerteskript zur Abfrage des Index Servers mit ASP
592
11 Administration der Massenspeicher end if end function %> Index Server <style> A {text-decoration:none; font-weight:bold } | no}] [/minpwlen:] [/maxpwage:{ | unlimited}] [/minpwage:] [/uniquepw:] [/domain] net accounts [/sync] [/domain]
1020 net computer
C Kurzreferenz Kommandozeilenbefehle Bewirkt, dass Computer einer Domänendatenbank hinzugefügt bzw. aus ihr entfernt werden. Dieser Befehl ist nur auf Computern unter Windows 2000 Server verfügbar. net computer \\ {/add | /del}
net config
Zeigt die konfigurierbaren Dienste an, die derzeit ausgeführt werden. Zeigt die Einstellungen für einen Dienst an oder ändert sie. net config [ [Optionen]]
net continue
Dieser Befehl nimmt unterbrochene Dienste wieder auf. net continue
net file
Zeigt die Namen aller geöffneten freigegebenen Dateien auf einem Server und die Anzahl der Dateisperren pro Datei an (falls vorhanden). Mit diesem Befehl können Sie außerdem einzelne freigegebene Dateien schließen und Dateisperren aufheben. net file [ID [/close]]
net help
Zeigt eine Liste von Netzwerkbefehlen und Themen an, zu denen Sie Hilfe erhalten können. Stellt Hilfe zu einem bestimmten Befehl oder Thema zur Verfügung. net help [Befehl] net Befehl {/help | /?}
net helpmsg
Zeigt Hilfe zu Windows 2000-Fehlermeldungen an. net helpmsg <MeldungsID>
net localgroup
Fügt lokale Gruppen hinzu, zeigt sie an oder ändert sie. net localgroup [ [/comment:"Beschreibung"]] [/domain] net localgroup {/add [/comment:"Beschreibung"] | /delete} [/domain] net localgroup [ ...] {/add | /delete} [/domain]
net name
Fügt einen Nachrichtennamen (auch Alias genannt) hinzu oder löscht ihn bzw. zeigt eine Liste aller Namen an, unter denen Nachrichten empfangen werden können. Der Nachrichtendienst muss gestartet sein, damit der Befehl net name verwendet werden kann. net name [ [/add | /delete]]
net pause
Unterbricht ausgeführte Dienste. net pause
net print
Zeigt Druckaufträge und Druckerwarteschlangen an oder steuert sie. net print \\\ net print [\\] [/hold|/release|/delete]
net send
Sendet Nachrichten an andere Benutzer-, Computer- oder Nachrichtennamen im Netzwerk. Der Nachrichtendienst muss gestartet sein, damit Nachrichten empfangen werden können. net send { | * | /domain[:] | /users}
C Kurzreferenz Kommandozeilenbefehle
1021
Zeigt die Arbeitssitzungen von lokalen Computern und verbundenen net session Clients an oder unterbricht sie. net session [\\] [/delete]
Erstellt freigegebene Ressourcen, löscht sie oder zeigt sie an.
net share
net share net share = [/users:| /unlimited] [/remark:"Beschreibung"] net share [/users:| unlimited] [/remark:"Beschreibung"] net share { | } /delete
Startet einen Dienst oder zeigt eine Liste der gestarteten Dienste an. net start Namen von Diensten, die wie beispielsweise NET LOGON oder COMPUTER BROWSER aus mehreren Wörtern bestehen, müssen in Anführungszeichen (") stehen. net start
Beendet einen Windows 2000-Netzwerkdienst.
net stop
net stop
Synchronisiert die Systemzeit des Computers mit der eines anderen net time Computers oder einer Domäne. Ohne den Parameter /set zeigt net time die Systemzeit eines anderen Computers oder einer Domäne an. net time [\\ | /domain[:] | /rtsdomain[:]] [/set] net time [\\] [/querysntp] | [/setsntp[:]]
Verbindet einen Computer mit einer freigegebenen Ressource oder net use trennt die Verbindung und zeigt Informationen über die Verbindungen eines Computers an. Der Befehl steuert außerdem ständige Netzwerkverbindungen. net use [ | *] [\\\[\]] [ | *]] [/user:[\]] [[/delete] | [/persistent:{yes | no}]] net use [/home[ | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}]
Fügt Benutzerkonten hinzu, ändert sie oder zeigt Informationen über net user Benutzerkonten an. net user [ [ | *] [Optionen]] //domain] net user { | *} /add [Optionen] [/domain] net user [/delete] [/domain]
Zeigt eine Liste der Domänen, eine Liste der Computer oder die von net view dem angegebenen Computer freigegebenen Ressourcen an. net view [\\ | /domain[:<domain>]] net view /network: [\\]
1022
C Kurzreferenz Kommandozeilenbefehle
C.2 Weitere Kommandozeilenbefehle In diesem Abschnitt finden Sie eine Auswahl wichtiger Windows 2000 Kommandozeilenbefehle. Die folgende Kurzreferenz dient nur als Orientierungshilfe. Für eine genaue Beschreibung der Parameter rufen Sie die Windows-Hilfe und dort den Pfad INFORMATIONEN | MS-DOSBEFEHLE auf. append
Ermöglicht Programmen das Öffnen von Datendateien in den angegebenen Ordnern, als wären diese Dateien im aktuellen Ordner gespeichert. Die angegebenen Ordner werden hinzugefügte Ordner (appended) genannt, da zu öffnende Dateien in ihnen so angesprochen werden können, als ob sie sich im aktuellen Verzeichnis befinden. append [;] [[][;...]] [[/x:{on | off}] [/path:{on | off}] [/e]
arp
arp dient zur Anzeige oder Änderung der Übersetzungstabellen, die von ARP (Address Resolution Protocol) für die Umsetzung von IPAdressen in physische Ethernet- oder Tokenring-Adressen verwendet werden. Dieser Befehl ist nur verfügbar, wenn das Protokoll TCP/IP installiert wurde. Weitere Informationen finden Sie auf Seite 773.
assoc
Zeigt die Zuordnungen von Dateierweiterungen an oder ändert sie. assoc [[=[]]]
at
Listet geplante Befehle auf oder plant Befehle und Programme, die zu einem bestimmten Zeitpunkt und Datum auf einem Computer ausgeführt werden sollen. Um den at-Befehl verwenden zu können, muss der Zeitplandienst ausgeführt werden. at [\\] [[] [/delete] | /delete [/yes]] at [\\] [/interactive] [/every:[,...] | /next:[,...]]
atmadm
Überprüft die Verbindungen und Adressen, die in einem ATMNetzwerk (Asynchronous Transfer Mode – asynchroner Übertragungsmodus) von der ATM-Anrufverwaltung aufgezeichnet werden. Sie können dieses Hilfsprogramm verwenden, um statistische Daten zu über ATM-Netzwerkkarten ein- und ausgehenden Anrufen anzuzeigen. atmadm [-c][-a] [-s]
attrib
Zeigt die Dateiattribute an oder ändert diese. Mit diesem Befehl können Sie die Dateien oder Verzeichnissen zugewiesenen Attribute SCHREIBGESCHÜTZT, ARCHIV, SYSTEM und VERSTECKT anzeigen, setzen oder löschen. attrib [+r|-r] [+a|-a] [+s|-s] [+h|-h] [[][] ] [/s[/d]]
cacls
Zeigt die Zugriffskontrolllisten (ACL – Access Control List) für Dateien an oder ändert sie.
C Kurzreferenz Kommandozeilenbefehle cacls [/t] [/e] [/c] [/g ] [/r [...]] [/p [...]] [/d [...]]
Ruft aus einem Stapelverarbeitungsprogramm ein anderes Stapelver- call arbeitungsprogramm auf, ohne das übergeordnete Stapelverarbeitungsprogramm zu beenden. Der Befehl call kann nun auch mit Marken als Sprungziel ausgeführt werden. call [][] [] call [<Parameter>]
Zeigt den Namen des aktuellen Verzeichnisses an oder wechselt den chdir (cd) aktuellen Ordner. chdir [/d] [][] [...] cd [/d] [][] [...]
Erstellt einen Statusbericht für einen Datenträger in Abhängigkeit vom chkdsk verwendeten Dateisystem. Chkdsk zeigt auch logische Fehler des Datenträgers an und behebt diese. Falls chkdsk das Laufwerk nicht sperren kann, wird angeboten, das Laufwerk beim nächsten Start des Computers zu prüfen. chkdsk [][[] ] [/f] [/v] [/r] [/l[]] [/x]
Zeigt an oder legt fest, ob eine automatische Systemüberprüfung auf chkntfs FAT-, FAT32-, oder NTFS-Datenträgern beim Start des Computers ausgeführt werden soll. chkntfs [/t[:]] [/x] [/c] [...] chkntfs /d
Zeigt die Verschlüsselung von Ordnern und Dateien auf NTFS- cipher Datenträgern an oder ändert sie. Weitere Informationen finden Sie auf Seite 561. Löscht die Bildschirmanzeige. Der geleerte Bildschirm zeigt nur noch cls die Eingabeaufforderung und die Einfügemarke an. cls
Sie können die cluster-Befehle verwenden, um Servercluster von der cluster Windows 2000-Eingabeaufforderung aus zu verwalten. Sie können auch das Programm CLUSTER.EXE über Befehlsskripte aufrufen, um zahlreiche Clusterverwaltungstasks zu automatisieren. Eine Beschreibung der Möglichkeiten finden Sie in Band III Internet Information Server 5. Startet eine neue Instanz des Windows 2000-Befehlsinterpreters cmd CMD.EXE. Mit dem Befehl exit beenden Sie die neue Instanz des Befehlsinterpreters und geben die Steuerung an die ursprüngliche Instanz zurück. cmd [ [/c | /k] [/q] [/a | /u] [/t:] [/x | /y] ]
1023
1024
C Kurzreferenz Kommandozeilenbefehle
comp
Vergleicht den Inhalt zweier Dateien oder Mengen von Dateien byteweise. Der Befehl comp kann Dateien auf demselben Laufwerk oder auf verschiedenen Laufwerken sowie Dateien eines Verzeichnisses oder mehrerer Verzeichnisse vergleichen. Während des Vergleichs zeigt der Befehl comp den Speicherort und die Namen der Dateien an. comp [] [] [/d] [/a] [/l] [/n=] [/c]
compact
Zeigt die Komprimierung von Dateien oder Verzeichnissen auf NTFSPartitionen an oder ändert diese. Weitere Informationen finden Sie auf Seite 558.
convert
Konvertiert FAT- und FAT32- in NTFS-Datenträger. Das aktuelle Laufwerk kann nicht konvertiert werden. Wenn convert das Laufwerk nicht sperren kann, werden Sie gefragt, ob das Laufwerk beim nächsten Start des Computers konvertiert werden soll. Weitere Informationen finden Sie auf Seite 552.
copy
Kopiert eine oder mehrere Dateien an einen anderen Speicherort. Mit diesem Befehl können auch mehrere Dateien zu einer Datei zusammengefasst werden. Wenn mehr als eine Datei kopiert wird, zeigt Windows 2000 den Namen jeder kopierten Datei an. copy [/a | /b] [/a | /b] [[/a | /b] + [/a | /b] [+ ...]] [/v] [/n] [/y | /-y] [/z] [/a | /b] [ [/a | /b]]
date
Zeigt das Datum an bzw. ermöglicht es, das Datum über die Eingabeaufforderung oder ein Stapelverarbeitungsprogramm zu ändern. date [tt.mm.jjjj]
del (erase)
Löscht die angegebenen Dateien. del [][] [/p] [/f] [/s] [/q] [/a[:]] erase [][] [ ...] [/p] [/f] [/s] [/q] [/a[:]]
dir
Zeigt eine Liste der in einem Verzeichnis enthaltenen Dateien und Unterverzeichnisse an. dir [:][][] [...] [/p] [/w] [/d] [/a[[:]]][/o[[:]]] [/t[[:]]] [/s] [/b] [/l] [/n] [/x]
diskcomp
Vergleicht den Inhalt von zwei Disketten. diskcomp [ []]
Siehe auch comp, fc. diskcopy
Kopiert den Inhalt der Diskette im Quelllaufwerk auf eine formatierte oder unformatierte Diskette im Ziellaufwerk. diskcopy [ []] [/v]
diskperf
Startet und beendet Systemleistungsindikatoren. diskperf [-y[e]|-n] [\\]
C Kurzreferenz Kommandozeilenbefehle
1025
Stellt sicher, dass nur auf MS-DOS basierte Anwendungen an der Ein- dosonly gabeaufforderung von Command.com gestartet werden können. dosonly
Schaltet das Anzeigen von Befehlszeilen ein, aus oder zeigt eine Mel- echo dung an. echo [on | off] []
Zeigt während der Verarbeitung der Dateien CONFIG.NT und echoconfig AUTOEXEC.NT eine Meldung an, wenn das MS-DOS-Teilsystem aufgerufen wird. Wird dieser Befehl nicht angegeben, werden keine Meldungen angezeigt. Dieser Befehl muss in der Datei CONFIG.NT des MSDOS-Teilsystems stehen. echoconfig
Beendet die lokale Umgebungsänderung in einem Stapelverarbei- endlocal tungsprogramm. Jedem Befehl setlocal muss ein Befehl endlocal folgen, damit Umgebungsvariablen wiederhergestellt werden können. Jede Stapelverarbeitungsdatei wird mit einem impliziten Befehl endlocal beendet. endlocal
Zeigt SNMP-Ereignisse an.
evntcmd
evntcmd [/?|/h] [/s <Systemname>][/v ][/n]
Beendet den Befehlsinterpreter und kehrt zu dem Programm zurück, exit das CMD.EXE aufgerufen hatte, oder zum Programm-Manager. exit
Erweitert eine oder mehrere komprimierte Dateien. Dieser Befehl wird expand zur Wiederherstellung komprimierter Dateien von einer Programmdiskette verwendet. expand [-r] [] expand -d [-f:] expand -f:
Vergleicht zwei Dateien und zeigt die Unterschiede zwischen den bei- fc den Dateien an. fc [/a] [/b] [/c] [/l] [/lbn] [/n] [/t] [/u] [/w] [/] [][] [][] fc /b [][] [][]
Sucht in einer oder mehreren Dateien nach dem angegebenen Text. find Nach dem Durchsuchen der angegebenen Dateien zeigt find alle Textzeilen an, die die gesuchte Zeichenfolge enthalten. find [/v] [/c] [/n] [/i] "Zeichenfolge" [[][][...]]
1026 findstr
C Kurzreferenz Kommandozeilenbefehle Es wird entweder nach buchstabengetreuer Übereinstimmung oder mit Hilfe von regulären Ausdrücken gesucht. Entspricht etwa grep unter Unix. findstr [/b] [/e] [/l] [/c:] [/r] [/s] [/i] [/x] [/v] [/n] [/m] [/o] [/g:] [/f:] [/d:] [/a:] [] [[][] [...]]
format
Formatiert die Diskette oder Festplatte im angegebenen Datenträger für die Verwendung unter Windows 2000. Weitere Informationen finden Sie in Abschnitt 11.7.3 Das Kommandozeilen-Programm FORMAT auf Seite 550.
ftype
Zeigt die Dateitypen, die Dateierweiterungen zugeordnet sind, an oder ändert sie. ftype [[=[]]]
help
Liefert Online-Informationen zu den Befehlen von Windows 2000. Sie können damit die Parameterbeschreibung für alle in diesem Anhang aufgeführten Befehle abrufen. help [Befehl]
label
Erstellt, ändert oder löscht die Datenträgerbezeichnung (den Namen) eines Datenträgers. Die Datenträgerbezeichnung wird als Teil des Verzeichnisses angezeigt. Wenn eine Datenträgernummer vorhanden ist, wird diese Nummer ebenfalls angezeigt. label [][]
mkdir (md)
Erstellt ein Verzeichnis oder Unterverzeichnis. mkdir [] md [:]
mode
Konfiguriert Systemgeräte. Der Befehl mode führt unterschiedliche Aufgaben aus, beispielsweise das Anzeigen des Systemstatus, das Ändern von Systemeinstellungen oder das Neukonfigurieren von Anschlüssen oder Geräten.
mountvol
Erstellt, entfernt oder listet Bereitstellungspunkte für Datenträger auf. Mit dem Befehl mountvol können Verbindungen mit Datenträgerpartitionen in Windows 2000 hergestellt werden, ohne dass ein Laufwerkbuchstabe erforderlich ist. Weitere Informationen finden Sie in Abschnitt 11.9.2 Das Kommandozeilen-Tool MOUNTVOL.EXE ab Seite 555.
move
Verschiebt eine oder mehrere Dateien aus einem Verzeichnis in das angegebene Verzeichnis. move [/y | /-y] [] []
ntcmdprompt
Führt den Windows 2000-Befehlsinterpreter CMD.EXE statt COMMAND.COM aus, nachdem ein speicherresidentes Programm (TSR) ausgeführt oder die Eingabeaufforderung innerhalb einer MS-DOSAnwendung gestartet wurde. ntcmdprompt
C Kurzreferenz Kommandozeilenbefehle Legt einen Suchpfad für ausführbare Dateien fest. Windows 2000 path verwendet den Befehl path, um in den angegebenen Verzeichnissen nach ausführbaren Dateien zu suchen. Standardmäßig enthält der Suchpfad nur das aktuelle Verzeichnis. path [[][;...]] [%path%]
Erkennt, sofern vorhanden, den Gleitkommadivisionsfehler im Penti- pentnt um-I-Chip, deaktiviert die Gleitkomma-Hardware und aktiviert die Gleitkomma-Emulation. pentnt [-c] [-f] [-o] [-?|-h]
Wechselt zu dem Verzeichnis, das mit dem Befehl pushd gespeichert popd wurde. Der Befehl popd kann nur einmal dazu verwendet werden, das Verzeichnis zu wechseln. Der Zwischenspeicher wird nach dem ersten Aufruf geleert. Wenn die Befehlserweiterungen aktiviert sind (Standardeinstellung), löscht der Befehl popd alle temporären Laufwerkbuchstaben, die durch pushd erstellt wurden. popd
Druckt eine Textdatei oder zeigt den Inhalt einer Druckerschlange an. print Dieser Befehl kann im Hintergrund drucken, wenn Sie ein Ausgabegerät an einen der parallelen oder seriellen Anschlüsse des Systems angeschlossen haben. print [/d] [[][] [...]]
Sie können die Befehlszeile so anpassen, dass jeder beliebige Text mit prompt Informationen wie Name des aktuellen Verzeichnisses, Uhrzeit und Datum oder Versionsnummer von Windows 2000 angezeigt werden kann. prompt []
Speichert den Namen des aktuellen Verzeichnisses für die Verwen- pushd dung des Befehls popd und wechselt dann zum angegebenen Verzeichnis. pushd []
Kopiert Dateien zwischen einem Windows 2000-Computer und einem rcp System, das rshd, den Remote Shell Daemon, ausführt. rcp [-a | -b] [-h] [-r] ...
Stellt lesbare Informationen auf einem beschädigten oder fehlerhaften recover Datenträger wieder her. Der Befehl liest eine Datei sektorweise und stellt Daten aus unbeschädigten Sektoren wieder her. Daten in beschädigten Sektoren können nicht wiederhergestellt werden. recover [][]
Erlaubt das Einfügen von Kommentaren (Anmerkungen) in Stapel- rem verarbeitungsprogrammen oder Konfigurationsdateien. rem []
1027
1028 rename (ren)
C Kurzreferenz Kommandozeilenbefehle Ändert den Namen einer oder mehrerer Dateien. Sie können alle Dateien umbenennen, deren Namen dem angegebenen Dateinamen entsprechen. Der Befehl kann nicht verwendet werden, um Dateien auf einem anderen Laufwerk umzubenennen oder diese in ein anderes Verzeichnis zu verschieben. rename [][] ren [][]
replace
Ersetzt Dateien im Zielverzeichnis durch Dateien aus dem Quellverzeichnis, die den gleichen Namen haben. Sie können mit replace auch Dateien mit eindeutigen Dateinamen in das Zielverzeichnis einfügen. replace [][] [] [] [/a] [/p] [/r] [/w] replace [][] [] [] [/p] [/r] [/s] [/w] [/u]
rmdir (rd)
Entfernt (löscht) ein Verzeichnis. rmdir [] [/s] [/q] rd [] [/s] [/q]
runas
Ermöglicht dem Benutzer das Ausführen spezieller Tools und Programme mit anderen Berechtigungen, als es die gegenwärtige Anmeldung erlaubt. runas [/profile] [/env] [/netonly] /user:
set
Zeigt Windows 2000-Umgebungsvariablen an, legt sie fest oder löscht sie. set [=[]]
setlocal
Beginnt die Lokalisierung von Umgebungsvariablen in einem Stapelverarbeitungsprogramm. Dieser Vorgang wird so lange ausgeführt, bis der Befehl endlocal gefunden oder das Ende der Stapelverarbeitungsdatei erreicht wird. setlocal
shift
Ändert die Position ersetzbarer Parameter in einem Stapelverarbeitungsprogramm. shift [/n]
stacks
Unterstützt den dynamischen Einsatz von Datenstapeln (Stacks), um Hardware-Unterbrechungsanforderungen zu bearbeiten. Um diese Umgebungsvariable verwenden zu können, fügen Sie sie in die Datei CONFIG.NT ein. stacks = ,<s>
start
Erstellt ein neues Fenster, um ein angegebenes Programm oder einen angegebenen Befehl auszuführen. start [<Titel>] [/d] [/i] [/min][/max][/separate| /shared] [/low|/normal|/high|/realtime] [/wait] [/b] [] [<Parameter>]
C Kurzreferenz Kommandozeilenbefehle Ordnet einem Pfad eine Laufwerkbezeichnung zu.
1029 subst
subst [ []] subst /d
Erzwingt, dass sich eine erweiterte Tastatur wie eine konventionelle switches Tastatur verhält. Verwenden Sie diesen Befehl in der Datei CONFIG.NT. switches=/k
Richtet den Telefonieclient ein. Verwenden Sie tcmsetup, um die von tcmsetup einem Telefonieclient verwendeten Remoteserver festzulegen oder um den Client zu deaktivieren. tcmsetup [/q] [/x] /c <Server1> [<Server2> ... <ServerN>] tcmsetup [/q] /c /d
Zeigt die Systemzeit an oder stellt die interne Uhr Ihres Computers.
time
time [<Stunden:>[<Minuten>[:<Sekunden>[.]]][A|P]]
Erstellt einen Titel für das Eingabeaufforderungsfenster.
title
title []
Zeigt die Verzeichnisstruktur eines Pfades oder des Datenträgers in tree einem Laufwerk grafisch an. tree [][] [/f] [/a]
Zeigt den Inhalt einer Textdatei an. Verwenden Sie den Befehl type, type wenn Sie eine Textdatei anzeigen, sie aber nicht verändern möchten. type [][]
Zeigt die Versionsnummer von Windows 2000 an.
ver
ver
Zeigt die Datenträgerbezeichnung und (falls vorhanden) die Serien- vol nummer eines Datenträgers an. Eine Seriennummer wird angezeigt, falls der Datenträger mit MS-DOS, Version 4.0 oder höher, formatiert wurde. vol []
Ermöglicht die Installation oder ein Update mit Windows 2000. Weite- winnt / winnt32 re Informationen finden Sie in Abschnitt 9.3.4 KommandozeilenParameter von WINNT.EXE und WINNT32.EXE ab Seite 449. Kopiert Dateien und Verzeichnisse einschließlich Unterverzeichnisse. xcopy [] [/w] [/p] [/c] [/v] [/q] [/f] [/l] [/d[:]] [/u] [/i] [/s [/e]] [/t] [/k] [/r] [/h] [/a|/m] [/n] [/exclude:] [/y | /-y] [/z]
xcopy
1030
D Index
D Index D.1 Erläuterungen zum Index Der Index enthält zu vielen Begriffen mehrere Verweise. Um die Navigation zu erleichtern, sind die Seitenzahlen in drei verschiedenen Varianten gesetzt: • ohne Formatierung: normale Informationen, Hintergründe und anwenderseitige Informationen. • fett: Hier finden Sie Informationen zur Administration zu dem betreffenden Begriff. • kursiv: Kursiv gesetzte Seitenzahlen weisen auf theoretische Abschnitte, Grundlagen und Einführungen zu dem Thema hin. In manchen Fällen ist die Zuordnung sicher nicht eindeutig möglich. Im Zweifelsfall gab auch die Position im Buch den Ausschlag. Sie sollten aber unabhängig davon auch andere Stellen aufsuchen, wenn Sie nicht sofort fündig werden. Neben dem Index und dem Inhaltsverzeichnis am Anfang des Buches finden Sie Übersichten auch am Anfang jedes Kapitels und vor den Befehlsreferenzen im Anhang.
D Index
1031
D.2 Index $ (Stammordner) 125 $AttrDef 125 $BadClus 125 $Bitmap 125 $Boot 125 $Extended 126 $LogFile 125 $Mft 124 $MftMirr 124 $OEM$ 876 $Secure 125 $UNIQUE$.UDB 878, 895 $Upcase 125 $Volume 125 Abgesicherter Modus 986 F8-Menü 985 letzte funktionierende Konfiguration 987 Mit Eingabeaufforderung 986 Mit Netzwerktreibern 986 Startmenü 985 VGA-Modus 986 Abkürzungen 1015 Access Control Entries 133, 341 Access Control List 340 ACE Siehe Access Control Entries Siehe Access Control Entries ACL Siehe Access Control List Active Directory 265, 607 ADSI Siehe ADSI Alleinstehende Server 293 Aufbau 285 Benutzer Siehe Benutzer Betriebsmaster 620 Betriebsmasterfunktionen 620 Clients anmelden 672 Computer 688 Computerobjekt anlegen 690 DNS-Master 622 Domäne Siehe Domäne Domänencontroller Siehe Domänencontroller Domänenstruktur Siehe Domänenstruktur Drucker 692 Einführung 265
Einheiten des Schemas 288 Freigaben Siehe Freigaben Gesamtstruktur Siehe Gesamtstruktur Globaler Katalog 289 Siehe Globaler Katalog Gruppen Siehe Gruppen Gruppenrichtlinien Siehe Gruppenrichtlinien Komponenten 286 Kontakte 695 Logische Struktur 306 Migration 372 Mitgliedsserver 293 Modus wechseln 624 Neuinstallation 607 Objekte Siehe Objekte (AD) Organisatorische Einheit Siehe Organisatorische Einheit Physische Struktur 290 Replikation Siehe Replikation Replikationsdienst 288 Schema 288 Schemamaster 621 Standorte Siehe Standort Verzeichnis 287 Weitere Objekte 687 X.500 267 Active Directory Drucker Attribute 694 Suchen 694 Zugriffsrechte 693 Active Directory Installation Domänencontroller einrichten 608 Festplattencache 613 NetBIOS-Name 612 Sysvol-Ordner 613 Weitere Domänencontroller 616 Active Server Pages 500 Address Resolution Protocol 161, 773 ARP-Pakete 162 Administrative Vorlage 719 Einführung 722 Ordnerstruktur 719 Skripte 720 Administratorkonto 659 ADSI 698
1032 Active Directory administrieren 705 Programmierschnittstellen 699 Programmierumgebung 698 AFP Siehe AppleTalk Filing Protocol AFP-Dateiserver 838 Konfiguration 843 AH Siehe Authentication Header American Registry for Internet Numbers 175 Analysepunkt 129 Analysepunkte 130 Kompatibilität 143 Änderungsdatensatz 142 Änderungsjournal 142 Kompatibilität 143 Anmeldedialog 252 Anmeldevorgang 252 DDNS 255 DFS 254 DHCP 253 DNS 253 Domänencontroller ermitteln 253 interner Ablauf 252 Kerberos 254 SMB/RPC 253 Zertifikate 254 Anmeldung 251 Smartcard 252 Antwortdatei Administratorkennwort 884 Benutzereingriff 881 Computernamen 883 Distributionsordner 889 HAL 890 IntelliMirror 892 Internet Explorer 887 Ländereinstellung 886 Lizenzvertrag 882 Modem 886 Netzwerkdrucker 888 Netzwerkkonfiguration 885 neu erstellen 880 notwendige Eingriffe 893 OEM-SCSI-Treiber 889 Proxy 887 Seriennummer 893 Sprachen 886 Systemvorbereitung 880 Antwortdateien
D Index anpassen 877 APIPA Siehe Automatic Private IP Adressing APNIC Siehe Asia-Pacific Network Information Center Appleshare 204 Appletalk 202 AFP 203 Druckunterstützung 857 Protokolleinstellungen 845 Routingfunktionen 848 AppleTalk 201 AppleTalk Filing Protocol 203 Appletalk-Druckunterstützung 398, 857 Drucker übernehmen 858 AppleTalk-Netzwerkrouter 246 Ethertalk 246 Seedrouter 248 Zonen 247 Appletalk-Router 249, 834 Installation 835 Seedrouter einrichten 836 Voraussetzungen 835 Zonen-Name 249 ARC-Pfadnamen Siehe Boot.ini Optionen 66 ARIN Siehe American Registry for Internet Numbers ARP Siehe Address Resolution Protocol Asia-Pacific Network Information Center 175 Atomatic Private IP Addressing Siehe APIPA Attribute 128 residente 128 Ausführungsrechte Kurzzeitige Änderung 918 Auslieferungszustand 897 Ausnahmewortliste 103 Authentication Header 260 Authentifizierung Kerberos 256 Zeitkontrolle 257 Authentifizierungsvorgang interner Ablauf 255 Automatic Private IP Adressing 176 Adressbereich 177 Deaktivierung 177 Autorenmodus 464, 472
D Index Basisdatenträger 55 Basisfestplatte Zurückkonvertieren 85 Basisfestplatten 55 Aufbau 58 Bootpartition 57 einrichten 514 Erweiterte Partition 57 Konvertieren 84 Logische Laufwerke 57 Partitionen 57 Partitionstypen 57 Primäre Partition 57 Systempartition 57 Zugriff über Bereitstellungspunkte 58 Zugriff über Laufwerkbuchstaben 58 Benutzer 337, 657 anlegen 678 Einrichten von Gruppen 684 Gruppen 339 Gruppen hinzufügen 686 Kontooptionen 683 Leistungsprobleme 687 Organisationseinheiten 678 Strategien 337 Systemsicherheit 339 Verwaltung 338 Benutzerkonfiguration 735 Administrative Einstellungen 743 Software-Installation 735 Windows-Einstellungen 735 Benutzerkonto 657 bearbeiten 663 Grundlagen 658 Benutzermanagement Siehe Benutzer Benutzermodus 464 Benutzernamen 660 Benutzerprofile 411, 665 Active Directory 670 Anwendung 414 Arten 665 Besonderheiten 413 Einsatz 665 Erstellen 666 Gruppenrichtlinien 666 Konflikte 412 NT 4 669 Servergespeicherte einrichten 670 Benutzerrechte 563
1033 Vererben 563 Vererbung deaktivieren 564 Bereitstellungspunkte 130 Berkeley Internet Name Domain 189 Besitzrechte 567, 923 Betriebsmaster 303 FSMO-Server 303 Schema-Master 303 BIND Siehe Berkeley Internet Name Domain Boot.ini 63 F8-Optionen 67 Bootdisketten 440 BOOTP Siehe Bootstrap Protocol Bootpartition 59 Bootsektor-Sicherung 111 Bootstrap Protocol 178 Bridge 212 Broadcast Siehe Broadcast-Adresse Broadcast-Adresse 174 Brouter 213 Brückenkopfserver 636 Buchreihe 27 CDFS Siehe Compact Disc File System Challenge Handshake Authentication Protocol 235 CHAP Siehe Challenge Handshake Authentication Protocol chunk size 73 Cipher 134 Clientinstallation 423, 911 Paket installieren 911 Clients anmelden 672 Benutzer anlegen 678 Computerkonto 673 Windows 98 676 Cluster 109 Cluster-Remapping 110 Compact Disc File System 107 Computerkonfiguration 745 Administrative Einstellungen 748 Software-Installation 745 Computerobjekte 688 Namenskonventionen 688 Computerviren 1002 Convert.exe 552 Data Decryption Field 135 Data Recovery Field 136 Dateiattribute Siehe Attribute
1034 Dateien mit geringer Dichte Kompatibilität 144 Dateiserver MAC-Clients 838 Dateisystem NTFS 121 Dateisysteme 107 Datensicherung 92, 535 Bereitstellungspunkte 546 Datei 538 Medienoptionen 540 NTBackup 92 Protokollierung 542 Registrierung 93 Sicherungsgerät 538 Sicherungsmedientypen 538 Sicherungsoptionen 540 Sicherungsprotokoll 96 Sicherungstypen 94 Systemstatusdateien 93 Wechselmedien- und Remotespeicher 96 Wiederherstellung 543 Zeitplanung 541 Zeitplanungsfunktion 94 Datenträger Auf Fehler überprüfen 570 Eigenschaften 570 einfache Siehe Einfache Datenträger Formatieren 546 Logische Laufwerke 518 Stripesetdatenträger Siehe Stripesetdatenträger Zugriff über Laufwerkbuchstaben 517 Zugriff über Laufwerkpfade 517 Datenträger aktualisieren 513 Datenträgerbezeichnung 549 Datenträgerinformation 129 Datenträgerkontingente 140 Ändern 577 Bereitstellungspunkte 140 Einrichten 575 Ereignisprotokoll 574 Festlegen 573 Kompatibilität 143 Komprimierung 140 Löschen 577 Warnschwelle 141 Datenträgername 129
D Index Datenträgersignatur 60 Datenträgerverwaltung 56, 509, 511 Ansichten 512 Datenträgerzugriff 553 Laufwerkbuchstaben 553 Laufwerkpfade 553 Dcpromo 608 DDF Siehe Data Decryption Field DDNS Siehe Dynamisches DNS Debugmodus 987 DEFAULTIPSITELINK Siehe Standorte und Replikation Defragmentierung 115 Auslagerungsdatei 117 Nach Installation 118 Software 118 Verfahren 116 Delegation der Administration 729 Delegationsmodelle 367 DES 261 DFS Siehe Distributed File System Siehe Distributed File System DFS-Stamm 147 DFS-Verknüpfung 148 Mehrere Stämme 148 Stammreplikat 148 DHCP Siehe Dynamic Host Configuration Protocol Aktivierung 754 Benutzerklassen 759 Installation 753 Optionen 757 DHCP-Relay-Agent 230, 807 DIB Siehe Directory Information Base Siehe Directory Information Base Diffie-Hellman 261 Digitale Signaturen Siehe SignaturKataloge Directory Information Base 269, 271 Directory Information Shadowing Protocol 273 Directory Information Tree 271 Directory Interface Shell 277 Directory System Agent 273 Directory System Protocol 269 Directory User Agent 273 Disc Images 896 Discover 420 Disk Quotas Siehe Datenträgerkontingente
D Index Diskeeper 119 DISP Siehe Directory Information Shadowing Protocol Distinguished Name 270 Distributed File System 144, 597 Aufbau 147 DFS-Client 149 DFS-Replikation einrichten 601 DFS-Stamm erstellen 598 DFS-Stammreplikat einrichten 602 DFS-Verknüpfungen 601 Domänenbasiert 146 Eigenständig 147 Einsatz 145 Namensraum 145 NT 4 146 Replikation 148 DIT Siehe Directory Information Tree DN Siehe Distinguished Name DNS 762 Siehe Domain Name System DDNS einrichten 766 DHCP-Client 767 Dynamische Aktualisierung 767 Installation 762 Konfiguration 762 Zonen einrichten 764 DNS-Master 304 Dokumentfilter 102 Domain Name System 185, 191 Active-Directory-verwaltete Zonen 195 Alternative Verfahren 188 Begriffe 187 DNS-Server 194 Domain-Hierarchie 191 Forwarder 195 Forward-Lookupzone 195 FQDN 192 Grundlagen 185 in-addr-arpa 196 Primärer Nameserver 194 Ressourcentypen 196
A 196 MX 196 NS 196 PTR 196 SOA 196 SRV 196 Reverse Lookup-Zone 195 Sekundärer Nameserver 194
1035 Topleveldomains 191 Zonen 193 Domain Name System Dynamisches Siehe Dynamisches DNS Domäne 312 Begriff 318 Mehrere Domänen 315 Modi 374 Modiumschaltung 374 Namenskontext 313 Strukturierung 314 Domänencontroller 291 Details 292 LDAP 291 Replikation 291 Replikationsprinzip 293 Typen 291 Domänenmodus 624 Domänenstruktur 307, 308 erschaffen 637 Gründe 311 Migration 312 Stammdomäne 637 Suchen in 311 Vertrauensstellungen 309 Voraussetzungen 309 Vorteile 311 Downlevel Name 660 DRF Siehe Data Recovery Field Druckansteuerung 381 Drucken 379, 853 Anschlussmonitore 388 Formulare Siehe Formulare Funktionen 379 Grundprinzip 381 Richtlinien 401 Sicherheit 400 TCP/IP-Druckansteuerung 853 Unix Siehe UNIX-Druckdienste Verwaltung 400 Drucker 382 Druckerpool 399, 862 Druckertreiber 390, 865 HPGL/2 391 Postscript 391 Universelle 391 Druckjobs Druckwarteschlange 393 Druckserver 858
1036 Anschlüsse 865 Auftragsabarbeitung 866 Client-Treiber 860 Einrichten 859 Freigaben 392, 859 im Active Directory 392 im Netzwerk 392 IPP Siehe IPP-Druckerserver Konfiguration 863 LPD 860 Macintosh-Clients 862 Merkmale 393 Spoolerfehler 866 Spoolerwarnungen 866 Spoolordner 866 Druckserverfunktionen 399 Druckerpool 399 Druckspooler 384 Datenformate 387 DSA Siehe Directory System Agent DSP Siehe Directory System Protocol DUA Siehe Directory User Agent DUMPEVT 964 Dynamic Host Configuration Protocol 178 Benutzerklassen 183 BOOTP 178 clientseitig 182 DNS 183 Grundlagen 178 Herstellerklassen 184 Lease 180 Lease-Dauer 180 Optionen 181 Routing 184 Theorie 179 Dynamische Datenträger 55, 70 Dynamische Festplatten 55, 69, 519 Aufbau 70 Einschränkungen 71 Umwandlung vorhandener Daten 520 Wechseldatenträger 71 Dynamisches DNS 197 Clients 197 DHCP 197 DNSUpdateProxy 198 Nicht-Windows-Clients 198 Sicherheit 198 Verfahren 197
D Index EAP Siehe Extensible Authentication Protocol EFS Siehe Encrypting File System Einfache Datenträger 520 Erstellen 521 Erweitern 522 Festplatte auswählen 521 Größe 522 Einfache dynamische Datenträger 72 Einheitlicher Modus 374 EMF Siehe Enhanced Metafile Encapsulating Security Payload 260 Encrypting File System 133, 135 Aufbau 134 Enhanced Metafile 387 ENV 41210 268 ENV 41212 269 ENV 41215 269 ENV 41217 269 ENV 41512 269 Ereignisanzeige 949 Anwendungsprotokoll Siehe Anwendungsprotokoll Details 958 Einstellungen 962 Ereignismeldung 959 Filter 961 Listenanzeige 958 Protokollarten 950 Sicherheitsprotokoll Siehe Sicherheitsprotokoll Systemprotokoll Siehe Systemprotokoll Ereignisprotokoll dumpevt 964 Größe 963 Meldungsarten 956 Speichern 963 Verarbeiten 963 ESP Siehe Encapsulating Security Payload Executive Software 119 Extensible Authentication Protocol 235 FAT Limitierungen 109 Fehlertolerante Datenspeicherung 76 Gespiegelte Datenträger 80 Vor- und Nachteile 79 fehlertolerante Datenträger reparieren 530 FEK Siehe File Encryption Key
D Index Festplattenduplizierung 897 Voraussetzungen 898 Festplattenmanager 514 File Encryption Key 135 FINGER 774 Flexible Single Master Operation-Server 303 Forest Siehe Gesamtstruktur Format.com 550 Formatieren 547 Dateisystem 548 Datenträgerbezeichnung 549 Dienstprogramm 547 Format.com 550 Format-Werkzeug 547 Komprimierung 549 Parallel formatieren 550 Quickformat 549 Zuordnungseinheit 549 Formulare 864 Erstellen 864 Forwarder 187 FQDN 187 Siehe Full Qualified Domain Name Fragmentierung 112 Clustergröße 113 Dateien 112 Datenträger 112 Defragmentierung 115 Grundlagen 112 Master File Table 114 NTFS 114 Freigaben 696 Einrichten 696 FSMO-Server Siehe Flexible Single Master Operation-Server FTP-Server 768 Einrichtung 770 Installation 769 Funktionen Überblick 43 Funktionsumfang 37 Gemischter Modus 374 Gesamtstruktur 307 erschaffen 640 Gespiegelte Datenträger 80 Aufbau 80 Performance 81 Systemdatenträger 81
1037 Gliederung des Buches 30 Globale Gruppe 345 Globaler Katalog 293, 626 Führung festlegen 626 Katalogserver 627 Konzept 294 GPC Siehe Gruppenrichtlinien-Container GPO Siehe Gruppenrichtlinien-Objekt Gruppen 337, 343 Administratoren 348 Administratoren für Gruppenrichtlinien 349 Benennungsvorschriften 353 Benutzer 348 Details 344 Domänenadministratoren 348 Domänenbenutzer 349 Domänencomputer 348 Domänencontroller 348 Domänengäste 349 Druck-Operatoren 348 Gäste 348 Gruppenarten 346 Gruppenbereiche 344 Integrierte 347 Konten-Operatoren 348 Konzept 343 Mitgliedschaften 347 NT 4 343 Replikations-Operatoren 348 Schema-Administratoren 349 Server-Operatoren 348 Sicherheitsgruppen 353 Sicherungs-Operatoren 348 Strategien 350 Unternehmens-Administratoren 349 Verschachtelung 346 Verteilergruppen 353 Zertifikatsherausgeber 348 Gruppenmanagement Siehe Gruppen Gruppenrichtlinie Software-Installation 906 Gruppenrichtlinien 355, 716 Aktualisierung 362 Benutzer und Gruppen 355 Benutzerkonfiguration 735 Benutzerrechte 369 Computerrichtlinien 362 Designmodelle 363
1038 Details 718 Eigenschaften 357 Entwurf 363 Entwurfspraxis 368 Filtern 727 Gruppenrichtlinien-Objekt 718 Hintergrundinformationen 358 Import von Vorlagen 725 Leistungsoptimierung 367 Migration 362 NT 4 357 Planung 361 Praxistipps 362 Profile 356 Rechte 362 Richtlinienspeicher 716 Richtlinientypen 727 Richtlinientypen auswählen 726 Strategien 361 Verarbeitungsreihenfolge 363 Vererbungsprinzip 717 Verwaltungsrechte 732 Vorlage Siehe Administrative Vorlage Zuweisung 362 Gruppenrichtlinien-Container 719 Gruppenrichtlinien-Objekt 718 Gruppenrichtlinien-Objekte 364 Gruppenrichtlinien-Vorlagen Siehe Administrative Vorlage Gruppenstrategie 352 Hardwareanforderungen 38 Hardware-Kompatibilitätsliste 433 Hauptrouter Siehe Seedrouter HCL Siehe Hardware-Kompatibilitätsliste Herstellerspezifischer HAL 437 HKEY_CLASSES_ROOT 977 HKEY_CURRENT_CONFIG 977 HKEY_CURRENT_USER 977 HKEY_LOCAL_MACHINE 977 HKEY_USERS 977 HMAC 261 hostname 776 Hosts (Datei) 188 Syntax 188 HTML 503 IANA Siehe Internet Assigned Numbers Authority IAS Siehe Internet Authentication Service
D Index ICMP Siehe Internet Control Message Protocol ICS Siehe Internet Connection Sharing IDEA 261 Identität 278 Index-Attribut 559 Indexdienst 98, 577 Aktivieren 578 Anpassen 579 Arbeitsweise 99 Deaktivieren 582 Dokumentfilter 102 IIS 578 Indizierungsvorgang 100 Kataloge 100 Siehe Indexkatalog Masterindex 102 Meldungen 585 Neu starten 582 NTFS 100 Priorität 580 Programmierung mit ASP 587 Schlüsselwortlisten 102 Verschlüsselung 100 Indexkatalog 582 Ausschluss von Verzeichnissen 583 Inkrementelle Überprüfung 584 Manuelle Prüfung 584 Netzwerkverzeichnisse 583 Neu erstellen 582 Speicherort 583 Vollständige Überprüfung 584 Indexstamm 129 Indizierung Dokumentfilter 579 Sprachen-Kennung 103 Suchergebnisse 580 Verschlüsselte Dateien 585 Indizierung von Dateien 99 Indizierungsvorgang 100 Installation 433 Bootdisketten 440 CD-Inhalt 442 Checkliste 446 Digitale Signaturen 435 Durchführen 446 Festplatten 437 Hardware 433 HCL 433 Installationsverfahren 440
D Index Kommandozeilen-Parameter 449 Massenspeichertreiber 448 mit Disc Images 896 Neuinstallation 437 Schritte 447 Upgrade-Möglichkeiten 436 USV 447 Verwaltungsprogramme 453 WDM 435 Winnt.exe 441 Winnt32.exe 441 Installationsabbildordner 873 Installations-CD 442 Installationsprobleme Installation nicht gefunden 989 Manuelle Reparatur 989 Notfallreparaturkonsole 989 IntelliMirror 407 Anwendungsbereiche 408 Clientinstallation 911 Kerntechnologien 409
Benutzerdaten 409 Konfiguration 410 Software-Installation 410 Kerntechnologien (Übersicht) 408 Internet Assigned Numbers Authority 175 Internet Authentication Service 231 Internet Connection Sharing 222 Internet Control Message Protocol 166 Einsatz 167 Internet Packet Exchange 200 Internet Printing Protocol Anwendungen 397 Server einrichten 397 Internet Protcol Adressen Siehe IP-Adressen Internet Protocol 162 Datagramm 164 Details 163 Fragmentierung 165 Subnetze 172 Zuverlässigkeit 166 Internet Protocol Version 4 171 Internet Protocol Version 6 172 Internet-Protokollfamilie 160 OSI-Modell 160 Internetverbindungsserver 221, 787 Apple Macintosh anbinden 800
1039 Assistent 788 Clients 798 DFÜ-Monitor 792 DHCP 796 DNS 225, 796 DNS-Proxy 225 DNS-Server 226 DSL 223 Dynamische IP-Adressen 224 Fehlersuche 802 Network Address Translation 224 Ohne DHCP/DNS 800 PPP-Parameter 793 Protokollierung 800 Remoterouter 225 RRAS-NAT 801 Standard-Gateway 225 Standleitung 223 Statische IP-Adressen 224 Szenarien 222 TCP/IP-Clients 225 Verfahren 222 IP 170 Siehe Internet Protocol IP Security 260 Transportmodus 261 Tunnelmodus 260 IP-Adressen 171 Adressvergabe 171 Adressversionen 171 Automatische Vergabe 176 ipconfig 776 IP-Namensauflösung Siehe Domain Name System Hosts (Datei) 188 LMHosts (Datei) 190 IP-Netzwerkrouter 829 Neuinstallation 830 Routingprotokolle hinzufügen 832 Statische Routen 831 Voraussetzungen 829 IPP Siehe Internet Printing Protocol IPP/1.1 396 IPP-Druckserver 861 Druckerfreigaben 861 Rechte 861 IPSec 259 Siehe IP Security Anwendungsszenarien 259 IPv4 Siehe Internet Protocol Version 4 IPv6 Siehe Internet Protocol Version 6
1040 IPX Siehe Internet Packet Exchange IPX-Netzwerkrouter 244, 832 Konfiguration 833 Netware 5 244 NLSP 245 RIP 245 SAP 245 Voraussetzungen 832 ISO 3166 335 ISO/OSI-Referenzmodell 153 ISO-9660 107 Journaled File System 110 Kapitelübersicht 30 Katalog 100 KCC Siehe Knowledge Consistency Checker KDC Siehe Key Distribution Center Kennwörter Komplexitätsanforderungen 662 Vergabetipps 662 Kerberos 251, 257 Schlüsselaustausch 257 Sitzungsticket 258 Kerntechnologien 45 Key Distribution Center 257 Klasse-A-Netz 173 Klasse-B-Netz 173 Klasse-C-Netz 174 Klasse-D-Netz 174 Klasse-E-Netz 174 Knowledge Consistency Checker 298 Kommandozeilenbefehle 1022 append 1022 arp 1022 at 1022 atmadm 1022 attrib 1022 cacls 1022 call 1023 chdir 1023 chkdsk 1023 chkntfs 1023 cipher 1023 cls 1023 cluster 1023 cmd 1023 comp 1024 convert 1024 copy 1024
D Index date 1024 del 1024 diskcomp 1024 diskcopy 1024 diskperf 1024 dosonly 1025 echo 1025 echoconfig 1025 endlocal 1025 evntcmd 1025 exit 1025 expand 1025 fc 1025 find 1025 format 1026 ftype 1026 help 1026 label 1026 mkdir (md) 1026 mode 1026 mountvol 1026 move 1026 ntcmdprompt 1026 path 1027 pentnt 1027 popd 1027 print 1027 prompt 1027 pushd 1027 rcp 1027 recover 1027 rem 1027 rename 1028 replace 1028 runas 1028 set 1028 setlocal 1028 shift 1028 stacks 1028 start 1028 subst 1029 switches 1029 tcmsetup 1029 time 1029 title 1029 tree 1029 type 1029 ver 1029 vol 1029
D Index winnt 1029 xcopy 1029 Kommandozeilen-Tools Arp 773 Calcs.exe 568 Chkdsk.exe 572 Convert.exe 552 Finger 773 FTP 775 hostname 776 ipconfig 776 Mountvol.exe 555 netstat 777 nslookup 778 route 780 TCP/IP 772 tracert 781 Übersicht 772 Übersicht Massenspeicher 510 verifier.exe 975 Komplexitätsanforderungen 663 Kompressionsraten 138 Kompressionsverfahren 138 Komprimierung 114, 137, 549 Aktivieren 557 Aufbau 137 im Netzwerk 137 Tipps 139 Kontakte 695 Gruppen 696 Kontingentüberschreitung 573 Kontorichtlinien Tipps zur Kennwortvergabe 663 Konvertieren Bootdatenträger 86 konvertierte dynamische Datenträger 85 Konvertierung FAT in NTFS 551 von Basisfestplatten 84 Konzeption 28 L2TP Siehe Layer-2-Tunneling Protocol LAN-Manager 199 Laufwerkbuchstabe Neustart 554 Laufwerkpfade Ändern 555 Einrichten 554 Hinzufügen 554 Löschen 555
1041 Rekursion 555 Wechseldatenträger 555 Layer-2-Tunneling-Protocol 239 LDAP 267 Siehe Lightweight Directory Access Protocol Lightweight Directory Access Protocol 281 Entwicklung 281 LDAPv3 282 PICS 285 Sicherheit 284 URL 283 LMHosts (Datei) 190 Logged Tool Stream 129 Logische Drucker 382 mehrere einrichten 383 Logische Laufwerke 518 Partitionstabellen 63 Logische Struktur des Active Directory 306 Logischer Diskmanager 56 Lokale Gruppe 345 Loopback 174 Macintosh-Clients DHCP 847 Freigabeeigenschaften 842 Gast-Zugang 841 Konfiguration 844 Netzwerkfreigaben 839 TCP/IP-Einstellungen 847 UAM-Datenträger 841 Macintosh-Services 201 AppleTalk-Router 202 Authentifizierung 203 Dateiserver 201, 203 SFM-Druckserver 202 User Authentication Modul 203
Appleshare 204 Clients 204 Microsoft-UAM 5.0 204 Zugriffsrechte 204 Managementkonsole Ansichten anpassen 468 Autorenmodus 472 Benutzermodi 471 Benutzermodus beschränkt 472 Benutzermodus Vollzugriff 472 Benutzerspezifische 465 Beschreibungsleiste 470 eigene anlegen 465
1042 Favoriten 468 Konsolenstruktur 469 Menüs 470 mmc.exe 462 Modi 464 Navigationsregisterkarten 470 Prinzip 462 remote administrieren 466 Standardmenüs 469 Standardsymbolleiste 469 Statusleiste 470 Symbolleisten 470 Taskpad-Ansichten 468 Massenspeicher Kommandozeilen-Tools 510 Verwaltungswerkzeuge 509 Master Boot Record 58, 995 Details 60 Master File Table Fragmentierung 114 Masterbootcode 60 Masterindex 102 MBR Siehe Master Boot Record Siehe Master Boot Record Medienpool Anlegen 532 Typen 531 Medienpools 89 Anlegen von 92 Anwendungsmedienpools 91 Systemmedienpools 91 Mehrprozessorfähigkeit 46 Meldungen Erfolgsüberwachung 957 Fehler 957 Fehlerüberwachung 957 Informationen 957 Warnungen 957 MFT-Datensatz 126 Microsoft Managementkonsole 461 Microsoft RAS 228 Microsoft-UAM 203 Installation 849 Mini-Setup 897 MMC Siehe Managementkonsole Monolithisches Modell 363 Mountvol.exe 555 MS-CHAP Siehe Challenge Handshake Authentication Protocol
D Index MS-CHAP v2 Siehe Challenge Handshake Authentication Protocol MSI-Paket 418 Bearbeiten 904 MSI-Pakete Gruppenrichtlinien 423 Multi-Syntax 65 Namensvergabe 661 Nameserver 187 NAT Siehe Network Address Translation NCP Siehe NetWare Core Protocol net 1019 accounts 1019 computer 1020 config 1020 continue 1020 file 1020 help 1020 helpmsg 1020 localgroup 1020 name 1020 pause 1020 print 1020 send 1020 session 1021 share 1021 start 1021 stop 1021 time 1021 use 1021 user 1021 view 1021 NetBEUI Siehe NetBIOS Extended User Interface NetBIOS Siehe Network BIOS NetBIOS Extended User Interface 199 netstat 777 NetWare Core Protocol 200 Netware-Druckunterstützung 397 Network Address Translation (RRAS) 224 Network BIOS 199 Netzklassen 173 Netzwerkdrucksystemen 394 Netzwerkgrundlagen 153 Neuerungen in Windows 2000 37 Norton Speeddisk 118 Notfallreparaturkonsole 997 Notfalldiskette 998 Startsektor 999
D Index Startumgebung 999 Systemdateien 999 NTFS 108 Access Control Entries 132 Access Control List 132 Änderungsjournal 142 Aufräumaktionen 144 B-Baum 128 Benutzerrechte 111 Berechtigungen 133 Bootsektor 122 Clustergröße 109 Dateiattribute 128 Dateien mit geringer Dichte 141 Dateinamen 121 Dateisystemsicherheit 110 Details 121 Fragmentierung Siehe Fragmentierung Interner Aufbau 122 Kompatibilität 143 Komprimierung 114 Master File Table 122 Merkmale 108 MS-DOS-Namen 122 Organisationsstruktur 127 Performanceverbesserung 117 POSIX-Kompatibilität 122 Speicherkapazität 108 Transaktionen 110 vererbbare Berechtigungen 111 Verschlüsselndes Dateisystem 133 NTFS-Attribut Index 559 Indizierung 585 Verschlüsselung Siehe Verschlüsselungsattribut NTFS-Attribute 557 NTFS-Dateien Überwachungen Siehe Überwachungen NTFS-Datenträger 122 NTFS-Sicherheitsattribute 563 NTFS-Zugriffsrechte 563 NWLink-Protokoll 201 O&O Software GmbH 118 O&O® Defrag 120 O&O® Defrag/MFT 120 Objekte (AD) 313 Blattobjekte 313 Container 313
1043 Objektkennung 129 Objektkennungen Kompatibilität 143 Offline drucken 382 Offline-Defragmentierung 117 Oktett 171 Online-Defragmentierer Sliding Windows-Methode 119 Online-Defragmentierung 116 Open Shortest Path First 219 Organisationseinheiten 643 ADSI-Skript 650 Anlegen 644 Bearbeiten 649 Charakteristik 319 Delegation der Administration 336 Einsatzfälle 321 Gruppenrichtlinien 322 Gruppierung 323 Hierarchie 319 ISO 3166 334 Löschen 644 Namenskonventionen 333 Namensraum 320 NT 4 322 Objekte festlegen 331 Objektverwaltung 644 OU-Modell Siehe OU-Modelle Planung 319 Skripte 332 Strukturplanung 330 Suchen 647 Umbenennen 649 Werkzeuge 643 Organisatorische Einheit 313 OSPF Siehe Open Shortest Path First OU Siehe Organisatorische Einheit OU-Modelle 323 abteilungsbasiertes 327 Administrationsmodelle 328 Entwurf 323 funktionsbasierte 327 geografische 325 objektbasierte 329 Projektmodelle 328 typische 325 Unternehmensmodell 327 Vor- und Nachteile 329 Parity-Informationen 78
1044 Speicherort 79 Partitionen Partitionstyp wählen 516 primäre oder erweiterte anlegen 515 Partitionstabelle 60, 61 Erweiterte 63 Logische Laufwerke 63 Partitionstypen 62 PCL Siehe Printer Control Language PDC-Emulator 305 Physische Drucker 382 Physische Struktur des Active Directory 290 Modelle 290 Ping 779 Point-to-Point-Protocol 228 Point-to-Point-Tunneling Protocol 239 Port 168 Portbezeichnung 169 Postscript Level I 388 PPP Siehe Point-to-Point-Protocol PPTP Siehe Point-to-Point-Tunneling Protocol Primärer Nameserver 194 Printer Control Language 391 Printer Working Group 395 Profile Siehe Benutzerprofile Protokollnummern 170 PXE-Boot-ROM 900 Qualität von Gerätetreibern 975 Quickformat 549 RADIUS-Client 231 RADIUS-Server 231 RAID Siehe Redundant Arrays of Inexpensive Disks RAID 5-Datenträger 82, 529 Einrichten 529 Performance 83 RAS-Client 228, 813 Assistent 814 Windows 2000 Professional 813 Apple Macintosh 229 Authentifizierung 230 Benutzerkonten 231 gastzugang 230 IPX-Clients 228 UNIX 229
D Index RAS-Richtlinien 231 definieren 232 vordefinierte Richtlinie 232 zentrale Verwaltung 235 Zugriff steuern 234 RAS-Server 226 Appletalk 246 Aufbau 226 Benutzerrechte 808 Datenrate 227 DHCP-Relay-Agent 807 Domänenmodi 808 Einrichten 804 IP-Adressvergabe 229, 805
APIPA 230 DHCP 229 DHCP-Relay-Agent 230 Statischer Adresspool 230 Protokolle 227 RADIUS 806 RAS-Richtlinien 810 Rückruf 227, 809 Verbindungsprotokolle 227 RAS-Verbindungen Authentifizierung 235 Rückruf 237 Sicherheit 235 Verschlüsselung 236 Raw 387 [FF appended] 387 [FF auto] 387 RC4 261 RDN Siehe Relative Distinguished Name Redundant Arrays of Inexpensive Disks 76 Hybrid Level 78 Überblick 76 Referenz-PC 421, 902 Registrierung Sichern 972 Sichern durch Setup 972 Sicherungsverfahren 973 Registrierungsdateien 1001 Rücksicherung 1001 Sichern 1001 Registrierungsdatenbank Siehe Systemregistrierung Registrierungseditor Export 979
D Index Favoriten 979 Import 979 Regedt 32
256-Zeichen-Werte 981 Schreibschutz 981 Sicherheitsoptionen 980 Suchfunktionen 981 Überwachung 981
Suchfunktion 978 Registrierungseditor Regedt 32 980 Relative Distinguished Name 270, 273 Remote Access Clientsoftware (Mac) 229 Remote Installations Services 424 Remote-Anschlussmonitore 389 Remoteinstallationsdienste Assistent 871 Einrichtung des Servers 871 Grundprinzip 426 Voraussetzungen 427 Remoterouter 225 Remotespeicher 96, 131 Aufbau 97 Bereitstellungspunkte 97 DAT 98 DLT 98 QIC 98 Voraussetzungen 97 Reorganisation der Datenspeicherung 116 Reparaturmaßnahmen 998 Repeater 212 Replikation 302 Administration Siehe Standorte und Replikation Betriebsmaster 303 DNS-Master 304 PDC-Emulator 305 RID-Master 303 Verfahren 302 Request For Comments 156 Stufen 156 Reseau IP Europeens 175 Reservierte Adressen 174 RFC Siehe Request for Comments RFC 1034 185 RFC 1035 185 RFC 1058 218 RFC 1484 274 RFC 1723 218
1045 RFC 1759 394 RFC 1918 177 RFC 1995 194 RFC 2131 178 RFC 2132 178 RFC 2138 231 RFC 2139 231 RFC 2236 174 RFC 2251 283 RFC 2328 219 RFC 2565 396 RFC 2566 396 RFC 2567 396 RFC 2568 396 RFC 2569 396 RFC 2639 396 RID-Master 303 RIP Siehe Routing Information Protocol RIPE NCC Siehe Reseau IP Europeens RIPv2 Siehe Routing Interface Protocol RIS Siehe Remote Installations Services RIS-Bootdiskette 899 RISETUP.EXE 872 RIS-Installation über Netzwerk starten 900 RIS-Installationsprozess 901 RIS-Server autorisieren 873 Installationsquelldateien 873 mehrere 873 route 780 Router 213 Appletalk-Netzwerkrouter 246 IPX-Netzwerkrouter 244 Router Information protocol 200 Routing 205 Beispiel für Routen 216 Definition von Routen 216 Dynamisches 217 Funktionen 220 geografische Trennung 208 Grundlagen 211 Hardware 212 Hops 217 Protokolle 218 RAS 209 Route (Konsolenbefehl) 215 Sicherheitsaspekte 211 Statisches 215
1046 TCP/IP-Netzwerke 213 Topologien 208 VPN 209 Routing Interface Protocol 218 Einschränkungen 219 Routing und RAS 782 Routingprotokolle Siehe Routing (Protokolle) RRAS-Internetverbindungsserver 222 Siehe Internetverbindungsserver RRAS-NAT Siehe RRAS-Network Adress Translation RRAS-Network Adress Translation 801 RRAS-Server Active Directory 786 Einrichten 782 Internetverbindungsserver Siehe Internetverbindungsserver Neukonfiguration 784 Zurücksetzen 786 runas.exe 918 SAP Siehe Service Advertising Protocol Schichtendesign 364 Schichtenmodell 155 Schlüsselwortlisten 102 Schreibweisen 32 Schutz der Systemdateien Siehe Systemdateien Scripting 497 Aufbau der Skripte 503 Komponenten 498 Scripting Host 499 Script-Technologien Siehe Scripting SCSI-Syntax 65 SD Siehe Security Descriptor Security Descriptor 340 Security Identifier 340, 896 Seedrouter (Appletalk) 248 Mehrere im gleichen Netz 249 Sekundärer Nameserver 194 Sequenced Packet Exchange 200 Serial Line Internet Protocol 228 Service Advertising Protocol 201 Service Packs 976 Installation 976 Services for Macintosh Siehe MacintoshServices Setupmgr.exe 878
D Index SFM Siehe Services for Macintosh Sicherheit Netzwerk 251
IPSec 259 Kerberos 251 Sicherheitsanalyse 947 Ablauf 948 Protokollierung 947 Sicherheitsanforderungen Siehe Sicherheitsmaßnahmen Sicherheitsdatenbank 944 Sicherheitseinstellungen Erweiterte 565 Sicherheitsgruppen 346, 353 Sicherheitskonfiguration 947, 948 Sicherheitsmaßnahmen 915 Sicherheitsprotokoll 955 Sicherheitsrichtlinien RAS-Richtlinien 231 Sicherheitsvorlagen 944 Snap-In installieren 945 Speicherort 945 Typen 945 SID Siehe Security Identifier Siehe Security Identifier Signature-Syntax 66 Signatur-Kataloge 975 Sitzungsticket Siehe Kerberos SLIP Siehe Serial Line Internet Protocol Smartcard 252 Snap-In 461, 463 Dritthersteller 466 Erweiterungen 466 Ereignisanzeige 949 Indexdienst 579 Sicherheitskonfiguration und -analyse 947 Sicherheitsvorlagen 945 Zertifikate 968 Socket 168, 170 Softwareverteilung 415, 902 Prinzip 415 Veröffentlichung 417 Voraussetzungen 417 Windows Installer 417 Zuweisung 416 Spiegelung 527 Aufteilen 529 Einrichten 527
D Index Entfernen 528 SPM Siehe Standard TCP/IP Port Monitor Spooler 866 protokollieren 383, 387 Textformat 388 SPX Siehe Sequenced Packet Exchange Standard TCP/IP Port Manager 394 Standardbeschränkung 574 Standard-UAM 203 Standort 296 Definition 297 Details 296 Dienste 297 Internet 300 Knowledge Consistency Checker 298 Replikationstopologie 302 Standortbrücken 301 Standortverknüpfung 300 Standorte und Replikation 628 Neuer Standort 628 Standortverknüpfungen 634 Subnetze 633 Standortverknüpfungen 634 Standortverknüpfungsbrücken 634 Startprotokollierung 986 Startreihenfolge 64 Statische Routen einrichten 831 STOP-Meldungen 982 DATA_BUS_ERROR 984 FTDISK_INTERNAL_ERROR 984 INACCESSIBLE_BOOT_DEVICE 984 IRQL_NOT_LESS_OR_EQUAL 982 KMODE_EXCEPTION_NOT_HANDLE D 983 NO_MORE_SYSTEM_PTES 984 NTFS_FILE_SYSTEM 983 stripe width 73 Stripesetdatenträger 73, 524 Ändern 76 Aufbau 74 Erstellen 525 Festplatte auswählen 525 Größe 526 Vorteile 73 Struktur einer Domäne 314 Siehe Domäne Subnetze 172 Subnetzmaske 172 Suchen nach Druckern 393 Sysprep 896
1047 Anwendung 899 Systemdateien austauschen 974 Kernelmodus-Treiber 975 Treiberüberprüfungs-Manager 975 Windows-Dateischutz 974 Systempartition 58 Systemregistrierung Regedit.exe 978 Registrierungseditor Siehe Registrierungseditor Systemregistrierung 976 Bearbeiten 978 Speicherort 977 Struktur 976 Wiederherstellen 999 Systemsicherheit 915 Ereignisanzeige Siehe Ereignisanzeige TCP Siehe Transmission Control Protocol TCP/IP 170 Macintosh 203 TCP/IP-Tools arp 773 finger 773 ftp 775 ipconfig 776 netstat 777 nslookup 778 route 780 tracert 781 Telnet-Client 496 Telnet-Server 493 Dienst 494 Einrichten 493 Registrierungseinstellungen 494 Terminal Services Advanced Client 489 ActiveX-Steuerelement 491 Download 489 Installation 490 Integration 491 Terminaldienste 474 Basisfunktionen 474 Clienteinstellungen 483 Sitzungseinstellungen 481 Terminalmodi 475 Terminalserver installieren 475 Terminaldiensteclient 483 Einstellungen speichern 486 Funktionen 487
1048 Konfiguration 485 Mehrfachverbindungen 489 Tastenkombinationen 488 Verbindungstest 484 Zwischenablage 488 Terminalserver installieren 475 TLD Siehe Top-Level-Domain Top-Level-Domain 191 Geografische 192 Organisatorische 191 Transaktionsprotokollierung 110 Transmission Control Protocol 167 Multiplexing 168 Transportmodus 261 Tree Siehe Domänenstruktur Treibersignaturen 975 Sigverif.exe 975 TSAC Siehe Terminal Services Advanced Client Tunnelmodus 260 UAM Siehe User Authentication Modul Überwachungen 565 Überwachungsdienst 142 UDF Siehe Universal Disc Format UDF-Datei Verwendung 894 UDF-Dateien 877 UDP Siehe User Datagramm Protocol UFN Siehe User Friendly Naming Umwandelung Siehe Konvertierung Universal Disc Format 107 Universelle Gruppe 344 UNIX-Druckdienste Installation 855 Upgrade-Pfad 47 User Authentication Modul 203 User Datagramm Protocol 167 User Friendly Naming 274 User Principal Name 660 VBScript 503 Verifier.exe 975 VERITAS Software Console 904 VERITAS Windows LE 902 VERITAS WinInstall LE 419 Einführung 419 Probleme 421 Referenz-PC 421 Voraussetzungen 420 Verschachtelung von Gruppen 350
D Index Verschlüsselndes Dateisystem 133 Aktivieren 560 Entschlüsselung 136 Verschlüsselungsvorgang 135 Wiederherstellungsagent 136 Verschlüsselte Dateien Kompatibilität 143 Verschlüsselung Aktivieren 560 Verschlüsselungsattribut 561 Verteilergruppen 346, 353 verteilte Verknüpfungen Überwachung 142 Verteiltes Dateisystem 144 Aufbau 147 DFS-Client 149 Domänenbasiert 146 Eigenständig 147 Einsatz 145 Namensraum 145 NT 4 146 Replikation 148 Vertrauensstellungen 309 Verwaltungsinstrumente 457 Grundlagen 457 Verwaltungsprogramme 453 Verzeichnisdienste 265 Verzeichnisdienstwiederherstellung 987 Virenprogramme Siehe Computerviren Virtual Private Network 237 Datenrate 239 Einzelhop 241 Internet Einwahl 242 IPSec 239 Netzwerke verbinden 241 Ports 239 PPTP Siehe Point-to-Point-Tunneling Protocol Protokolle 238 RAS-Richtlinien 240 Virtuelle Ports 238 VPN-Clients 240 Voller Name 660 Volume Management 53 Grundlagen 53 Vorgängerbuch 28 VPN Siehe Virtual Private Network VPN-Clients 240 VPN-Server 817
D Index Einrichten 818 Inbetriebnahme 820 Konfiguration 820 RADIUS 819 Zugriffsrechte 820 VPN-Verbindung IP-Route 243 Wählen bei Bedarf 242 VPN-Router 242 WBEM Siehe Web-Based Enterprise Management WDM Siehe Windows Driver Model Webadressen 1007 Microsoft 1007 Newsgroups 1010
Deutsche 1012 Microsoft 1010 Problemorientierte Sites 1007 Software 1009 Web-Based Enterprise Management 457 Wechselmedien 531 API 89 Bandwechsler 90 Datensicherung 89 Grundprinzip 87 Medienpool einrichten 531 Medienpools 89 Wechselmediendienst 87 WFP Siehe Windows File Protection WHQL Siehe Windows Hardware Quality Lab Wiederherstellen Registrierungsdateien 1001 Wiederherstellungsagent 136, 967 Wiederherstellungsassistent 544 Wiederherstellungskonsole 987 Befehle Siehe Wiederherstellungs-Tools Befehle und Tools 990 Befehlsübersicht 988, 992 Lokal Installieren 989 Manuelle Wiederherstellung 1000 Mit Windows NT 988 Start 987 Wiederherstellungsrichtlinie 968 Wiederherstellungs-Tools 992 Attrib 992 Batch 993 cd, chdir 993 ChkDsk 993
1049 Cls 993 copy 993 Delete 993 Dir 994 Disable 994 DiskPart 994 Enable 994 Exit 995 FixBoot 995 FixMBR 995 Format 996 Help 996 ListSvc 996 Logon 996 Map 996 MD, MkDir 996 More 997 Rd, RmDir 997 Ren, Rename 997 Set 997 Systemroot 997 Type 997 Windows 2000-Indexdienst Siehe Indexdienst Windows Driver Model 435 Windows File Protection 974 Windows Installer 417 Arbeitsweise 418 Basisfunktionen 418 Windows Internet Name Service 190 Windows Management Instrumentation 459 Windows Scripting Host 500 WINS Siehe Windows Internet Name Service Winspool.drv 384 WMI Siehe Windows Management Instrumentation WMI-Architektur 460 Wortlisten 102 X.500 267 Attribute 270, 274 Datenschutz 272 Datenzugriff 277 Directory Information Model 273 dish 277 Distinguished Name 270 Finger 277 Gopher 277
1050 Grundelemente 270 Komponenten 274 Normen (X.501 ff.) 276 Objektklassen 270 Sicherheit 278 SQL 274 X.500-Directory Service 271 X.500-Verzeichnis 272 X.501 276 X.509 276 X.511 276 X.518 276 X.519 276
D Index X.520 276 X.521 276 X.525 277 ZAW Siehe Zero Administration Initiative Zerberus Siehe Kerberos Zero Administration Initiative 407 Zone 187 Delegierungsinformationen 193 Replikation 193 Replikation über Active Directory 194 Zugriffsrechte 111 Siehe NTFSZugriffsrechte Zuordnungseinheit 549 Siehe Cluster
E An die Autoren
1051
E An die Autoren Für Fragen, Anregungen aber auch für Lob und Kritik stehen Ihnen die Autoren gern zur Verfügung. Dieses Buch soll eine solide Arbeitsgrundlage für Administratoren und Techniker sein. Verbesserungsvorschläge und konstruktive Anmerkungen helfen uns und künftigen Lesern.
Hilfe und Unterstützung finden Sie bei den Autoren für folgende Gebiete: • Consulting • Schulungen • Workshops
Das Themenspektrum ist vielfältig: • Heterogene Netzwerke • Digitale Druckvorstufe • Internet, speziell Webserverprogrammierung • Sicherheit
Wir freuen uns auf Ihre Nachricht an folgende Adressen:
[email protected] [email protected] Leider schaffen wir es nicht immer, jede E-Mail sofort zu beantworten. Sie können aber sicher sein, dass jede Nachricht gelesen wird. Nutzen Sie dieses Medium also, um alles »loszuwerden«, was Sie für sinnvoll halten.
Hanser - Fachbücher für Computer, Technik und Wirtschaft
Das Betriebssystem für ein professionelles Arbeitsumfeld und bietet Erläuterung aller wichtigen Administrationsfunktionen, tiefgehendes Grundlagenwissen und viele Insiderinformationen zu Maximierung und Optimierung. Im Mittelpunkt dieses Buches steht die Einrichtung und Administration von Windows 2000 Professional als leistungsfähige Workstation, im Peer-to-PeerNetzwerk, als kleiner Intranet-Server sowie als Client in einem Windows 2000-Serverumfeld mit und ohne Active Directory.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Aus dem Inhalt: • Systemarchitektur • Administrationswerkzeuge • Massenspeicher, Dateisysteme und Systemsicherheit • Netzwerk- und Internetfunktionen • Drucken (inkl. Farbmanagement) • Installation (auch automatisiert und über Netzwerk) • Wiederherstellung und Reparatur
○
Uwe Bünning/Jörg Krause
Windows 2000 im professionellen Einsatz Grundlagen und Strategien für den Einsatz am Arbeitsplatz und im Netzwerk 1063 Seiten, gebunden mit CD-ROM ISBN 3-446-21497-6 ○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Auf CD-ROM: • Das Buch als PDF-Datei mit Volltextsuchmöglichkeit • Nützliche Tools (Freie Software und Test-/Demoversionen) • Microsofts Multimediashow Windows 2000
Windows 2000 ist ein leistungsstarkes und komplexes Betriebssystem für ein professionelles Arbeitsumfeld. Das Buch wendet sich an Administratoren, ITTechniker und fortgeschrittene Anwender
○
Fax (0 89) 9 98 30-269
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Carl Hanser Verlag Postfach 86 04 20, D-81631 München Tel. (0 89) 9 98 30-0, Fax (0 89) 9 98 30-269 eMail:
[email protected], http://www.hanser.de
○
○
○
○
Hanser - Fachbücher für Computer, Technik und Wirtschaft
Online-Dienste installieren und konfigurieren … Die Autoren beschreiben detailliert, wie ein Linux-System zum vollwertigen und stabilen Server für alle benötigten Intranet- und Internetdienste in der Firma, im Verein oder in der Hochschule/Schule wird. Sie zeigen, wie man die Dienste installiert, konfiguriert und testet, mit welchen Tools die Serverprogramme zu administrieren sind, welche Sicherheitsrisiken drohen und wie man diesen entgegentritt. Die Leser profitieren dabei von den Erfahrungen der Autoren aus dem Serveraufbau und -betrieb an der FH München.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Nach den Grundlagen zu Internet und Intranet gehen die Autoren auf alle relevanten Themen und Werkzeuge für den Serveraufbau ein:
○
Jörg Holzmann Jürgen Plate
Linux-Server für Intranet und Internet
• • • • • • •
Den Server einrichten und administrieren 2001. 352 S. Kartoniert. 79,– DM ISBN 3-446-21368-6 ○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Die Mehrheit aller Server im Internet und Intranet basiert auf UNIX-Systemen. Linux als freies UNIX erfreut sich wachsender Beliebtheit, denn Linux ist stabil, günstig und – zumindest mit UNIX-Hintergrund – gut zu administrieren.
Im Internet: Unter www.netmafia.de gibt es Hintergrundinformationen über Netze, UNIX und HTML sowie Dateien und weiterführende Infos zum Buch. ○
Fax (0 89) 9 98 30-269
○
E-Mail-Server FTP-Server WWW-Server Name-Service Samba-Server für Windows-Rechner DHCP-Server einrichten Server-Sicherheit
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Carl Hanser Verlag Postfach 86 04 20, D-81631 München Tel. (0 89) 9 98 30-0, Fax (0 89) 9 98 30-269 eMail:
[email protected], http://www.hanser.de
○
○
○
○
Hanser - Fachbücher für Computer, Technik und Wirtschaft
Verbindung zwischen den Welten Der Autor beschreibt anschaulich die Installation und Konfiguration von Samba einschließlich aller Komponenten. Dieses Buch hilft auch Linux-Einsteigern, einen Samba-Server in Betrieb zu nehmen, in ihr System einzubinden und Fehler bei der Konfiguration ausfindig zu machen. Darüber hinaus dient es als Nachschlagewerk für die verschiedenen Optionen der Konfigurationsdateien. Die CD enthält eine Evaluationsversion von SuSE Linux, das komplette Samba-Paket und viele nützliche Samba-Tools.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Aus dem Inhalt: • Das Samba-Paket • Installation und Grundkonfiguration • Dienste, Programme und Skripte • Samba-Konfigurationsdateien • Drucken • Spezielle Sektionen • Zugriffe protokollieren • Abbildung von Benutzernamen • Beschränkung des Zugriffs • Lese- und Schreibberechtigungen • Server-Zugriffsrechte • Server-Kommandos • Zugriff von Server auf Client • Fehlersuche
○
Wolfgang Soltendick
Samba Der Netzwerkserver für Linux 2000. 310 Seiten. Kartoniert mit CD-ROM ISBN 3-446-21320-1 ○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Mit der Entwicklung von Samba ist Linux der Durchbruch im kommerziellen Bereich gelungen. Samba ist ein File- und PrintServer, der die Verbindung zwischen UNIX, Linux und der Windows-Welt herstellt. Damit ist der Betrieb eines Netzwerkes mit einem Linux-Server und Clients, die unter anderen Betriebssystemen laufen, möglich. ○
Fax (0 89) 9 98 30-269
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Carl Hanser Verlag Postfach 86 04 20, D-81631 München Tel. (0 89) 9 98 30-0, Fax (0 89) 9 98 30-269 eMail:
[email protected], http://www.hanser.de
○
○
○
○
Hanser - Fachbücher für Computer, Technik und Wirtschaft
Die Revolution in der Netzwerktechnik
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Das Buch setzt sich mit den Grundlagen und dem Praxiseinsatz von Verzeichnisdiensten auseinander. Neben der notwendigen Grundlagenvermittlung verschafft es dem Leser einen Überblick über den Einsatz von verzeichnisbasierten Netzwerksystemen. Der Leser wird so in die Lage versetzt, sich ein Urteil über die verfügbaren Verzeichnisdienste zu bilden. Als weiteren wesentlichen Punkt beschreibt der Autor detailliert das praktische Umsetzen einer Planung in ein entsprechendes System, wobei sich der Autor auf die beiden zur Zeit bekanntesten Systeme – Novell Directory Services und Microsoft Active Directory Services – bezieht.
○
Dirk Larisch
Verzeichnisdienste im Netzwerk NDS, Active Directory und andere
Aus dem Inhalt: • Grundlegendes zu Verzeichnisdiensten • Standard X.500 • LDAP als Integrator • Meta-Verzeichnisdienste • Verzeichnisdienste im Praxiseinsatz • Novell Directory Services • Microsoft Active Directory Services
622 Seiten. Gebunden. 2000 ISBN 3-446-21290-6 ○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Fax (0 89) 9 98 30-269
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Carl Hanser Verlag Postfach 86 04 20, D-81631 München Tel. (0 89) 9 98 30-0, Fax (0 89) 9 98 30-269 eMail:
[email protected], http://www.hanser.de
○
○
○
○